Рубрика «безопасность браузеров»

Умеренный Hardening для Firefox - 1

Современный веб состоит из множества разных технологий, которые предоставляют самые разные возможности… но ещё и создают немалое количество угроз. Современные браузеры давно стали самыми сложными приложениями на компе, обогнав по сложности даже ядро ОС (в Firefox в несколько раз больше строк кода, чем в ядре Linux или офисных пакетах). Мы проводим в браузере большую часть своего времени, так что не удивительно, что браузер находится под прицелом: его постоянно пытаются взломать, использовать в ботнете, пытаются украсть из него наши данные, прослушать его трафик, отслеживать посещаемые нами сайты и наши действия на этих сайтах.

Сейчас самое время сказать, что всё не так уж плохо, и со всеми этими проблемами можно справиться… но это не так. Из коробки браузеры уже делают немало: регулярно обновляются, стараются затыкать дыры в безопасности, внедряют новые технологии для защиты, предоставляют возможность расширять их функционал сторонними расширениями. Но серьёзной защиты из коробки нет, и вряд ли она когда-нибудь появится: она идёт в комплекте с усложнением интерфейса браузера и частичным отключением его функционала, что "ломает" сайты и вряд ли понравится обычным пользователям. Но самое печальное, что даже такой ценой невозможно полноценно защитить браузер — слишком уж он стал сложным.

Тем не менее, для усиления защиты браузера можно много чего сделать. Читать полностью »

Конференция BLACK HAT USA. Ботнет из миллиона браузеров. Часть 1

Мэтт Йохансон: сейчас я покажу, как вводить этот код. Существует множество рекламных сетей, но мы выбрали эту, потому что она позволяет нам делать то, что мы хотим.

Конференция BLACK HAT USA. Ботнет из миллиона браузеров. Часть 2 - 1

Вы можете выбрать изображение баннера достаточно большого размера, вставить его сюда и присвоить ему URL, так, чтобы после нажатия на баннер пользователь переходил на нужный сайт. Владельцы этой рекламной сети предоставляют опцию HTML JavaScript, это звучит очень хорошо.
Мы начали с того, что показано в верхней части слайда и должны были пойти через весь процесс утверждения, что было, наверное, самое сложное в нашем исследовании. Это произошло не по тем причинам, о которых вы подумали, а потому, что они не очень хорошо представляют значение JavaScript и особо об этом не заботятся. На самом деле они заботились о том, чтобы объявление выглядело красиво и работало как реклама, так что я не мог продолжать идти нашим невидимым путём и просто разметить где-то на заднем плане наш мистический код JavaScript.

Мы вставили скрипт выполнения кода, который разработал Джереми, вы видите его в текстовом поле в нижнем окне, и он был утверждён рекламщиками без всяких проблем. Однако мы хотели иметь возможность перенастроить его в любой момент, чтобы разнообразить исследования, потому что такие вещи, как URL-адреса, часто меняются. Но если бы мы захотели попробовать что-то новое, нам бы заново пришлось пережить процесс утверждения. Это не занимает много времени, но просто раздражает, потому что иногда они одобряли это, а иногда им что-то в этом не нравилось и нам приходилось вносить изменения.

Конференция BLACK HAT USA. Ботнет из миллиона браузеров. Часть 2 - 2

Например, один раз почтовое приложение раскрыло теги скриптов, весь код JavaScript исчез, и мне пришлось его переместить. Пришлось объяснять им, почему здесь нужно поставить меньше на 1 знак, а там на 1 знак больше, после чего они сообщили, что объявления не отображаются должным образом, в общем, это было весело.Читать полностью »

Джереми Гроссман: я рад приветствовать всех вас и хочу сказать, что мы готовили эту презентацию целых 6 месяцев, поэтому стремимся как можно скорее поделиться своими достижениями. Хочу поблагодарить весь штат Black Hat за приглашение, мы возвращаемся сюда каждый год, мы любим это событие. Спасибо вам за «Чёрную шляпу»! Мы постараемся, чтобы сегодняшняя презентация проходила весело, но сначала хотим представиться.

Конференция BLACK HAT USA. Ботнет из миллиона браузеров. Часть 1 - 1

Я являюсь основателем и руководителем разработки новых продуктов компании WhiteHat Security, расположенной в Санта-Кларе, Калифорния. В нашей компании около 300 сотрудников.

Мэтт работает управляющим центра по исследованию угроз безопасности. У «белоголовых» мы главным образом занимаемся тем, что вламываемся на веб-сайты, находим в них уязвимости и делаем это в массовом масштабе. Но у нас ещё остаётся немного времени на исследования, так что сегодня мы собираемся начать взламывать браузеры и использовать их для взлома сайтов и показать вам полный цикл веб-безопасности. Впервые я выступил здесь в 2002 году. Большую часть времени я занимаюсь исследованиями в области разработки и презентации наших продуктов.

Мэтт Йохансон: у меня имеется опыт работы в качестве тестера на проникновение (пентестера), и свою работу в компании я начал со взлома сайтов, поскольку до этого сам возглавлял армию хакеров. Я провожу крутые исследования и много беру за это, так что можете ко мне обращаться.

Конференция BLACK HAT USA. Ботнет из миллиона браузеров. Часть 1 - 2

Джереми Гроссман: итак, начнем нашу вечеринку. Я не думаю, что здесь есть хотя один человек, который сегодня не заходил в Интернет. Может быть сейчас вы не подключены к Интернет, но когда придёте домой, все присутствующие здесь и все, кого вы знаете, все будут с ним взаимодействовать с помощью браузера. Это просто часть нашей повседневной жизни, и я опишу вам, что это означает, но в первую очередь Интернет предназначен для работы. Мы не взламываем Интернет, мы стараемся использовать его для своих целей.Читать полностью »

Новый дизайн SurfPatrolЖизнь не стоит на месте, все изменяется и развивается. Это относится и к нашим проектам, в частности к онлайн-сервису для проверки безопасности браузера и плагинов SurfPatrol. Не так давно мы анонсировали на Хабре выпуск расширения для Google Chrome, на подходе расширения для Opera, Firefox и Safari. Но это еще не все.

Пару месяцев назад в ходе работы над новым дизайном сайта www.surfpatrol.ru мы обратились к Хабрасообществу с просьбой оценить наши наработки и дать рекомендации по улучшению интерфейса. Топик вызвал определенный интерес, удалось собрать большое количество отзывов и предложений, многие из которых нашли свое отражение в новом дизайне.

Мы старались сделать внешний вид сервиса более удобным и наглядным (никакого дизайна ради дизайна!) и сегодня представляем вам обновленный SurfPatrol. Читать полностью »

Расширение SurfPatrol для Google Chrome

SurfPatrol — это онлайн-служба для проверки безопасности браузера и плагинов. Попадая на сайт www.surfpatrol.ru, пользователь получает информацию о текущем состоянии защищенности компьютера. Сервис информирует об обнаруженных критических уязвимостях (включая те, для которых не выпущены патчи) и о том, какие меры нужно предпринять, чтобы повысить уровень безопасности веб-серфинга. В числе прочего выводятся предупреждения о необходимости установить те или иные обновления.

Сервис существует уже не первый год. За это время было проведено большое количество проверок, собрана обширная статистика типичных проблем (по данным которой был написан топик на Хабре). Но мы не останавливаемся на достигнутом, и сервис продолжает развиваться, становиться удобнее.

Очередным шагом в этом направлении стала разработка расширений SurfPatrol для браузеров. Сегодня мы представляем вашему вниманию первый результат этой работы. Итак — встречайте: SurfPatrol Chrome Extension.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js