Flash Player

FinFisher Flash-valepäivitys

 

Adobe Flash Player (Macromedia Flash Player) on tietoturvan kannalta ongelmallinen.

Tuotetta on käytetty sekä vakoiluohjelmien asennukseen että vakoiluun. TOR ja FlashPlayer ei ole turvallinen yhdistelmä, Flash-liitännäinen muodostaa yhteyden Windowsin kautta, jolloin tunnistetiedot ovat käytettävissä.

Adobe lopettaa Flash Player kehityksen ja ylläpidon vuoden 2020 loppuun mennessä.

Flash tallentaa kovalevylle evästeitä, joita voidaan käyttää tunnistamiseenkin. Tiedostoja kutsutaan nimellä LSO, Local Shared Objects, joista löytyy tarkemmin kohdasta Evästeet, DOM Storage ja Flash.

Flash (ja muidenkin) selaimen vuotamien tietojen testin voi tehdä osoitteessa http://www.browserleaks.com/. Testien näkökulmana on yksityisyys – mitä tietoa verkkoliikennettä seuraamalla tai www-sivulle jäävistä jäljistä voi päätellä.

Flash Player toimii virusten asennusreittinä valepäivityksiä tai Flash-liitännäisen tietoturva-aukkoja hyödyntämällä. Ohjelmoinnin perusteita ymmärtävä voi tutustua yleisperiaatteisiin tarkemmin tässä.

Flash valepäivityksessä haitallinen verkkosivu antaa virheilmoituksen vanhentuneesta Flash-lisäosasta. Ilmoitus on aidon näköinen, ja käyttäjä uskoo päivittävänsä lisäosan.

Esimerkki hyvin haitallisesta Flash-viruksesta on Dark Hotel. Troijalainen suunnattiin Wlan-verkon kautta kohdennetuille liikematkustajille hotelleissa. Wlan-verkkoon ujuttautunut tekijä tarjoili hotelliasukkaiden selaimelle Flash-päivitystä, joka sisälsi haittaohjelman.

Flash valepäivityksiä ja nollapäivähaavoittuvuuksia on käytetty myös FinSpy ja RCS Galileo vakoiluohjelmien asentamiseen. Seuraavissa kuvissa Hacking Team RCS-vakoiluohjelman (valtiollinen ns. laillinen virus) tukemat Flash-sivustot sekä DarkHotel viruksen Flash valepäivitys. RCS-viruksen asennuksessa hyödynnetään teleoperaattorin tiloissa olevaa palvelinta, joka syöttää valitun käyttäjän Flash-sisältöön viruksen asennuskoodin.

Hacking Team RCS tukemat verkkosivustot

 

DarkHotel FlashPlayer valepäivitys

 

Toinen esimerkki on Flash-haavoittuvuutta sekä JavaScript XSS-hyökkäystä hyödyntävä Simda-botnet. Simdan asennus käynnistyy, kun uhri vierailee verkkosivulla, jonne hyökkääjä on upottanut haitallisen javascriptin. Selain suorittaa huomaamatta komennot, jotka sijaitsevat todellisuudessa aivan toisella verkkosivulla:

 

Vieraalla sivulla oleva scripti hyödyntää FlashPlayer-, Microsoft Silverlight- tai Java tietoturva-aukkoa. Haavoittuvuuden kautta Simda asentuu huomaamattomasti käyttäjän kovalevylle ja käynnistyy:

 

 

Flash-sisältöä voidaan käyttää nerokkaasti myös harmittoman näköisen mainosbannerin kautta (malvertising). Esimerkiksi verkkolehden mainokseen voidaan asentaa Flash-koodia, joka selaimen aukkoa hyödyntäen pääsee koneelle. Pari esimerkkiä Flash-haavoittuvuuksien ja JavaScriptien yhdistelmästä löytyy tästä ja tästä. Nämä ovat harmillisia asennusvektoreita, koska uhri ei voi aavistaa viattoman mainosbannerin haitallisuutta – se voi sijaita luotettavallakin sivustolla. Jälkimmäinen esimerkki käytti hyväkseen myös kolmannen osapuolen evästettä, joka sisälsi osan haittaohjelman parametreista. Selaimen 3rd Party-evästeet on muutoinkin hyvä estää. Mainosbannereita on käytetty myös valtiollisten virusten asennuksessa.

Lisää Flash-haavoittuvuuksia teknisesti: http://malware.dontneedcoffee.com/2015/04/cve-2015-0359-flash-up-to-1700134-and.html

Firefox-selain estää nykyisin Flash sisällön antaen kuitenkin mahdollisuuden sisällön sallimiseen osoiterivin valikosta.

Esimerkinomaisesti, laillinen vakoilutuote FinFisher hyödyntää Flash-sisältöä pääpiireittäin näin (kuva kohdasta 6. tämän sivun ylälaidassa):

1. A target is selected and their name is entered into the Network Injection GUI.
2. The target’s traffic stream is located based on their ISP’s RADIUS records.
3. As per the rule on the network injector, the appliance waits for the target to visit YouTube.
4. When this traffic is identified, it is redirected to the network injection appliance.
5. The legitimate video is blocked and malicious flash (SWF) is injected into the clear-text portion of the traffic.
6. The target is presented with a dialogue to upgrade their flash installation. If this upgrade is accepted the malicious SWF enables the installation of a ‘scout agent’ which provides target validation.
7. If the target is assessed as correct (i.e., the desired person), and safe for install (not a malware analysis honeypot), then the full agent is deployed.
8. Surveillance of the target commences.

Kohdan 7. ’malware analysis honeypot’ vältetään partiolaisagentilla, scout agentilla, joka selvittää onko kohteessa virusten analysointityökaluja. Haittaohjelmien levittäjät eivät halua asentaa troijalaisiaan virustorjuntayhtiöden laboratorioihin.

Flash on yksityisyysriski TOR Verkossa, koska yhteys muodostuu todellisesta IP osoitteesta.

Flash-haittaohjelmilta suojautumiseksi:

• Älä koskaan lataa Flash-päivityksiä siksi, että luotettava www-sivu ehdottaa päivitystä. Päivitykset ladataan vain selaimen lisäosien hallinnan tai ohjauspaneelin kautta (Firefox:ssa Työkalut -> Lisäosat -> Tarkista ovatko liitännäiset ajan tasalla)
• Pidä liitännäiset ajan tasalla – selaimen hallinnan tai hallintapaneelin kautta
• Älä koskaan käytä yllä mainittuja lisäosia TOR Verkon selaimessa. Älä edes harkitse asentavasi niitä.
• Asenna Windowsiin Anti-Exploit sovellus, ja aseta se valvomaan www-selaintasi
• Pidä selaimesi ajan tasalla. Versioita julkaistaan, koska vanhoista on löytynyt aukkoja
• Jos selain varoittaa ”Untrusted connection” tai ”Certificate not trusted”, se todella tarkoittaa epäluotettavaa yhteyttä. Älä jatka. Kokeile myöhemmin tai eri internetliittymästä. Tämä on erityisen vakava varoitus, jos edellisen kerran sivua käyttäessäsi kaikki oli normaalia.  Nämä varoitukset liittyvät mm. man-in-the-middle vakoiluhyökkäyksiin.
• Asenna NoScript -lisäosa Firefoxiin XSS-hyökkäysten suodattamiseksi
• Asenna AdBlock Plus -mainostenestäjä Firefoxiin

Mikäli yllä mainittu ”Untrusted connection”-varoitus ei häviä, tee rauhassa google-hakuja ja selvitä, miksi juuri kyseisen sivuston sertifikaatti on muuttunut epäluotettavaksi.

Flash-asetuksia voi muuttaa maksimaalisen turvallisiksi, joskin sivujen toiminnallisuudet saattavat estyä:

1. Asetukset löytyvät Ohjauspaneelista, usein Järjestelmän turvallisuus kohdasta.

2. Storage -välilehdeltä, valitse Block all sites from storing information on this computer.

Mikäli kaikkien sivujen esto hankaloittaa käyttöä, parempi valinta on Ask me before allowing new sites to save information on this computer. Tämän jälkeen avaa Local Storage Settings by Site, ja syötä niiden verkkosivujen osoitteet joiden sallit/estät tallentavan tietoa.

Painamalla Add-nappia, sivulle voi asettaa joko Allow, Block tai Ask me for permission.

3. Jos haluat kieltää pääsyn kameraan ja mikrofoniin, aseta Camera and Mic -välilehdeltä Block all sites from using camera and microphone.

4. Valitse Playback -välilehdeltä Block all sites from using peer-assisted networking.

5. Updates -välilehdeltä kannattaa asettaa Flash tekemään automaattisesti päivitykset.

Asetukset voi säätää erittäin rajoitetuksi asetustiedostoon, tämä tosin estää useiden sivujen toiminnan kokonaan:

Muuta/luo Flash Playerin asetustiedosto mms.cfg jompaan kumpaan sijaintiin:

• Windows (32Bit): %Windir%\System32\Macromed\Flash\

• Windows (64Bit): C:\Windows\SysWOW64\Macromed\Flash\

Seuraavat rivit mms.cfg tiedostossa estävät socket yhteydet, mikrofonin ja kaiuttimien käytön, tiedostojen latauksen ja talletuksen, kolmannen osapuolen evästeet sekä fonttien listauksen palvelimeen:

DisableSockets=1
AVHardwareDisable=1
DisableDeviceFontEnumeration=1
ThirdPartyStorage=0
LocalStorageLimit=1
AssetCacheSize=0
FileDownloadDisable=1
FileUploadDisable=1
LegacyDomainMatching=1

ThirdPartyStorage, LocalStorageLimit ja AssetCacheSize -rivit voidaan jättää pois ja korvata suorittamalla säännöllinen puhdistus PrivaZer-työkalulla. Näin seurantaevästeet ja turha Flash-sisältö pyyhkiytyy pois kovalevyltä. Normaalikäytössä PrivaZer riittää siivoukseen, asetuksia ei ole tarpeen muokata.