Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Risico's van WebRTC
Wat is het risico? Via WebRTC kan een webserver jouw lokale interne IP-adres vaststellen. Voor veel mensen zal dit een RFC1918 adres zijn (uit de reeksen 192.168.x.x, 172.16.0.0 t/m 172.31.255.255, 10.x.x.x). Zo'n adres krijg je als je achter een "NAT-router" zit (feitelijk PNAT).
Waarom zou iemand dat willen weten?
1) Nauwkeuriger pinpointen wie precies vanachter een publiek IP-adres een site bezoekt (privacy risico)
2) Eenvoudiger kunnen zien wat jouw subnet is en gokken van bijvoorbeeld het interne IP-adres van jouw router/modem, NAS device etc. (security risico). Met de toename van lokaal genetwerkte devices (IoT, Internet of Things) nemen de risico's dan alleen maar toe, vooral als het default beheerwachtwoord daarop niet gewijzigd is of gegevens zonder wachtwoord kunnen worden opgevraagd of zelfs gewijzigd.
Aanvulling 13:05: wat WebRTC is, en het extra risico dat dit betekent voor VPN en TOR gebruikers, lees je in https://en.wikipedia.org/wiki/WebRTC#Concerns.
Opmerkingen bij punt 2: lokale IP-adressen kunnen ook in de headers van e-mails worden gelekt. Het niet kennen van jouw lokale IP-adres betekent niet dat een aanvaller, via jouw web browser (met name met plugins daarin), geen informatie over devices aan jouw interne netwerk kan vergaren. Maar met de kennis van het interne IP-adres van jouiw PC wordt dat wel makkelijker.
Nieuws: https://webrtchacks.com/dear-ny-times/ beschrijft in detail hoe de New York Times gebruik maakt van WebRTC om jouw lokale IP-adres te bepalen. Daarover loopt een discussie bij Reddit: https://www.reddit.com/r/netsec/comments/3dgwee/how_the_new_york_times_uses_webrtc_to_gather/.
Volgens die discussie bestaat er een Chrome plugin die je hiertegen beschermt (https://chrome.google.com/webstore/detail/webrtc-block/nphkkbaidamjmhfanlpblblcadhfbkdm), maar dat zou niet kloppen volgens diafygi in https://www.reddit.com/r/netsec/comments/3dgwee/how_the_new_york_times_uses_webrtc_to_gather/ct56zj9. Daarbij verwijst diafygi naar een de beschrijving van een POC in https://github.com/diafygi/webrtc-ips.
Die POC zelf vind je in https://diafygi.github.io/webrtc-ips/ (als jouw browser kwetsbaar is zie je ook jouw lokale IP-adres verschijnen - de aanvaller kan dat natuurlijk net zo goed niet tonen en via bijv. een POST commando, onopgemerkt door jou, naar de server sturen). Vergelijkbare checks vind je in http://net.ipcalf.com/ en https://www.browserleaks.com/webrtc.
Onderaan mijn bijdrage eerder deze week https://www.security.nl/posting/435417/Facebook-topman+wil+dat+Adobe+stopt+met+Flash#posting435462 noemde ik al WebRTC, en eind 2014 schreef Anoniem al in https://www.security.nl/posting/410482/Mozilla+dicht+9+lekken+in+Firefox+34+en+schakelt+SSLv3+uit#posting410492 hoe je WebRTC in Firefox kunt uitschakelen:
Weet iemand hoe je de POC https://diafygi.github.io/webrtc-ips/ blokkeert in Chrome?
Waarom zou iemand dat willen weten?
1) Nauwkeuriger pinpointen wie precies vanachter een publiek IP-adres een site bezoekt (privacy risico)
2) Eenvoudiger kunnen zien wat jouw subnet is en gokken van bijvoorbeeld het interne IP-adres van jouw router/modem, NAS device etc. (security risico). Met de toename van lokaal genetwerkte devices (IoT, Internet of Things) nemen de risico's dan alleen maar toe, vooral als het default beheerwachtwoord daarop niet gewijzigd is of gegevens zonder wachtwoord kunnen worden opgevraagd of zelfs gewijzigd.
Aanvulling 13:05: wat WebRTC is, en het extra risico dat dit betekent voor VPN en TOR gebruikers, lees je in https://en.wikipedia.org/wiki/WebRTC#Concerns.
Opmerkingen bij punt 2: lokale IP-adressen kunnen ook in de headers van e-mails worden gelekt. Het niet kennen van jouw lokale IP-adres betekent niet dat een aanvaller, via jouw web browser (met name met plugins daarin), geen informatie over devices aan jouw interne netwerk kan vergaren. Maar met de kennis van het interne IP-adres van jouiw PC wordt dat wel makkelijker.
Nieuws: https://webrtchacks.com/dear-ny-times/ beschrijft in detail hoe de New York Times gebruik maakt van WebRTC om jouw lokale IP-adres te bepalen. Daarover loopt een discussie bij Reddit: https://www.reddit.com/r/netsec/comments/3dgwee/how_the_new_york_times_uses_webrtc_to_gather/.
Volgens die discussie bestaat er een Chrome plugin die je hiertegen beschermt (https://chrome.google.com/webstore/detail/webrtc-block/nphkkbaidamjmhfanlpblblcadhfbkdm), maar dat zou niet kloppen volgens diafygi in https://www.reddit.com/r/netsec/comments/3dgwee/how_the_new_york_times_uses_webrtc_to_gather/ct56zj9. Daarbij verwijst diafygi naar een de beschrijving van een POC in https://github.com/diafygi/webrtc-ips.
Die POC zelf vind je in https://diafygi.github.io/webrtc-ips/ (als jouw browser kwetsbaar is zie je ook jouw lokale IP-adres verschijnen - de aanvaller kan dat natuurlijk net zo goed niet tonen en via bijv. een POST commando, onopgemerkt door jou, naar de server sturen). Vergelijkbare checks vind je in http://net.ipcalf.com/ en https://www.browserleaks.com/webrtc.
Onderaan mijn bijdrage eerder deze week https://www.security.nl/posting/435417/Facebook-topman+wil+dat+Adobe+stopt+met+Flash#posting435462 noemde ik al WebRTC, en eind 2014 schreef Anoniem al in https://www.security.nl/posting/410482/Mozilla+dicht+9+lekken+in+Firefox+34+en+schakelt+SSLv3+uit#posting410492 hoe je WebRTC in Firefox kunt uitschakelen:
02-12-2014, 10:59 door Anoniem: Onder "about:config"
Zoek op
media.peerconnection.enabled
Die staat op true, dubbelklik op die regel is omzetten naar (false)
Zoek op
media.peerconnection.enabled
Die staat op true, dubbelklik op die regel is omzetten naar (false)
Weet iemand hoe je de POC https://diafygi.github.io/webrtc-ips/ blokkeert in Chrome?
Reacties (7)
Schitterende literatuurstudie weer
https://en.wikipedia.org/wiki/WebRTC#Concerns
Wanneer ga je nou een keer Torbrowser downloaden, installeren, bekijken de bijbehorende instructies èn het bijbehorende Faq lezen?
Zeer gewenst bij terugkerende 'boekenwijsheid' aangaande Tor, dan is het namelijk een keer concreet en had je ook kunnen zien dat onder de about:config van Tor dit te vinden is.
Standaard setting, nergens buiten de about config een setting te vinden die dat kan inschakelen.
Webrtc wordt namelijk niet gebruikt in Torbrowser.
Dag zorgjes,
dag Torrentblah
Groet, 02-12-2014, 10:59 door Anoniem
(Firefox, Torbrowser en diverse andere browsers gebruiker)
P.s., nogal ondergesneeuwd, een ander belangrijk privacy iets dat voor 'iedereen geldt' , namelijk hardware profiling (device fingerprinting) op basis van webrtc waardoor je zonder koekies te herkennen bent.
Kookies kan je wissen, je hardware profiel niet (zo makkelijk).
https://www.browserleaks.com/webrtc
(menu'tjes onderaan uitklappen!)
https://en.wikipedia.org/wiki/WebRTC#Concerns
Concerns
In January 2015, TorrentFreak reported that browsers supporting WebRTC suffer from a serious security flaw that compromises the security of VPN-tunnels, by allowing the true IP address of the user to be read.[17] The IP address read requests are not visible in the browser's developer console, and they are not blocked by common ad blocking/privacy plugins (enabling online tracking by advertisers and other entities despite precautions).[18]
In January 2015, TorrentFreak reported that browsers supporting WebRTC suffer from a serious security flaw that compromises the security of VPN-tunnels, by allowing the true IP address of the user to be read.[17] The IP address read requests are not visible in the browser's developer console, and they are not blocked by common ad blocking/privacy plugins (enabling online tracking by advertisers and other entities despite precautions).[18]
Wanneer ga je nou een keer Torbrowser downloaden, installeren, bekijken de bijbehorende instructies èn het bijbehorende Faq lezen?
Zeer gewenst bij terugkerende 'boekenwijsheid' aangaande Tor, dan is het namelijk een keer concreet en had je ook kunnen zien dat onder de about:config van Tor dit te vinden is.
media.peerconnection.enabled;false
Standaard setting, nergens buiten de about config een setting te vinden die dat kan inschakelen.
Webrtc wordt namelijk niet gebruikt in Torbrowser.
Dag zorgjes,
dag Torrentblah
Groet, 02-12-2014, 10:59 door Anoniem
(Firefox, Torbrowser en diverse andere browsers gebruiker)
P.s., nogal ondergesneeuwd, een ander belangrijk privacy iets dat voor 'iedereen geldt' , namelijk hardware profiling (device fingerprinting) op basis van webrtc waardoor je zonder koekies te herkennen bent.
Kookies kan je wissen, je hardware profiel niet (zo makkelijk).
https://www.browserleaks.com/webrtc
(menu'tjes onderaan uitklappen!)
Erik, lijkt allemaal wel mee te vallen in geval van ny times. Zie https://news.ycombinator.com/item?id=9893561 en https://github.com/EFForg/privacybadgerchrome/issues/431#issuecomment-121360707
16-07-2015, 20:20 door
karma4
Het doel van webrtc is gebeld kunnen worden vanuit buiten op je browser zonder centrale control-servers die het verkeer reguleren. Het is je smartphone vervanging voor spraak. Je smartphone is publiekelijk benaderdbaar, dus webrtc moet dat doel ook bereiken. welke van de twee alternatieven is onveiliger? Gaarne A/B testing en evaluatie.
chrome://flags/#enable-webrtc-stun-origin
edit:
Voor Android:
chrome://flags/#disable-webrtc
Door Anoniem: NO WEBRTC LEAK
NO CANVAS FINGERPRINTINGS
https://www.epicbrowser.com
NO CANVAS FINGERPRINTINGS
https://www.epicbrowser.com
Met èchte privacy
https://www.torproject.org/download/download-easy.html.en
En zonder ingebouwde zoekresultaten lijsten van sponsors
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
