Yer imi senkronizasyonu, modern tarayıcılarda standart bir özellik haline geldi: İnternet kullanıcılarına, tek bir cihazdaki yer imlerinde yaptıkları değişikliklerin tüm cihazlarında aynı anda etkili olmasını sağlamanın bir yolunu sunar. Ancak, bu aynı yararlı tarayıcı işlevinin siber suçlulara kullanışlı bir saldırı yolu da sağladığı ortaya çıktı.
Zekâ için: Yer imleri, bir kurumsal ortamdan tonlarca çalıntı veriyi sızdırmak veya çok az tespit edilme riskiyle saldırı araçlarına ve kötü niyetli yüklere gizlice girmek için kötüye kullanılabilir.
SANS Teknoloji Enstitüsü’nde akademik bir araştırmacı olan David Prefer, keşfi, saldırganların güvenliği ihlal edilmiş bir ortamdan veri kaçırmak ve diğer kötü amaçlı işlevleri gerçekleştirmek için tarayıcı işlevlerini nasıl kötüye kullanabileceğine ilişkin daha geniş araştırmanın bir parçası olarak yaptı.
Yakın tarihli bir teknik makalede Prefer, süreci “bruggling” olarak tanımladı – tarayıcı ve kaçakçılık portmanteau. Onun yeni bir veri hırsızlığı vektörü
bu amaç için geliştirdiği “Brugglemark” adlı bir kavram kanıtı (PoC) PowerShell betiği ile gösterdiğini.
Bruggling’in Güzel Sanatı
Prefer, “Senkronizasyon sürecinde istismar edilen hiçbir zayıflık veya güvenlik açığı yok” diye vurguluyor. “Bu kağıdın üzerinde durduğu şey, yer imlerine istediğiniz şekilde ad verme ve ardından bunları oturum açmış diğer cihazlarla senkronize etme yeteneği ve bu çok kullanışlı, yardımcı işlevin nasıl istenmeyen bir şekilde çarpıtılıp kötüye kullanılabildiğidir.”
Bir saldırganın, ortama uzaktan veya fiziksel olarak erişmesi gerekir ve zaten ortama sızmış ve sızdırmak istediği verileri toplamış olacaktır. Tercih, daha sonra, ortamdaki meşru bir kullanıcıdan çalınan tarayıcı senkronizasyon kimlik bilgilerini kullanabilir veya kendi tarayıcı profillerini oluşturabilir, ardından verilere erişmek ve kaydetmek için senkronize edildikleri başka bir sistemdeki bu yer imlerine erişebilir, diyor Prefer. Saldırgan, kötü niyetli yükleri gizlice gizlice sokmak ve araçları bir ortama sızmak için aynı tekniği kullanabilir.
Tekniğin yararı, basitçe söylemek gerekirse, gizliliktir.
SANS Enstitüsü araştırma dekanı Johannes Ullrich, yer imi senkronizasyonu yoluyla veri hırsızlığının, saldırganlara çoğu ana bilgisayar ve ağ tabanlı algılama aracını atlamanın bir yolunu verdiğini söylüyor. Çoğu algılama aracı için trafik, Google’a veya başka herhangi bir tarayıcı üreticisine giden normal tarayıcı senkronizasyon trafiği olarak görünür. Ullrich, “Araçlar trafiğin hacmine bakmadıkça bunu görmeyecekler” diyor. “Tüm trafik de şifrelenir, bu yüzden biraz HTTP üzerinden DNS veya diğer ‘buluttan uzak yaşama’ tekniklerine benziyor” diyor.
Pratikte Bruggling
Gerçek dünyada bir saldırının nasıl gerçekleştirilebileceği konusunda Prefer, bir saldırganın bir kurumsal ortamın güvenliğini ihlal etmiş ve hassas belgelere erişmiş olabileceği bir örneğe işaret eder. Verileri yer imi senkronizasyonu yoluyla sızdırmak için, saldırganın önce verileri yer imi olarak saklanabilecek bir forma koyması gerekir. Bunu yapmak için, düşman basitçe verileri base64 biçiminde kodlayabilir ve ardından metni ayrı parçalara bölebilir ve bu parçaların her birini ayrı yer imleri olarak kaydedebilir.
Modern tarayıcıların önemli sayıda karakterin tek bir yer imi olarak depolanmasına izin verdiğini – deneme yanılma yoluyla – keşfetmeyi tercih edin. Gerçek sayı her tarayıcıya göre değişiyordu. Örneğin, Brave tarayıcı ile Prefer, kitabın tamamını çok hızlı bir şekilde senkronize edebileceğini keşfetti. Cesur Yeni Dünya sadece iki yer imi kullanarak. Aynı şeyi Chrome ile yapmak için 59 yer işareti gerekiyordu. Prefer ayrıca test sırasında tarayıcı profillerinin bir seferde 200.000’e kadar yer imini senkronize edebileceğini keşfetti.
Metin yer imi olarak kaydedildikten ve senkronize edildikten sonra, saldırganın tek yapması gereken, içeriğe erişmek, onu yeniden birleştirmek ve base64’ten orijinal metne geri dönüştürmek için tarayıcıda başka bir cihazdan oturum açmaktır.
Prefer, “Bu teknikle ne tür verilerin sızdırılabileceğine gelince, bunun bir rakibin yaratıcılığına bağlı olduğunu düşünüyorum” diyor.
Prefer’in araştırması öncelikle tarayıcı pazar payı lideri Google Chrome’a ve daha az ölçüde, tümü Chrome’un üzerine kurulu olduğu aynı açık kaynaklı Chromium projesine dayanan Edge, Brave ve Opera gibi diğer tarayıcılara odaklandı. Ancak, Bruggling’in Firefox ve Safari gibi diğer tarayıcılarla çalışmaması için hiçbir neden olmadığını belirtiyor.
Diğer Kullanım Durumları
Prefer, önemli ölçüde, yer imi senkronizasyonunun bu şekilde kötüye kullanılabilen tek tarayıcı işlevi olmadığını söylüyor. “Senkronizasyonda kullanılan, benzer şekilde kötüye kullanılabilecek, ancak araştırmak için araştırma gerektirecek birçok başka tarayıcı özelliği var” diyor. Örnek olarak, tümü senkronize edilebilen otomatik doldurmalara, uzantılara, tarayıcı geçmişine, saklanan şifrelere, tercihlere ve temalara işaret ediyor. Prefer, “Biraz araştırmayla, onların da kötüye kullanılabileceği ortaya çıkabilir” diyor.
Ullrich, Prefer’in makalesinin tarayıcının nasıl çalıştığını gösteren önceki araştırmalardan ilham aldığını söyledi. uzantı senkronizasyonu veri hırsızlığı ve komuta ve kontrol için kullanılabilir. Ancak bu yöntemle, bir kurbanın kötü amaçlı bir tarayıcı uzantısı yüklemesi gerekeceğini söylüyor.
Tehdidi Azaltma
Prefer, kuruluşların Grup İlkesi kullanarak yer işareti senkronizasyonunu devre dışı bırakarak veri hırsızlığı riskini azaltabileceğini söylüyor. Başka bir seçenek de, senkronizasyon için oturum açmasına izin verilen e-posta etki alanlarının sayısını sınırlamak olabilir, böylece saldırganlar bunu yapmak için kendi hesaplarını kullanamazlar.
“[Data loss protection] Bir organizasyonun halihazırda gerçekleştirdiği DLP izleme burada da uygulanabilir” diyor.
Ullrich, senkronizasyonun daha yavaş bir hızda gerçekleşmesi durumunda yer imi senkronizasyonunun çok iyi çalışmayacağını söylüyor. “Fakat 200.000’den fazla yer imini senkronize edebilmek ve yalnızca 20.000 veya 30.000 yer iminden sonra bir miktar hız azalması görmek bunu yapıyor. [very] değerli” diyor.
Böylece, tarayıcı üreticileri, örneğin bir hesabın yaşı veya yeni bir coğrafi konumdan girişler gibi faktörlere dayalı olarak yer imi senkronizasyonunu dinamik olarak kısıtlayarak saldırganlar için işleri zorlaştırabilir. Prefer, benzer şekilde, base64 kodlaması içeren yer imlerinin ve ayrıca aşırı ad ve URL’lere sahip yer imlerinin eşitlenmesinin engellenebileceğini söylüyor.