RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Thursday, January 21. 2010

Nie do końca podejrzane linki

Na początek zacytuję jeden z komentarzy, którego autorem jest XANi:

Najlepszym zabezpieczeniem jest nie podążanie za "podejrzanymi" linkami ;]. Ja od jakiegoś czasu mam skrypt który odpala mi przeglądarkę + WebScarab proxy pod innym userem właśnie do "oglądania" takich rzeczy. nie jest to zabezpieczenie idealne ale zawsze coś...

Fragmentem, na który chcę zwrócić uwagę jest ten, o podejrzanych linkach.

Dawno temu pisałem o wartościach związanych z aplikacjami internetowymi, które mogą stać się powodem ataku. W ramach tych wartości trzeba uwzględnić również zaufanie jakim darzą klienci dany serwis. Umieszczenie własnego kodu w kontekście serwisu posiadającego dużą ilość użytkowników może być celem samym w sobie. Właśnie to było celem intruzów w przypadkach takich, jak ten: Hundreds of thousands of SQL injections:

(...) Visitors to this website are “treated” to 8 different exploits for many windows based applications including AIM, RealPlayer, and iTunes. (...)

Właściwym celem intruzów jest umieszczenie malware na komputerach użytkowników. Cel ten jest osiągany poprzez wykorzystanie podatności w przeglądarkach internetowych (wraz z różnego rodzaju rozszerzeniami), z których korzystają klienci. Problemem jest "tylko" to, jak przekonać użytkowników, by odwiedzili strony z osadzonymi exploitami. Podsyłanie linków nie jest najlepszą metodą, choćby dlatego, że mogą one zostać za podejrzane. Bardziej efektywnym podejściem staje się więc poszukiwanie błędów w popularnych witrynach, ofiary przyjdą same... A linki nie są wcale podejrzane.

Sytuacja ta powoduje kilka skutków, między innymi:

  • nie można zakładać, że "coś złego" stanie się tylko na "podejrzanych stronach",
  • strony/aplikacje pozornie nie przedstawiające żadnej wartości, w rzeczywistości ją mają - odwiedzających je użytkowników,
  • warto sprawdzić bezpieczeństwo nawet tych pozornie nieistotnych stron,

Warto również monitorować, czy jakiś malware się na naszych stronach nie zadomowił, pomocne może być w tym Google: Show Me the Malware!

Ślady
Brak Śladów
Komentarze
kultowym przykładem było jak bodajże na yahoo pojawił się płatny banner (crackerzy wykupili kampanie) który wykorzystywał podatność na flash playerze. Nie wspominając już o "FTP" injections (że tak je nazwę), gdzie szkodliwy kod wstrzykiwany jest poprzez wykradzione hasła z programów ftp.
#1 Marti (Strona) o 2010-01-21 10:02 (Odpowiedz)
Nie zapominajmy też o "płatnych linkach" w Google. W sumie to, co się w nich pokazuje też jest obdarzane w pewnym stopniu większym zaufaniem.
#1.1 Paweł Goleń o 2010-01-21 12:22 (Odpowiedz)
Pisałem o tym parę razy :]

Przykłady reklam:

http://bothunters.pl/2008/04/17/niebezpieczna-reklama-flash-w-serwisie-usatodaycom/
http://bothunters.pl/2009/11/25/zlosliwe-oprogramowanie-na-serwerze-duzej-agencji-reklamowej/
http://bothunters.pl/2009/11/15/znany-blog-techniczny-gizmodo-zainfekowany-falszywa-reklama/
http://bothunters.pl/2009/11/24/zlosliwe-oprogramowanie-reklamuje-sie-w-linkach-sponsorowanych-google/

Przykłady dużych witryn z wartością dodaną ;]

http://bothunters.pl/2008/09/16/bezpieczne-i-zaufane-strony-www-niekoniecznie/
http://bothunters.pl/2010/01/11/prawie-300-tysiecy-witryn-zarazonych-kodem-infekujacym/
http://bothunters.pl/2008/11/06/strona-firmy-adobe-zaraza-zlosliwym-oprogramowaniem/
http://bothunters.pl/2009/07/19/rozbierane-zdjecia-piosenkarki-rihanna-na-stronach-microsoftu/

więc jakiekolwiek pisanie o zaufanych witrynach od kilku lat nie ma już sensu. Może autorowi chodziło bardziej o fakt, że "podejrzane" linki należy traktować bardziej podejrzanie :] Ale na pewno nie będzie to "najlepszym" zabezpieczeniem :}
#1.1.1 Borys Łącki (Strona) o 2010-01-22 17:38 (Odpowiedz)
Cóż, rozumując tym torem, wszystko może posiadać bugi więc najlepiej nie klikać w nic ;] Z punktu widzienia zwykłego usera gdy link wygląda na 100% "nie podejrzany" to user niewiele może zrobić żeby temu przeciwdziałać (oprócz dbania o posiadanie najnowszej wersji przeglądarki/antywira itd).
#2 XANi (Strona) o 2010-01-21 23:12 (Odpowiedz)
Raczej chodzi o potencjalny problem z "wbudowanym" w użytkowników przeświadczeniem, że coś złego (malware) może się przytrafić tylko na "podejrzanych" stronach. Obecnie nie jest to już prawda.
#2.1 Paweł Goleń o 2010-01-22 09:34 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Pamiętacie jeszcze o A/H1N1?
Saturday, 16 January 2010
Bieganie to nie to, ale...
Thursday, 15 August 2013
Przyszłość jest ZŁA!
Friday, 17 December 2010
The Building Security In Maturity Model
Friday, 3 April 2009
Lubię psuć
Friday, 4 May 2012
Piramida potrzeb
Thursday, 12 November 2009
Pomysły na automatyczne blokowanie laptopa
Tuesday, 30 June 2009
Tablety ponoć odchodzą
Sunday, 6 May 2018
YAGNI II: bezpieczeństwo
Friday, 9 January 2009
Taste Of London
Sunday, 31 December 2006