Difference: ManintheBrowser (r7 vs. r6)

”Man-in-the-Browser”-hyökkäys (MitB)

Johdanto

Man-in-the-Browser eli suomennettuna "mies selaimessa" on eräs yksi Man-in-the-Middle (MitM) hyökkäyksen variaatio, jossa Internet -hyökkäyksen variaatio. Siinä internet-selaimeen selaimeen asentuu troijan-hevonen, troijan hevonen, joka pystyy muokkaamaan sivujen ulkomuotoa. Erityisen uhan MitB-hyökkäyksestä tekee se, että sen toiminta se toimii käyttäjän ja selaimen välissä, jolloin suojamekanismit kuten SSL TLS eivät toimi sitä vastaan. Asian ajankohtaisuutta korostaa tietoturva yhtiö Impervan kuvaa, että tietoturvayhtiö Imperva ja useiden muiden tahojen usea muu taho nostivat MitB-hyökkäyksen nostaminen tietoturvauhkien vuoden 2011 "top 10" tietoturva uhkien 10"-listaan vuonna 2011. listaan. [1][2]Tässä raportissa selvitämme tavanomaisimpia kuvaillaan tavanomaisia tapoja toteuttaa MitB-hyökkäys ja kartoitetamme kartoitetaan vaihtoehtoja siltä suojautumiseen.

Hieman Taustaa taustaa

Man-in-the-Middle-hyökkäys tapahtuu Man-in-the-Middle toimii nimensä mukaisesti kahden kohteen välissä esittäytyen molemmille kohteille olevansa toinen osapuoli ja antaen molempien käsittää yhteyden olevan kunnossa, mutta muokkaakin viestien sisältöä molempiin suuntiin. MitM MitM-hyökkäys toimii vain jos hyökkäyksen toteuttaja saa molemmat kohteet vakuuttuneiksi siitä, että on toinen osapuoli. MitM hyökkäyksen mahdolliset uhat ovat selviä ja sen torjuntaankin on useissa turvaprotokollissa varauduttu. Tässä raportissa keskitymme keskitytään MitM:n erikoistuneeseen muotoon MitB:hen, joka toimii käyttäjän ja selaimen välissä kiertäen suojauksia ja luoden uusia uhkia.

MitB-hyökkäyksen uhka esiteltiin ensikertaa Augusto Paes de Barrosin portugalinkielisessä esitelmässä[3] vuonna 2005. Vuonna 2007 Philipp Gühring nimesi hyökkäyksen MitB:ksi asiantuntijaraportissaan[4](engl. White Paper) white paper) Concepts against Man-in-the-Browser Attacks, jossa hän käy läpi hyökkäyksestä aiheutuvia ongelmia, metodeja sen toteutukseen, riskianalyysiä, sekä mahdollisia ratkaisuja hyökkäyksen estämiseksi. MitB-hyökkäyksestä on olemassa myös yksinkertaisempi versio, joka on nimetty Boy-in-the-Browser-hyökkäykseksi [5], mutta BitB:hen emme BitB jätetään tässä raportissa sen enempää enemmättä huomiotta. paneudu.

Hyökkäyksen toiminta

MitB on hyökkäys, jossa haittaohjelma pääsee käyttäjän ja selainyhteyksien väliin ja pystyy tarkkailemaan ja muokkaamaan käyttäjälle näytettyä dataa, huolimatta käytetyistä salauksista.

Kohteet ja motivaatio Kohteet ja motivaatio[6][6]

Yksittäisiä Yksityisiltä käyttäjiltä ja organisaatioilta varastetaan vuosittain miljoonia euroja. Otollinen ryöstökohde on verkkopankkitoiminta ja varsinkin suurien yrityksien pankkiasiointi, jossa on mahdollisuus päästä käsiksi suuriin rahasummiin. Siinä missä pankkien tietoturva tietoturvamekanismit mekanismit ja käytännöt -käytännöt paranevat, kehittävät myös verkkorikolliset uusia tekniikoita niiden kiertämiseen. Näiden tekniikoiden kehittyessä ja levitessä saattaa olla, että hyökkäykset tavallistenkin käyttäjien pankki-istuntoihin yleistyvät.

Metodit

MitB-hyökkäyksen kohteena voivat olla selain, sähköpostiohjelma ja jopa autentikointijärjestelmät. Hyökkäyksen perustana on kohteen koneelle asentuva troijan-hevonen (Zeus, SilentBanker, ym.), joka asentuu esimerkiksi selaimen lisäosana (Extension / Browser Helper Object), Active X komponenttina -komponenttina tai UserScriptinä. Myös ohjelmointirajapinnan kaappaus (API-Hooking) ja koko koneen virtualisointi ovat mahdollisia hyökkäys hyökkäysmetodeja, metodeja, mutta niitä on hankala toteuttaa.

Case: Tapaus Zeus

Aiheen puitteissa emme voi Haittaohjelmien toiminnasta mainitaan tässä paneutua kovin syvälle haittaohjelmien toimintaan, mutta otetaan lyhyenä esimerkkinä troijan-hevonen troijan hevonen Zeus, jonka on voinut vuonna 2010 hankkia maksamalla perusversiosta 3000-4000 dollaria. [7]TrendMicron vuonna 2010 julkaisemassa asiantuntija asiantuntijaraportissa raportissa [8]selvitetään hieman Zeus:in Zeusin toimintaa. Raportin mukaan Zeus on nettirikollisuuden stantardityökalu, jonka voi ottaa käyttöön jopa hyvin todella vähäisellä teknisellä tietämyksellä alle viidessä minuutissa.

Zeus leviää esimerkiksi aidonnäköisten huijaussähköpostien avulla, joissa avulla. Niissä käyttäjää kehotetaan menemään jollekin aidonoloiselle huijaussivustolle, josta hän lataa tajuamattaan troijalaisen. Kun Zeus on asentunut koneelle koneelle, se lataa ennaltamääritellystä osoitteesta asetustiedostonsa (config)ja jää odottamaan odottamaan, että käyttäjä kirjautuu johonkin asetustiedostossa siinä määriteltyyn paikkaan, esimerkiksi pankin nettisivuille, jolloin se nettisivuille. Tällöin Zeus voi esimerkiksi suorittaa MitB-hyökkäyksen tai taltioida käyttäjän tietoa ja lähettää sen aina niitä ajoittain välillä hyökkääjän Zeus-palvelimelle.

Esimerkki MitB-hyökkäyksestä

MitB-hyökkäys voi edetä esimerkiksi seuraavalla tavalla[4][6]:

  1. Troijalainen saastuttaa käyttäjän koneen ja asentaa selaimeen haittaohjelman (lisäosan), (lisäosan). Yleensä tämä yleensä tapahtuu huijaamalla käyttäjä tekemään jotain epäviisasta kuten saadaan käyttäjä käymään sivulla sivulla, jossa troijalainen esitetään esimerkiksi videon pyörittämiseen tarvittavaksi koodekiksi.

  2. Seuraavan kerran selaimen käynnistyessä haittaohjelma aktivoidaan ja se aloittaa seuraamaan alkaa seurata käyttäjän jokaista sivunlatausta, kuitenkaan muokkaamatta mitään. Kuitenkin jokaisen latauksen yhteydessä tarkastetaan tarkastetaan, onko ladattava sivu yksi hyökkäyksen kohteiksi valituista sivuista.

  3. Kun käyttäjä kirjautuu (haittaohjelma jollekin kohteena olevalle sivustolle, kuten verkkopankkiin, haittaohjelma aktivoituu. Haittaohjelma ei edes välttämättä ota näitä kirjautumistietoja tietoja talteen, sillä se ei niitä tarvitse niitä onnistuneeseen hyökkäykseen) hyökkäykseen. jollekin kohteena olevalle sivustolle, kuten verkkopankkiin. Tällöin haittaohjelma aktivoituu.

  4. Kun käyttäjä kirjaa uuden maksun ja painaa hyväksy hyväksymisnappia, nappia, kaappaa haittaohjelma kaappaa käyttäjän syöttämät tiedot ja muokkaa tilalle uuden tilinumeron ja summan ja lähettää tämän pankille.

  5. Tähän pankin palvelin lähettää vahvistuksen, jossa on haittaohjelman asettamat uudet tiedot, jotka tiedot. Haittaohjelma haittaohjelma muokkaa ne näyttämään takaisin alkuperäisiltä ja näyttää ne käyttäjälle.

  6. Käyttäjä katsoo, että kaikki on kunnossa ja vahvistaa siirron jollain metodilla. Jonka Sen jälkeen pankin palvelin saa vahvistuksen siirrosta ja rahat ovat on ryöstetty, kummankaan osapuolen sitä tajuamatta.

Suojautuminen

Markkinoilla on useita ratkaisuja MitB-hyökkäykseltä suojautumiseen, joista mutta vain muutama on käytännöllinen ja toimiva. On vielä useampia suojautumiskeinoja, jotka eivät toimi MitB-hyökkäystä vastaan. Tietoturva yritys Entrust ja Philipp Gühring lajittelevat useita toimivia ja ei toimivia keinoja hyökkäyksen torjuntaan. Tässä luettelemme luetellaan niistä osan:

Eivät toimi:
  • Käyttäjän tunnistaminen (haasteet, biometriikka)

  • Kertakäyttökoodit

  • Älykortit

  • Yhteyden salaukset

    • Mikään yllä olevista ei toimi, koska haittaohjelma voi odottaa vaiheiden ohi, joidenka ja jälkeen vasta aloittaa toimintansa. toimintansa vasta niiden jälkeen.

Saattavat toimia:
  • Antivirus Antivirusohjelmistot ohjelmistot

    • Haittaohjelmat kehittyvät jatkuvaa vauhtia, eivätkä virutorjuntaohjelmistot välttämättä pysy uusimpien muutosten tai hyvin kohdistettujen hyökkäysten perässä.

  • Selaimessa tulisi erikseen sallia lisäosat ja UserScriptit kun SSL TLS on käytössä. (Oletuksena kaikki kielletty)

    • Tällöin voitaisiin välttyä yksinkertaisimmilta hyökkäyksiltä, mutta kehittyneemmät hyökkäykset olisivat silti uhka. Menetelmä saattaisi myös olla helppo kiertää.

Toimivat, mutta ovat epäkäytännöllisiä:
  • Erillinen tietokone pelkästään pankkiasiointiin.

    • Vaatii kuria siihen miten konetta käytetään, eli konetta ei siis saisi käyttää mihinkään muuhun. Vaatii myös paljon aikaa ja haaskaisi paljon resursseja. (Huom. Voisi olla käytännöllinen uusien virtualisoivien käyttöjärjestelmien, kuten Qubes OS, yhteydessä.) Qubes OS, yhteydessä.)

  • ?Kovetettu? selain, selain: esimerkiksi jollain ei-muokattavalla medialla, kuten muistitikulla, sijaitseva selain, jolloin siihen ei voi asentaa lisäosia.

    • Haittaohjelmalla tulee olisi olemaan vaikeuksia hyökätä selaimeen, mutta selain kuitenkin toimisi samalla koneella haittaohjelman kanssa, jolloin mahdollisuus hyökkäykseen säilyy. Lisäksi selaimen päivitys hankaloittuu ja useissa organisaatioissa on estetty muistitikuilta ohjelmien ajaminen, jolloin metodia ei voi käyttää.

  • Ulkoiset varmenteen laskevat laitteet, joille käyttäjä syöttäisi transaktiotiedot.

    • Kyseiseen tarkoitukseen pitäisi tehdä sekä ohjelma, tehdä ohjelma että omistaa laite. Käyttäjän pitäisi näpytellä näppäillä transaktion tiedot laitteeseen, jonka näppäimistö ja käytettävyys eivät välttämättä ole kovin hyviä, hyviä. transaktion tiedot.

  • Käyttäjän fyysisesti kynällä ja paperilla, ehkä taulukoiden avulla, suorittama helpohko tietojen kryptaus.

    • Vaatii kuria, kovin kuria. Kovin moni käyttäjä ei varmastikkaan varmaankaan jaksaisi tehdä kyseistä operaatiota tai se olisi liian työlästä/vaikeaa. Lisäksi se saattaisi olla liian helppoa MitB MitB-haittaohjelmalle haittaohjelmalle purkaa.

Toimivat:
  • Toinen varmistuskanava, eli käyttäjältä varmistetaan jotain toista kanavaa pitkin transaktion yksityiskohdat. Esimerkiksi tekstiviesti, jossa lukee siirron tiedot.

    • Helppokäyttöinen ja käyttäjä saa tiedon näkyviin itselleen, jolloin jotain hämärää huomatessaan hän voi keskeyttää siirron. On epätodennäköistä, että hyökkääjä pääsisi käsiksi myös toiseen varmistuskanavaan. Ongelmaksi nousee lähinnä, että varmistuskanavan muuttamisesta vaihtamisesta tulisi tehdä tässä tapauksessa turvallista, jottei haittaohjelma pääse muuttamaan kyseistä tietoa.

Päätelmä

MitB-hyökkäykseltä on vaikea suojautua sen huomaamattomuuden ansiosta ja havaintokin tapahtuu usein liian myöhään. Keinoja suojautumiseen on sekä käyttäjän toiminnan, toiminnan että erinäisten tekniikoiden avulla, mutta niiden käyttö ei ainakaan vielä näy normaalilla käyttäjällä. MitB-hyökkäykset saattavat yleistyä yhä enemmän uusien hyökkäystekniikoiden tekniikoiden kehittyessä ja vanhojen muuttuessa edullisemmiksi. Verkossa asioivien tulisi olla yhä enemmän varuillaan MitB-hyökkäysten kaltaisia uhkia vastaan, sekä vastaan. Uusia uusia tekniikoita tulisi ottaa käyttöön turvaamaan parantamaan käyttäjien tietoturvaa.

Lähteet

SivuTiedotLaajennettu edit
Vaativuus Jatko
ValmiusValmisteilla Valmis
Tyyppi Ydin
Luokitus Uhkat
MitäLuottamuksellisuus Eheys
MiltäIhmisetön Tahallinen uhka
MissäOrganisaatio Järjestelmä
KukaTitu-ammattilainen Tite-maallikko
Milloin Ennakolta
Miksi Hyvä tapa

View topic | View difference side by side | History: r7 < r6 < r5 < r4 | More topic actions
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback