Confrontando Man-in-the-Middle con Man-in-the-Browser

1

Secondo OWASP, l'attacco Man-in-the-Browser (Malware-in-the-Middle) utilizza lo stesso approccio dell'attacco Man-in-the-middle, ma le differenze sono che l'intercettazione viene eseguita a livello di applicazione sfruttando bug nel browser.

Quindi la mia domanda è che le difese come HTTPS, SSL che operano al di sotto del livello dell'applicazione sono inefficaci contro l'attacco Man-in-the-Browser poiché il malware può modificare e intercettare le chiamate delle applicazioni?

In secondo luogo, dal punto di vista dello sviluppatore dell'applicazione se lo sviluppatore dell'applicazione sa che l'applicazione è destinata a funzionare su sistemi operativi non affidabili, quali sono le misure di difesa o controllo dell'accesso che può adottare? cioè applicazioni bancarie in particolare

    
posta Ali Ahmad 09.09.2013 - 22:19
fonte

4 risposte

3

I malware che entrano nel browser possono afferrare e alterare qualsiasi dato contenuto nel browser; se lo vedi o lo digiti, il malware lo vede e il malware può "digitare" altri valori. Questo è il tuo destino.

SSL (HTTPS) protegge solo i dati in transito , tra il browser e il server. Assicura che nessun outsider possa dare un'occhiata ai dati e / o alterarli. Ma il malware che si trova nel browser (o nel sistema operativo stesso) è un insider e SSL non è rilevante per questo.

La migliore difesa contro il malware, probabilmente la difesa solo , non è quella di permettere al malware di inserire la tua macchina. Non installare software che non proviene da una fonte affidabile; mantenere il sistema operativo e il browser aggiornati per quanto riguarda le soluzioni di sicurezza pubblicate; e prega. Oh sì, prega molto.

    
risposta data 09.09.2013 - 22:26
fonte
1

Se l'attaccante controlla il tuo computer, non è più tuo. Non hai controllo e non hai sicurezza. La difesa sta facendo nuotare il sistema dall'orbita e ricostruendolo senza la vulnerabilità.

    
risposta data 09.09.2013 - 22:25
fonte
1

Misure preventive di base come mantenere tutto aggiornato, mantenere aggiornate le definizioni AV e fare attenzione alle applicazioni che consentono alla macchina di funzionare. Ho anche scoperto che un'azienda chiamata Trusteer ha un prodotto che aiuta a combattere gli attacchi del MITB. Non l'ho usato personalmente, quindi non posso ancora garantirlo. Alla fine, una volta che hai malware sul tuo computer, l'unico modo per assicurarti che esca da lì è reimage.

EDIT: (per rispondere a cosa potrebbero fare gli sviluppatori) Se l'utente malintenzionato controlla il browser Web, non c'è nulla che tu possa fare a proposito di scansionare i dati poiché vedranno tutto. Potresti provare a eseguire l'applicazione su un browser infetto per vedere se riesci a rilevare un attacco MITB utilizzando JavaScript o qualsiasi altro strumento disponibile, quindi chiudi tutte le richieste se viene rilevato.

A scopo di autenticazione lo sviluppatore potrebbe implementare una specie di autenticazione a 2 fattori come google authenticator , richiedere un certificato da installare sul computer client o richiedere l'inserimento di una smart card nella macchina.

Google Authenticator è probabilmente la cosa più facile da fare ma l'utente deve ancora digitare il suo codice di autenticazione, l'hacker avrà meno di un minuto per usarlo in modo da poter stare seduto lì in attesa, potrebbe anche essere scritto in un'applicazione per trovare il campo del codice di autenticazione e utilizzarlo.

L'installazione di un certificato sul computer degli utenti sarebbe d'aiuto, tuttavia, se la loro macchina fosse compromessa, l'attaccante può ottenere il certificato e abusarne. Ciò renderebbe anche doloroso per il cliente utilizzare altri computer per accedere al tuo sito poiché sarebbe necessario installare un certificato su ogni computer che utilizzano e garantisco che almeno uno di essi lo installerà su un computer pubblico in una libreria o internet cafè.

La necessità di inserire una smart card è buona, ma a meno che non ottenga un valore reale dal tuo sito non sto acquistando una smart card solo per accedervi e buona fortuna cercando di convincere i tuoi uomini d'affari a comprare una smart card per ogni cliente.

    
risposta data 09.09.2013 - 22:32
fonte
0

Una migliore gestione dei certificati è di attualità considerando le recenti violazioni in cui i certificati sono stati utilizzati per compromettere i sistemi. Ci sono alcuni strumenti là fuori per l'hashing e l'analisi del certificato e mantenendo una parte su un'unità USB e uno in un contenitore di file sicuro sulla macchina. Non è davvero conveniente e gli unici adotti potrebbero essere sviluppatori. C'è una società che ha mirato la sua tecnologia alla conservazione dei certificati, wwpass . Mi sono imbattuto in loro allo show RSA e mi sono fermato a bere il kool-aid. Usando il comportamento del tipo di smart card, il token hardware diventa il tuo dispositivo crittografico personale e ti consente di importare certs, crittografarli e quindi disperderli nel cloud. In questo modo non è necessario memorizzare i certificati su una macchina locale o su una penna USB, i certificati vengono sottoposti a hashing, sminuzzati e dispersi. Solo l'utente con token può decodificare i frammenti e presentare i certificati.

    
risposta data 13.09.2013 - 16:49
fonte

Leggi altre domande sui tag