Taggat med: firefox

Oberoende granskning av Firefox uppdateringsförfarande

Tyska säkerhetsföretaget X41 D-Sec GmbH har genomfört en oberoende teknisk säkerhetsgranskning av Firefox uppdateringsförfarande. Dvs den infrastruktur som har hand om uppdateringar samt kodbasen som tillhör både klient och serverdel.

Resultatet av denna granskning påvisar inga allvarliga säkerhetsbrister. Dock uppdagades tre säkerhetsbrister i Balrog med hög allvarlighetsgrad. Balrog är den uppdateringsserver som Firefox använder sig av och finns på Github här.

Fördelningen över resterande säkerhetsbrister som identifierats fördelar sig enligt följande:

Granskningsgruppen rekommenderar även att XML-filer som beskriver metadata om uppdateringar bör signeras. Även så kör uppdateringsservern enbart HTTP Basic Authentication som autentisering, utan rate-limit. Intressant även att de föreslår att Firefox skriver om delar av koden från C till ett säkrare programspråk såsom Rust eller Golang.

Stöd mitt bloggande via Patreon >

Jag gillar denna typ av offentliga säkerhetsgranskningar och speciellt eftersom rapporten finns att ladda ner i sin helhet (har bifogat den nedan). Tidigare har jag bl.a. skrivit om Mullvad som genomfört en offentlig granskning.

Granskningen som X41 D-Sec utförde tog 216 timmar och utfördes av fyra säkerhetsexperter varav en av dessa var kryptolog.

Här kan du ladda hem rapporten som PDF:

Källa

Alphabet (Google) släpper säkerhets-app till Android

Känner du till Alphabet? Företaget som äger Google? Jag skrev om Alphabet i Januari detta år. Alphabet har nu via deras inkubator Jigsaw släppt en app vid namn Intra.

Intra fungerar till Android-baserade mobiltelefoner och ser till att DNS-frågor går via en krypterad anslutning. Nämligen mer specifikt protokollet DoH (DNS over HTTPS) vilket även Firefox stödjer.

Givetvis finns även Intra tillgängligt som öppen källkod på Github för den som vill medverka till utvecklingen eller granska koden.

Intra fungerar från och med Android version 4.0 och kan laddas hem här:

Bra att tillägga är även att Android 9.0 ”Pie” stödjer DoH utan denna app, och för att citera Alphabet:

If you have Android 9.0 or later, we recommend enabling the Private DNS setting instead of installing Intra

Vidare läsning

Ny integritetsfrämjande funktion i Mozilla

Mozilla inför från och med Firefox version 59 en intressant integritetsfrämjande åtgärd. Denna nya åtgärd begränsar den information som skickas till tredje-part via så kallade Referer-headers. Tidigare så skickades information såsom följande när du klickar på en länk som leder till en annan sajt:

Referer: https://www.reddit.com/r/privacy/comments/Preventing_data_leaks_by_stripping_path_information_in_HTTP_Referrers/

Vilket kan leda till känslig information kan läcka. Följande exempel är från healthcare.gov där information skickas vidare till ett antal leverantörer:

Även kan det förekomma sessions-information i URL:er. Men tittar vi på ovan information så har EFF rapporterat att följande URL läcker från healthcare.gov:

Referer: https://www.
healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1&pregnant=1&zip=85601&state=AZ&income=35000

Vilket kan vara typiskt obra. Men från Firefox version 59 så kommer enbart följande skickas vidare:

Referer: https://www.healthcare.gov/

Om du surfar i Private Browsing-mode. Sedan några år tillbaka finns även W3C standarden Referrer Policy där du som sajtadministratör själv kan välja hur Referer-headers ska fungera. Läs mer här:

Tails 2.11 och Tor Browser 6.5.1 ute nu

Sex allvarliga säkerhetsbrister har uppdagats i Firefox vilket även resulterat till att Tor och Tails nu finns ute i nya versioner.

Tails-teamet meddelar även att detta kommer att bli den sista versionen då I2P finns med. Att stödet för anonymiseringsnätverket I2P tas bort från och med nästa version beror på prioriteringar.

Tails åtgärdar förutom Firefox-sårbarheterna även CVE-2017-6074 (local root privilege escalation) genom att stänga av dccp-modulen.

Även så finns det åtgärder för att försvåra fingerprinting via chrome:// och resource:// URL:er men tyvärr så verkar det som om mitt fingerprint-demo fungerar fortfarande:

Ny attack mot HTTPS genom WPAD/PAC

En ny attack mot https kommer att presenteras under konferensen Black Hat som går av stapeln inom några dagar i Las Vegas. Denna nya attack använder sig av DHCP option 242 (PAC) och kan således lura en klient som sitter på samma lokala nätverk att gå via en proxy.

Option 242 pekar nämligen ut en WPAD-fil som innehåller proxy-inställningar för klientens webbläsare. Detta finns specificerat i draft-ietf-wrec-wpad-01.txt från år 1999 bl.a. Observera även att denna attack fungerar mot Mac, Windows samt Linux.

We show that HTTPS cannot provide security when WPAD is enabled.

Exempel på skadlig kod som använder sig av PAC (källa Microsoft):

PAC1

Skärmdump från Firefox inställningar för proxy:Firefox WPAD

Och följande bilder visar på hur attacken gå till väga för att ta över ett konto/tjänst vid återställning av lösenord:

unholy-pac-1-980x980 unholy-pac.2-980x980 unholy-pac-3-980x980Och är du på plats i Las VegasBlack Hat Briefings kan du se följande två föredrag som behandlar ämnet:

Är du Windows-admin så kan WPAD stängas av genom följande GPO: ”Disable changing Automatic Configuration settings” samt ”Administrative TemplatesWindows ComponentsInternet Explorer” i användarpolicy samt datorpolicy.

Ny version av Tor Browser samt Tails

Angrepp mot TorEn ny version av Tor Browser samt Tails släpptes nyss. Denna version åtgärdar ett antal säkerhetsbrister som uppdagats i Firefox.

Följande säkerhetsbrister åtgärdas i Firefox:

  • 2014-90 Apple CoreGraphics framework on OS X 10.10 logging input data to /tmp directory
  • 2014-89 Bad casting from the BasicThebesLayer to BasicContainerLayer
  • 2014-88 Buffer overflow while parsing media content
  • 2014-87 Use-after-free during HTML5 parsing
  • 2014-85 XMLHttpRequest crashes with some input streams
  • 2014-83 Miscellaneous memory safety hazards (rv:34.0 / rv:31.3)

Du kan som vanligt ladda hem Tor Browser här:

MITM Attack mot Google-användare i Iran

En användare av webbläsaren Google Chrome har i Iran upptäckt ett felaktigt certifikat för Google-tjänster. Efter ytterligare undersökningar så visade det sig att någon på vägen mellan användaren i Iran och Google genomförde en såkallad man-i-mitten attack (man-in-the-middle /MITM ) mot krypterade anslutningar (https).

Att användaren i Iran kunde upptäcka attacken berodde på att Google lagt in fingerprints för dess tjänster hårdkodat i webbläsaren Chrome. Så oavsett om certifikatet ser ut att vara korrekt utfärdat för *.google.com så visas en varning till användaren.

En av bovarna i dramat är företaget DigiNotar som utfärdat ett certifikat felaktigt. Omfattningen av denna attack är i dagsläget oklar.

Google har gått ut med följande meddelande:

Today we received reports of attempted SSL man-in-the-middle (MITM) attacks against Google users, whereby someone tried to get between them and encrypted Google services. The people affected were primarily located in Iran. The attacker used a fraudulent SSL certificate issued by DigiNotar, a root certificate authority that should not issue certificates for Google (and has since revoked it).

Google Chrome users were protected from this attack because Chrome was able to detect the fraudulent certificate.

To further protect the safety and privacy of our users, we plan to disable the DigiNotar certificate authority in Chrome while investigations continue. Mozilla also moved quickly to protect its users. This means that Chrome and Firefox users will receive alerts if they try to visit websites that use DigiNotar certificates.

To help deter unwanted surveillance, we recommend that users, especially those in Iran, keep their web browsers and operating systems up to date and pay attention to web browser security warnings.

HTTPS Everywhere version 1.0

Webbläsarverktyget HTTPS Everywhere finns nu ute i version 1.0. HTTPS Everywhere är ett verktyg som gör att många av de vanligaste webbsajterna vi surfar till dagligen använder den krypterade versionen av webbsurf dvs https. I dagsläget så ligger runt 1000 sajter inlagda i verktyget att automatiskt gå över till https istället för http.

Tyvärr så fungerar HTTPS Everywhere enbart till Firefox i dagsläget. Begränsningar i API:t hos Safari och Chrome gör att det ej är möjligt att göra ett verktyg som HTTPS Everywhere. Vi hoppas så klart att både Apple och Google kommer att införa förändringar i dess webbläsare  som gör det möjligt att tvinga fram https.

HTTPS Everywhere kommer från frihetskämparorganisationen EFF som även står bakom verktyg såsom Tor.

Här kan du ladda hem verktyget: https://www.eff.org/https-everywhere

Twitter inför HTTPS

Precis som Facebook så inför nu även den sociala tjänsten Twitter en inställning för att forcera https. Detta har enbart varit möjligt tidigare genom exempelvis webbläsarplugins som Use HTTPS (chrome) och HTTPS Everywhere (firefox).

Tyvärr så rapporterar Twitter att https-inställningen ej fungerar för den mobila versionen mobile.twitter.com. Dock är det möjligt att manuellt skriva in https://mobile.twitter.com

Skärmdump från inställning:

Firesheep-attack mot Facebook etc.

Ingen kan ju ha undgått de senaste attacker med hjälp av verktyget Firesheep som underlättar för den enskilde att utföra såkallade sessions-attacker för att kopiera den sessions-cookie som alla webbsajter använder sig av efter en inloggning.

Attacken kan med fördel utföras på ett trådlöst nätverk där Cookies går att ”sniffa upp” vilket är typiskt vid Internet-caféer eller konferenser, företagsnätverk. Även så måste sajten där Cookien sniffas upp ej använda https vilket är fallet för exempelvis Twitter, Facebook, LinkedIn och liknande som inte använder https som standard.

Bästa sättet att skydda sig är att använda en VPN-uppkoppling över trådlösa nätverk. Detta kan sättas upp med hjälp av en tjänst såsom Anonine eller IPRedator. Vi får även hoppas att allt fler går över till att enbart använda https, dock är detta inte  helt trivialt eftersom detta kräver mer datorresurser exempelvis. Ett annat tips är att använda något av de plugins till webbläsaren som tvingar fram https.

Firesheep är ett Firefox-plugin och hittas på adress codebutler.com/firesheep. Även så rekommenderas Anders Thoressons förslag att använda din hemmarouter som VPN.

Fler bloggare som skrivit om detta: