Napadená www - jaký to má smysl?

[Honza]

Zdravím, narazil jsem při prohlížení jedné stránky chromiem s vypnutými js na tento kód /zkráceno, odmazány linky/

Kód: [Vybrat]

<div id='kickeme'><p>If, for best herbal viagra <a href="xxx">viagra dosage</a> some reason, nothings done about this, I would it really that hard to Lux Aeterna, on 02 August 2011 - 0618 PM, said your pag....

...ything to an MVC architecture, following viagra canada <a href="xxx">acheter viagra</a> OOP and.</p></div><script type='text/javascript'>if(document.getElementById('kickeme') != null){document.getElementById('kickeme').style.visibility = 'hidden';document.getElementById('kickeme').style.display = 'none';}</script>
Text byl docela dlouhý a dle letmého soudu nesmyslný + linky vedoucí na stránky na blacklistech. Co je smyslem podobných útoků? Zlepšovat si pagerank napadením (a odkazováním se) z navštěvovaných stránek?

Co se rizika týče, samotný kód předpokládám nedělá nic víc, než skryje text. Tudíž riskantní by bylo až na některý z daných linků kliknout, ne? Stránku totiž objevil známý a není si jistý, zda na něco nekliknul. V historii prohlížeče není nic, ovšem netuším nakolik je možné ji manipulovat (Xubuntu 11.10 a Chromium, oboje by mělo být max dva týdny neaktualizované).

[Reklama]

[poiu]

Text byl docela dlouhý a dle letmého soudu nesmyslný + linky vedoucí na stránky na blacklistech. Co je smyslem podobných útoků? Zlepšovat si pagerank napadením (a odkazováním se) z navštěvovaných stránek?

Ano, niekedy naviac este aj sirit malware. To sa spravi tak, ze si utocnik prida casto uplne nenapadny <script src="example.com"></script> alebo si "drzo" vytvori vlastny kod, aby adresa stranky nebola az tak viditelna. Casto sa pouzivaju "triky" ako 500 medzier, potom ten element script a potom zase 500 medzier, aby to nebolo az tak napadne.

[Honza]

Dík zaodpoved. Zdrojak jsem si prosel solo v txt a jinak to vypada ciste.

Muzu se jeste optat na jednu vec - znamy si neni jisty zda na neco z linku neklikl. Ovsem ubuntu+prohlizec s vypnutými javascripty by meli byt predpokladam stran malware v klidu, ne?

[Jenda]

Ovsem ubuntu+prohlizec s vypnutými javascripty by meli byt predpokladam stran malware v klidu, ne?

No, mělo. Pokud útočník nenašel/nekoupil 0-day. Což se dá.

[Honza]

Teoreticky ano, ovšem v praxi se nimi pro linux snad nikdo nezabývá, ne (krom napadení serverů, ovšem to je provedením o něčem jiném předpokládám)? A obecná díra pro Chrome by předpokládám zase na linuxu snad ve výsledku k ničemu nevedla + prohlížeč je aktualizovaný.

Rovnou bych se ještě doptal, řešíte nějak zvlášť zabezpečení proti podobným (či obecně) problémům? Já pouze občas projedu PC Avastem + Clamem + fw. Plus jsem zvažoval rkhunter, ale na zařízení co neslouží jako server to snad nemá význam. Doporučili by jste něco extra? Ať už jako prevenci nebo na provádění scanů?

PS: to že jsme paranoidní neznamená... ale znáte to

[Reklama]

[Mirek Prýmek]

A obecná díra pro Chrome by předpokládám zase na linuxu snad ve výsledku k ničemu nevedla

Dá se např. do .bashrc narvat spuštění spamovacího bota - jakmile se uživatel přihlásí, bot začne spamovat.

[Honza]

Hm to jsem netušil. Prohlížeč je ale aktualizovaný, tož by doufám mělo být podchyceno.

Co by jste obecně doporučili na kontrolu?

[Mirek Prýmek]

Co by jste obecně doporučili na kontrolu?

Obecná doporučení nefungují. Je potřeba si rozebrat, co na počítači mám, jestli to mám zálohované, jestli mi vadí, když se to někdo dozví. A podle toho zvolit řešení. Pro běžný domácí desktop s běžným obsahem bych volil řešení "nedělat nic" - pravděpodobnost útoku i  potenciální ztráty jsou tak malé, že nemá smysl řešit žádné další zabezpečení než klasická přístupová práva, rozumné heslo, zálohování, aktualizovaný software.

[Honza]

Díky za radu. Aktualizace + silná hesla doufám splnuju.

Ještě by mě zajímalo jak je to se zabezpečením prohlížeče? Dá se něco doporučit? Osobně používám dva, jeden (Chrome) na důveryhodné stránky a druhý (Chromium s vypnutými ccokies + js) na serfování. Nakolik může být Chromium rizikové, případně na co bych si měl dát pozor/co ještě ucpat za díry ?

[Honza]

Z mých chabých znalostí totiž vyplývají jen dvě možné cesty, jak může zaneřáděný stránka zlobit:

a) zapnutý javascript/cookies, vlezení na blbou stránku a chyba v prohlížeči
b) sociální inženýrství a to, si uživatel škodlivý kód stáhne a spustí sám

Jsou ještě nějaké další chyby, které by umožňovaly drive-by download?

[Mirek Prýmek]

Ještě by mě zajímalo jak je to se zabezpečením prohlížeče?

No to je právě to, co jsem psal: zabezpečení proti čemu?

[Jenda]

Teoreticky ano, ovšem v praxi se nimi pro linux snad nikdo nezabývá, ne (krom napadení serverů, ovšem to je provedením o něčem jiném předpokládám)? A obecná díra pro Chrome by předpokládám zase na linuxu snad ve výsledku k ničemu nevedla + prohlížeč je aktualizovaný.

Rovnou bych se ještě doptal, řešíte nějak zvlášť zabezpečení proti podobným (či obecně) problémům? Já pouze občas projedu PC Avastem + Clamem + fw. Plus jsem zvažoval rkhunter, ale na zařízení co neslouží jako server to snad nemá význam. Doporučili by jste něco extra? Ať už jako prevenci nebo na provádění scanů?

PS: to že jsme paranoidní neznamená... ale znáte to

1) Exploit (pokud je to nějaká „vhodná“ díra) může fungovat na více OS.

2) Měla, kompromitovalo by to uživatele, nainstalovalo keylogger, ukradlo SSH a GPG klíče, prošlo maily, časem možná i získalo roota… je toho dost.

3) Osobně spouštím Firefox pod jiným uživatelem, ale vzhledem k děravosti Linuxu a Xek je to spíš obrana proti automatickým zkoušečům; proti cílenému útoku nemám šanci. Nejlepší by bylo spouštět nebezpečně věci (tedy hlavně ten prohlížeč, na webu jsou strašná svinstva) ve virtuálu, ale na to nemám výkon.

4) Antivir ti nepomůže. Tedy možná při nějakém automatizovaném botnetu, ale při cíleném útoku v žádném případě.

5) Firewall taky ne, bavíme se o aplikačních exploitech na browsery, ne o napadání po síti zvenku.

6) Mrkni na QubesOS, jejich filozofie je, že mají několik virtuálních počítačů, v jednom běží prohlížeč, v jiném něco jiného a tak a případná kompromitace jednoho se nedotkne jiných.

a) zapnutý javascript/cookies, vlezení na blbou stránku a chyba v prohlížeči

Teoreticky by mohlo jít vyrobit overflow ve vykreslovacím jádře i bez JS; jestli to někdo dokázal, to nevím. Jinak dneska se hodně ownuje taky přes Flash a Javu.

[Honza]

4) Antivir ti nepomůže. Tedy možná při nějakém automatizovaném botnetu, ale při cíleném útoku v žádném případě
5) Firewall taky ne, bavíme se o aplikačních exploitech na browsery, ne o napadání po síti zvenku.

To jsem ani nepředpokládal.

6) Mrkni na QubesOS, jejich filozofie je, že mají několik virtuálních počítačů, v jednom běží prohlížeč, v jiném něco jiného a tak a případná kompromitace jednoho se nedotkne jiných.

Zajímavé, pro mé účely ovšem možná až zbytečně brutální (starší pc) + moc mi nesedí Fedora. Ovšem navedlo mě to na nápad pouštět si "surfovací" browser ve virtualizovaným (a jinak bez aplikací) Lubuntu instalovaným přes minimal CD. To není příliš náročný na výkon. Může být podobný řešení s virtuálem lepší?

Teoreticky by mohlo jít vyrobit overflow ve vykreslovacím jádře i bez JS; jestli to někdo dokázal, to nevím. Jinak dneska se hodně ownuje taky přes Flash a Javu.

Doplním, v Chromiu mám z možností povoleno jen zobrazování obrázků, zbytek je zakázán.

[Honza]

Ještě by mě zajímalo jak je to se zabezpečením prohlížeče?

No to je právě to, co jsem psal: zabezpečení proti čemu?

Primárně proti nějakemé drive-by downloadu, když člověk vleze kam nemá. S tím, že bych v případě cíleného útoku asi potichu kapituloval tak nějak počítám (jako každý normální člověk)

[Mirek Prýmek]

Primárně proti nějakemé drive-by downloadu, když člověk vleze kam nemá. S tím, že bych v případě cíleného útoku asi potichu kapituloval tak nějak počítám (jako každý normální člověk)

Nerozumíme si. Ochrana proti čemu ve smyslu co ti jako jaký útok může udělat? Ukrást fotky z dovolené?