Ένας Ούγγρος ειδικός σε θέματα ασφάλειας, ο Gabor Szathmari, ανέλυσε τις σελίδες σύνδεσης 21 μεγάλων τραπεζών των ΗΠΑ και διαπίστωσε ότι 9 από αυτές φόρτωναν third-party JavasCript assets, εκθέτοντας τους χρήστες σε άσκοπο κίνδυνο.
Θεωρητικά, οι σελίδες login των τραπεζών θα έπρεπε να είναι οι πιο ασφαλείς σελίδες στο Διαδίκτυο. Στην πράξη, αυτό δεν ισχύει και πολύ και υπάρχουν πολλοί λόγοι που συμβαίνει αυτό.
Όπως ο κύριος Szathmari έχει ανακαλύψει στην έρευνά του ότι ορισμένες αμερικανικές τράπεζες αδυνατούν να προστατεύσουν την εν λόγω σελίδα και άθελά τους φορτώνουν JavaScript resources from third-party sites.
Αλλά η φόρτωση των αρχείων JavaScript δεν είναι το πρόβλημα, δεδομένου ότι ιστοσελίδες χρειάζονται αρχεία Javascript για να λειτουργήσει σωστά. Ο κίνδυνος έγκειται στο γεγονός ότι ορισμένα από αυτά τα αρχεία αποθηκεύονται στον server μιας άλλης εταιρείας.
Αν η εταιρεία τεθεί σε κίνδυνο, οι επιτιθέμενοι θα μπορούσαν κάλλιστα να αλλάξουν αυτά τα third-party scripts και να διανείμουν κακόβουλο κώδικα, ο οποίος θα εκτελείται σωστά στη σελίδα σύνδεσης της τράπεζας.
Και ο κίνδυνος είναι πραγματικός, μιας κάτι τέτοιο έχει ήδη συμβεί κατά το παρελθόν. Ήταν η SilverPop, μία από τις εταιρείες των οποίων τα scripts φορτώνονταν στη σελίδα σύνδεσης του BT&T, μια αμερικανική τράπεζα, που χακαρίστηκε το 2010.
Σε αυτό το περιστατικό, οι χάκερ έθεσαν σε κίνδυνο μόνο το λογισμικό αυτοματισμού των e-mail. Φανταστείτε αν αυτό το περιστατικό επαναλαμβανόταν σήμερα. Νομίζετε ότι οι hackers θα πήγαιναν για το λογισμικό των e-mail ή θα προσπαθούσαν να θέσουν σε κίνδυνο τον κώδικα JavaScript που φορτώνεται στις σελίδες σύνδεσης της τράπεζας;
Η απάντηση είναι απλή, διότι οι Web-based ευπάθειες έχουν γίνει πιο διαδεδομένες τα τελευταία χρόνια. Χάρη σε πολλά νέα HTML5 APIs, ο κακόβουλος κώδικας JavaScript τώρα επιτρέπει να κρατείται αρχείο με τις πληκτρολογήσεις (log keystrokes), να κλέβονται δεδομένα που έχουν καταχωρηθεί σε φόρμες, να λαμβάνουν screengrabs, να κλέβονται cookies του προγράμματος περιήγησης ακόμη και να υπάρχει επικοινωνία με το Flash για την εκμετάλλευση πολλών κενών ασφαλείας.
Ένα απλό σενάριο ανάλυσης μπορεί να σπάσει την πολύπλοκη πολιτική ασφαλείας της τράπεζας. Δεν έχει σημασία πόσες πολλών εκατομμυρίων δολαρίων συμφωνίες τραπεζών υπογράφονται με τους προμηθευτές ασφάλειας στον κυβερνοχώρο, με το να συνεχίζουν να επιτρέπουν third-party analytics code να φορτώνεται στις σελίδες login ή ακόμη και στο dashboard του χρήστη, οι τράπεζες αφήνουν μια κερκόπορτα ορθάνοιχτη σε επιθέσεις, χάρη στον πάροχο analytics τους.
Όπως εξηγεί ο κύριος Szathmari, η λύση είναι αρκετά απλή. Η αφαίρεση του κώδικα Analytics από αυτές τις σελίδες είναι ο πιο γρήγορος τρόπος για να εξουδετερώσει κανείς την απειλή. Επιπλέον, εφαρμόζοντας το Subresource Integrity (SRI) είναι, επίσης, ένας άλλος τρόπος για να επιτρέπεται σε αυτά τα scripts να φορτωθούν, αλλά να παραμένουν ασφαλή σε περίπτωση που η third-party υπηρεσία μπορεί να παραβιαστεί.
Παρόλο που δεν υποστηρίζεται σε όλους τους browsers, η νέα SRI προδιαγραφή του W3C είναι ήδη η αγαπημένη πολλών εμπειρογνωμόνων σε θέματα ασφάλειας. Το GitHub έχει ήδη προχωρήσει ένα βήμα παραπέρα και το εφαρμόζει και στην ιστοσελίδα του.
Ένας browser που ερμηνεύει τον κώδικα μιας σελίδας, όπου το SRI έχει εφαρμοστεί θα είναι σε θέση να κρίνει εάν το third-party asset είναι σε κίνδυνο ή έχει τροποποιηθεί. Πιο συγκεκριμένα, το SRI χρησιμοποιεί cryptographic digests να αναλύσει τα JS ή CSS που έλαβε από τρίτους μέχρι και από ένα αναμενόμενο payload. Σε περίπτωση που η τρίτη υπηρεσία έχει τεθεί σε κίνδυνο, το SRI θα μπλοκάρει τους αμφιβόλου ποιότητας πόρους από το να εκτελεστούν στο πρόγραμμα περιήγησης.
Ο κύριος Szathmari είναι επίσης ο άνθρωπος πίσω από το SRItest.io, μια ιστοσελίδα όπου οι χρήστες μπορούν να σαρώσει ιστοσελίδες για Subresource Integrity (SRI) κρυπτογραφικά hashes.
