Exposing security and privacy liabilities in modern browsers

Abstract

The number and complexity of the available online threats have been increasing steadily in recent years. One of the primary goals of the attackers is financial gains against the users, who can barely protect themselves against such threats. This matter is further empowered by the weakened security environment that users operate in. More specifically, the average user is not technologically savvy, especially when it comes to the security aspect of the technology she uses, while she is not familiar with the available security countermeasures along with their usage. Similarly, the manufacturers must supposingly take care of an untrained user by providing an adequate level of security and privacy certainty, when the user is performing her online browsing activities, via the use of a simple browser. In contrast, it is proven to be more than challenging to achieve the golden ratio between usability and security, while the scale usually leans on the former.The online threat landscape is continuously expanding due to the sophisticated types of theats and vulnerabilities that exist within a browser environment. For instance, modern browsers adopt additional features and services, with a view on funtionality, and thus further attack entry points are created that could surely aim in user’s security and privacy.By analyzing the security perspective of modern browser, one can easily result in the priorities that are set by the manufacturers, which are translated into significant threats that are currently available. To be more specific, phishing attacks are considered to be one of the most perilous threats, where the user is deceived into discolusing sensitive personal information. Similarly, the malware threat is equally important since, due to its complexity, it is more difficult to deal with. Privacy threats are also available which aim in the aforementioned information disclosure.Browser manufacturers are aware of the formerly mentioned threat landscape and have implemented several controls within modern browsers. Such controls are utilized as either built-in controls to the browser itself, or additional services (i.e. add-ons) that enhance or substitute the build-in ones. In addition, users rely on manufacturers for their protection and are not aware of how to operate the existing controls or implement additional ones for enhanced security.In order to protect the average user’s security and privacy in the online environment, it is vital to evaluate the existing defences and redisign the technologies that appear to be less effectictive as expected.The purpose of this thesis is to offer a comprehensive view of the online threat problem through analyzing the currently offered countermeasures along with their features, attack paths and techniques that are utilized. Such an approach will provide a clear view of whether the manufacturers do provide an adequate level of security from a quantitative perspective. In addition, the qualitative evaluation of some of the aforementioned controls are a focal point of this thesis. More specifically, those anti-threat mechanisms are put to the test via our assessment methodology and, in some cases, further enhancements or alternative sollutions are proposed and evaluated, in comparison to their predecessors.

Ο αριθμός και η πολυπλοκότητα των απειλών στο διαδίκτυο, έχουν αυξηθεί σταθερά τα τελευταία χρόνια. Ο βασικός στόχος των επιτιθέμενων είναι τα οικονομικά κέρδη έναντι των χρηστών, οι οποίοι δύσκολα μπορούν να προστατευθούν από τέτοιου είδους επιθέσεις. Το γεγονός αυτό ενισχύεται περαιτέρω από το αποδυναμωμένο περιβάλλον ασφαλείας μέσα στο οποίο λειτουργούν χρήστες καθημερινα. Πιο συγκεκριμένα, ο μέσος χρήστης δεν είναι επαρκώς ενημερωμένος σε θέματα τεχνολογίας, ειδικά σχετικά με θέματα ασφάλειας, ενώ παράλληλα, δεν γνωρίζει ποια είναι τα υπάρχοντα αντίμετρα ή πώς να τα χρησιμοποιεί. Ομοίως, οι κατασκευαστές των browers, είναι υποχρεωμένοι να προστατεύσουν τον ανεκπαίδευτο μέσο χρήστη και να του παράξουν ένα ανεκτό επίπεδο ασφάλειας όταν επισκέπτεται το διαδίκτυο. Όμως, έχει αποδειχθεί πως είναι αρκετά δύσκολο να βρεθεί η χρυσή τομή ανάμεσα στην χρηστικότητα και την ασφάλεια, ενώ συνήθως, το τελικό αποτέλεσμα της υλοποίησης των κατασκευαστών τείνει προς όφελος της πρώτης.Παράλληλα, οι υπάρχοντες απειλές και επιθέσεις, έχουν γίνει περισσότερες σε πλήθος και πιο πολύπλοκες. Για παράδειγμα, οι νέοι browsers περιέχουν επιπρόσθετα στοιχεία και υπηρεσίες (π.χ. JavaScript, Flash) με σκοπό την αυξημένη λειτουργικότητα, το οποίο έχει ως αποτέλεσμα την αύξηση των ευπαθειών και απειλών σχετικά με την ασφάλεια και την ιδιωτικότητα του χρήστη, δεδομένου ότι τα κενά ασφάλειας των υπηρεσιών αυτών κληρονομούνται στους browsers.Μέσω της ανάλυσης της ασφάλειας ενός σύγχρονου browser, είναι εμφανείς οι προτεραιότητες που έχουν τεθεί από τους κατασκευαστές, ως προς την προτεραιοποίηση των απειλών που υπάρχουν. Πιο συγκεκριμένα, οι απειλές τύπου phishing, έχουν χαρακτηριστεί ιδιαίτερα σημαντικές καθώς στοχεύουν στην απόκτηση προσωπικών δεδομένων του χρήστη. Το ίδιο ισχύει και για τις απειλές τύπου malware, οι οποίες είναι εξίσου σημαντικές, ιδιαιτέρως εξαιτίας της πολυπλοκότητάς τους, καθώς επίσης και οι τύποι των απειλών που στοχεύουν στην πλήξη της ιδιωτικότητας του χρήστη.Οι κατασκευαστές των browsers έχουν υλοποιήσει συγκεκριμένα αντίμετρα για να προστατεύσουν τον χρήστη ενάντια στις προαναφερθέντες απειλές. Τα αντίμετρα αυτά είναι είτε προεγκατεστημένα στους browsers, είτε προσφέρονται ως επιπρόσθετα (add-ons) με σκοπό να ενισχύσουν ή να αντικαταστήσουν τους προεγκατεστημένους μηχανισμούς ασφάλειας. Επιπροσθέτως, οι χρήστες βασίζονται στους κατασκευαστές για την προστασία τους, καθώς δεν γνωρίζουν ποια είναι τα αντίμετρα αυτά, ούτε πώς να τα χρησιμοποιήσουν, όπως αναφέρθηκε προηγουμένως.Σκοπός της παρούσας διατριβής είναι η μελέτη και αξιολόγηση των μέτρων ασφάλειας και ιδιωτικότητας που προσφέρονται από τους browsers, τόσο σε σταθερούς υπολογιστές (desktop και laptop) όσο και στις υπόλοιπες σχετικές συσκευές (smartphones και tablets). Πιο συγκεκριμένα, χωρίζεται σε δύο επιμέρους κομμάτια στα οποία (α) χαρτογραφούνται τα σχε-τικά αντίμετρα, παράλληλα με τα χαρακτηριστικά και τις ιδιαιτερότητές τους και (β) αξιολο-γούνται τα πιο σημαντικά από αυτά, με βάση την αποδοτικότητα και την αποτελεσματικότη-τά τους απέναντι στις απειλές για τις οποίες είχαν αρχικά σχεδιαστεί.Η συνεισφορά της διατριβής στην ερευνητική περιοχή της ασφάλειας και ιδιωτικότητας των browsers, συνοψίζεται ως εξής:• Τεχνική ανάλυση των αντίμετρων που είναι διαθέσιμα στους browsers. Αναλύεται η προ-στασία που παρέχεται από τις αρχικές ρυθμίσεις των browsers καθώς και η δυνατότητα ρύθμισης των αντιμέτρων των browsers. Η ανάλυση αποκαλύπτει ότι: (α) μόνο ένα υπο-σύνολο των διαθέσιμων αντιμέτρων που παρέχουν οι browsers των υπολογιστών είναι διαθέσιμα στους browsers των smartphones, (β) οι browsers των smartphones παρέχουν περιορισμένες δυνατότητες ρύθμισης σε σχέση με τους browsers στους υπολογιστές, (γ) οι χρήστες των smartphone είναι εξαιρετικά ευάλωτοι σε ιστότοπους με ιομορφικό λογι-σμικό ή/και επιθέσεις phishing, καθώς τα διαθέσιμα αντίμετρα δεν είναι διαθέσιμα στους browsers των smartphones, και (δ) οι αρχικές ρυθμίσεις των browsers και στις δυο υπο-λογιστικές πλατφόρμες δεν προστατεύουν τους χρήστες από απειλές που προσβάλουν την ιδιωτικότητα τους (παρακολούθηση πλοήγησης του χρήστη, δημιουργία προφίλ του χρή-στη κτλ.).• Τεχνική ανάλυση των αντίμετρων που προσφέρονται στους browsers μέσω των επίσημων marketplaces των κατασκευαστών. Η ανάλυση αυτή απέδειξε συγκεκρικένες ευπάθειες στην κατηγοριοποίηση που έχει πραγματοποιηθεί από τους κατασκευαστές, όπου σε κά-ποιες περιπτώσεις υπήρχε λάθος κατηγοριοποίηση του εν λόγω αντιμέτρου, ενώ σε άλλες οι προσφερόμενες κατηγορίες ήταν ελάχιστες. Επιπροσθέτως, εντοπίστηκε μεγάλη δια-φοροποίηση ανάμεσα στους εξεταζόμενους browsers ως προς το πλήθος των προσφερό-μενων αντιμέτρων.• Αξιολόγηση της αποτελεσματικότητας των αντίμετρων ασφάλειας για επιθέσεις τύπου phishing. Μέσω συγεκριμένης μεθοδολογίας που περιλάμβανε πειράματα ελέγχου από-δοσης, ελέγχθησαν οι μηχανισμοί ασφάλειας ani-phishing. Πιο συγκεκριμένα, χρησιμο-ποιήθηκαν URLs από έγκυρες πηγές (π.χ. Phishtank), που περιήχαν τέτοιου είδους ιστο-σελίδες, τα οποία προσπελάσσανε οι εκάστοτε browsers για να εκτιμηθεί το αν θα προ-στατεύσουν απέναντι στην απειλή αποδοτικά ή όχι. Τα αποτελέσματα των πειραμάτων έδειξαν μεγάλη διαφοροποίηση ανάμεσα στις δύο πλατφόρμες (desktop και smartphones), η οποία αποδείδεται στις ιδιαιτερότητες της εκάστοτε τεχνολογίας. Επι-προσθέτως, αναλύθηκαν οι καμπάνιες τύπου phishing, από τις ίδιες πηγές, με σκοπό την απεικόνιση του πως δρα ένας επιτηθέμενος σε μία επίθεση τύπου phishing.• Αξιολόγηση της αποτελεσματικότητας των αντίμετρων ασφάλειας για επιθέσεις τύπου mal-ware. Σύμφωνα με την προαναφερθείσα μεθοδολογία, αξιολογήθηκαν τα αντίμετρα για απειλές τύπου malware, που υπάρχουν στους σύγχρονους browsers. Τα αποτελέσματα έδειξαν πως το συγκεκριμένο αντίμετρο είναι χαμηλότερο σε απόδοση σε σύγκριση με το αντίστοιχο για απειλές τύπου phishing.• Υλοποίηση αντίμετρου για απειλές τύπου malware. Δεδομένης της χαμηλής απόδοσης των υπαρχόντων μηχανισμών απέναντι στις απειλές malware, η παρούσα διατριβή περιλαμ-βάνει μία νέα πρόταση-υλοποίηση που στοχεύει στην ενίσχυση της προστασίας του χρή-στη. Πιο συγκεκριμένα, υλοποιήθηκε και δοκιμάστηκε σε όλους του εξεταζόμενους browsers η λύση αυτή, η αξιολόγηση της οποίας κατέληξε στο γεγονός ότι ήταν αμειδρώς καλύτερη από την υπάρχουσα, εξαιτίας και της πολυπλοκότητας του είδους της απειλής.• Αξιολόγηση αποτελεσματικότητα αντιμέτρου ιδιωτικής περιήγησης. Χαρτογράφηση και ανάλυση των στοιχείων (artefacts) που παραμένουν διαθέσιμα μετά από μία συνεδρία ι-διωτικής περιήγησης. Τα αποτελέσματα των πειραμάτων, συγκρίθηκαν με το τι δηλώ-νουν οι κατασκευαστές πως ισχύει, για το αν παραμένουν διαθέσιμα ή όχι, με σκοπό να αποτυπωθεί η ορθότητα της ενημέρωσης που λαμβάνει ο μέσος χρήστης από τους κατα-σκευαστές των browsers. Επιπλέον, θεωρήθηκε απαραίτητο να καταγραφεί η γνώση και η άποψη του μέσου χρήστη, μέσω σχετικής έρευνας, για το ποια στοιχεία θεωρεί πως πα-ραμένουν διαθέσιμα και ποια θα ήταν ιδιαίτερα ενοχλητικό αν παρέμεναν. Η έρευνα αυτή αποτύπωσε τις προτεραιότητες που πρέπει να τεθούν, σύμφωνα με τον μέσο χρήστη.• Ανάλυση νέας προσέγγισης ιδιωτικής περιήγησης. Πραγματοποιήθηκε μελέτη για την ιδιω-τική περιήγηση, η οποία χωρίστηκε σε δύο επιμέρους σημεία. Στο πρώτο σημείο, εξετά-στηκε αν μπορεί να χρησιμοποιηθεί μία υλοποίηση λύσης που βασίζεται στην RAM του συστήματος, έτσι ώστε ο μέσος επιτηθέμενος να μην έχει την δυνατότητα άμεσης πρό-σβασης στις πηγές των στοιχείων που δημιουργούνται κατά την περιήγηση ενός χρήστη στο διαδίκτυο. Ενώ στο δεύτερο, επεκτάθηκε το προηγούμενο σενάριο, περιλαμβάνοντας ασφαλή διαγραφή των περιεχομένων της RAM, για να αποφευχθεί η ανακάλυψη τους από ένα περισσότερο έμπειρο επιτηθέμενο, με επιπλέον γνώσεις ανάλυσης.Τα κεφάλαια της διατριβής συνοψίζονται ως εξής:Στο Κεφάλαιο 2 παρουσιάζεται το υπόβαθρο της διατριβής. Πιο συγκεκριμένα, ορίζεται ο browser και τα επιμέρους χαρακτηριστικά του και αναλύονται οι σχετικές δημοσιευμένες εργασίες όσον αφορά την ασφάλεια και την ιδιωτικότητα της συγκεκριμένης υπηρεσίας. Επιπλέον, το κεφάλαιο περιλαμβάνει το μοντέλο απειλής που ακολουθείται στην παρούσα διαυτιβή, καθώς και την σύνοψη των παραπάνω.Το Κεφάλαιο 3 περιλαμβάνει μια συγκριτική μελέτη της διαθεσιμότητας και της δυνατότητας ρύθμισης των αντίμετρων των browsers. Το πεδίο της έρευνας περιλαμβάνει τους δημοφιλείς browsers των ηλεκτρονικών υπολογιστών και των smartphones. Από την μία πλευρά χαρτογραφούνται και αναλύονται τα αντίμετρα που είναι προ-εγκατεστημένα και συγκρίνονται τα αποτελέσματα που αξιολογούνται και στις δύο πλατφόρμες. Ενώ από την άλλη, εξετάζονται τα αντίμετρα που προσφέρονται ως προσθήκες (add-ons) από τους κατασκευαστές, με σκοπό την ενίσχυση ή αντικατάσταση των υπαρχόντων αντιμέτρων, χωρίς όμως να είναι προ-εκατεστημένα στον εκάστοτε browser.Στο Κεφάλαιο 4, το οποίο χωρίζεται σε δύο επιμέρους υποκεφάλαια, γίνεται μελέτη της αποδοτικότητας των προαναφερθέντων αντιμέτρων ασφάλειας που εντοπίζονται στους σύγχρονους browsers. Πιο συγκεκριμένα, μέσω της ανάλυσης του συνόλου των αντιμέτρων που εντοπίζονται, είναι εμφανές πως οι κατασκευαστές έχουν χαρακτηρίσει τρεις απειλές ως τις περισσότερο σημαντικές, συγκριτικά με την βαρύτητα της προστασίας που έχουν δώσει προς αυτές. Τα μέτρα αυτά περιλαμβάνουν προστασία ενάντια επιθέσεων (α) τύπου phishing, (β) μέσω ιομορφικού λογισμικού και (γ) που στοχεύουν στην προσβολή της ιδιωτικότητας του χρήστη. Ως αποτέλεσμα, μέσω της μεθοδολογίας της παρούσας διατριβής, τα προαναφέρθέντα αντίμετρα εξετάστηκαν με επίκεντρο της αποδοτικότητά τους απέναντι στην απειλή για την οποία είχαν αρχικά σχεδιαστεί. Επιπροσθέτως, το παρόν κεφάλαιο περιλαμβάνει προτάσεις, και αξιολόγηση αυτών, που αποσκοπούν στην ενίσχυση ή ακόμα και αντικατάσταση των αντιμέτρων αυτών, ειδικά στις περιπτώσεις όπου τα πειράματα έδειξαν στο ότι τα αντίμετρα αυτά ήταν μη επαρκή ως προς την απόδοσή τους.Η διατριβή ολοκληρώνεται στο Κεφάλαιο 5 με τη σύνοψη και προτάσεις για μελλοντική έρευνα.