Security Professionals - ipfw add deny all from eindgebruikers to any

Chrome Remote Desktop

09-10-2011, 15:50 door Erik van Straten, 9 reacties

In dit Duitstalige artikel: [url]http://www.heise.de/security/meldung/PC-Fernsteuerung-per-Browser-1357705.html[/url] lees ik zojuist dat sinds vrijdag een beta versie van "Google Chrome Remote Desktop" voor download beschikbaar is in de chrome web store: [url]https://chrome.google.com/webstore/detail/gbchcmhmhahfdphkhkmpfmihenigjmpp[/url]: [quote][i][/i]Chrome Remote Desktop BETA is the first installment on a capability allowing users to remotely access another computer through the Chrome browser or a Chromebook.
[...]
Chrome Remote Desktop BETA is fully cross-platform, so you can connect any two computers that have a Chrome browser, including Windows, Linux, Mac and Chromebooks.[/quote]N.b. ik heb de software zelf (nog) niet bekeken (ik gebruik trouwens ook geen Chrome).

Er lijken wat problemen te bestaan met het vereiste e-mail adres dat je bij een connectie moet opgeven, als ik [url]http://www.googlewatchblog.de/2011/10/chrome-remote-mit-googlemail-com-adresse-nutzen/[/url] goed begrijp moet je de @gmail.com "hostname" gebruiken (niet @googlemail.com o.i.d.).

Een nadere beschrijving vind je hier: [url]http://googlesystem.blogspot.com/2011/10/chrome-remote-desktop.html[/url]. In die pagina staat o.a. een screenshot met de volgende tekst: [quote][i][/i]In order to use Chrome Remote Desktop you must first [b]grant extended access permissions to your computer[/b]. Click Continue to review the required permissions. [b]You only have to do this once[/b].[/quote]Hoewel dit best een [i]handige[/i] tool kan zijn, kan het ook een flink securityrisico voor bedrijven zijn. Als ik me niet vergis kunnen gebuikers (zonder admin rechten) Chrome installeren. Als ze een dergelijke extensie ook zonder admin-rechten kunnen installeren, kan dat de securitypolicy van bedrijven flink ondermijnen.

Verderop lees ik dat een 8-cijferige access code met de tegenpartij gedeeld moet worden. Interessant is te weten of de software aanbevelingen geeft hoe deze veilig over te dragen (om MITM attacks te voorkomen). Ook is het interessant te weten of deze software door NAT heen kan tunnelen (vergelijkbaar met bijv. Teamviewer?), en zo ja, welke third party servers daarvoor worden gebruikt en hoe alle communicatie is beveiligd, en welke TCP/UDP poorten erbij betrokken zijn.

Kortom, weer een nieuwe uitdaging voor beveiligers. Als iemand hier al ervaring mee opgedaan heeft hoor ik dat graag!

Reacties (9)
10-10-2011, 11:46 door [Account Verwijderd]
[Verwijderd]
10-10-2011, 11:51 door Peter Mark
Ik heb hier zondag een kleine test mee gedaan.

De extensie werkt niet als je achter een NAT-router zit. Je moet dan eerst poorten opzetten om de remote desktop te kunnen bereiken. Daarnaast heb je zelf geen invloed op de poorten die de tool gebruikt. Een van de standaardpoorten die het inkomend gebruikt is 443. Mocht je dus een webserver hebben draaien met https, dan zitten die elkaar in de weg. Een andere inkomende poort is 5222.

De toegangscode is overigens 12 cijferig. Voor het opbouwen van een connectie is niet meer nodig als het invoeren van de 12-cijferige code. Blijkbaar wordt via een derde partij (Google?) bepaald welke remote machine daarbij hoort.
10-10-2011, 12:19 door Anoniem
"Als ik me niet vergis kunnen gebuikers (zonder admin rechten) Chrome installeren. Als ze een dergelijke extensie ook zonder admin-rechten kunnen installeren, kan dat de securitypolicy van bedrijven flink ondermijnen."

Indien je dat zonder adminrechten kan installeren, dan kan je ook RDP, VNC of PcAnywhere installeren. Helemaal niets nieuws onder de zon.
10-10-2011, 12:41 door Anoniem
Door Anoniem: "Als ik me niet vergis kunnen gebuikers (zonder admin rechten) Chrome installeren. Als ze een dergelijke extensie ook zonder admin-rechten kunnen installeren, kan dat de securitypolicy van bedrijven flink ondermijnen."

Indien je dat zonder adminrechten kan installeren, dan kan je ook RDP, VNC of PcAnywhere installeren. Helemaal niets nieuws onder de zon.

Nee.

Google chrome installeerd in de %appdata% van de gebruiker, waar deze gebruiker dus volledige rechten heeft.
Voor google chrome installatie zijn GEEN admin rechten vereist (zelf getest hier).
10-10-2011, 13:59 door Mysterio
Door Anoniem:
Door Anoniem: "Als ik me niet vergis kunnen gebuikers (zonder admin rechten) Chrome installeren. Als ze een dergelijke extensie ook zonder admin-rechten kunnen installeren, kan dat de securitypolicy van bedrijven flink ondermijnen."

Indien je dat zonder adminrechten kan installeren, dan kan je ook RDP, VNC of PcAnywhere installeren. Helemaal niets nieuws onder de zon.

Nee.

Google chrome installeerd in de %appdata% van de gebruiker, waar deze gebruiker dus volledige rechten heeft.
Voor google chrome installatie zijn GEEN admin rechten vereist (zelf getest hier).
Klopt. Ook voor de extensie zijn geen extra rechten nodig. Een handige zet van Google, maar voor systeembeheer is het wat minder fijn.
10-10-2011, 14:05 door Anoniem
Teamviewer (www.teamviewer.com) werkt al enige tijd op dezelfde manier. Dus dat Chrome hier nu mee komt is zeker niet iets nieuws. Teamviewer hoef je niet te installeren, downloaden en draaien, in iedere folder is genoeg.
10-10-2011, 14:12 door Eerde
Toch weer mooi van Google !
10-10-2011, 15:55 door RichieB
De enige echte oplossing om het gebruik van dit soort (en andere enge) tools te voorkomen is application whitelisting zoals AppLocker of Bit9 Parity.
10-10-2011, 21:03 door Erik van Straten
Dank aan allen voor de reacties, met name aan Peter Mark voor het testen!

Degenen die melden dat e.e.a. met andere applicaties ook kan, hebben gelijk. Het gaat hier echter om een nieuwe applicatie waar admins (en IDS/IPS systemen) wellicht nog geen rekening mee houden, vandaar mijn melding.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search