» »

Nov napad na Firefox: Firefox ne zagotavlja anonimnosti

Nov napad na Firefox: Firefox ne zagotavlja anonimnosti

Slo-Tech - Za The Hacker Webzine se je pojavil zanimiv članek o identificiranju uporabnikov interneta, ki uporabljajo Firefox.



Programček z imenom Total Recall vsebuje dve skripti (HTML in XML). XML skripta poskuša pridobiti chrome DTD datoteke iz dodatkov za Firefox ter uporabniške nastavitve v brskalniku.



Na podlagi teh podatkov izračuna skupno kontrolno vsoto (ang. hash) uporabnikovega brskalnega okolja. Izkaže se, da so lahko v primeru, da je vhodnih podatkov dovolj veliko število, te kontrolne vsote unikatne za vsakega uporabnika. Te podatke je skupaj z IP naslovom in piškotkom mogoče shraniti v bazo na strežniku.



Kaj to pomeni v praksi?



Predpostavimo, da bodoči napadalec obišče neko spletno stran iz svojega IP naslova. Upravitelj spletne strani poleg IP naslova zabeleži tudi unikatno kontrolno vsoto uporabnikovega brskalnega okolja.



Čez nekaj časa se napadalec odloči za izvedbo napada na spletno stran. Seveda tokrat na spletno stran ne dostopi preko svojega IP naslova, pač pa uporabi posrednika (proxy) ali pa anonimizacijsko omrežje.



Napadeni strežnik tokrat sicer zabeleži IP naslov posredniškega strežnika ali izhodnega strežnika v anonimizacijskem omrežju. Vendar pa poleg tega zabeleži tudi unikatno kontrolno vsoto uporabnikovega brskalnega okolja, na podlagi česar lahko ugotovi, da je napadalec nekoč prej do spletne strani dostopil preko drugega IP naslova.



Napadu se sicer lahko izognemo z neuporabo JavaScripta, a v praksi to ni vedno mogoče. Posledica napada je, da je stopnja anonimnosti uporabnikov Firefoxa drastično zmanjšana.



Ali uporaba Firefoxa pričenja ogrožati zasebnost?

38 komentarjev

zee ::

hudo...kaj nam potem se ostane? elinks, lynx ??
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

darkolord ::

opera
spamtrap@hokej.si
spamtrap@gettymobile.si

AndrejS ::

IE

Matthai ::

Pri IE točno tale napad sicer res ni možen... je pa to tako, kot če bi nekdo zagovarjal uporabo fičkota zgolj zato, ker je z nekim posebnim mehanizmom mogoče mercedezu zlomit ključavnico - pri fičkotu pa ta mehanizem ne deluje. >:D
All those moments will be lost in time, like tears in rain...
Time to die.

Pyr0Beast ::

NoScript ...
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

arjan_t ::

mi je čisto vseeno, saj ne dobijo mojega imena, naslova ...

Matthai ::

mi je čisto vseeno, saj ne dobijo mojega imena, naslova ...
:D

Ampak razne nagradne ankete pa rad izpolnjuješ, ne?
All those moments will be lost in time, like tears in rain...
Time to die.

Phoebus ::

No, bodimo pošteni; vsako orodje, vsaka aplikacija, vsak hardver ima svoje luknje.

Zaradi ene take luknje odmislit (poljuben) brskalnik je smešno. Čez verzijo ali dve bo pač odpravljena in to je to. Itak pa osebnih podatkov pač ne pišeš v browser.

Aja, da ne bo nesporazumov- ne pravim da so take (in konkretno ta) luknje nenevarne. Pravim samo, da zdaj pljuvat po aplikaciji (kot se vedno dogaja ko se za neko aplikacijo objavi luknja) ni na mestu.

Zgodovina sprememb…

  • spremenil: Phoebus ()

Looooooka ::

ja in zdej bo firefoxovim uporabnikom magicno naenkrat vseen za anonimnost.
predlagam da si grejo se druge buge pogledat =)...
browser je isti drek k en ki ga ti uporabniki radi pluvajo.mogoce se bo zdej to pocas nehal.

metalc ::

Matthai je najbrž urno preklopil na Opero ali Konqueror :D :D :D

In Extremis ::

Zadeve sicer nisem preveril vendar je teoretično čisto dovolj, da napadalec med obiskom in napadom doda/odstrani določen vtičnik pa kontrolna vsota ne bo več identična...

Zgodovina sprememb…

Matthai ::

Kadar jaz hek... hočem reči browsam, to delam iz dedicated virtualne mašine. :D
All those moments will be lost in time, like tears in rain...
Time to die.

zee ::

Mogoce sem prevec burno napisal, saj ne mislim menjati brskalnika.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

tomitza ::

Safari
www.at-crew.net

jernej_0x ::

Jaz sem zadevo stestiral pa ga noscript addon (ki ga imam že lep čas), zelo lepo blokira >:D . Tako da ni sile ... ko pa več FF nebo ... pa bo Safari >:D >:D .

ttommy ::

Naj bo,kar bo.Sprobal sem že vse brskalnike,ampak Firefox mi je res najlubši in s težkim srcem bi se ločil od njega.....
Kot je že bilo zapisano-vsaka dobra stvar ima kakšno pomankljivost in nič ni popolno........
Gamer

NoOrdinary ::

Napad na spletno stran iz browserja? :))
Sicer pa če sem popolnoma objektiven se res morem strinjat z Lo...okom, firefox je totalno isto sranje kot IE, stojim za tvojimi argumenti! Aja, sej jih ni...
brez ideje sem za podpis

Matthai ::

Napad na spletno stran iz browserja?

Ja.

SQLI, persistent XSS... pa tudi bolj klasični: objavljanje spornih vsebin, prijava z ukradenim geslom...
All those moments will be lost in time, like tears in rain...
Time to die.

[BISI] ::

Hm. Matthai, kaj pravi firefox v tvoji virtual masini glede te kode?
And then I saw her face... Mozilla Firefox

molotov ::

Mislite da nemorejo to proizvajalci FFja to popravit v naslednjem upgradu npr. ?

arjan_t ::

@jernej_0x:
ja seveda da ne dela z noscript če pa "hack" uporablja javascript, logično ne?

arjan_t ::

@Looooooka:
Pa naj bo IE bug free ga nebi uporabljal dokler nebi vsaj malo dostojno podpiral standardov

Večina brskalnikov že vgrajuje CSS3, HTML5 ipd. funkcije pri MS pa se hvalijo kako bo ie8 šel skozi ACID test ...

molotov ::

Eh, najbolše da si jst pogledam te Total Recall skripte.

Sicer sm že malo "zarjavel" kar se tiče javascripta, ampak bo že šlo da zastopim ko to dela.
Sigurno se da kej poštimat da brskalnik vsakič ko prideš na neko stran zgenerira malce drugačne podatke ...

[BISI] ::

molotov: Malo ti pomagam, ce si "zarjavel" tudi pri dtdju... Firefox ustavi izvajanje skripte, ce ni definirana katera izmed entitet. :D Glede nato, da noscript tako ali tako ustavi izvajanje javascripta, pomeni to, da se navedena skripta sploh ne more izvesti (ce uporabnika nima noscripta, imas nedefinirano entiteto).
And then I saw her face... Mozilla Firefox

darksamurai ::

Sicer je to kar huda luknja, ampak grem stavit, da bi tudi v operi ali pa safariju našli kakšno zelo kritično luknjo. Sem že zasledil neuraden popravek za to. Pa opensource... ga bom poiskal...
god gave me style!

[BISI] ::

Za zacetek prosim meni in se komu razlozi, kje vidis tukaj hudo luknjo...
And then I saw her face... Mozilla Firefox

Pithlit ::

"Huda luknja" je zato, ker so nekateri še vedno prepričani da jim internet zagotavlja anonimnost... potem pa flejmajo, žalijo, spodbujajo razne nestrpnosti (versko, rasno, spolno...). Zdaj pa so postavljeni na realna tla in jokajo pa stokajo.

Saj ne da je stvar nedolžna... konec sveta pa tudi ne pomeni.
Life is as complicated as we make it...

[BISI] ::

Ja, saj razlogi za taksne odzive so povsem pricakovani glede na sloves komentarjev na slo-techu in se nekaterih drugih mnozicnih portalih.

Rahlo sem bil zacuden, da je avtor novice tako nekriticno sprejel vir novice. S pomocjo taksne skripte namrec ne mores ugotoviti konfiguracije uporabnikovega brskalnika, temvec jo lahko zgolj ugibas (pa se to jo moras 100% zadeti, sicer ti firefox javi napako v dtdju). Ce bi hotel spraviti taksno skripto skozi pri velikem stevilu uporabnikov, bi moral skrciti definicije prevodov (dtdjev) na tiste, ki so vkljuceni v sam Firefox - in kaj si s tem pridobil? Nic. S cookieji, pa ceprav jih ima lahko majhen odstotek ljudi onemogocene, pridobis veliko vec podatkov kot pa z neko kvazi potegavscino v javascriptu, ki povrhu deluje samo v Firefoxu.
And then I saw her face... Mozilla Firefox

jan01 ::

Tole bi morala biti veliko pomembnejša novica kot pa ta malenkost...
http://www.browser-recon.info/
Firefox bi moral imeti vsaj noscript že vgrajen!

In Extremis ::

NoScript ni rešitev pred CSS browser history trikom. Težavo odpravi SafeHistory plugin ali pa preprosti poseg v nastavitve FF-ja kjer pod "Privacy" odstraniš kljukico pod "Remember visited pages..."

Pithlit ::

Naj torej povzamem... reštev je v omejevanju uporabnosti.

Carsko...
Life is as complicated as we make it...

In Extremis ::

@Pithlit
Poznaš kakšno drugo rešitev? Sicer pa, kako že gre tisti rek... uporabnost je obratno sorazmerna z varnostjo :))

[BISI] ::

Dokler bo pri Mozilli delal Brendan Eich, ne bo NoScripta v Firefoxu. :D

Em, kar se tice varnosti pred phishing napadi, pa so se izdelovalci brskalnikov ze pred nekaj casa odlocili za implementacije phishing filtrov. Ze res, da je Microsoftova baza grdih grdih naslovov pomanjkljiva, nobena pa seveda ne more biti popolna, vendar je to edini nacin obrambe pred phishing napadi in pred dokoncno predajo zgornjemu reku. Napadalni vektorji so pac taksni, da tezko zatres problem samo na ravni brskalnika - bi pa bilo zanimivo slisati Applove izkusnje s Safarijem v "Protected Mode" ali Microsoftove z IEjem v Visti (parental mode ali kako ze? ja, ja... vem, da ni enak sistem kot pri Safariju), ceprav se v tem primeru opirata na funkcionalnost operacijskega sistema. Nadvse zanimiv bi bil brskalniski prototip, ki bi se samodejno preklopil v "Protected Mode", ce bi zaznal nevarnost. Verjetno bo sel razvoj v to smer.
And then I saw her face... Mozilla Firefox

In Extremis ::

Phishing filtri, na žalost, niso rešitev. Vedno se najdejo (banalni) načini kako jih zaobiti:

Busted!!
I am the Phish!!

Na koncu se vse skupaj zreducira na nivo značilen za AV programe, ki uporabnikom dajejo lažen občutek varnosti.

[BISI] ::

Nihce ni trdil, da so phishing filtri resitev. Njihova rak rana je ravno to, kar si navedel kot primer. Phishing filtri dejansko delujejo tako kot AV programi. Oboji se namrec oskrbujejo z bazo definicij in so lahko le eden izmed sestavnih delov varnega sistema. V sami zasnovi so oboji precej primitivni, zato menim, da je "Protected mode" resitev, ki jo bomo videli v prihodnosti v vseh brskalnikih. No, za Firefox obstaja razsiritev Stealther, ki omogoca radikalne sankcije, ampak nekaj casa bo se potrebnega preden bodo izdelovalci brskalnikov "poprijaznili" to resitev.
And then I saw her face... Mozilla Firefox

Matevžk ::

@In Extremis: kaj si hotel povedati? Meni Fx3 beta oba linka označi kot prevaro ...
lp, Matevžk

In Extremis ::

@[BISI]
Hvala za Stealther namig. Extension bom ob priliki nedvomno preizkusil. Dejstvo, da je avtor vtičnika Slovenec naredi zadevo še bolj privlačno. Upajmo, da razvoj ne bo (pre)hitro zamrl...

@Matevžk
Well, očitno trik ne deluje na FF3. Should I say Good job, Mozilla Corp?

Zgodovina sprememb…

Matevžk ::

@In Extremis: Ne, ni ti treba tega reči. Moje vprašanje nenamerno izgleda ofenzivno. Samo porabil sem eno minuto, da sem ugotovil, kaj si pravzaprav hotel povedati. :D
lp, Matevžk


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Izračunana uspešna kolizija nad SHA-1

Oddelek: Novice / Varnost
185483 (3186) matijadmin
»

IP naslov in zasebnost

Oddelek: Informacijska varnost
183683 (2905) FrizzleFry
»

Izvedba popolnega MITM napada (strani: 1 2 3 )

Oddelek: Novice / Varnost
11615864 (12250) Brane2
»

Ali je Hushmail še zaupanja vreden?

Oddelek: Novice / Zasebnost
84132 (3428) MrStein
»

Nov napad na Firefox: Firefox ne zagotavlja anonimnosti

Oddelek: Novice / Varnost
385148 (3088) Matevžk

Več podobnih tem