Comparando Man-in-the-Middle con Man-in-the-Browser

El software malicioso que entró en el navegador puede capturar y alterar cualquier información que contenga el navegador; si lo ve o lo escribe, entonces el malware lo ve, y el malware puede "escribir" otros valores. Ese es tu destino.

SSL (HTTPS) solo protege los datos en tránsito , entre el navegador y el servidor. Asegura que ningún forastero pueda echar un vistazo a los datos y / o alterarlos. Pero el malware que se encuentra en el navegador (o en el propio sistema operativo) es un insider y SSL no es relevante para él.

La mejor defensa contra el malware, posiblemente la defensa only , es no permitir que el malware ingrese a su máquina. No instale software que no sea de una fuente confiable; mantenga su sistema operativo y navegador completamente actualizados con respecto a las correcciones de seguridad publicadas; y reza. Oh sí, reza mucho.

Si el atacante controla tu computadora, ya no es tuyo. No tienes control ni seguridad. La defensa está matando el sistema desde la órbita y reconstruyéndolo sin la vulnerabilidad.

Las medidas preventivas básicas, como mantener todo parchado, mantener sus definiciones de AV actualizadas y tener cuidado con las aplicaciones que permite que su máquina ejecute. También encontré que una compañía llamada Trusteer tiene un producto para ayudar a combatir los ataques MITB. No lo he usado personalmente, así que todavía no puedo responder por ello. Al final, una vez que tenga malware en su máquina, la única forma de asegurarse de que se libere es reiniciarlo.

EDITAR: (para responder sobre lo que los desarrolladores podrían hacer) Si el atacante controla el navegador web, no hay nada que puedas hacer para eliminar los datos, ya que verán todo. Puede intentar ejecutar su aplicación en un navegador infectado para ver si puede detectar un ataque MITB usando JavaScript o las herramientas disponibles y luego cerrar todas las solicitudes si se detecta.

Para fines de autenticación, el desarrollador podría implementar algún tipo de autenticación de 2 factores, como google authenticator , requiere un El certificado debe instalarse en la máquina cliente o requiere que se inserte una tarjeta inteligente en la máquina.

Google Authenticator es probablemente la cosa más fácil de hacer, pero el usuario todavía tiene que escribir su código de autenticación, el atacante tendrá menos de un minuto para usarlo, por lo que tendría que estar sentado allí esperando, también se podría escribir en una aplicación para encontrar el campo de código de autenticación y utilizarlo.

La instalación de un certificado en la máquina del usuario ayudaría, sin embargo, si su máquina está comprometida, el atacante puede obtener el certificado y abusar de él. También sería una molestia para el cliente utilizar otras computadoras para acceder a su sitio, ya que necesitarían instalar un certificado en cada computadora que usen y garantizo que al menos una de ellas lo instalará en una computadora pública en una biblioteca o cibercafé.

Requerir que inserten una tarjeta inteligente es bueno, pero a menos que obtenga un valor REAL de su sitio, no estoy comprando una tarjeta inteligente solo para acceder a ella y buena suerte al intentar convencer a su gente de negocios de que compre una tarjeta inteligente para cada cliente.

Una mejor administración de certificados es un tema de actualidad, considerando las infracciones recientes en las que se usaron los certificados para comprometer los sistemas. Hay algunas herramientas disponibles para realizar el hashing y analizar el certificado y mantener una parte en una unidad USB y otra en un contenedor de archivos seguro en su máquina. No es realmente conveniente y es probable que los únicos adoptantes sean desarrolladores. Hay una compañía que ha apuntado su tecnología al almacenamiento de certificados, wwpass . Me encontré con ellos en el show de RSA y me detuve a beber el kool-aid. Usando el comportamiento de tipo de tarjeta inteligente, el token de hardware se convierte en su dispositivo criptográfico personal y le permite importar certificados, cifrarlos y luego dispersarlos en la nube. De esta manera, nunca tendrá que almacenar sus certificados en una máquina local o en una memoria USB, los certificados se trocean, se trocean y se dispersan. Solo el usuario con token puede descifrar los fragmentos y presentar los certificados.