it-swarm.dev

Puoi ottenere virus semplicemente visitando un sito Web in Chrome?

Di recente ho letto Google Chrome: la fine dei download drive-by . È vero che i download drive-by fanno parte della cronologia di Google Chrome?

Quindi, se ho un collegamento (da un'e-mail di spam) posso fare clic con il tasto destro del mouse >> open in new incognito window >> ed essere sicuro al 100% che non ci siano virus/danni al mio sistema?

Inizialmente ho fatto questa domanda a https://webapps.stackexchange.com/questions/15209/anonymous-links-in-email/15211 ma non sto ottenendo una buona risposta (e inoltre le risposte sono tutte rivolte ai siti di phishing mentre la mia domanda è rivolta ai "siti di virus").

43
Pacerier

È ammesso che gli attacchi di download drive-by si verificano solo grazie all'interazione dell'utente, come nel caso, ad esempio, del virus HDD Plus in cui i visitatori del sito Web compromesso dovevano fare doppio clic almeno su banner rad.msn.com.

Ma in realtà ci sono stati attacchi di download drive-by eseguiti correttamente su IE, Safari, Chrome e Firefox senza richiedere l'interazione dell'utente. Ad esempio, CVE-2011-0611 = era una vulnerabilità di 0 giorni fino al 13 aprile 2011 (ovvero poco prima che tu ponessi questa domanda). È stato utilizzato per infettare la home page del sito Web di Human Right Watch nel Regno Unito. La pagina infetta = contiene un elemento <script src=newsvine.jp2></script> canaglia. Ciò induce il browser a memorizzare nella cache ed eseguire newsvine.jp2 come codice JavaScript. Era un attacco cache drive-by che è solo un caso di attacchi download drive-by. La memorizzazione nella cache ha esito positivo, ma il file non può essere eseguito come JavaScript perché in realtà è un eseguibile dannoso rinominato corrispondente a una backdoor della famiglia pincav .

Un altro elemento di script non valido trovato nella pagina infetta è <script src="/includes/googlead.js"></script>, Che a differenza della maggior parte degli attacchi di download drive-by, carica un file .js Locale. Il codice JavaScript in googlead.js Crea un iframe che esegue l'exploit SWF da un dominio controllato dagli aggressori.

Nello stesso anno in cui hai posto questa domanda, c'era un altro esempio di un attacco di download drive-by di cui nessun browser era sicuro finché eseguivano una versione vulnerabile di JRE in quel momento ( CVE-2011-3544 ). Migliaia di visitatori della homepage di Amnesty International nel Regno Unito sono stati quindi infettati da malware Trojan Spy-XR . Gli attacchi sono continuati fino a giugno 2011 , quindi in seguito dopo aver posto questa domanda: Google Chrome non ne era al sicuro.

Poco più di due anni dopo questa domanda, il 24 ottobre 201 , il famoso sito web php.net Ha infettato i suoi visitatori con un attacco di download di unità attraverso un nascosto iframe tag. L'attacco ha interessato anche Google Chrome.

Hai anche menzionato Google Chrome potrebbe essere così sicuro a causa del suo meccanismo sandbox: beh, tutti i browser sono sandbox, non solo Google Chrome, ma sono comunque vulnerabili a guidare dagli attacchi di download a causa del loro vulnerabilità o quelle dei plugin installati al loro interno.

10
user45139

Risposta breve: Sì, puoi ottenere un virus semplicemente visitando un sito in Chrome o qualsiasi altro browser, senza l'interazione dell'utente ( dimostrazione video ). con Chrome non sei sicuro al 100% - e probabilmente non lo sarai mai con nessun browser, ma Chrome si sta avvicinando molto ad esso e alla comunità di ricerca sulla sicurezza sembra concordare che in questo momento, è il browser più sicuro che puoi usare.

Risposta lunga: Chrome, al momento, è il browser più sicuro che esiste in Windows, a causa delle tecniche di sandbox che utilizza che si sommano alla sicurezza. Una buona descrizione di questo sandbox è qui: http://blog.chromium.org/2008/10/new-approach-to-browser-security-google.html anche se un po 'datato. Uno più recente e tecnico è qui: http://dev.chromium.org/developers/design-documents/sandbox

L'idea generale è che un sito Web dannoso dovrà utilizzare due exploit separati per ottenere l'esecuzione di codice sul PC: il primo che sfrutta il browser, il secondo che sfrutta il sanbox. Questa è stata dimostrata una cosa molto difficile da fare - non è mai stata fatta.

La tua domanda arriva a un buon momento: una settimana fa la società di ricerca sulla sicurezza VUPEN ha affermato di aver rotto chrome chrome e pubblicato il seguente annuncio: http://www.vupen.com /demos/VUPEN_Pwning_Chrome.php Se guardi il video, noterai che non è necessaria alcuna interazione da parte dell'utente oltre a visitare l'URL malevolo e che è spuntata fuori dal nulla un'applicazione di esempio (potrebbe essere un virus). La descrizione dell'attacco si è rivelato errato (ma non importa molto agli utenti semplici): lo stesso sandbox non è stato violato. Si è scoperto che VUPEN ha sfruttato un bug in Adobe Flash Player, che è un plugin che quasi tutti hanno installato - e questo plugin non lo era La risposta di Google è che si stanno muovendo e sviluppando rapidamente in modo che questo plug-in verrà sandbox alla fine nelle prossime versioni.

Per riassumere: come puoi vedere nel video, non puoi mai essere sicuro al 100% di essere al sicuro, quindi fai attenzione, non aprire collegamenti che non sai dove vanno o che non ti fidi dei siti.

Sidenote: NSA ha recentemente pubblicato un documento che indica "Best Practices" per la sicurezza degli utenti su Internet: tra questi vi è la raccomandazione di utilizzare un browser con sandbox.

Ecco il rapporto: http://www.nsa.gov/ia/_files/factsheets/Best_Practices_Datasheets.pdf

Un altro sidenote: Internet Explorer 9 è pubblicizzato come dotato di sandbox, ma i ricercatori della sicurezza concordano sul fatto che non è stato implementato correttamente e hanno dimostrato con successo attacchi contro di esso.

E un terzo: la finestra di navigazione in incognito non ha nulla a che fare con la protezione da virus, ma può essere utile in alcune classi di attacchi in cui il furto di cookie o simili è l'obiettivo perché separa le istanze del browser e isola le informazioni disponibili.

Infine, ci sono tecnologie che offrono una migliore protezione, come sandboxie e browser in esecuzione in macchine virtuali.

36
john

Non credo che possiamo dire che i download drive-by siano cronologici (se stai usando Chrome). Chrome implementa sand boxing ma non è impossibile sfuggire allo spazio di processo contenuto. Il sand boxing e la navigazione sicura riducono solo la probabilità che l'attaccante abbia successo.

10
Ben