HTML5所帶來醜惡的一面 3-3

這篇文章是HTML5三部曲的第三篇,也是最後一篇。你可以參考前面兩篇–HTML5 好的一面3-1面 HTML5所帶來不好的一面3-2

歡迎來到趨勢科技HTML5迷你系列的最後一篇,以及所要探討的安全問題。今天,要談些什麼呢?對我來說,在HTML5的新功能中,以長期來看最可怕的安全擔憂是BITB(瀏覽器殭屍網路/傀儡網路 Botnet – Botnets in The Browser)。

 有了HTML5,現在攻擊者可以建立一個在任何作業系統、任何地點、任何設備上都能運作的殭屍網路/傀儡網路 Botnet。而且因為大都是在記憶體內執行,幾乎不會用到硬碟,所以傳統以檔案為基礎的防毒軟體很難偵測到。JavaScript程式碼也很容易模糊化,所以網路入侵偵測系統(Network IDS)的特徵碼也很難去偵測它。最後,因為它使用的是HTTP,所以也可以輕易的通過大多數的防火牆。

 下面是從我們新推出的HTML5攻擊報告中,節錄出關於基於瀏覽器的殭屍網路/傀儡網路 Botnet攻擊的部份:

 以下是基於瀏覽器的殭屍網路攻擊的各個階段

 感染:只要能讓使用者執行JavaScript就可以感染他的電腦。有非常多的方法可以做到這一點,包括XSS攻擊、點擊電子郵件或即時訊息內的連結、Black SEO黑帽搜尋引擎優化社交工程攻擊、被入侵的網站,還有許多其他的方法。

 持久性:一個基於瀏覽器的殭屍網路/傀儡網路 Botnet殭屍網路,本質上無法像傳統的殭屍網路那樣持久。只要受害者關閉瀏覽器,惡意程式碼就會停止執行。攻擊者會需要記住這一點,所以送給瀏覽器殭屍網路的任務設計也必須考慮到這些殭屍網路節點的過渡性質。要能夠很容易的進行再次感染是很重要的,所以使用像是被XSS攻擊所入侵的網站這樣的持續型攻擊媒介是最有可能的。其他的方法是結合點擊劫持(Clickjacking)和標籤綁架(Tabnabbing)。點擊劫持一開始用來讓受駭者去點選另外的網頁,雖然跟原本的網頁長得一模一樣。當受駭者瀏覽網頁時會看到他預期的內容,但在背景有惡意標籤頁在執行著。當攻擊者使用標籤綁架時,甚至可以想辦法延長惡意標籤頁的壽命,例如偽裝成常用的頁面,像是Google或 YouTube。更簡單的延長持久性的方法是將惡意網頁偽裝成一個互動遊戲。最好是那種被設計成讓遊戲玩家保持全天都開啟著,偶爾回來完成一些新任務的遊戲。

攻擊後果:這類攻擊可能會造成以下的可能性:

    • DDoS攻擊:攻擊者可以利用跨網域請求(Cross Origin Requests)去發送數以千計的GET請求到目標網站來造成阻絕服務。
    • 發送發送垃圾郵件(SPAM)在網站的聯絡頁面上使用設定不當的網頁表格,一個殭屍網路機器人就可以被用來製造垃圾郵件
    • 開採比特幣:比特幣是地下網路犯罪份子會使用的新貨幣。目前有好幾個以瀏覽器為基礎的比特幣採礦機。 

網路釣魚(Phishing)利用標籤綁架的方法,攻擊者可以讓惡意標籤頁在每次失去焦點時改變內容。因此,每當受害者返回該標籤頁時,都會出現不同的服務登入畫面,讓攻擊者可以竊取身分認證資料。

  • 內部網路偵測:使用本報告中所描述的技術,攻擊者可以對受害者的內部網路做弱點掃描或是端口掃描。
  • 成為代理網路:透過跟未來的使用者介面工具一樣的作法,一個被入侵系統的網路可以讓攻擊者做為攻擊或網路連線的中繼站,讓他們更加難以追查。
  • 擴散:殭屍網路/傀儡網路 Botnet可以設計成含有蠕蟲病毒元件,利用XSS攻擊或資料隱碼(SQL Injection)在有弱點的網站間散播。

 這代表攻擊者有了新的攻擊武器,而且在不久的將來我們也一定會看到這些攻擊數量的增加,尤其是被用來做目標攻擊。雖然傳統針對惡意軟體的防禦措施並不適合用來攔截這種新的媒介,但是有兩個免費工具可以提供很好的保護: 

  • NoScriptNoScript瀏覽器擴充套件在資安界已經很有名了。這個出色的工具可以限制JavaScript和其他外掛在非受信任的網站上執行。
  • BrowserGuard趨勢科技的BrowserGuard工具包括許多功能(包括先進的啟發式技術)可以阻止基於網頁的攻擊。

 趨勢科技的報告 – 「HTML5概述:了解HTML5的攻擊方式」已經可以在這下載了。

 @原文出處:HTML5 – The Ugly作者:Robert (資深威脅研究員)

 

 

 

◎ 歡迎加入趨勢科技社群網站

HTML5所帶來不好的一面 3-2

這篇文章是HTML5迷你系列的第二篇。你也可以看看第一篇:探討新的HTML5標準。從那些能夠加強網站互動的新功能開始。

而在今天的文章裡,趨勢科技將帶領讀者看看這些HTML5功能可能被攻擊者如何的濫用。這裡並不打算詳盡的列舉出來,但是你如果有興趣知道更多的資訊,我們會在本系列第三篇發表關於HTML5攻擊的深入報告。

下面並沒有照特別順序的,我們要介紹五種可能會利用HTML5功能的攻擊:

點擊劫持(Clickjacking)更加容易:點擊劫持本身不是種新的攻擊。它的目的是竊取受害者的滑鼠按鈕點擊,然後導到攻擊者所指定的其他頁面。攻擊者的目的是讓使用者在不知情下點擊了隱藏的連結。目前,對於點擊劫持最好的伺服器端防禦措施之一,是被稱為Framekilling的技術。本質上來說,受到影響的網站可以利用JavaScript來看看自己是否在一個iframe中被執行,如果是的話,就拒絕顯示。這種技術已經在用在Facebook、Gmail和其他一些網站中。但是HTML5在iframe增加了一個新的沙箱屬性,這會讓網站停止執行JavaScript。在大多數情況下,這其實是比較安全的設定,但它也有缺點,就是會抵消目前對點擊劫持最好的防禦。

  • 利用跨網域請求(Cross Origin Requests)或是WebSockets的端口掃描:有了HTML5,瀏覽器現在可以連到任何IP位址或網站(幾乎)的任何端口。雖然除非這目標的網站有特別的允許,不然並無法接收到連線的回應。但是研究人員已經表示,這類請求所花的時間可以用來判斷目標端口是打開還是關閉。這允許攻擊者可以直接利用瀏覽器對受害者的區域網路作端口掃描。

利用桌面通知做社交工程攻擊:我們在HTML5 好的一面的文章內有提到HTML 5的新功能 – 桌面通知。這些出現在瀏覽器之外的彈出視窗,其實是可以用HTML程式碼來客製化的。雖然這帶來了很不錯的互動可能性,但它也是社交工程攻擊,像是網路釣魚(Phishing)或是假防毒軟體等手法的寶庫。看看下面的圖片就可以想像攻擊者可以如何的利用這一個新功能了。

利用地理定位追蹤受害者:地理定位是HTML5新功能中最受注目的之一。因為安全和隱私考量,網站必須先得到使用者的允許才能夠獲得位置訊息。然而,就跟之前出現過的其他功能一樣,像是Vista的使用者帳戶控制,Android的應用程式權限,還有無效的HTTPS憑證等,這些需要使用者作決定的安全措施很少是有用的。而一旦有了授權後,網站不僅可以知道受害者的位置,而且還可以在使用者移動時也能即時的追踪他們。

  • 表格篡改:另一個新功能讓攻擊者可以在被注入JavaScript的網站(例如XSS攻擊)改變該網頁上的表格行為。舉例來說,攻擊者可以改變一個網路商店的正常行為,不是將內容送到購買或是登入頁面,而是將使用者的身分認證送到攻擊者的網站。

這裡只列了五項 HTML5可能導致的新攻擊,趨勢科技只是概略的描述。請繼續收看這迷你系列的最後一篇 –HTML5所帶來醜惡的一面 3-3

@原文出處:HTML5 – The Bad作者:Robert(資深威脅研究員)

@延伸閱讀:

 

◎ 歡迎加入趨勢科技社群網站

 

HTML5所帶來好的一面(3-1)

這篇文章是HTML5迷你系列中的第一篇

HTML5是讓網站運作所使用的語言的第五次改版,我們會利用三篇文章好好的看看HTML5對於網路世界跟網路犯罪份子來說,會有哪些好的一面,不好的一面,還有醜惡的一面。

首先,HTML5(以及它的相關APIs)並不像我們一般所認知的軟體升級。它其實是帶來許多的新功能,每一種都需要瀏覽器去支援它。有一篇詳細的維基百科顯示目前有哪些功能已經被實作了。對我來說,HTML5帶來許多很棒的功能,而其中有五樣是特別讚的,我認為真正能夠改變我們與網站之間的互動。

  1.  新的圖形庫:HTML5引入了Canvas和WebGL函式庫,可以讓網站變得更加豐富,到這裡可以看到很棒的展示。特別是WebGL函式庫,可以整個改變遊戲規則,只要看看這個著名的雷神之鎚II遊戲場景的畫面,而這完全是用HTML5來開發的。對我來說,這代表了新的時代,讓人可以想像未來是如何玩遊戲的。
  2. 更方便的多媒體容:如果你曾經設計過需要包含許多影音內容的網站,你就會了解那種笨重的感覺。常常需要用一堆Flash加上<object>和<embed>標籤才能獲得想要的效果。但是以後再也不用這麼麻煩了,HTML5引入了容易使用的<video>和<audio>標籤,所以要在網站上加入多媒體內容變得比以往更加容易。也因為有這樣的功能支援,所以YouTube已經開始轉移到HTML5了。
  3. 地理定位:人們越來越少從桌上型電腦,甚至筆記型電腦來使用網路了。在今天,有許多人透過手持行動設備來瀏覽網路,像是使用智慧型手機和平板電腦。這今日瀏覽網路的行動特質,加上HTML5中新的地理定位功能開創了無數新的可能性。當使用者訪問你的網站時,可以確切知道他們的位置,讓你能夠個性化內容以配合使用者的所在環境。比方說,當一個郊遊相關網站的預設畫面,會在你從都會區連結時出現行程規劃的功能。但是當你從郊區連結時,預設畫面就會出現互動式地圖的功能。

    HTML5中新的地理定位功能
    HTML5中新的地理定位功能
  4. 拖放功能:這是個細微的變動,但卻非常重要。拖放功能可以讓你將瀏覽器的內容直接拖拉到電腦上,也可以將內容從電腦拖拉到瀏覽器上。真的是很劃時代的改變,不是嗎?來看看這個展示,想想看,如果像是Facebook這樣的網站有這功能。當你度假回來,可以很容易選好你的假期照片,然後拖拉到瀏覽器,就可以馬上和你在社群網站上的朋友分享。這才是我想要跟網站互動的方式!
  5. 桌面通知(Web Notifications):桌面通知是出現在瀏覽器之外的小彈出視窗,即使在使用者沒有瀏覽網站時,也可以和網站進行互動。目前,這功能只有Google Chrome瀏覽器可以使用,你可以到這看看展示。這些通知很適合用來做電子郵件通知、社群網路更新、推特訊息,還有其他許多服務。加上拖放功能之後,就真的模糊了線上和離線應用程式之間的界線。

 

這些只是神奇的HTML5各種可能性的一小部分,在這網站上還有許多其他的展示值得一看。然而,就像超級英雄電影裡的強大能力一樣,這些功能也可能會是把雙刃劍。

在這系列的第二篇文章裡,我們將看看HTML5所帶來不好的一面 3-2

@原文出處:HTML5 – The Good 作者:Robert McArdle (資深威脅研究員)

 

◎ 歡迎加入趨勢科技社群網站

十個不虛擬化的理由 (5-4)

作者:作者:趨勢科技雲端安全副總裁 Dave Asprey

 這是五篇系列文章中的第四篇,因為我有著和大型企業還有服務運營商合作進行虛擬化超過十年的經驗,加上曾經長時間在最大的兩家虛擬技術廠商之一負責策略與規劃。我會在這系列文章中列出十種你需要考慮是否要不要去虛擬化應用程式的可能狀況。

 理由七如果你沒辦法妥善管理加密金鑰

 在實體伺服器上管理加密金鑰很容易。但是資安工作轉移到虛擬化時,為實體伺服器所設計的加密金鑰管理方式就不管用了。最簡單的解決方式 – 使用密碼或是在每個虛擬機器上存放憑證 – 並不安全。如果你想要安全的執行應用程式,就必須要有基於策略的加密金鑰管理方案。

 理由八如果你所用的是內建故障轉移的可叢集應用程式

 現在的虛擬化平台為虛擬機器提供各種方式的高可用性解決方案。不幸的是,有些應用程式,特別是比較早期或是非常關鍵的應用程式,本身也會提供高可用性功能。一個好例子就是利用微軟叢集服務加上使用共享磁碟,而這樣的設定在允許虛擬機器搬遷的私有雲內將會失效。如果你的虛擬化平台提供高可用性功能,那應用程式就不該使用,反之亦然。

 @原文出處:Blog Series Part 4 of 5: 10 Reasons Not to Virtualize

 @延伸閱讀
十個不虛擬化的理由(5-1)
十個不虛擬化的理由 系列(5-2)
十個不虛擬化的理由 系列(5-3)
當你把應用程式移到雲端….

【雲端運算】8分鐘了解Windows 8,除了安全以外
看更多…雲端運算與網路安全相關文章懶人包

 

你在社群網站公布的生日和信用卡盜刷有什麼關係?

作者:趨勢科技資深分析師Rik Ferguson

  
照片出自johnsnape的Flickr,遵循Creative Commons公用授權使用

Visa組織在2001年推出一個他們稱為3DS的安全協議,也就是3 Domain Secure的縮寫。試圖減少在網路購物時發生的信用卡詐騙事件。3DS比較被人所知的是各發卡組織實作系統時所用的名稱 – 「Visa驗證Verified by Visa)」,「MasterCard Secure Code」,「J/Secure」(JCB國際組織)和「SafeKey」(美國運通)。問題是,3DS其實並沒有任何屏障的效果,甚至對一般的詐騙者來說也是,至少在我所測試的過程看來是這樣,

在Visa所發表的常見問答集裡提到:「Visa驗證可以保護您的卡片,防止未經授權的交易,讓您在網路購物時可以完全的放心」。但同時他們也在常見問答集裡提到「如果您忘記了密碼,可以很輕鬆的重設它」,這裡就出現了問題。接下來和我所測試的發卡組織所實作的方式有關,並不一定代表全部的3DS系統。

問題出現在一個很基本的設計缺陷。如果你跟一個用這系統的商家買東西,你在付款階段會被導到 3DS 驗證頁面。你在這頁面確認交易細節,輸入密碼。然後就跟變魔術一樣,交易完成了。到目前為止都還好,商家看不到我的密碼,也就無法利用我的資料來完成任何交易,我被保護的好好的,但是…

犯罪份子會怎麼做呢?如果他們有了你的信用卡,卻沒有你的密碼?當然了,還有一個方便的「忘記我的密碼」連結。讓我們來看看這是怎樣的良好保護。

繼續閱讀