Skaitmeninio pėdsako apsauga nuo paslėptų patikimų plėtinių keliamų rizikų

Prisimenu prieš dvejus metus atliktą teismo ekspertizės auditą finansinių paslaugų įmonei, kuri nukentėjo nuo nuolatinio sesijos užgrobimo incidento. Dienų dienas ieškojome pažangių nuolatinių grėsmių ir sudėtingos kenkėjiškos programinės įrangos. Galiausiai radome kaltininką: orų programėlės plėtinį, kurį įdiegė jaunesnysis analitikas, norėdamas stebėti temperatūrą Londone. Plėtinys buvo teisėtas trejus metus, kol naujas savininkas įdiegė tylų atnaujinimą, kuris vogė slapukų duomenis. Štai kodėl naujausi „Island“ tyrėjų Olego Zaytsevo ir Shacharo Gritzmano radiniai apie „Adblock for YouTube“ plėtinį atrodo tokie pažįstami. Šis plėtinys turi daugiau nei 10 milijonų įdiegimų ir „Chrome“ internetinėje parduotuvėje yra pažymėtas „Featured“ ženkleliu. Vidutiniam vartotojui jis atrodo kaip patikimas įrankis. Tačiau pagrindinė architektūra pasakoja kitokią istoriją apie galimą piktnaudžiavimą.

Trapus „Chrome“ internetinės parduotuvės ženklelio pasitikėjimas

Vartotojai dažnai vertina „Chrome“ internetinę parduotuvę kaip prižiūrimą šventovę, kurioje „Google“ patikrina kiekvieną kodo eilutę. „Featured“ ženklelis veikia kaip skaitmeninis patvirtinimo antspaudas, skatinantis milijonus žmonių suteikti plačius leidimus trečiųjų šalių kūrėjams. Šis plėtinys, identifikuojamas pagal ID cmedhionkhpnakcndndgjdbohmhepckk, yra prieinamas nuo 2014 metų. Jis veikia tiksliai taip, kaip reklamuojama – šalina reklamas iš „YouTube“ vaizdo įrašų ir išorinių intarpų. Šis tikėtinas elgesys suteikia puikią priedangą snaudžiančioms galimybėms, kurios lieka nematomos paprastam stebėtojui.

Žvelgiant iš rizikos perspektyvos, „Featured“ ženklelis negarantuoja ilgalaikio saugumo. Peržiūros procesas pateikimo metu yra tik tos akimirkos nuotrauka. Jis neatsižvelgia į tai, kaip plėtinys bendrauja su savo valdymo serveriu po įdiegimo. Šiuolaikinių naršyklės priedų architektūra leidžia dinamiškai keisti konfigūraciją, kuri pakeičia kodo elgseną nereikalaujant naujo versijos atnaujinimo. Tai sukuria atotrūkį tarp to, ką peržiūrėjo parduotuvė, ir to, ką vartotojas iš tikrųjų naudoja savo naršyklėje.

Snaudžiančio nuotolinio vykdymo kelio anatomija

„Island“ ataskaitoje dėmesys sutelkiamas į specifinę skripto taisyklę, pavadintą „trusted-create-element“. Tai yra individualus mechanizmas, kurį apibrėžė plėtinio autorius. Jis leidžia plėtiniui sukurti naujus skripto elementus bet kuriame tinklalapyje, kuriame lankosi vartotojas. Standartiniame saugumo modelyje tai prilygsta komunalinių paslaugų darbuotojui, nešiojančiam visraktį į kiekvieną pastato kambarį. Darbuotojas turėtų tik taisyti vamzdžius, tačiau raktas suteikia jam galimybę atidaryti bet kurį rastą seifą.

Analizės metu ši galimybė buvo snaudžianti. Serverio pusės konfigūracija nesuaktyvino kenkėjiškų skriptų įterpimo. Tai slaptas būdas išlaikyti pozicijas milijonuose naršyklių. Galimybės aktyvavimui tereikia vieno pakeitimo kūrėjo serveryje. Nereikia jokios parduotuvės peržiūros ar plėtinio atnaujinimo. Vartotojui nėra jokio matomo ženklo, kad plėtinys staiga tapo pajėgus skaityti jo privačias žinutes ar vogti prisijungimo duomenis. Ši galimybė yra tarsi užtaisytas ginklas stalčiuje. Jis neiššautas, bet pavojus išlieka nuolatinis.

Kodėl paprastas URL patikrinimas neapsaugo vartotojų

„Adblock for YouTube“ kūrėjai įtraukė patikrinimą, skirtą apriboti jo veiklą tik atitinkamose svetainėse. Plėtinys turėtų aktyvuoti savo reklamos blokavimo funkcijas tik tada, kai URL adrese yra „youtube.com“. Patikimas saugumo įgyvendinimas patikrintų pagrindinio kompiuterio pavadinimą arba rėmelio kilmę, kad būtų užtikrinta, jog kodas veikia tik numatytame domene. Šis plėtinys naudoja paprastą simbolių sekos atitikimą bet kurioje URL vietoje.

Tai yra esminė architektūrinė klaida. Vartotojas lankosi banko svetainėje bank.example.com. Jei užpuolikas arba kenkėjiška konfigūracija prie to URL galo prideda užklausos parametrą, pavyzdžiui, ?ref=youtube.com, plėtinys suaktyvėja. Patikrinimas yra patenkinamas, nes simbolių seka egzistuoja kelyje. Dabar plėtinys turi teisę manipuliuoti puslapiu, įterpti skriptus ir skaityti jautrius duomenis bankininkystės portale. Šis apėjimas yra trivialus kiekvienam, suprantančiam pagrindines URL struktūras. Jis paverčia specifinę svetainės apsaugą visiškai neveiksminga.

Reklamų įterpimo istorijos ir nuosavybės pokyčių stebėjimas

Programinės įrangos kilmė yra tokia pat svarbi kaip ir jos dabartinis kodas. „Adblock for YouTube“ prasidėjo kaip paprastas projektas 2014 metais, tačiau 2018 metais pasikeitė jo savininkas. Tai įprastas modelis plėtinių ekosistemoje. Maži kūrėjai parduoda savo populiarius įrankius įmonėms, kurios siekia monetizuoti didelę vartotojų bazę. Šie naujieji savininkai kartais įdiegia agresyvų duomenų rinkimą arba reklamų įterpimo SDK, kad susigrąžintų investicijas.

„Island“ tyrėjai nustatė, kad ankstesnėse šio plėtinio versijose buvo naudojamas reklamų įterpimo įrankis „Unistream SDK“. Kūrėjai pašalino šį SDK 2024 m. birželį, tačiau nuotoliniu būdu valdomi skriptų įterpimo keliai egzistuoja nuo 2025 m. vasario. Ši eksperimentavimo su reklamų įterpimu istorija rodo prioritetų poslinkį nuo vartotojų privatumo prie monetizavimo. Plėtinys taip pat susijęs su keliais kitais reklamų blokatoriais, tokiais kaip „Adblock for Chrome“ ir „Adblock Suite“, kuriuos „Google“ anksčiau pašalino dėl kenkėjiškos programinės įrangos. Kai keli tos pačios kilmės produktai rodo piktavališkų ketinimų požymius, rizikos lygis iš teorinio tampa tikėtinu.

Sisteminė problema dėl plačių plėtinių leidimų

Reklamų blokatoriams reikalingi platūs leidimai, kad jie galėtų veikti. Jie turi matyti kiekvieną interneto užklausą, kad blokuotų seklius, ir keisti dokumento objekto modelį (DOM), kad paslėptų reklamos elementus. Tai yra kritinio lygio prieiga. Dauguma vartotojų spustelėja „Leisti“ nesusimąstydami apie pasekmes, kai naršyklės priedas turi galią skaityti ir keisti visus duomenis visose svetainėse. Tai yra šiuolaikinio interneto saugumo architektūrinis paradoksas. Mes diegiame įrankius, kad pagerintume privatumą, tačiau tie įrankiai reikalauja, kad mes atiduotume visišką savo naršyklės sesijos kontrolę.

Žvelgiant į grėsmių kraštovaizdį, naršyklės plėtiniai yra puikus Trojos arklys. Jie sėdi naršyklės saugumo perimetro viduje. Jie apeina tradicinę tinklo ugniasienę, nes jų srautas atrodo kaip standartinės HTTPS užklausos iš patikimos programos. Jei plėtinys tampa pažeistas, užpuolikas veikia kaip vartotojas. Jie gali atlikti veiksmus darbo programose, pasiekti administratoriaus skydus ir skaityti šifruotus el. laiškus, kai tik jie iššifruojami naršyklės lange. Naršyklė yra pagrindinė šiuolaikinio darbuotojo operacinė sistema, o plėtiniai yra pažeidžiamiausios tos sistemos tvarkyklės.

Praktiniai žingsniai naršyklės saugumo auditui

Kiekvieną naršyklės plėtinį turėtumėte vertinti kaip galimą pažeidžiamumą. Net įrankiai su milijonais vartotojų gali būti pritaikyti duomenų vagystėms. Norint išlaikyti duomenų vientisumą, būtinas aktyvus plėtinių valdymo požiūris. Turėtumėte pradėti nuo išsamaus kiekvieno šiuo metu naršyklėje įdiegto priedo audito. Jei nenaudojote plėtinio per pastarąsias trisdešimt dienų, turėtumėte jį nedelsdami pašalinti. Kiekvienas įdiegtas plėtinys padidina jūsų atakos paviršių.

Verslo lyderiams sprendimas yra mažiausių privilegijų politika. Turėtumėte naudoti grupių politikas, kad valdytumėte plėtinius visoje organizacijoje. Galite sukurti patvirtintų plėtinių sąrašą, kuriems buvo atlikta techninė peržiūra. Taip pat turėtumėte apsvarstyti galimybę naudoti įmonės naršykles arba saugumo sluoksnius, kurie gali realiuoju laiku aptikti neteisėtą skriptų įterpimą. Nepasikliaukite „Chrome“ internetine parduotuve, kad ji atliktų jūsų patikrą. „Featured“ ženklelis yra tik atspirties taškas, o ne galutinė išvada. Privalote patikrinti programinės įrangos, kuria pasitikite patikėdami jautriausius duomenis, elgseną.

Pagrindiniai patarimai geresnei naršyklės higienai:

1. Kas mėnesį atlikite plėtinių auditą ir pašalinkite tuos, kurie nebėra reikalingi.
2. Naudokite integruotus naršyklės nustatymus, kad apribotumėte plėtinių prieigą tik prie tam tikrų svetainių, užuot leidę prieigą prie visų svetainių.
3. Prieš diegdami pasidomėkite populiarių plėtinių nuosavybės istorija.
4. Stebėkite savo naršyklę, ar neatsiranda netikėtų peradresavimų ar paieškos variklio elgsenos pokyčių.
5. Įmonių aplinkoje įgyvendinkite patvirtintų naršyklės plėtinių sąrašą, kad išvengtumėte šešėlinio IT.

Šaltiniai: Island Research Report by Oleg Zaytsev and Shachar Gritzman, Palo Alto Networks Unit 42, NIST Guide to Malware Incident Prevention and Handling (SP 800-83).

Atsakomybės apribojimas: Šis straipsnis yra skirtas tik informaciniams ir švietimo tikslams ir nepakeičia profesionalaus kibernetinio saugumo audito ar reagavimo į incidentus paslaugų.