Come funziona il drive by download, e cosa significa realmente un browser "sicuro"?

3

Negli ultimi giorni ho fatto ricerche su tutti i tipi di virus e anche sulle modalità di infezione. Ho letto anche l'unità con il metodo e le mie domande sono:

  • Come è possibile che l'attaccante possa eseguire codice nel browser e fare in modo che l'utente scarichi un file infetto a sua insaputa?

  • Quali sono i fatti quando si chiama un browser sicuro? Tutti i browser come Mozilla, Chrome e Opera si chiamano sicuri ma nessuno di loro è "a prova di proiettile".

posta Tomas 01.09.2016 - 15:55
fonte

2 risposte

2

How is it still possible that the attacker can execute code in browser and make the user download an infected file without his knowledge?

In Google Chrome, i file vengono scaricati nella directory Download senza che all'utente venga richiesto, a condizione che l'estensione del file non sia presente in una determinata lista nera di tipi di file non sicuri conosciuti.

Per i tipi di file potenzialmente pericolosi, l'utente deve approvare il download e / o l'apertura del file. Ci sono stati tentativi di contrastare questo tramite click-jacking. I browser moderni come Chrome e Firefox hanno un ritardo integrato per impedirlo.

Alcuni utenti possono comunque essere ingannati.

What are the facts when calling a browser secure? all the browsers like mozilla chrome opera call itself secure but none of them are "bulletproof"

Il termine "a prova di proiettile" è molto vago.

Nei browser moderni, è stato fatto molto sforzo per correggere eventuali vulnerabilità che avrebbero consentito l'hacking diretto dalla sandbox integrata del browser. È importante tenere aggiornato il browser per sfruttare queste protezioni. Una volta fatto ciò, la differenza di sicurezza dei principali browser diventa piuttosto ridotta.

Anche senza "vulnerabilità" di per sé, la "sicurezza" dei vari browser potrebbe non essere uguale. Inoltre è altamente soggettivo. Esistono molte e complesse funzionalità per i casi che possono essere implementate da vari produttori di browser per proteggere la tua sicurezza.

  • Ad esempio, se un sito web richiede l'accesso al tuo microfono e video, sia Firefox che Chrome richiedono l'approvazione, ma Chrome richiede anche che il sito Web offra la crittografia HTTPS. Firefox non ha questo requisito. (ancora) Questo non è un problema di sicurezza in Firefox, nè un test anti-proiettile di Chrome, ma fa la differenza in certe situazioni, come l'utilizzo del WiFi pubblico.

  • Alcuni browser non supportano ancora i criteri di sicurezza del contenuto. Tuttavia, CSP è solo una funzionalità che aiuta gli sviluppatori a mitigare le proprie vulnerabilità.

Tutte queste sono differenze molto piccole nella sicurezza di un browser.

Ho un'opinione personale secondo cui IE è uno dei browser meno sicuri.

Anche in questo caso, mantieni sempre aggiornato il tuo browser per sfruttare le nuove funzionalità di sicurezza introdotte.

    
risposta data 01.09.2016 - 16:28
fonte
1

Domanda 1

La possibilità di forzare il download e l'esecuzione di malware su un visitatore non è una funzionalità, è un bug. Non è così semplice come i venditori di browser che dicono "hmm, forse dovremmo disabilitare la funzione JavaScript secretlyDownloadAndExecuteFile() ".

I download di Drive by sono fatti in questi modi:

  • Sfruttare un plugin come Java o Flash. Questi due tipi hanno avuto un numero enorme di bug che ha consentito l'esecuzione di codice in passato, e nuovi continuano a spuntare. Il motivo è che scrivere un motore che esegue codice byte senza errori che consente l'esecuzione di codice arbitrario è una cosa molto, molto difficile da fare. Se non sei d'accordo, prova a scriverne uno e vedi com'è facile.
  • Sfruttare il browser stesso. Ciò richiede un qualche tipo di bug nel browser, come un buffer overflow, e non è così comune come sopra. È più pericoloso, però, dal momento che non richiede l'attivazione di alcun plugin. Qui è un esempio.
  • Sfruttare l'utente credulone. Prometto, questo è solo un gioco divertente, nient'altro. Si prega di cliccare Esegui. (Potrei essere discusso se questo dovrebbe essere chiamato drive per download o meno.)

Il primo è facilmente risolvibile. Basta buttare i plugin fuori dalla finestra. Questo è esattamente ciò che stiamo facendo - i giorni dei plug-in Java e Flash nei browser sono numerati.

Il secondo e il terzo sono difficili. Per risolverli occorrerebbero codice senza bug e utenti illuminati. A causa della natura umana, non ne abbiamo nessuna. Quindi buona fortuna.

Domanda 2

Il solo dire che qualcosa è sicuro è una dichiarazione vuota e inutile. La sicurezza non è una cosa binaria. Non è nemmeno una cosa unidimensionale. Per dare un senso, devi dire in che modo proteggere qualcosa è contro quali minacce.

La sicurezza perfetta non esiste. Se pensi di poter fare qualcosa di sicuro e poi tornare a casa, stai sbagliando.

    
risposta data 01.09.2016 - 16:37
fonte

Leggi altre domande sui tag