Эта статья является анализом механизмов безопасности, рисков, атак и защиты двух наиболее широко распространенных систем управления паролями: Internet Explorer и Firefox.
Mikhael Felker, Securityfocus.com
Перевод SecurityLab.ru
Вступление и пересмотр части I
Эта статья является анализом механизмов безопасности, рисков, атак и защиты двух наиболее широко распространенных систем управления паролями: Internet Explorer и Firefox. В этой статье рассматриваются браузеры IE 6 и 7, Firefox 1.5 и 2.0. Внимание будет уделено следующим аспектам:
Часть I данной статьи закончилась обсуждением двух атак на Web браузеры с использованием Java Script. Читателям следует пересмотреть часть I перед тем как продолжить изучение данной статьи.
Рассмотрим еще несколько атак на менеджеры паролей, тем самым продолжая обсуждение. Далее автор обратится к оставшимся темам статьи – в частности к тому вопросу, как использование менеджера паролей дает пользователям ложное чувство безопасности, проблемы удобства в использовании, способы смягчения риска и контрмеры.
Для сохранения целостности статьи нумерация пунктов начинается с 4.1, 4.2 и т.д., тем самым, продолжая первую часть.
4.2. Уязвимость в реализации менеджера паролей Firefox 2.0. (реверсивный межсайтовый скриптинг).
В версии менеджера паролей Firefox 2.0 от ноября 2006 года содержится уязвимость, которая позволяет, при нажатии специально сформированной ссылки, передать личные данные пользователя текущего сайта на произвольный URL. Уязвимость, далее RCSR (Reverse Cross Site Request), состоит в том, что браузер не контролирует URL, на который отправляются личные данные пользователя через Web формы. Для успешного проведения атаки пользователю необходимо ранее посетить сайт и сохранить свои личные данные в менеджере паролей. Эта тактика кражи информации была осуществлена на MySpace.com и обнаружена CIS. Наиболее уязвимы сайты общественной сети, которые позволяют пользователям размещать личные данные в чистом HTML формате.
RCSR мощнее чем атака описанная в пункте 4.1 (части I данной статьи), поскольку XMLHttpRequest не пропускает запросы за пределы текущего домена. К тому же ссылка (действие, позволяющее отправку данных формы) может появиться в форме вложенного видео, вебкаста или возможно игры, что делает ее более скрытой.
4.3 Раскрытие паролей в Internet Explorer.
4.3.1. Восстановление паролей.
Многие компании владеют коммерческими программами, позволяющими восстанавливать пароли из AutoComplete в IE.
ElcomSoft производит программу Advanced Internet Explorer Password Recovery (AIEPR). Как указано на их сайте она может восстановить любую информацию в AutoCpmplete любой версии IE от 3 до 6 при условии, что пользователь находится в системе. Свободно распространяемые приложения, такие как PassView для версии 7 IE, также доступны.
4.3.2. Злонамеренное ПО.
Internet Explorer обычно является основной целью для установки злонамеренных программ, действия которых направлены против AutoComplete. Эти программы получают конфиденциальную информацию и затем отсылают ее атакующему. BackDoor-AXJ является троянской программой, которая сохраняет информацию AutoCoplete и других программ на машине подверженной атаке, и затем отсылает ее обратно злоумышленнику. Srv.SSA-KeyLogger является таким бекдором, который скрыто устанавливается в Internet Explorer и действует как килоггер. Он, такжe, обращается к AutoComplete ворует данные из защищенного хранилища и отсылает их методом HTTP GET.
4.4 Раскрытие паролей в Firefox
4.4.1. Легко доступные пароли в открытом виде.
Для пользователей, которые незнакомы с менеджером паролей Firefox, любой пользователь, находящийся в системе через физический доступ к компьютеру может просмотреть текстовые пароли следующим образом:
На Windows XP:
Firefox 1.5
Tools/ Options/ Privacy/ Passwords/ View Saved Passwords/ View Passwords/ Show Passwords
Firefox 2.0.
Tools/ Options/ Security/ Show Passwords/ Show Passwords
4.4.2. Атаки на основной пароль
В недавнем времени были разработаны инструменты для проведения атак на пароли в основной пароль в Firefox. В данное время выполнимы следующие атаки:
Firemasterэто программа для взлома паролей , которая была создана для извлечения основного пароля в Firefox. Инструмент, написанный на С++ был издан N. Y. Talekar в начале января 2006 года; исходный код в данный момент доступен online. Также были разработаны другие инструменты, написанные на С с возможность написания сценариев. В результате разработки этих инструментов конфиденциальность базы паролей стала полностью зависимой от способности мастера паролей противостоять атакам. Излишним будет сказать, что плохо выбранный пароль (слова, состоящие из строчных букв) может быть взломан в микросекунды. Более того, отсутствие пароля мгновенно раскроет базу паролей. Это равно открытию в Firefox меню Options/ Show Passwords.
4.4.3. Множественные записи имен пользователей/ паролей для URL.
В Firefox есть интересная функция, разрешающая внесение множественных аутентификационных записей для одного и того же Web сайта. Например, два выдуманных персонажа Боб и Эллис используют тот же менеджер паролей в Firefox под одной и той же учетной записью вWindows XP, но имеют разные банковские счета на одном и том же Web сайте (www.pnbank.com). Менеджер паролей разрешит использование множественных пар имен пользователей и паролей. Менеджер паролей сможет различить когда использовать каждый счет основываясь на имени пользователя и автоматически заполнит поле для пароля. Эта функция дает возможность просмотреть личные данные другого человека, например следующие:
URL
bob
k9*763s
alice
n63ld23f
По правилам безопасности два человека не должны использовать одну и ту же учетную запись на одном компьютере; однако этот сценарий все же является риском для безопасности, поскольку не все компании следуют лучшим путем. К тому же существует схожий риск, если пара имен пользователей/ паролей случайно вводятся некорректно на определенном сайте (например, ошибочное введение двух логинов для разных банковских сайтов). Эта информация будет сохранена (даже если она не используется), и может быть скомпрометирована через некоторое время в будущем, при этом владелец информации не будет об этом знать.
4.4.4 Атаки на отказ в обслуживании.
Любой пользователь или программа с правом доступа к локальному профилю пользователя на файловой системе может потенциально атаковать целостность и доступность менеджера паролей. Если удалить или модифицировать необходимые файлы (keyN. db, certN.db, secmod.db, signons.db иsignons.txt) в результате нельзя будет восстановить никакие имена пользователей или пароли. Наиболее важные из этих файлов - keyN.db и signons.txt, в которых хранятся частные ключи и зашифрованные данные соответственно.
Таким образом, если эти файлы удалены или модифицированы и менеджер паролей более не доступен, все же будет возможно восстановить базу данных паролей, скопировав файлы обратно в директорию профиля Firefox.
5. Ложное чувство безопасности.
Когда пользователи наивно используют системы менеджеров паролей в Web браузерах они недостаточно проинформированы, и ни полностью осознают связанные с этим риски. Опасность этого состоит в неосторожности, с которой сохраняются имена пользователей и пароли для доступа к обыкновенным новостным сайтам или же чему-то более важному, как финансовая информация на online бирже. Пользователи ожидают, что браузер, возможно, совместно с операционной системой, защитит их данные. В реальности же опасность полной компрометации будет реализована проще, чем ожидают того пользователи. Web браузеры, как приложения, особенно опасны, поскольку установлены на большинстве компьютерных систем, которыми пользуются все, и хранят все имена пользователей и пароли, которые вводит пользователь. Все эти факторы делают Web браузеры соблазнительной целью для злоумышленников.
6. Удобство использования.
Возможности по удобству использования менеджера паролей в Internet Explorer и Firefox приведены ниже в таблице 2. Некоторые ключевые различия включают возможность просмотра паролей в открытом виде в Firefox но не в Internet Explorer.Это можно рассматривать и как риск и как дополнительный функционал, зависимо от стойкости основного пароля. К тому же Firefox имеет очень полезную функцию, которая позволяет выборочно исключать имена пользователей и пароли для некоторых сайтов (речь идет об особо важных личных данных для некоторых сайтов, которые нельзя подвергать риску разглашения). В AutoComplete такой выбор можно сделать лишь единожды и его можно изменить лишь путем редактирования реестра. Однако AutoComplete имеет преимущество перед менеджером паролей Firefox, поскольку пользователь может выбрать или сохранить URL, имя пользователя или пароль и не обязан сохранять все три значения, как в Firefox.
Функционал |
Internet Explorer7 |
Firefox 2.0 |
Подсказка для сохранения паролей |
Да |
Да |
Способность легко менять опцию “saved” на “not saved”для Web сайта |
|
Да |
Способность НЕ сохранять любую информацию в формах |
Да |
Да |
Возможность быстрого доступа к текстовым паролям |
|
Да |
Возможность выбора сохранять URL, имена пользователей, или пароли |
Да |
|
Table 2. Сравнение особенностей использования.
7. Стратегии защиты.
7.1.1 Отказ от использования
Один из методов предотвращения компрометации пароля – отказ от использования менеджера паролей в IE или Firefox. Однако этот метод может способствовать использованию одного и того же пароля для нескольких сайтов, что, в итоге, понижает уровень безопасности. Таким образом отказ от использования менеджеров паролей должен сопровождаться возможными альтернативными методами. Также существует возможность случайного сохранения пароля при обычном просмотре Web страницы в Интернет.
7.1.2 Отключение менеджера паролей
Этот метод запрещает возможность сохранения имен пользователей и паролей и может рассматриваться как отказ от использования. Эта стратегия отлична от подхода, который будет подробно описан в пункте 7.2.
7.1.3. Альтернативные “проверенные” менеджеры паролей.
Один из обычных способов хранения паролей пользователей в централизованном приложении, называемом Password Safe.
Созданная Брюсом Шнайером (Bruce Schneier), open-source утилита для windows теперь является популярным методом сохранения и доступа паролей. Пароли кодируются алгоритмом Schneier's Blowfish и защищаются с помощью Safe Combination.(основной пароль).
Любое новое приложение должно использоваться с сомнением и осторожностью. Однако, программа, единственной целью которой является сохранение важной информации, имеет более узкий фокус чем любой Web браузер с функцией хранения паролей. Узкий фокус этого менеджера паролей и факт его создания известным криптографом являются причинами для его оценочного использования в будущем. Сравнительным недостатком является удобство и простота использования и в AutoComplete и в Password Manager; поскольку у пользователя нет нужды переключаться между приложениями чтобы получить доступ к именам пользователей и паролям.
7.1.4 Сложность пароля.
Как было упомянуто в предыдущих пунктах, стойкость основного пароля может предотвратить некоторые атаки.
Как было указано ранее, Internet Explorer не позволяет вам выбирать основной пароль для AutoComplete; безопасность информации сохраненной в AutoComplete непосредственно связана с паролем к учетной записи пользователя в Windows. Выбор более сильного пароля к Windows обеспечит минимальной дополнительной защитой. Однако для тех, кто использует программу RainbowCrack, пароли под Windows будут открыты в считанные минуты. Создание более сложного пароля в менеджере паролей для Firefox может существенно уменьшить риск компрометации. Хороший пароль имеющий длину более восьми, с выборочными символами и хорошая смесь алфавитно- циферных символов может существенно увеличить защиту. Атаки по взлому паролей возможны на менеджер паролей в Firefox, но пользователи, работающие с большей осторожностью, могут избежать возможности стать их жертвами. В любом случае, пользователи Firefox получают дополнительную защиту, используя пароль, в сравнении с их коллегами в Windows.
7.2 Посредничество веб разработчика.
В рамках веб разработки коммерческие сайты и финансовые учреждения могут предоставить своим пользователям некоторые меры для безопасности паролей. Как Internet Explorer так и Firefox имеют возможность предотвратить сохранение пароля если атрибуты тега <INPUT> в HTML настроены соответственным образом. Пример, приведенный ниже, взят с сайта MSDN и показывает, насколько легко ввести это изменение на любой другой Web сайт. Используя этот метод, учреждения, желающие избежать риска могут предотвратить сохранение паролей пользователями как в IE так и в Firefox.
Это текстовое значение будет сохранено:
<INPUT TYPE="text" NAME="password" AUTOCOMPLETE="ON">
Это текстовое значение не будет сохранено:
<INPUT TYPE="text" NAME="password" AUTOCOMPLETE="OFF">
Если каждый вебсайт будет действовать следующим образом в результате любая польза от использования менеджеров паролей в браузерах будет утеряна.Таким образом, этот метод каждой организации следует изучить индивидуально, дабы определить (является ли он подходящим решением) его пригодность. Использование этого метода не гарантирует безопасность клиента, как было отмечено в пункте 4.1. HTML и JavaScript можно модифицировать на уровне клиента, переключив “OFF” на “ON”,
7.3. Посредничество Windows в корпоративной политике безопасности.
В целях безопасности корпорации, возможно отключить функцию AutoComplete в Internet Explorer. Используя объекты групповой политики можно легко управлять большим количеством компьютерных систем, контролируя пользователей и настройки компьютера с помощью единой политики. Возможно отключить AutoComplete для целой организации или корпорации используя Windows 2003 в среде Active Directory.
8. Заключение.
Риск проникновения и компрометации механизмов хранения паролей таких Web браузеров как Internet Explorer и Firefox требуют дальнейшего изучения. Любая система контролирующая ключи к царству или же многим царствам должна далее тщательно рассматриваться. Пользователям нужно осознавать риски и пользу от использования систем управления паролями. Существующие методы противодействия, такие как отказ от использования, отключение, альтернативное хранилище и сложность пароля являются лишь временными решениями. Пользователи ожидают, что политика безопасность будет прозрачной, удобной в использовании и безопасной. Следующее поколение систем управления паролями должно учесть все эти аспекты в своих решениях.
Гравитация научных фактов сильнее, чем вы думаете