Czy samo wejście na złą stronę może być niebezpieczne?

Czy mogę zainfekować swój komputer przez samo tylko wejście na złośliwą stronę?

Opublikowano 08-03-2023 08:55

Zapisz się na
darmowy kurs z podstaw bezpieczeństwa

Tak, jest możliwe aby zainfekować swój komputer przez samo tylko wejście na złośliwą stronę.

Ale to bardzo mało prawdopodobne.

Mowimy tutaj o perspektywie zwykłego Kowalskiego. Ważne osoby w Państwie czy właściciele dużych firm są narażeni na ataki targetowane. A to zupełnie inna para kaloszy.

Według mnie w przypadku większości Polaków lepiej skupić się na popularniejszych atakach. Phishing, złośliwe reklamy w wyszukiwarkach czy fałszywe telefony z banku to realne ataki.

A więc jakie jest prawdopodobieństwo, że nasz komputer zostanie zarażony - bez ściągania i uruchamiania żadnego pliku?

Jeśli masz zaktualizowaną przeglądarkę, to atakujący potrzebuje błędu typu 0day aby móc Cię zaatakować. A to bardzo droga sprawa. Pojedynczy błąd na jedną tylko przeglądarkę może kosztować nawet $500 000.

Musisz sobie więc zadać pytanie - czy Twoje dane są warte $500 000? Bo taki błąd nie działa wieczność.

  1. Kupujesz błąd.
  2. Możesz go użyć atakując jakąś osobę.
  3. Ale wtedy, istnieje szansa, że ktoś wykryje taki atak.
  4. Wtedy może dowiedzieć się jaki błąd wykorzystujesz.
  5. Przeglądarka wypuści nową aktualizację.
  6. Twój exploit przestaje działać i staje się bezużyteczny.
  7. Właśnie straciłeś pół miliona.

To sprawia, że takie błędy wykorzystuje się na konkretne osoby. A nie do masowej inwigilacji. Pokazuje to przykład użycia w Polsce Pegazusa. To jest naście przypadków a nie kilka milionów.

Prawdopodobieństwo ataku istnieje. Ale z Internetu przecież nie przestaniemy korzystać. Pewno da się wchodzić tylko na duże popularne witryny. Ale je przecież też można zaatakować.

To trochę jak z jazdą samochodem. Istnieje prawdopodobieństwo wypadku. A jednak jeździmy.

Ile jest exploitów?

Nigdy nie będziemy wiedzieć ile dokładnie jest exploitów na świecie. Ale niektóre firmy publikują raporty o ilu z nich się dowiedziały:

Są to liczby rzędu 50 błędów rocznie. I atakuje się nimi dziennikarzy, osoby zajmujące się kryptowalutami czy obrońców praw człowieka.

Dlatego warto aktualizować przeglądarkę. Zwróć uwagę by czasami uruchomić ją ponownie. To ważne zwłaszcza jeśli nie wyłączasz komputera a tylko go usypiasz/hibernujesz/zamykasz klapę laptopa. Przeglądarki zazwyczaj same się aktualizują. Ale tylko jeśli co jakiś czas uruchamiasz je ponownie.

Google Chrome

Sprawdzając statystyki zauważysz, ze wiele z tych błedów jest na przeglądarkę Google Chrome. Czy to znaczy, że jest ona namniej bezpieczna?

Nie. To znaczy, że jest najpopularniejsza. Gdy wydajesz pół miliona to chcesz móc atakować użytkowników najpopularniejszych rozwiązań. A nie takich, z których mało kto korzysta. Takie błędy mogą być po prostu dużo tańsze. Bo jest na nie mniejszy popyt.

Skąd więc ten strach, że możemy się zarazić tylko wchodząc na stronę?

Exploit Kit

Musimy się cofnąć o nieco ponad 10 lat. Wtedy w Internecie królowały exploit kity. Co to?

Jedna osoba kupuje od innych błedy. Umieszcza je na swoim serwerze i dodaję kilka dodatkowych opcji. Na przykład rozpoznawanie z jakiej przeglądarki korzysta dany użytkownik. Jeśli z Chroma - chcemy go zaatakować exploitem na tą przeglądarkę a nie na inną.

Taki gotowy pakiet sprzedaje innym złodziejom w ramach miesięcznego abonamentu. Są to kwoty rzędu $1000 miesięcznie - wiec dużo, dużo mniej niż koszt jednego błędu.

Autor może sobie pozwolić na taką niską cenę bo sprzedaje swój produkt wielu przestępcom. I w 2012 roku takie rozwiązaniabyły bardzo popularne. Mówimy tutaj o prawie 30 różnych exploit kitach.

Twoim zadaniem - jako złodzieja - było przekierować niczego nieświadome ofiary na stronę. Skrypt sprawdzał z jakiej przeglądarki korzystają, wybierał odpowiedni bład i atakował. Bez żadnej interakcji. Bez żadnego ściągania czy uruchamiania żadnych plików.

Dlaczego wtedy to było możliwe a teraz już nie?

A kojarzysz technologię Flash? Pozwalała na tworzenie interaktywnych animacji a nawet całych gier. Ale była też bardzo dziurawa.

Do ataków wykorzystywano błędy na Flasha a nie błędy w przeglądarce. Było to możliwe bo Flash był włączony w standardzie.

W braży security istnieje takie powiedzenie: najpierw nisko wiszące owoce. Owoce to błędy. Po co się wysilać i poszukiwać błędów w przeglądarce. Jeśli równie dobrze można wykorzystać mniej bezpieczną technologię?

Kilka lat później przeglądarki zdecydowały zakończyć wspieranie technologii Flash. I wtedy też zanotowano spadek popularności exploit kitów.

Pewno nałożyło się na to kilka czynników.

  • Zatrzymano i skazano jednego z twórców oprogramowania tego rodzaju. Być może inni się przestraszyli i postanowili zniknąć póki jest czas?
  • Zarażanie użytkowników domowych to ciężki kawałek chleba. Nawet jeśli zaszyfruje się im pliki i każe zapłacić okup to sporo z nich machnię ręką i zainstaluje system od nowa - godząc się z utratą danych.
  • Obecnie przestępcy atakują duze firmy. Wystarczy jeden pojedynczy atak i zysk można liczyć w milionach.
  • Exploit może nie zadziałać. A przestępcy są leniwi. Po co wykorzystywać zaawansowane metody - jeśli takie same a nawet lepsze efekty może dać stary dobry phishing?

Co robić?

  1. Aktualizuj przeglądarkę.
  2. Jeśli wiesz, że wchodzisz na potencjalnie złośliwą stronę - po prostu na nią nie wchodź.
    • Jeśli musisz użyj dedykowanych rozwiązań - na przykład urlscan.io
  3. Jeśli używasz przeglądarki Edge i posiadsz Windows w wersji Pro - możesz włączyć Windows Application Guard
  4. Innym rozwiązaniem może być skorzystanie z Windows Sandbox
  5. A dla bardziej zaawansowanych VirtualBox