Como o seu navegador se tornou um malware socialmente aceito

Transcript

1. Como o seu navegador se Como o seu navegador se

   tornou um malware tornou um malware socialmente aceito socialmente aceito Guilherme Baptista CryptoRave 2019, Brasil. 1

2. Agenda Agenda Navegadores e os 4 níves da internet; Malwares,

   trackers, publicidade e JavaScript; Proteções conhecidas; Novos níveis de proteção; Como fazer parte; Demonstração ao vivo. 2

3. Quais são os Quais são os navegadores mais navegadores mais

   populares no Brasil? populares no Brasil? http://gs.statcounter.com/browser-market- share/all/brazil 3

4. 80% 80% Google Chrome Google Chrome 4

5. 5% 5% Mozilla Firefox Mozilla Firefox 5

6. 5% 5% Apple Safari Apple Safari 6

7. 2% 2% Opera Opera 7

8. 1% 1% Microsoft Edge e Microsoft Edge e Internet Explorer

   Internet Explorer 8

9. Quase 90% 90% da internet é acessada por navegadores de

   "código aberto" "código aberto". . 9

10. BSD ~ MIT BSD ~ MIT Chromium Chromium (Google Chrome)

    10

11. MPL MPL Mozilla Firefox Mozilla Firefox 11

12. E por quê isso E por quê isso importa? importa?

    12

13. A importância do A importância do software livre software livre

    13

14. Código aberto não não signi ca software livre. 14

15. As 4 As 4 liberdades liberdades de um software livre.

    15

16. 0 0 Usar para qualquer Usar para qualquer propósito. propósito.

    16

17. 1 1 Estudar e adapdar Estudar e adapdar para as

    suas para as suas necessidades. necessidades. 17

18. 2 2 Redistribuir cópias Redistribuir cópias livremente. livremente. 18

19. 3 3 Modificar e distribuir Modificar e distribuir as modificações.

    as modificações. 19

20. Gratuito não não signi ca livre. 20

21. Google Chrome é gratuito. gratuito. Não é livre. 21

22. Chromium é livre. livre. 22

23. Mozilla Firefox é livre. livre. 23

24. Cenário promissor em direção à liberdade. liberdade. 24

25. É o suficiente? É o suficiente? 25

26. Os 4 níveis da internet Os 4 níveis da internet

    26

27. Nível 1 Nível 1 Transferência de dados entre Transferência de

    dados entre computadores. computadores. 27

28. Transferência de Transferência de arquivos arquivos http://site.com.br/Documento.txt 28

29. Documento.txt Documento.txt DOCUMENTO PÚBLICO Este é um exemplo de documento

    com texto puro. 29

30. wget http://site.com.br/Documento.txt --2019-05-01 18:55:51-- http://site.com.br/Documento.txt Resolving site.com.br (site.com.br)... 192.241.176.17 Connecting

    to site.com.br (site.com.br)|192.241.176.17|:80... Connected. HTTP request sent, awaiting response... 200 OK Length: 1782 (1,7K) [text/plain] Saving to: ‘Documento.txt’ Documento.txt 100%[=====>] 1,74K --.-KB/s in 0s 2019-05-01 18:55:51 (83,0 MB/s) ‘Documento.txt’ saved [1782/1782] 30

31. 31

32. Editor de textos: Editor de textos: DOCUMENTO PÚBLICO Este é

    um exemplo de documento com texto puro. 32

33. 2014 2014 Marco Civil da Internet Marco Civil da Internet

    33

34. Subseção I Subseção I Da Guarda de Da Guarda de

    Registros de Conexão Registros de Conexão 34

35. Resumindo Resumindo Se a justiça liberar, o seu provedor precisa

    dizer: Qual documento você acessou; Qual dia e hora; Onde você estava quando acessou. 35

36. Tem como evitar? Tem como evitar? 36

37. Servidores proxy Servidores proxy 37

38. 38

39. Anonymous Anonymous LulzSec LulzSec 39

40. Hidemyass Hidemyass foi obrigado a liberar os dados e duas

    pessoas foram presas duas pessoas foram presas pelo FBI. pelo FBI. 40

41. Tor Tor 41

42. 42

43. Nível 2 Nível 2 HTML e Hyperlinks HTML e Hyperlinks

    43

44. 1980 WWW WWW 1992 1992 foi lançado o primeiro site

    HTML da internet. 44

45. <title>Summary -- /WWW</title> <h1>WorldWideWeb - Summary</h1> The <a name="6" href="TheProject.html">WWW</a>

    project merges... <p> The project is based... </p><h3>Reader view</h3> The WWW world consists of documents, and links... 45

46. <h1>Exemplo de Documento</h1> <p> Este é um documento web simples

    para demonstrar como a internet funciona. Ele não possui: </p> <ul> <li>Estruturas complexas</li> <li>Imagens ou animações</li> <li> Recursos que dependam de um navegador para serem totalmente compreendidos </li> </ul> 46

47. wget? wget? http://site.com.br/Documento.html 47

48. Lynx Lynx HTML 48

49. 49

50. Nível 3 Nível 3 Headers e cookies Headers e cookies

    50

51. 51

52. Cookies? Cookies? 52

53. 53

54. <h1>Exemplo de Documento</h1> <p> Este é um documento web simples

    para demonstrar como a internet funciona. Ele não possui: </p> <ul> <li>Estruturas complexas</li> <li>Imagens ou animações</li> <li> Recursos que dependam de um navegador para serem totalmente compreendidos </li> </ul> 54

55. 55

56. Nível 4 Nível 4 JavaScript e AJAX JavaScript e AJAX

    56

57. 57

58. 58

59. Malware Malware 59

60. Código ou programa: Código ou programa: Malicioso; Nocivo; Mal-intencionado. 60

61. Entra no computador alheio computador alheio para causar danos ou

    roubo de informações roubo de informações (con denciais ou não). 61

62. O meu navegador faz isso? O meu navegador faz isso?

    62

63. Mais do que isso: Mais do que isso: Ele é

    uma porta de entrada para que qualquer site possa fazer isso. 63

64. Tem como se Tem como se proteger? proteger? Sim! Sim!

    64

65. Extensões Extensões 65

66. 66

67. Proxy Proxy https://hide.me https://hide.me https://hidester.com https://hidester.com https://www.hidemyass.com https://www.hidemyass.com https://www.hotspotshield.com https://www.hotspotshield.com

    67

68. Camuflar o seu Camuflar o seu verdadeiro IP verdadeiro IP

    68

69. Por quê? Por quê? 69

70. Seu IP verdadeiro não Seu IP verdadeiro não fica registrado

    como fica registrado como quem acessou algum quem acessou algum documento. documento. 70

71. Conteúdo bloqueado Conteúdo bloqueado para IP's brasileiros. para IP's brasileiros.

    71

72. Sites que tentam Sites que tentam cobrar por conteúdo cobrar

    por conteúdo aberto. aberto. Prática comum em grandes jornais. 72

73. HTTPS Everywhere HTTPS Everywhere 73

74. 74

75. Trackers Trackers 75

76. Firefox Lightbeam Firefox Lightbeam 76

77. Bloqueio de trackers Bloqueio de trackers uBlock Origin uBlock Origin

    Disconnect Disconnect Privacy Badger Privacy Badger Ghostery Ghostery 77

78. Publicidade Publicidade 78

79. Quanto da sua Quanto da sua internet é consumida internet

    é consumida por publicidade? por publicidade? 79

80. The New York Times Sites de notícias Sites de notícias

    acessados por acessados por celulares. celulares. 80

81. theblaze.com 11.9 segundos 11.9 segundos com publicidade; 7 segundos 7

    segundos com conteúdo. 81

82. thedailybeast.com 11.3 segundos 11.3 segundos com publicidade; 5 segundos 5

    segundos com conteúdo. 82

83. boston.com 30.8 segundos 30.8 segundos com publicidade; 8.1 segundos 8.1

    segundos com conteúdo. 83

84. boston.com mais de 15 MB mais de 15 MB com

    publicidade. Da sua franquia 3G. 84

85. E nos sites mais E nos sites mais acessados do

    Brasil? acessados do Brasil? 85

86. mercadolivre.com.br 21% 21% com trackers e publicidade; 0,4 MB 0,4

    MB de trackers e publicidade. 86

87. globo.com 63% 63% com trackers e publicidade; 1,7 MB 1,7

    MB de trackers e publicidade. 87

88. uol.com.br 67% 67% com trackers e publicidade; 7,1 MB 7,1

    MB de trackers e publicidade. 88

89. Bloqueio de Bloqueio de publicidade publicidade Adblock Plus Adblock Plus

    Adblock_ Adblock_ uBlock Origin uBlock Origin 89

90. Impacto do uso de Impacto do uso de extensões no

    mercado extensões no mercado de navegadores. de navegadores. 90

91. Tor Browser Tor Browser NoScript; HTTPS Everywhere. 91

92. Opera Opera VPN integrada; Bloqueador de anúncios. 92

93. Brave Brave Bloqueador de anúncios; Bloqueador de trackers; HTTPS upgrades.

    93

94. É o suficiente? É o suficiente? 94

95. Infelizmente não. não. 95

96. JavaScript JavaScript 96

97. addEventListener addEventListener 97

98. Olhar o ponteiro do seu mouse é como observar o

    movimento dos seus olhos: someImage.addEventListener('mousemove', function(_event) { sendReport('the user is moving the mouse over the image'); }); 98

99. 99

100. Começou a digitar algo e mudou de ideia? someTextInput.addEventListener('keypress', function(_event)

     { sendEmail('send the typed email!'); }); 100

101. 101

102. Tá "escrolando" a página? document.addEventListener('wheel', function(_event) { sendReport('scrolling...'); }); 102

103. Web APIs Web APIs 103

104. A maioria dos sites A maioria dos sites não precisam

     vibrar não precisam vibrar https://arxiv.org/abs/1708.08510 104

105. 74 74 padrões de Web APIs implementados nos navegadores navegadores

     modernos. modernos. 105

106. Apenas 11 11 pedem sua permissão pra executar. 106

107. vibrate(200); vibrate(200); Vibrar por 200ms. https://googlechrome.github.io/samples/vibration/ 107

108. getCurrentPosition(); getCurrentPosition(); Qual a sua localização GPS? 108

109. Fingerprinting Fingerprinting 109

110. getBattery() getBattery() Tem bateria? É um notebook? 110

111. getGamepads(); getGamepads(); Quantas portas USB's? Tem algo conectado? 111

112. NavigatorID; NavigatorID; Qual o navegador? 112

113. Service Workers Service Workers Web Workers Web Workers Realizar tarefas

     em background. 113

114. about:debugging#workers about:debugging#workers Firefox chrome://inspect/#service-workers chrome://inspect/#service-workers Chromium 114

115. Mineração de Mineração de criptomoedas. criptomoedas. 115

116. "Site do Governo de SP usou "Site do Governo de

     SP usou computador de visitante para computador de visitante para minerar moeda virtual" minerar moeda virtual" https://g1.globo.com/tecnologia/noticia/site-do- governo-de-sp-usou-computador-de-visitante-para- minerar-moeda-virtual.ghtml 116

117. "Governo de SP está "Governo de SP está minerando criptomoedas

     no minerando criptomoedas no seu computador sem você seu computador sem você saber" saber" https://www.tecmundo.com.br/seguranca/124000- governo-sp-minerando-criptomoedas-computador- voce-saber.htm 117

118. "Site do governo do RJ e outras "Site do governo

     do RJ e outras 7 páginas brasileiras mineram 7 páginas brasileiras mineram criptomoedas" criptomoedas" https://olhardigital.com.br/noticia/site-do-governo- do-rj-e-outras-7-paginas-brasileiras-mineram- criptomoedas/72292 118

119. Como o seu Como o seu navegador se tornou navegador

     se tornou um malware um malware socialmente aceito? socialmente aceito? 119

120. Abrindo uma porta Abrindo uma porta para qualquer site para

     qualquer site fazer o que quiser. fazer o que quiser. 120

121. Escondendo de você o Escondendo de você o que os

     sites estão que os sites estão fazendo. fazendo. 121

122. Implementando APIs Implementando APIs perigosas sem perigosas sem perguntar ou

     informar perguntar ou informar as pessoas. as pessoas. 122

123. Com os usuários não Com os usuários não se importando

     com o se importando com o que acontece em seu que acontece em seu próprio computador. próprio computador. 123

124. Tem como evitar? Tem como evitar? 124

125. Desabilitar o Desabilitar o JavaScript do seu JavaScript do seu

     navegador. navegador. E não conseguir utilizar nenhum site. 125

126. Minimizar o impacto Minimizar o impacto NoScript NoScript ScriptSafe ScriptSafe

     uMatrix uMatrix 126

127. 2017 2017 Web API Manager Web API Manager (não mantida)

     https://github.com/snyderp/web-api-manager 127

128. Web Workers Web Workers Service Workers Service Workers Ambient Light

     Sensor Ambient Light Sensor Battery Status Battery Status DeviceOrientation DeviceOrientation Gamepad Gamepad 128

129. Proximity Proximity Screen Orientation Screen Orientation Vibration Vibration WebUSB WebUSB

     Speech Speech Beacon Beacon 129

130. 79 79 itens que podem ser itens que podem ser

     bloqueados bloqueados 130

131. Janeiro de 2018 Janeiro de 2018 Luminous Luminous Bloqueador de

     eventos JavaScript https://gbaptista.github.io/luminous/ 131

132. Entrando em um site com um Entrando em um site

     com um combo de 3 extensões: combo de 3 extensões: HTTPS Everywhere; uBlock Origin; ScriptSafe. 132

133. 6 6 requisições in uenciadas pela HTTPS Everywhere. HTTPS Everywhere.

     133

134. 75 75 requisições bloqueadas pela uBlock Origin. uBlock Origin. 134

135. 4 4 execuções bloqueadas pela ScriptSafe. ScriptSafe. 135

136. Adicionando a Luminous... Luminous... 136

137. 137

138. 7,6 mil 7,6 mil execuções de JavaScript detectadas. 138

139. 139

140. Códigos consumindo Códigos consumindo sua CPU sua CPU 140

141. 141

142. Códigos monitorando Códigos monitorando sua atividade sua atividade 142

143. 143

144. Fingerprinting Fingerprinting 144

145. 145

146. Como bloquear algo Como bloquear algo indesejado? indesejado? É so

     clicar. 146

147. 147

148. Configurações globais e por Configurações globais e por site específico.

     site específico. 148

149. 149

150. Relatórios Relatórios 150

151. Qual site que Qual site que você você acessa mais

     executa acessa mais executa JavaScript? JavaScript? 151

152. 152

153. Qual código JavaScript é mais Qual código JavaScript é mais

     executado nos sites que executado nos sites que você você visita. visita. 153

154. 154

155. Depois de alguns minutos minutos utlizando... 155

156. 156

157. Quem está por trás de Quem está por trás de

     todas essas todas essas ferramentas de ferramentas de proteção? proteção? 157

158. EFF EFF Electronic Frontier Electronic Frontier Foundation Foundation EFForg/https-everywhere EFForg/https-everywhere

     EFForg/privacybadger EFForg/privacybadger 158

159. Mais de 800 800 pessoas que escreveram mais de meio

     milhão meio milhão de linhas de código. 159

160. EFForg/privacybadger 49% 49% do código foi escrito por 1 pessoa.

     1 pessoa. 160

161. snyderp/web-api-manager 63% 63% do código escrito por 1 pessoa. 1

     pessoa. 161

162. gbaptista/luminous 71% 71% do código escrito por 1 pessoa. 1

     pessoa. 162

163. disconnectme/disconnect 73% 73% do código escrito por 1 pessoa. 1

     pessoa. 163

164. gorhill/uMatrix 74% 74% do código escrito por 1 pessoa. 1

     pessoa. 164

165. gorhill/uBlock 86% 86% do código escrito por 1 pessoa. 1

     pessoa. 165

166. hackademix/noscript 95% 95% do código escrito por 1 pessoa. 1

     pessoa. 166

167. andryou/scriptsafe 96% 96% do código escrito por 1 pessoa. 1

     pessoa. 167

168. Tirando os 2 projetos da Electronic Frontier Electronic Frontier Foundation

     Foundation da conta. 168

169. 6% 6% das pessoas são responsáveis por 70% 70% do

     código. 169

170. Mais de 3 milhões e meio 3 milhões e meio

     de linhas de código escritas por 12 pessoas 12 pessoas em 9 projetos diferentes. 170

171. 2013 2013 Google: Google: + 47 mil pessoas; + 47

     mil pessoas; Apple: Apple: + 80 mil pessoas; + 80 mil pessoas; Microsoft: + 90 mil pessoas. Microsoft: + 90 mil pessoas. 171

172. 12 pessoas 12 pessoas 172

173. Sozinhos não Sozinhos não chegamos a lugar chegamos a lugar

     nenhum. nenhum. 173

174. Cada pessoa conta. Cada pessoa conta. Muito. Muito. 174

175. Como você pode Como você pode ajudar? ajudar? 175

176. Use as ferramentas. Use as ferramentas. https://addons.mozilla.org/ refox https://chrome.google.com/webstore/category/exten https://addons.opera.com

     176

177. Conte para outras Conte para outras pessoas. pessoas. 177

178. Ensine outras pessoas. Ensine outras pessoas. 178

179. Escreva sobre. Escreva sobre. 179

180. Investigue os sites Investigue os sites com as ferramentas. com

     as ferramentas. 180

181. Denuncie sites com Denuncie sites com comportamentos comportamentos suspeitos. suspeitos.

     181

182. Reporte problemas: Reporte problemas: (de maneira produtiva) https://github.com/gbaptista/luminous/issues 182

183. "Essa ferramenta é uma $%#*!. "Essa ferramenta é uma $%#*!.

     Nunca achei que eu fosse Nunca achei que eu fosse odiar algo com tanto força." odiar algo com tanto força." (Babel) 183

184. "Não está funcionando na "Não está funcionando na versão X,

     como é a versão mais versão X, como é a versão mais segura, é uma VERGONHA não segura, é uma VERGONHA não funcionar." funcionar." (Luminous) 184

185. Issues produtivas Issues produtivas Qual o problema? Por quê é

     importante para você, como isso afeta a sua vida? "Minha lha gosta desse joguinho e ele para de funcionar com a extensão." "Eu preciso usar esse site no trabalho e ele para de funcionar." Como eu posso reproduzir o problema? Alguma teoria do motivo? Printscreens ou lmagens da tela. 185

186. Deixe uma avaliação Deixe uma avaliação nas stores nas stores

     Conte como a extensão te ajudou; Estrelinhas. 186

187. Mão na massa. Mão na massa. 187

188. Traduzir para outros Traduzir para outros idiomas. idiomas. 188

189. 189

190. UX, UI, código, UX, UI, código, desempenho e dicas. desempenho

     e dicas. 190

191. Colaboração Colaboração 191

192. 192

193. Estamos Estamos juntos juntos buscando o mesmo objetivo. buscando o

     mesmo objetivo. 193

194. Não deixe o seu navegador agir como um malware que

     permite que qualquer site faça o quiser. Faça parte da Faça parte da resistência. resistência. 194

195. O navegador é seu; O navegador é seu; O computador

     é seu; O computador é seu; O celular é seu; O celular é seu; A energia elétrica é sua; A energia elétrica é sua; É a sua privacidade. É a sua privacidade. 195

196. Estamos com tempo? Estamos com tempo? 196

197. Obrigado! Obrigado! (que foi comprado pela Microsoft) guilhermebaptistasilva [at] gmail.com

     guilhermebaptistasilva [at] gmail.com (que vai ser usado pela Google pra vender banner) https://github.com/gbaptista/luminous https://github.com/gbaptista/luminous https://github.com/gbaptista https://github.com/gbaptista 197