Globale Studie zu Webbrowser-Sicherheit und die Patching-Performance von Microsoft vs. Apple

Transkript

1 World Wild Web Globale Studie zu Webbrowser-Sicherheit und die Patching-Performance von Microsoft vs. Apple 10. Sept. 2008, Tagung ISBD/ISBO/IM/ICB, Ittigen bei Bern Dr. Thomas Dübendorfer, CISSP Präsident, Information Security Society Switzerland ISSS, Software Engineer Tech Lead, Google Switzerland GmbH

2 Agenda Gefahren aus dem Web Wieso Millionen von Webseiten ihre Besucher angreifen Studie Understanding the Web browser threat Wie viele Internetbenutzer surfen im Web ohne einen aktuellen und gepatchten Webbrowser? Studie 0-Day Patch - Exposing Vendors (In)security Performance Wie gut schneiden Microsoft und Apple beim Patchen von Sicherheitsschwachstellen ab? 2008 Thomas Dübendorfer TD0809H

3 Gefahren aus dem Web Wieso Millionen von Webseiten ihre Besucher angreifen Source: istockphoto

4 Quiz Was haben diese Webseiten gemeinsam? Department of Homeland Security United Nations UK Civil Service Funjet Vacations Howaboutlunch.ch (Blind Dating Dienst) Swiss TrendNet Support Knowledge Base 2008 Thomas Dübendorfer TD0809H

5 Sie wurden alle gehackt im April und 510,000 weitere Webseiten (.ASP SQL injection) Referenz: Thomas Dübendorfer TD0809H

6 Eine bösartige Webseite (wurde gehackt) <iframe src= " width=1 height=1 style="visibility: hidden"> </iframe> Hinweis: Webmaster wurde informiert. Letzter Check: 11. Juni Thomas Dübendorfer TD0809H

7 Welche Malware wird installiert? CA:<Trojan:Win32/SilentCaller.V> Wählt eine (teure) Internet Dial-up -Verbindung. Internetverkehr kann aufgezeichnet werden durch Angreifer. Teilweise Umleitung auf Porn-Websites. Sophos:<Guru/EncPk-BP> Keylogging und andere bösartige Aktivitäten. Sophos:<Mal/DownLdr-O>, Sophos:<Guru/TibsPk-XX> Trojaner für Windows. Beide laden Programmcode nach. Sophos:<Troj/Agent-GWW> Installation als Taskmon.exe, startet mit Windows. Und noch weitere Malware wird installiert: Sophos:<Mal/Heuri-E>, TrendMicro:<TROJ_JPGEMBED.A>, TrendMicro:<WORM_NUCRP.GEN>, TrendMicro:<WORM_NUCRYPT.GEN>, Thomas Dübendorfer TD0809H

8 Preise im Internet-Untergrund (Symantec) Referenz: Symantec Corporation, Threat Report 2007, publiziert April Thomas Dübendorfer TD0809H

9 Fremdinhalte in Webseiten Hinweis: Abgebildete Webseite wurde angepasst zur besseren Illustration. Werbung Wahl eines vertrauenswürdigen Werbeanbieters! Benutzerinhalte (Forumbeiträge, Bilder) Eingaben immer auf Schadcode prüfen. Widgets (Besucherzähler, Skripts) Geprüften Code auf eigenem Server! Webmaster hat wenig oder keine Kontrolle über Fremdinhalte! 2008 Thomas Dübendorfer TD0809H

10 Bösartige Webseiten (URLs) Über 3 Millionen Webseiten (URLs) sind als bösartig bekannt. Diese initiieren einen Drive-By-Download von Schadsoftware. Bösartige URLs und Domains werden mit einer Warnung versehen auf der Suchresultatseite von Google. Quelle: Google 2008, provos-2008a.pdf 2008 Thomas Dübendorfer TD0809H

11 Google Suchanfragen mit mindestens einer bösartigen Webseite in den Suchresultaten 1.3% März 2007 Juli 2008 Okt Jan Referenz: Google 2008, Thomas Dübendorfer TD0809H

12 Anteil bösartiger URLs nach Inhaltskategorie Referenz: Google 2008, Thomas Dübendorfer TD0809H

13 Understanding the Web browser threat Wie viele Internetbenutzer surfen im Web ohne einen aktuellen und gepatchten Webbrowser? Stefan Frei 1, Thomas Duebendorfer 2, Gunter Ollmann 3, Martin May 1 1 ETH Zurich, 2 Google Switzerland GmbH, 3 IBM Internet Security Systems, USA Download der Studie:

14 Webbrowser im täglichen Gebrauch Safari Opera 3.4% 0.8% 1.4% Andere Browser Firefox 16.1% Internet Explorer % Internet Explorer Milliarden Internetnutzer weltweit Referenz: Internet World Statistics, % Internet Explorer w/o IE7 Referenz: thecounter.com, 2. Juni Thomas Dübendorfer TD0809H

15 Browser-Schwachstellen Im Browser selbst (built-in; Fokus der Studie) Zusätzliche Schwachstellen in Plug-ins Periodische Patches der Hersteller beheben die bekannten Schwachstellen 2008 Thomas Dübendorfer TD0809H

16 Browser-Schwachstellen nach Gefährdung (1. Jan Juni 2008) 2 9% 8 36% 0% IE 7.x Firefox 2.0.x Safari 3.x 3 14% 9 41% 9 47% 0% 4 21% % 11% 0% 2 67% 0% 1 33% 0% Opera 9.x 0 % 7 64% 0% 2 18% 2 18% 1 (not critical) 2 (less critical) 3 (moderatley critical) 4 (highly critical) 5 (extremely critical) Referenz: Secunia, 2. Juni 2008 Schwachstellen ohne Patch nach Gefährdungsgrad (2. Juni 2008) Internet Explorer 7.x Firefox 2.0.x Safari 3.x Opera 9.x Thomas Dübendorfer TD0809H

17 Methodologie HTTP USER-AGENT Feld identifiziert Browserversion (beim Besuch jeder Webseite vom Browser mitgeschickt) User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv: ) Gecko/ Firefox/ Analysierte Daten: anonymisierte Besucherlogs der Google Websites im Zeitraum 1. Jan Juni Thomas Dübendorfer TD0809H

18 Methodologie (Fortsetzung) Jeden aktiven Browser pro Tag nur einmal zählen; Google PREF cookie zur Reduktion von Mehrfachzählungen verwendet Statistik: Arbeitstage Mo-Fr (Wochenende leicht anders) Fokus auf major und minor Versionen der Browser; Plugins nicht untersucht. neuester Browser = sicherster Browser Neueste Browser haben die meisten bekannten Schwachstellen behoben Neueste Browser haben zusätzliche Sicherheitsfeatures 2008 Thomas Dübendorfer TD0809H

19 Ist Internet Explorer 7 der sicherste IE? There are dangers that simply didn't exist back in 2001, when Internet Explorer 6 was released to the world. Internet Explorer 7 makes surfing the web fundamentally safer by offering greater protection against viruses, spyware, and other online risks. Sandi Hardmeier, Microsoft Professional, 2008 IE 7 hat neue Sicherheitsfeatures Phishing-Filter Erweiterte Zertifikatsprüfung Opt-In für Add-ons IE5 und IE6 werden von Microsoft noch unterstützt, haben aber diese neuen Sicherheitsfeatures nicht. Referenz: Thomas Dübendorfer TD0809H

20 Webbrowser: Dynamik der Majorversionen Anteil der neuesten Version (%) Neueste Major Version pro Browsertyp Benutzergruppe FF1.5: end of support (May 30th) First FF2 security patch (July 17th) Mac OS Tiger (Nov 14th) Mac OS Tiger (June 20th) offers Safari 3 out of beta Mac OS Leopard (Nov 15th) Mac OS Leopard (Oct 26th) offers Safari 3 out of beta 2008 Thomas Dübendorfer TD0809H

21 Max. Anteil neueste Browser-Major-Version 100% 80% 60% 40% 20% 0% 52.5 Internet Explorer IE7 FF2 SF3 OP9 Firefox Safari Opera Andere Versionen Neueste Majorvers. Referenz: Google, Jan to Juni 2008 Für Safari: Dez to Juni Thomas Dübendorfer TD0809H

22 Max. Benutzeranteil sicherste Browservers. 100% 80% 60% 40% 20% 0% Internet Explorer Firefox Safari Opera Andere weniger sichere Verisonen Sicherste Browser- Version Sicherste Version = Neueste Major- Version mit allen Patches installiert Referenz: Google, Jan bis Juni 2008 Für Safari: Dez bis Juni 2008 Für % ungepatcher IE 7: Secunia PSI, Google 2008 Thomas Dübendorfer TD0809H

23 Insecurity iceberg 637 Millionen (or 45.2%) Internetbenutzer surfen im Web ohne die neueste und voll gepatchte Version ihres Browsers! Referenzen: Google, thecounter.com, Secunia PSI, Juni Thomas Dübendorfer TD0809H

24 Medienspiegel 20,000 Downloads unserer Studie in einer Woche 2008 Thomas Dübendorfer TD0809H

25 2008 Thomas Dübendorfer TD0809H

26 637 Millionen Ausreden Heimbenutzer: Ich habe nichts auf meinem PC, das man stehlen könnte. Wer würde mich schon angreifen wollen? Ich surfe nur auf sichere Webseiten ohne XXX Inhalte. Ich benutze Win 98 and IE5. Kein Hacker interessiert sich für so alte Systeme. Ich will nicht upgraden auf den neuesten IE, weil ich kein neues Benutzerinterface lernen will. Geschäftskunden: Wir können nicht upgraden, weil unsere Intranetapplikationen mit IE7 nicht kompatibel sind. Ich kann nicht auf IE7 upgraden, weil Windows 2000 nicht unterstützt wird Thomas Dübendorfer TD0809H

27 Industrie- Standard : Kompatibilität, nicht primär Sicherheit 2008 Thomas Dübendorfer TD0809H

28 Verfalldatum für Webbrowser Der Browser könnte den Benutzer auf kritische Updates hinweisen. Populäre Webseiten könnten den Benutzer warnen vor fehlenden Patches Thomas Dübendorfer TD0809H

29 Yahoo! empfiehlt Browser Upgrade Nur ca. vier Wochen nach unserer Studie hat Yahoo! bereits unsere Empfehlung zum Verfalldatum implementiert (für Firefox) Thomas Dübendorfer TD0809H

30 Google s Web Browser Chrome Jedes Browser Tab ist ein eigener Prozess mit minimalen Rechten Plugins ebenfalls in eigenen Prozessen; Problem: unsichere Plugins Anti-Phishing- und Anti-Malware- Chrome: verfügbar seit :00 CEST Filter integriert mit ständigen Updates Klare Warnungen bei falschen SSL/TLS- Zertifikaten Privacy nach Wahl: Freie Wahl der Suchmaschine und Möglichkeit der Abschaltung aller Google Mehrwertdienste des Browsers Download: Thomas Dübendorfer TD0809H

31 Studie 0-Day Patch - Exposing Vendors (In)security Performance Wie gut schneiden Microsoft und Apple beim Patchen von Sicherheitsschwachstellen ab? Forschungsstudie publiziert an der BlackHat Europe, März 2008 Stefan Frei, Bernhard Tellenbach, Bernhard Plattner (ETH Zürich) Download der Studie:

32 Microsoft: # ungepatchte Schwachstellen Win Server 2003 (24. April 2003) WinXP SP1 (9. Sept. 2002) Win Server 2003 SP1 (30. März 2005) WinXP SP2 (6. Aug. 2004) Win Server 2003 R2 (6. Dez. 2005) Win Server 2003 SP2 (13. März 2007) Win Vista (30. Jan. 2007) Y-Achse: Anzahl ungepatchter Schwachstellen X-Achse: Zeit (Jahr) Entwicklung der Anzahl ungepatchter Schwachstellen (täglich) 2008 Thomas Dübendorfer TD0809H

33 Apple: # ungepatchte Schwachstellen Apple iphone release (USA) (29. Juni 2007) Y-Achse: Anzahl ungepatchter Schwachstellen X-Achse: Zeit (Jahr) OSX 10.3 Panther (23. Oktober 2003) OSX 10.4 Tiger (29. April 2005) OSX 10.5 Leopard (26. Oktober 2007) verzögert wegen iphone Entwicklung der Anzahl ungepatchter Schwachstellen (täglich) 2008 Thomas Dübendorfer TD0809H

34 # ungepatchte Schwachstellen: Apple vs. Microsoft Apple 20 Y-Achse: Anzahl ungepatchter Schwachstellen X-Achse: Zeit (Jahr) Microsoft Anzahl ungepatchter Sicherheits- Schwachstellen (Trend): Apple: ansteigend Microsoft: stabil 2008 Thomas Dübendorfer TD0809H

35 0-Day Patch -Metrik Empirische Daten für Microsoft und Apple Alle vom Hersteller gepatchten Schwachstellen mit hohem und mittlerem Risiko von 2002 bis 2007 Security Patch = Software, welche eine Sicherheitsschwachstelle eliminiert Nur hohes und mittleres Risiko betracht: es handelt sich somit um ein relevantes Sicherheitsrisiko Definition 0-Day Patch Ein Patch, welcher am selben Tag verfügbar ist, wie die Sicherheitsschwachstelle öffentlich bekannt wird: Patch release date vulnerability disclosure date = 0 days 2008 Thomas Dübendorfer TD0809H

36 0-day patch: Microsoft Anteil verfügbarer Patches (täglich) über ein 360 Tage rückblickendes Zeitfenster 0% 20% 40% 60% 80% 100% WinXP SP1 ( ) WinSrv 2003 ( ) WinXP SP2 ( ) WinSrv 2003 SP1 ( ) WinSrv 2003 R2 ( ) Win Vista ( ) 180 days 90 days 30 days 0 day WinSrv 2003 SP2 ( ) 2008 Thomas Dübendorfer TD0809H

37 0-day patch: Apple Anteil verfügbarer Patches (täglich) über ein 360 Tage rückblickendes Zeitfenster 0% 20% 40% 60% 80% 100% days 90 days 30 days 0 day OS X 10.2 Jaguar ( ) OS X 10.3 Panther ( ) OS X 10.4 Tiger ( ) iphone ( ) OS X 10.5 Leopard ( ) 2008 Thomas Dübendorfer TD0809H

38 0-day patch: Apple vs. Microsoft 20% 40% 60% 80% 100% 0% 20% 40% 60% 80% 100% Apple Microsoft Y-Achse: Anteil Schwachstellen, die gepatcht wurden in weniger als: 180 Tagen 90 Tagen 30 Tagen 0 Tagen (= 0-day) X-Achse: Zeit (Jahre) # Schwachstellen Apple: 738 Microsoft: 658 0% Thomas Dübendorfer TD0809H

39 Besten Dank für Ihre Aufmerksamkeit! Dr. Thomas Dübendorfer, Studie Understanding the Web browser threat :