Sicurezza degli utenti sul World Wide Web - PRA Lab

Transcript

Sicurezza degli utenti sul World Wide Web
Igino Corona
Pattern Recognition and Applications Group
Dipartimento di Ingegneria Elettrica ed Elettronica
Università di Cagliari
13 Febbraio 2014
Seminario di Sicurezza Informatica
Corso di Laurea in Ingegneria Elettronica
Corsi di Laurea Magistrale in Ingegneria Elettronica ed Ingegneria delle Telecomunicazioni
Corso di Dottorato di Ricerca in Ingegneria Elettronica ed Informatica
Web browser
Web browser
una delle applicazioni più utilizzate per l’accesso e la
condivisione di informazioni tramite Internet
Web browser
Web browser
un client HTTP/HTTPS, che interpreta e presenta
un’ampia varietà di contenuti (pagine HTML, immagini,
video, audio, etc.)
Web browser
Web browser
un client HTTP/HTTPS, che interpreta e presenta
un’ampia varietà di contenuti (pagine HTML, immagini,
video, audio, etc.)
attualmente tipica vittima di attacchi informatici da parte di
organizzazioni criminali
Web browser
Funzionamento base
Come funziona un web browser?
invia/riceve messaggi Hyper Text Transfer
Protocol - HTTP verso/da un server
Web browser
Funzionamento base
i messaggi inviati dal browser contengono informazioni
riguardo l’utente, il browser, la richiesta effettuata
dall’utente
Web browser
Funzionamento base
dall’utente
i messaggi ricevuti dal browser contengono la risorsa
richiesta, informazioni su tale risorsa e informazioni
riguardanti il server web
Web browser
Funzionamento base
dall’utente
il browser interpreta e presenta la risorsa restituita dal
server
Web browser
Funzionamento base
dall’utente
il browser interpreta e presenta la risorsa restituita dal
server
la risorsa tipica è una pagina HTML o un’immagine,
tuttavia i moderni browser sono in grado di gestire molte
altre altre risorse attraverso i cosiddetti plugin, come
Adobe Flash Player o interprete Java.
Sicurezza dei dati in transito
uno qualsiasi dei dispositivi coinvolti nel trasporto (switch,
hub, router, etc.) può potenzialmente visualizzare e
modificare i messaggi HTTP
vediamo subito un esempio pratico di come questo possa
avvenire all’ interno della nostra rete locale:
Hijacking attack
vediamo subito un esempio pratico di come questo possa
avvenire all’ interno della nostra rete locale:
Hijacking attack
attenzione: tale operazione è illegale se effettuata senza
autorizzazione degli utenti e dell’amministratore della rete
locale
Hijacking attack sulla rete locale
Il computer della nostra vittima si trova sulla nostra stessa
rete locale
rete locale
Vogliamo fare in modo che tutto il traffico da e per il
computer vittima attraversi il nostro computer
(dirottamento)
rete locale
(dirottamento)
In questo modo possiamo visualizzare e potenzialmente
modificare il traffico da e per il computer vittima
rete locale
(dirottamento)
Utilizzeremo i seguenti strumenti: nmap, arpspoof,
dnsspoof
rete locale
(dirottamento)
Utilizzeremo i seguenti strumenti: nmap, arpspoof,
dnsspoof
Tali strumenti sono nei repository ufficiali di Ubuntu e
installabili tramite apt-get
Hijacking attack sulla rete locale - tecnica
Facciamo una scansione degli host attivi sulla rete locale,
per identificare il gateway e scegliere un host vittima
Ci inseriamo tra host e gateway tramite ARP spoofing
osserviamo passivamente il traffico e inoltriamo i pacchetti
alla giusta destinazione: la vittima non si accorge di nulla
Ci inseriamo tra host e gateway tramite ARP spoofing
osserviamo passivamente il traffico e inoltriamo i pacchetti
alla giusta destinazione: la vittima non si accorge di nulla
Usiamo dnsspoof per restituire alla vittima delle
associazioni tra nome di dominio e indirizzo IP a nostro
piacimento
Fase 1 - scansione
Facciamo una scansione furtiva tramite SYN dei computer
sulla rete locale: si manda un SYN su una porta oltre la
1024
nmap -sS 172.16.255.0/24 -p 50000
Fase 1 - scansione
Facciamo una scansione furtiva tramite SYN dei computer
sulla rete locale: si manda un SYN su una porta oltre la
1024
nmap -sS 172.16.255.0/24 -p 50000
tale scansione dovrebbe portare alla scoperta di vari host,
fra cui l’ host che scegliamo come vittima, di IP
172.16.255.X e del gateway di IP 172.16.0.1
Fase 2 - abilitare l’inoltro dei pacchetti
sysctl -w net.ipv4.ip_forward=1
iptables -I FORWARD 1 -j ACCEPT
ora il nostro computer funge da hub!
Fase 3 - arp spoofing
a questo punto inviamo dei pacchetti ARP reply all’host che
associano l’indirizzo MAC del nostro computer con l’IP del
gateway (dirottiamo i pacchetti spediti dall’host vittima
verso il nostro computer)
arpspoof -i wlan0 -t 172.16.0.1
172.16.255.X
172.16.255.X
e tutti i pacchetti che il gateway invia all’host
arpspoof -i wlan0 -t 172.16.255.X
172.16.0.1
172.16.255.X
e tutti i pacchetti che il gateway invia all’host
arpspoof -i wlan0 -t 172.16.255.X
172.16.0.1
ORA abbiamo dirottato la connessione, senza che la vittima ne sia al corrente,
perché può comunicare senza problemi con l’esterno.
Fase 4 - DNS spoofing
Come esempio gioco, lanciamo dnsspoof per forgiare
risposte DNS fasulle (N.B. potrei anche modificare
direttamente il traffico da e verso la vittima)
dnsspoof -i wlan0 -f ftable udp dst port 53
dove ftable è un file di testo contenente la riga
192.167.131.61 www.microsoft.com
dove ftable è un file di testo contenente la riga
192.167.131.61 www.microsoft.com
che associa l’ indirizzo IP di prag.diee.unica.it col
nome www.microsoft.com! Quando la vittima cercherà
di connettersi sul sito di microsoft, verrà rediretto sul sito
del nostro gruppo di ricerca. . .
Alcuni esempi di minacce REALI?
Un criminale potrebbe redirigere l’utente su un sito di sua
scelta, per ad es.
presentare una pagina esattamente uguale a quella attesa
dall’utente (phishing), con l’abilità di collezionare
informazioni confidenziali (es. login, password)
NOTA: gli script/contenuti attivi verrebbero eseguiti con i
privilegi del sito target (questo è sempre vero se non
esiste/si scavalca l’autenticazione del server)
Alcuni esempi di minacce REALI?
Un criminale potrebbe redirigere l’utente su un sito di sua
scelta, per ad es.
presentare una pagina esattamente uguale a quella attesa
dall’utente (phishing), con l’abilità di collezionare
informazioni confidenziali (es. login, password)
NOTA: gli script/contenuti attivi verrebbero eseguiti con i
privilegi del sito target (questo è sempre vero se non
esiste/si scavalca l’autenticazione del server)
Installare malware generico, attraverso windows update (sì
avete capito bene)
Es. sfruttando la possibilià di firmare certificati a nome di
Microsoft (come fatto dal malware Flamer):
http://www.symantec.com/connect/blogs/
w32flamer-leveraging-microsoft-digital-certificates
Hijacking attack sulla rete locale - soluzioni
Come rilevare l’ARP spoofing?
ad esempio, tramite arpwatch, installabile tramite
apt-get
apt-get
Segnala eventuali variazioni tra l’associazione di indirizzo
MAC e indirizzo IP nella rete locale
può spedire segnalazioni via e-mail
apt-get
Segnala eventuali variazioni tra l’associazione di indirizzo
MAC e indirizzo IP nella rete locale
può spedire segnalazioni via e-mail
utile solo se gli IP sono assegnati in maniera statica! In
caso contrario, ci sarebbero molti falsi allarmi, perché
l’assegnazione dinamica di indirizzi IP prevede spesso
associazioni diverse tra indirizzo MAC e IP
Come proteggersi dall’Hijacking, in generale?
meccanismi di crittografia dei dati e autenticazione del
server
server
HTTPS → i messaggi HTTP viaggiano attraverso un tunnel
cifrato (es. secondo protocollo Transport Layer
Security - TLS o Secure Sockets Layer - SSL),
per garantirne l’integrità e la confidenzialità. TLS e SSL
gestiscono anche l’autenticazione del server, attraverso
una Certificate Authority
server
HTTPS → i messaggi HTTP viaggiano attraverso un tunnel
cifrato (es. secondo protocollo Transport Layer
Security - TLS o Secure Sockets Layer - SSL),
per garantirne l’integrità e la confidenzialità. TLS e SSL
gestiscono anche l’autenticazione del server, attraverso
una Certificate Authority
un attacco come il precedente funziona comunque, ma
l’attaccante non è normalmente in grado di
leggere/modificare i dati presenti nel tunnel TLS/SSL, a
meno che. . .
Scelta e configurazione del browser
Alcuni criteri per la valutazione della sicurezza di un browser
Protezione della privacy dell’utente sul Web
Protezione da attacchi informatici eseguiti da remoto
Rapidità nell’individuazione di bug e applicazione di patch
correttive
Mozilla Firefox: flessibilità a supporto della sicurezza
Firefox
Attualmente, Mozilla Firefox è probabilmente il
browser più estendibile attraverso i cosiddetti add_on
tali “personalizzazioni” possono fornire un supporto
notevole per la privacy dell’utente e la protezione da
attacchi remoti
Firefox
Attualmente, Mozilla Firefox è probabilmente il
browser più estendibile attraverso i cosiddetti add_on
tali “personalizzazioni” possono fornire un supporto
notevole per la privacy dell’utente e la protezione da
attacchi remoti
Firefox è open-source, e gode di un’enorme comunità di
sviluppatori/utenti: ciò permette una rapida individuazione
e correzione dei bug
Aspetti chiave
È difficile affermare che nella configurazione base
Firefox offra più garanzie dei suoi concorrenti, come
Internet Explorer, Chrome o Safari
Aspetti chiave
È difficile affermare che nella configurazione base
Firefox offra più garanzie dei suoi concorrenti, come
Internet Explorer, Chrome o Safari
Tuttavia, la possibilità di personalizzarne il comportamento
è un aspetto che permette di rafforzarlo notevolmente dal
punto di vista della sicurezza
Firefox
Sicurezza e privacy, ma NON nella configurazione base
Configurazione base di Firefox: problemi
Problemi di Privacy
cookies accettati da parte di qualsiasi sito (compresi quelli
di terze parti) e mantenuti per tutta la loro durata
header referer
l’opzione “avvia navigazione anonima” è fuorviante
Google safebrowsing è utile ma può costituire una
minaccia alla privacy
Firefox
Problemi di Privacy
header referer
user agent fin troppo descrittivo
javascript attivo per qualsiasi sito
flash plugin attivo per qualsiasi sito
Firefox
Problemi di Privacy
header referer
user agent fin troppo descrittivo
javascript attivo per qualsiasi sito
flash plugin attivo per qualsiasi sito
Il modo più semplice di visualizzare ciò che il nostro
browser invia verso l’esterno è utilizzare wireshark
Firefox
Firefox
Cos’è Google safebrowsing?
è un servizio fornito da Google, che verifica se un sito può
costituire una minaccia alla sicurezza degli utenti sul web
Firefox
Firefox (come anche Safari) utilizza tale servizio in
maniera trasparente all’utente
Il servizio è offerto anche tramite interfaccia web:
http://www.google.com/safebrowsing/
diagnostic?site=www.diee.unica.it (cambiare il
valore di site per un report relativo ad altri siti)
Firefox
Firefox (come anche Safari) utilizza tale servizio in
maniera trasparente all’utente
Il servizio è offerto anche tramite interfaccia web:
diagnostic?site=www.diee.unica.it (cambiare il
valore di site per un report relativo ad altri siti)
Come esempio curioso (e ricorsivo), andate su
diagnostic?site=www.google.com
Firefox
Firefox
Privacy
Disabilitare l’header referer in Firefox
digitate about:config nella barra URL e promettete di
fare attenzione
Firefox
Privacy
fare attenzione
digitate network.http.send nel filtro
Firefox
Privacy
fare attenzione
digitate network.http.send nel filtro
doppio click su network.http.sendRefererHeader e
impostiamo il valore a 0
Firefox
Privacy
Firefox
Privacy
Firefox
Privacy
caratteristiche di Cookie Monster
È utile per gestire facilmente i cookie
Firefox
Privacy
Particolarmente comodo per chi vuole che i
cookie vengano normalmente rifiutati (la cosa
migliore, dal punto di vista della Privacy)
Firefox
Privacy
Può considerare anche solo i nomi di dominio di
secondo livello per gestire i cookie
Firefox
Privacy
Può considerare anche solo i nomi di dominio di
secondo livello per gestire i cookie
https://addons.mozilla.org/it/
firefox/addon/4703/
Firefox
Privacy
Navigazione anonima
Il supporto ideale per la navigazione anonima è The
Onion Routing - TOR e Polipo (caching web proxy)
https://help.ubuntu.com/community/Tor
Firefox
Privacy
Navigazione anonima
È difficile risalire all’indirizzo IP dei client web che navigano
attraverso la rete TOR, che garantisce anche la
confidenzialità del traffico
Firefox
Privacy
Navigazione anonima
http://www.torproject.org/overview.html.en
Firefox
Privacy
Navigazione anonima
http://www.torproject.org/overview.html.en
Esiste l’ add-on Torbutton per Firefox che gestisce
facilmente la navigazione anonima tramite TOR
https://www.torproject.org/torbutton/. Ma ora
è raccomandata una versione di firefox appositamente
creata per navigare tramite TOR (https://www.
torproject.org/projects/torbrowser.html.en).
Firefox
Privacy
Firefox
Privacy
Firefox
Privacy
Firefox
Protezione da attacchi
Come proteggersi da attacchi remoti? Alcune opzioni semplici
e efficaci
Disabilitare l’esecuzione di script attivi/programmi lato
client: es. Javascript, Java, etc.
Firefox
e efficaci
Disabilitare Plugin, es. Adobe Flash Player/Reader etc.
Firefox
e efficaci
Modificare la User-Agent string: offre troppe informazioni
utili ad un attaccante
Firefox
e efficaci
Bloccare il caricamento automatico delle immagini
Firefox
e efficaci
Bloccare il caricamento automatico delle immagini
Bloccare il reindirizzamento automatico
Firefox
Firefox
Firefox
Firefox
caratteristiche di User-Agent
Switcher
L’installazione base di Firefox prevede l’invio di
informazioni di dettaglio su browser, lingua e
sistema operativo tramite l’header User-Agent
Firefox
Switcher
User Agent Switcher gestisce facilmente lo
“spoofing” di questo header https://addons.
mozilla.org/en-US/firefox/addon/59/
Firefox
Switcher
Perché è utile? Spesso gli script di attacco si
basano sulla stringa User-Agent per scegliere
che istanza di attacco utilizzare
Firefox
Switcher
D’altronde la maggior parte dei browser (fra cui
Firefox) spedisce puntualmente la propria
versione e il sistema operativo sul quale è in
esecuzione
Firefox
Switcher
D’altronde la maggior parte dei browser (fra cui
Firefox) spedisce puntualmente la propria
versione e il sistema operativo sul quale è in
esecuzione
E’ comunque più semplice agire direttamente
sulla configurazione di Firefox, con l’aggiunta del
campo general.useragent.override
Firefox
caratteristiche di NoScript
Permette l’esecuzione di codice Javascript, e
abilita i plugin del browser solo su siti considerati
fidati
Firefox
fidati
L’approccio basato su whitelist è efficace e al
tempo stesso facile da gestire attraverso il
browser
Firefox
fidati
browser
La configurazione predefinita blocca l’esecuzione
di codice lato client su tutti i siti
Firefox
fidati
browser
Gestisce numerose opzioni utili, come quella di
considerare in whitelist solo siti che offrono un
certificato valido tramite HTTPS (sfuggendo ad
attacchi come DNS Hijacking)
Firefox
fidati
browser
Gestisce numerose opzioni utili, come quella di
considerare in whitelist solo siti che offrono un
certificato valido tramite HTTPS (sfuggendo ad
attacchi come DNS Hijacking)
http://noscript.net (ottima sezione FAQ)
Firefox
caratteristiche di Better Privacy
Permette la rimozione di Flash-cookies (Local
Shared Objects, LSO)
Firefox
Tali oggetti non verrebbero mai cancellati dal
browser!
Firefox
browser!
Sembra che molte compagnie utilizzino tali cookie
per tracciare (silenziosamente) il comportamento
degli utenti sul Web
Firefox
browser!
Questo add-on rimuove tali oggetti ad ogni
chiusura di Firefox
Firefox
browser!
Questo add-on rimuove tali oggetti ad ogni
chiusura di Firefox
https://addons.mozilla.org/en-US/
firefox/addon/6623/
Firefox
Altri add-on? Certamente. . .
Abbiamo visto solo alcuni add-on per Firefox, utili per
raggiungere un buon compromesso tra usabilità e
sicurezza per l’utente sul web
Firefox
Daltronde sino ad oggi ne sono stati implementati ben oltre
700! Vedi https://addons.mozilla.org/it/
firefox/extensions/privacy-security/
Firefox
Firefox
Consiglio: prima di installare un add-on sarebbe bene
capire come funziona (anche ad alto livello) e se il suo
utilizzo può causare altri problemi (es. di Privacy)
Firefox
Ricerca presso il DIEE: Presentazione di Flux Buster
Vediamo insieme il sistema da me sviluppato, in
collaborazione con Roberto Perdisci (Associate Professor,
Georgia State University, USA)
Questo sistema può fornire supporto notevole per la
sicurezza degli utenti sul web, attraverso la rilevazione
delle reti fast flux
Rivista Internazionale: Roberto Perdisci, Igino Corona,
Giorgio Giacinto: Early Detection of Malicious Flux
Networks via Large-Scale Passive DNS Traffic
Analysis. IEEE Transactions on Dependable and
Secure Computing 9(5): 714-726 (2012)
Firefox
Ricerca presso il DIEE: PDF Malware
In collaborazione con Davide Maiorca, abbiamo messo in
luce diverse tecniche automatiche tramite cui i criminali
informatici possono modificare PDF malware per evadere
tutti i sistemi di rilevazione allo stato dell’arte.
Conferenza Internazionale su Sicurezza Informatica:
Davide Maiorca, Igino Corona, Giorgio Giacinto ,
Looking at the Bag is not Enough to Find the Bomb:
an Evasion of Structural Methods for Malicious PDF
Files Detection, 8th ACM Symposium on Information,
Computer and Communications Security (ASIACCS
2013 - Acceptance Ratio: 35/216 = 16.2%), Hangzhou,
China, 07/05/2013

Sicurezza degli utenti sul World Wide Web - PRA Lab

Transcript

Documenti analoghi

Istruzioni d`uso per i Test on-line

Presentazione BROWSER

Errore su Firefox: "Connessione sicura non riuscita

requisiti tecnici

Firefox: come fargli consumare meno risorse Firefox, il browser open

Michelangelo WAVE NAS

Come ripristinare le impostazioni iniziali di Mozilla

Requisiti minimi

1.0 - L`organizzazione del sito