Vấn đề quản lý mật IE Firefox 1, Giới thiệu Hai phần viết trình bày cho bạn phân tích kỹ thuật bảo mật, rủi ro, công cách phòng chống hai hệ thống quản lý mật trình duyệt sử dụng rộng rãi, Internet Explore Firefox Đối tượng viết đề cập đến hai trình duyệt IE 7, Firefox 1.5 2.0 cụ thể nội dung sau:  Kỹ thuật lưu mật khẩu: Ý nghĩa việc bảo vệ username password hệ thống file cục thơng qua mã hóa  Các kiểu công: Các phương pháp phá hoại hay vượt qua bảo vệ  Những sai lầm bảo mật: Người dùng sử dụng mật kiến thức khả rủi ro  Khả sử dụng: Những đặc tính nhằm nâng cao hay cản trở khả sử dụng đặc tính bảo mật  Biện pháp đối phó khắc phục: Những hành động cần thiết để người dùng tổ chức giảm rủi ro khơng đáng có Internet Explorer Firefox chia sẻ khoảng gần 95% thị phần tất trình duyệt AutoComplete Password Manager tính để lưu username, password URL tương IE (từ phiên 4) Firefox (từ phiên 0.7) Mỗi trình duyệt có tính riêng để hỗ trợ người dùng việc nhớ username password khác thẩm định cho trang web Vì vậy, vào URL http://www.gmail.com, nơi có trường nhập vào, Internet Explorer Firefox nhắc nhở người dùng xem có muốn lưu username hay password hay không Khi người dùng vào lại trang web trình duyệt tự động điền vào đầy đủ trường Mặc dù tính giúp đơn giản hóa đáng kể trách nhiệm người dùng song chúng đưa vấn đề cần phải suy xét bảo mật, điều mà nói đến phần 2, Một trường hợp quản lý mật Sự cần thiết quản lý mật liên quan trực tiếp đến khó khăn để nhớ số lượng lớn username password cho trang web cụ thể Thực tế, cần phải ý quản lý mật tăng cường tồn tính bảo mật chúng có quyền cho phép mức entropy lớn việc sử dụng nhận dạng mật Vì người dùng tạo nhiều username khác thay username kẻ cơng khó khăn việc đốn Xét theo khía cạnh cân mà nói người dùng phải tin tưởng vào ứng dụng để thực vai trị (như việc lưu, xử lý cách an toàn khả tiến phép tồn nó) Việc quản lý mật phương thuốc chữa bách bệnh song chúng có tác dụng thúc đẩy mặt công nghệ, tăng khả rào chắn công cách cải thiện giao diện người dùng để tính tốn mơi trường thơng thường cần đến thẩm định Người dùng doanh nghiệp cần phải bảo đảm hệ thống quản lý mật phải sử dụng thực quy cách, kiến thức khả rủi ro liên quan Bài viết sử dụng kiến thức cho việc thiết kế quản lý mật an toàn việc ơn lại cơng, từ xây dựng giải pháp vững đối phó với công tương lai 3, Công việc Sử dụng username password nhiều trang web làm tăng khả thỏa hiệp, nhờ mà kẻ cơng cần khám phá username password để thỏa hiệp với tất tài nguyên người dùng Sử dụng nhiều password, kỹ thuật ghi nhớ mối nguy hiểm dùng lại password nghiên cứu cách rộng rãi Thêm vào đó, mở rộng Firefox nghiên cứu để giảm khả đốn password 4, Các kỹ thuật lưu password Các vị trí kỹ thuật lưu username password đưa Thông tin sử dụng nghiên cứu kiểu công sử dụng phần 4.1, Vị trí lưu 4.1.1, Internet Explorer & Trên Internet Explorer (từ phiên đến 6) thông tin định dạng web AutoComplete lưu Registry vị trí đây: Các username password mã hóa: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\SPW Các địa Web: HKEY_LOCAL_MACHINE\Software\MicrosoftProtected Storage System Provider\ Các key mã hóa đối xứng: HKEY_CURRENT_USER\Software\Microsoft\ Protected Storage System Provider\Data\\ Trong Internet Explorer 7, thông tin AutoComplete lưu Registry vị trí khác Các username password mã hóa: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2 Các mục registry tạo người dùng thực lưu thông tin đăng nhập (username password) cho trang web SPW viết tắt SavedPassWords 4.1.2, Firefox 1.5 and 2.0 Trong Firefox, URL (Uniform Resource Locators), username password lưu filesignons.txt: Các username password mã hóa hệ thống Windows lưu trong: %userprofile%\Application Data\Mozilla\Firefox Profiles\xxxxxxxx.default\signons.txt Khi %userprofile%, biến môi trường Windows, thể đường dẫn đến thư mục chủ người dùng Các username password mã hóa hệ thống Linux chạy Firefox lưu vị trí sau: ~/.mozilla/firefox/ xxxxxxxx.default/signons.txt Vị trí xxxxxxxx chọn ngẫu nhiên Firefox cài đặt File signons.txt tạo login cho trang web lưu Các login theo sau với URL chèn vào file Nó hồn tồn khơng liên quan đến quản lý password trang truy cập sử dụng HTTP hay HTTPs Các URL không mã hóa chúng sử dụng tham chiếu (tra cứu) cho việc khớp login Đặc biệt hơn, quản lý password trình duyệt cần điền tự động login cho trang cụ thể, có URL trang tham chiếu vơi file signons.txt (nếu URL tồn tại) username password tương ứng điền vào login trang web 4.2, Các kỹ thuật truy cập lưu trữ 4.2.1, Internet Explorer & Kiến trúc lưu: Registry Định dạng: Nhị phân, lưu cặp giá trị hex loại liệu REG_BINARY Mã hóa: DES- ba cấp Truy cập: Bảo vệ API lưu trữ (cho Internet Explorer 4-6); API bảo vệ liệu (cho Internet Explorer 7) Các yêu cầu cho truy cập: Người dùng đăng nhập Lưu trữ tạm thời: Các key đối xứng đánh vào nhớ sau sử dụng Internet Explorer 4-6 sử dụng cung cấp hệ thống bảo vệ lưu trữ (PStore) để lưu truy cập thơng tin người dùng gồm có username keyN.db Module bảo mật lưu secmod.db Chú ý vị trí file định tị từ trước phần 4.1 Firefox sử dụng Network Security Services API để thực mã hóa Nó liên quan đến Password ManagerFirefox để tạo Public Key Cryptography Standard (PKCS) #11 (định nghĩa API cho modul bảo mật nhóm thứ ba gồm phần mềm phần cứng) Sử dụng PKCS#5 để mã hóa password Firefox có tùy chọn việc sử dụng mođul bảo mật luân phiên cho quản lý password, chuẩn xử lý thông tin quốc gia (FIPS) 1401 Master Password sử dụng chung với phần file keyN.db thường sử dụng để cung cấp Master Key Master Key sau sử dụng để giải mã username, password lưu Password Manager Mặc dù khơng dễ dàng giải NSS API có vài chức quan trọng Firefox hay chương trình liên quan để tăng khả truy nhập vào sở liệu có password Các thiết lập password nắm giữ (PK11_SetPasswordFunc), giải mã liệu số 64 (NSSBase64_DecodeBuffer), giải mã (PK11SDR_Decrypt) cho phép chương trình liên quan đến username password liên quan; thực vấn đề đơn giản mã thực tế cần khởi chạy NSS, tuyên bố biến, quản lý đệm,… Mặc dù bảo mật toàn hệ thống dựa vào sức mạnh mật mã Master Password (được tạo người dùng) khả truy cập vào file key3.db (bao gồm phần quan trọng) lưu profile người dùng Modul bảo mật FIPS 140-1 cho phép việc định hướng theo xếp đặt sau: Firefox 1.5 Windows: Tools | Options | Advanced | Security Devices | NSS Internal FIPS PKCS #11 Firefox 2.0 Windows: Tools | Options | Advanced | Encryption | Security Devices | NSS Internal FIPS PKCS #11 5, Các công vào quản lý password Phần quan sát vài công nhằm phá hoại quản lý password Hai công thảo luận sau chúng tơi gộp thành phần loạt bào báo Một công nghệ chung để tìm tất đường thâm nhập hệ thống sử dụng sơ đồ hình Mục đích sơ đồ thể bên hình thỏa hiệp hồn tất sở liệu password Hình 1: Tấn công kiểu với quản lý password Firefox Kết việc tăng truy nhập vào sở liệu cho phép kẻ công đạt tất URL, username, password mà sử dụng để xác nhận trang Bộ quản lý password thỏa hiệp cho phép kẻ công truy cập vào thứ từ e-mail đến bảo hiểm, ngân hàng hay chí thơng tin cộng tác bên mạng nội Một vấn đề nhỏ (không liệt kê trên) thỏa hiệp với khả đăng nhập cho trang đặc biệt Một hệ thống quản lý password phát triển cho ứng dụng thành phần người dùng Để thỏa hiệp với sở liệu password hay đăng nhập đặc biệt cần cơng vào thành phần yếu hệ thống Trong trường hợp này, liên kết yếu người dùng (không mã hóa bổ xung thêm phần mềm) Các cơng dựa vào giao diện người dùng quản lý password quản lý password trình duyệt 5.1, Trình duyệt khơng bị cơng JavaScript Hai công JavaScript không thảo luận phần trước trước kết luận: công chuẩn ứng dụng Ajax 5.1.1, Tấn công JavaScript chuẩn Giả định: Kẻ cơng có tài khoản người dùng hợp lệ Kết công: Kẻ cơng có khả xun qua trang lưu đăng nhập 1) Tăng truy nhập 2) Sử dụng JavaScript để phát username password Thiệt hại khác: sử dụng password bị lộ để truy cập vào quản lý password ứng dụng khác trang có password Sử dụng JavaScript hồn tồn phát password lưu trang thông qua DOM Khi viếng thăm trang mà lưu lại username password password ln ln để ẩn dấu * Đó mà người dùng nhìn thấy; trình duyệt lại lưu password mã ASCII thực đệ trình hành động đệ trình cần đến Việc sử dụng dấu * hoàn toàn tốt thiết kế để ngăn chặn giao diện Để làm việc xung quanh phạm vi ngăn ngừa này, kẻ công thông minh sử dụng JavaScript nhúng trang HTML hay chạy script sau tải trang, cho kẻ công xác định username password Hình 2: Mơ hình đối tượng tài liệu JavaScript Mã JavaScript hồn tồn dễ dàng truy cập online Nó nhúng HTML chạy bookmarklet Một bookmarklet chương trình JavaScript nhỏ lưu URL chạy cục trang web sau tải Sử dụng logic lập trình, kẻ cơng lặp lặp lại thông qua tất password-based elements (như hình 2) DOM; giá trị tương ứng với đối tượng password lấy lại sau đó, việc phá dấu * khơng thể Bất kỳ hay chương trình logic với máy khách Web (Internet Explorer Firefox) “click” link tìm password javascript:( function(){ var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j for (i=0; i f = F[j]; if (f[i].type.toLowerCase() == "password") s += f[i].value + "\n"; } } if (s) alert("Passwords in forms :\n\n" + s); else alert("No passwords in forms on this page.");})(); Hình 3: Mã JavaScript để lấy lại password 5.1.2, Việc lấy password Ajax Giả thiết: Kẻ công truy cập đến web proxy suốt hay cấu hình cho web máy khách Kết cơng: Kẻ cơng có khả chèn, xóa hay thay đổi nội dung trang, JavaScript cho phép lấy username password trang có kết nối HTTP (thậm trí SSL submit sử dụng thời điểm sau đó) Thiệt hại khác: Cho phép sử dụng đăng nhập để truy cập vào hệ thống máy tính, ứng dụng khác trang sử dụng username password Trong vấn đề trình bày hình đây, có người dùng mở trình duyệt web muốn truy cập vào thơng tin ngân hàng anh máy chủ từ xa Máy khách yêu cầu trang web nhà cung cấp (như American Express) Mặc dù vậy, thông tin câu trả lời bị thay đổi thông qua proxy server Các proxy server thường đặt để bảo vệ nhận dạng địa IP, lọc; chúng thực trung gian truyền thông máy khách máy chủ Hình 4: Việc lấy password Ajax Khi kẻ cơng kiểm sốt proxy chúng nhúng JavaScript để lấy gửi username password thông qua yêu cầu đồng đến máy chủ (XMLHttpRequest) Username password đạt thông qua JavaScript (bộ quản lý password tự động điền vào đăng nhập) hay thông qua kỹ thuật định thời để đợi tới thời điểm hợp lý (ví dụ giây) cho phép người dùng nhập vào thơng tin sau JavaScript chạy gửi liệu đăng nhập cho kẻ cơng Hình thể trình duyệt yêu cầu file XML gồm có thơng tin đăng nhập (bobpassword) Máy chủ bỏ qua u cầu không hợp lệ kẻ công lại tăng mức đăng nhập điểm Việc phân định trình quan trọng, trình thẩm định người dùng đến máy chủ phân chia mã độc hại gửi username password đến kẻ cơng Trên trang đó, thơng tin đăng nhập nhập vào trước kết nối SSL thành lập Điều điểm cơng, có kết nối SSL thiết lập trước việc đăng nhập liệu proxy server khơng thể thấy lưu lượng mã hóa Tuy nhiên vài trang sử dụng SSL submit (như Yahoo, AMEX,…) hình thành nên kết nối thẩm định mã hóa sau trang gốc tải chúng có lỗ hổng với loại công vấn đề Bạn nhận thấy nhiều điều quan trọng so sánh khác đặc tính quản lý password hai trình duyệt lớn: Internet Firefox Đặc tính Explorer 2.0 Lưu username, yes yes yes yes yes yes password URL Password truy cập thông qua JavaScript Password truy cập thông qua phần mềm truy cập Bảo vệ password (khơng chói buộc tài khoản người yes dùng) Password Prompt bắt đầu session yes để lưu password Dễ dàng xuất liệu yes username/password Mã hóa Giải mã yes yes yes Password Manager chọn "Show yes Passwords" Với vài mục cuối bảng trên, ý cần thiết phải ý đến vấn đề tranh luận dù đặc trưng tin tưởng hay lỗ hổng bảo mật, vậy, thỉng thoảng khơng có phương pháp cho việc lấy lại password bị quên Kết luận phần Phần viết đưa công việc tảng cho việc định địa vấn đề liên quan đến quản lý password, thực tế định địa hai điểm đưa phần đầu viết, giải thích kỹ thuật lưu password Internet Explorer Firefox, sau trình bày hai cơng JavaScript sử dụng để phá hoại trình duyệt Mời bạn đón xem phần 2! ... đáng kể trách nhiệm người dùng song chúng đưa vấn đề cần phải suy xét bảo mật, điều mà nói đến phần 2, Một trường hợp quản lý mật Sự cần thiết quản lý mật liên quan trực tiếp đến khó khăn để nhớ... tích kỹ thuật bảo mật, rủi ro, công cách phòng chống hai hệ thống quản lý mật trình duyệt sử dụng rộng rãi, Internet Explore Firefox Đối tượng viết đề cập đến hai trình duyệt IE 7, Firefox 1.5 2.0... quan; thực vấn đề đơn giản mã thực tế cần khởi chạy NSS, tuyên bố biến, quản lý đệm,… Mặc dù bảo mật toàn hệ thống dựa vào sức mạnh mật mã Master Password (được tạo người dùng) khả truy cập vào file