Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2023:windows_-_mark_of_the_web [2024/01/17 00:09]
dmutic stvoreno
+++ racfor_wiki:seminari2023:windows_-_mark_of_the_web [2024/12/05 12:24] (trenutno)
@@ Redak 4: / Redak 4: @@
 ===== Sažetak =====
+U radu će biti opisana Windowsova značajka "mark of the web" (MOTW). Bit će objašnjena polja koja se u njemu nalaze, te način na koji se može provjeriti. Potom će biti objašnjeno kako i tko ga zapisuje te koji su načini zaobilaska MOTW-a. Naposljetku će biti opisan način na koji bi MOTW mogao predstavljati određen (mali) sigurnosni rizik.
+Ključne riječi: windows, mark of the web, sigurnost, MOTW, web, internet, Zone.Identifier
 ===== Uvod =====
@@ Redak 18: / Redak 20: @@
 ===== Opširnije o MOTW-u =====
-Prva vertija MOTW-a potječe iz Internet Explorera. Tada se koristio za označavanje spremljenih web stranica. Na početak spremljene HTML datoteke bio bi dodan komentar <!-–saved from url=...>.
+Prva verzija MOTW-a potječe iz Internet Explorera. Tada se koristio za označavanje spremljenih web stranica. Na početak spremljene HTML datoteke bio bi dodan komentar <!-–saved from url=...>.
 Kasnije je taj mehanizam proširen kako bi mogao označiti datoteke koje nisu HTML. Navedeno je postignuto korištenjem alternativnih toka podataka.
@@ Redak 27: / Redak 29: @@
 ==== Zone.Identifier ====
-Svi tokovi podataka vezani uz datoteku mogu se izlistati naredbom // "Get-Item ./datoteka -Stream *" // [2]
+Svi tokovi podataka vezani uz datoteku mogu se izlistati naredbom [2]
+  Get-Item ./datoteka -Stream *
 Nama je interesantan tok "Zone.Identifier".
-Njegove detalje možemo dohvatiti naredbom // "Get-Content ./datoteka -Stream Zone.Identifier" // [2]
+Njegove detalje možemo dohvatiti naredbom [2]
+  Get-Content ./datoteka -Stream Zone.Identifier
+Rezultati izvršavanja naredbi su vidljivi na slikama 1 i 2.
 Navedeni tok može sadržavati polja: ZoneId , ReferrerUrl i HostUrl.
@@ Redak 42: / Redak 47: @@
 **HostUrl** je url same datoteke na poslužitelju.
+{{ :racfor_wiki:seminari2023:motw-get_item.png?nolink&600 |}}
+''Slika 1. Prikazuje rezultat izvršavanja naredbe Get-Item''
+{{ :racfor_wiki:seminari2023:motw-get_content.png?nolink&600 |}}
+''Slika 2. Prikazuje rezultat izvršavanja naredbe Get-Content''
 ==== Zapisivanje MOTW-a ====
-Iduće pitanje je to zapisuje MOTW.
+Iduće pitanje je tko zapisuje MOTW.
 Danas datoteke s interneta na računalo mogu doći na mnogobrojne načine, npr. preuzimanjem iz preglednika, preuzimanjem s web poslužitelja, preko git naredbe...
@@ Redak 51: / Redak 62: @@
 Naravno neke aplikacije ne implementiraju niti jedan način zapisa MOTW-a (Git) te na datotekama preuzetim iz takvih aplikacija ne postoji MOTW. [4]
+Datoteka koja sadrži MOTW ima zapis svidljiv u svojim svojstvima, prikazano na slici 3.
+{{ :racfor_wiki:seminari2023:motw-zapis_na_datoteci.png?nolink&250 |}}
+''Slika 3. Prikaz svojstva datoteke koja sadrži MOTW''
 ===== Sigurnosne značajke =====
-Sam MOTW nema nikakve sigurnosne značajke. On doprinosi sigurnosti sustava na način da upozorava sustav na moguću opasnost.
+Sam MOTW nema nikakve sigurnosne značajke. On doprinosi sigurnosti sustava tako da upozorava sustav na moguću opasnost.
-Primjer kako windows-i koriste MOTW je prilikom pokretanja exe datoteka. Ako datoteka sadrži MOTW, prije pokretanja, windows defender i antivirusni program će provjeriti je li datoteka na popisu poznatih prijetnji. Uz provjeru antivirusa, korisnik će dobiti još jednu priliku da odustane od pokretanja uz prikaz osnovnih informacija o datoteci tj. izdavaču softwara. [1]
+Primjer kako windows-i koriste MOTW je prilikom pokretanja .exe datoteka. Ako datoteka sadrži MOTW, prije pokretanja, windows defender i antivirusni program će provjeriti je li datoteka na popisu poznatih prijetnji. Uz provjeru antivirusa, korisnik će dobiti još jednu priliku da odustane od pokretanja uz prikaz osnovnih informacija o datoteci tj. izdavaču programa. [1] Navedeno ponašanje je prikazano slikom 4.
 Još jedan primjer su programi ms office. Otvaranjem bilo koje datoteke s MOTW, ms office prikazuje sadržaj u zaštićenom pogledu. Uz taj prikaz, od 2022 godine, ms office blokira izvršavanje svih macro naredbi. [1]
+{{ :racfor_wiki:seminari2023:motw-exe.png?nolink&400 |}}
+''Slika 4. Prikazuje okvir upozorenja koji se otvara prilikom pokretanja .exe datoteke koja sadrži MOTW''
 ===== Sigurnosni problemi =====
+==== Zaobilaženje MOTW-a ====
-===== Poglavlje ... =====
+Postoji više načina na koji se datoteka može preuzeti preko interneta, a da tok Zone.Identifier ne bude postavljen.
+Prvi način je korištenje programa koji ne postavljaju MOTW. Kao što je ranije navedeno, windows ne postavlja MOTW već njegovo postavljanje prepušta aplikaciji koja sadržaj preuzima.
+Neki od primjera aplikacija koje ne postavljaju MOTW su git i discord. [2]
+Drugi način zaobilaska MOTW je korištenje komprimiranih datoteka. Konkretno korištenje alata za raspakiravanje kao što su WinRAR ili 7zip.
+Same komprimirane datoteke, ako su skinute kroz aplikaciju koja podržava MOTW, sadrže tok Zone.Identifier. Do problema dolazi prilikom raspakiravanja takvih datoteka.
+Program za dekomprimiranje bi trebao MOTW kopirati s arhivne datoteka na sve raspakirane datoteka, ali on to u pravilu ne radi. [2]
+Još jedan način zaobilaska postavljanja MOTW je korištenje datoteka "kontejnera", tj. datoteka koje koriste drugačiji oblik zapisa.
+Konkretno riječ je o .iso, i .vhd datotekama te o USB stiku koji koristi FAT32 datotečni sustav.
+Naime, jedino NTFS datotečni sustav podržava dodatne tokove podataka dok drugi sustavi samo odbacuju višak koji ne koriste. [2][5]
+==== Opasnosti MOTW-a ====
+MOTW sam po sebi nije pre kompliciran te stoga uglavnom ne uvodi neke velike sigurnosne propuste.
+Jedan propust kojega je uveo bio je u pogledu izlaganja povjerljivih informacija. Prilikom pohrane dodatnog toka zapisuje se i url adresa stranice (uključivo s query parametrima).
+U toj adresi mogu biti zapisane povjerljive informacije kao što su korisničko ime i lozinka ili api ključ isl. Općenito nije dobra praksa prenositi osjetljive podatke u adresi zahtjeva, ali neke stranice to još uvijek čine.
+Nadalje pojavio se i problem zapisa korisničkih vjerodajnica prilikom pristupa ftp serveru (npr. <!--saved from url=ftp://username:secretpassword@host.com –>). [1] Taj problem više ne bi trebao biti aktualna zato što se koristi dodatni tok podataka.
+Navedeni problemi nisu presudni pošto bi napadač morao imati pristup datoteci u datotečnom sustavu žrtve, a ako je to istina onda žrtva vjerojatno ima puno većih problema od krađe vjerodajnica na ionako nesigurnoj stranici.
 ===== Zaključak =====
+Mark of the web je istovremeno vrlo jednostavan i vrlo bitan sustav zaštite. Iako sam po sebi ne štiti korisnika, u kombinaciji s ograničenjima sustava i provjerom antivirusnih programa, postao je neophodan alat za borbu protiv zloćudnih aplikacija.
+U današnje vrijeme bitno je naglasiti da sam MOTW (uz popratnu sigurnost) nije dovoljna zaštita. Kao što je navedeno u ovom radu, postoji više (jednostavnih) načina na koji se može zaobići. Stoga je potrebno obratiti pozornost na preuzete datoteke koje bi mogle izbjeći Windowsovu zaštitu.
+U pogledu forenzike, MOTW nam omogućuje otkrivanje izvora datoteka, ali otkrivene rezultate trebamo uzeti uz dozu opreza. MOTW se vrlo jednostavno ukloni ili čak lažira te bi se u forenzici mogao koristiti prvenstveno kao orijentir, a ne kao sigurna činjenica.
 ===== Literatura =====
@@ Redak 82: / Redak 119: @@
 [4] [[https://redcanary.com/blog/iso-files/]]
+[5] [[https://attack.mitre.org/techniques/T1553/005/]]

racfor_wiki/seminari2023/windows_-_mark_of_the_web.1705450158.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)