Securitatea browserului

Browser Security  este o aplicație de securitate pe Internet pentru browserele web pentru a proteja datele din rețea și sistemele computerizate de încălcări ale confidențialității sau malware . Exploaturile de securitate ale browserului folosesc adesea JavaScript , uneori cross-site scripting (XSS) [1] cu o încărcătură suplimentară folosind Adobe Flash . [2] Exploatările de securitate pot exploata, de asemenea, vulnerabilități (găuri de securitate) care sunt exploatate în mod obișnuit în toate browserele (inclusiv Mozilla Firefox , [3] Google Chrome , [4] Opera , [5] Microsoft Internet Explorer , [6] și Safari [ 7 ] ] ).

Securitate

Browserele web pot fi deturnate în unul sau mai multe dintre următoarele moduri:

• Sistemul de operare este piratat și malware citește/modifică spațiul de memorie al browserului în modul privilegiat [8]
• Sistemul de operare are programe malware care rulează ca proces de fundal care citește/modifică spațiul de memorie al browserului în modul privilegiat
• Executabilul principal al browserului poate fi piratat
• Componentele browserului pot fi sparte
• Pluginurile de browser pot fi sparte
• Mesajele din rețeaua browserului pot fi interceptate în afara aparatului [9]

Este posibil ca browserul să nu fie conștient de vreuna dintre încălcările de mai sus și poate indica utilizatorului că a fost stabilită o conexiune sigură.

Ori de câte ori un browser comunică cu un site web, acesta colectează unele informații despre browser ca parte a acelei interacțiuni (cel puțin pentru a procesa formatarea paginii care urmează să fie livrată). [10] Dacă cod rău intenționat a fost inserat în conținutul unui site web sau, în cel mai rău caz, dacă site-ul web respectiv a fost proiectat special pentru a găzdui cod rău intenționat, atunci vulnerabilitățile specifice browserului ar putea permite codului rău intenționat să lanseze procese în browser. aplicare . într-un mod neintenționat (și rețineți că una dintre informațiile pe care un site le colectează atunci când comunică cu un browser este identificarea browserului, care permite exploatarea anumitor vulnerabilități). [11] Odată ce atacatorul este capabil să ruleze procese pe computerul victimei, exploatarea vulnerabilităților de securitate cunoscute ar putea permite atacatorului să obțină acces privilegiat (dacă browserul nu rulează deja cu acces privilegiat) la sistemul „infectat” pentru a efectua o varietate și mai mare de procese și acțiuni rău intenționate pe mașină sau chiar în întreaga rețea a victimei. [12]

Fereastra pop -up

Încălcările de securitate ale browserului web urmăresc, de obicei, să ocolească protecțiile pentru afișarea de reclame pop-up [13] , să colecteze informații personale (PII) fie pentru marketing online , fie pentru furtul de identitate, urmărirea site-urilor web sau analiza web despre un utilizator împotriva voinței acestuia, folosind instrumente precum un web beacon, Clickjacking , Likejacking (care folosește butonul Facebook Like ), [14] [15] [16] [17] cookie- uri HTTP , cookie - uri zombie sau cookie-uri Flash Cookie-uri Flash (Local Shared Objects sau LSO); [2] instalarea de adware , viruși , spyware , cum ar fi troieni (pentru a obține acces la computerele personale ale utilizatorilor prin piratare ) sau alte programe malware , inclusiv furtul internet banking folosind atacuri Man-in-the-Browser".

O analiză profundă a vulnerabilităților din browserul web Chromium arată că validarea incorectă a intrărilor (CWE-20) și controlul incorect al accesului (CWE-284) sunt cele mai comune cauze principale ale vulnerabilităților de securitate. [18] În plus, printre vulnerabilitățile studiate în timpul acestui studiu, 106 vulnerabilități au apărut în Chromium din cauza reutilizarii sau importului de versiuni vulnerabile ale bibliotecilor terțe.

Vulnerabilitățile în software-ul browser-ului web în sine pot fi minimizate prin păstrarea software-ului browser-ului la zi, [19] dar acest lucru nu va fi suficient dacă sistemul de operare de bază este compromis, de exemplu de un rootkit. [20] Unele subcomponente ale browserelor, cum ar fi scripturile, suplimentele și modulele cookie, [21] [22] [23] sunt deosebit de vulnerabile („problema ascunsă a ajutorului”) și trebuie de asemenea abordate.

Urmând principiul apărării în profunzime, un browser complet corectat și configurat corect poate să nu fie suficient pentru a preveni problemele de securitate legate de browser. De exemplu, un rootkit poate intercepta apăsările de taste atunci când cineva intră pe un site web bancar sau poate efectua un „atac de tip om-in-the- middle ” prin modificarea traficului de rețea în și în afara unui browser web. Deturnarea DNS sau spoofingul DNS pot fi folosite pentru a returna rezultate false pozitive pentru numele site-urilor web scrise greșit sau pentru a modifica rezultatele căutării pentru motoarele de căutare populare. Malware precum RSplug pur și simplu modifică configurația sistemului pentru a indica servere DNS necinstite.

Browserele pot folosi tehnici de rețea mai sigure pentru a preveni unele dintre aceste atacuri:

• DNS : DNSSec și DNSCrypt , de exemplu cu servere DNS care nu sunt implicite, cum ar fi Google Public DNS sau OpenDNS .
• HTTP : HTTP Secure și SPDY cu certificate de cheie publică semnate digital sau certificate de validare extinsă .

Protecția perimetrului, de obicei prin utilizarea paravanelor de protecție și utilizarea proxy -urilor de filtrare care blochează site-urile web rău intenționate și efectuează scanarea antivirus a oricăror fișiere descărcate, este implementată în mod obișnuit ca cea mai bună practică în organizațiile mari pentru a bloca traficul de rețea rău intenționat înainte de a ajunge în browser.

Tema securității browserului a crescut într-o asemenea măsură încât a dat naștere unor organizații întregi, cum ar fi The Browser Exploitation Framework Project [24] , care creează platforme pentru a colecta instrumente pentru a sparge securitatea browserului, aparent pentru a verifica browserele și sistemele de rețea pentru vulnerabilități.

Pluginuri și extensii

Deși nu fac parte din browser în sine, pluginurile și extensiile de browser măresc suprafața de atac prin expunerea vulnerabilităților din Adobe Flash Player , Adobe (Acrobat) Reader , pluginul Java și ActiveX , care sunt exploatate în mod obișnuit de atacatori. [25] Cercetătorii au studiat cu atenție arhitectura de securitate a diferitelor browsere web, în ​​special a celor bazate pe principiile plug-and-play. Acest studiu a identificat 16 tipuri comune de vulnerabilități și 19 potențiale remedieri. Programele malware pot fi implementate și ca extensie de browser, cum ar fi un obiect de ajutor pentru browser în cazul Internet Explorer. [26] Browsere precum Google Chrome și Mozilla Firefox pot bloca sau avertiza utilizatorii despre pluginuri nesigure.

Adobe Flash

Un studiu din august 2009 al Social Science Research Network a constatat că 50% dintre site-urile web care folosesc Flash folosesc și cookie-uri Flash, cu toate acestea, politicile de confidențialitate le dezvăluie rareori și nu există controale de utilizator pentru setările de confidențialitate. [27] Majoritatea browserelor cache și caracteristicile de ștergere a istoricului nu afectează Flash Player care scrie obiecte locale partajate în propriul cache, iar comunitatea de utilizatori este mult mai puțin conștientă de existența și funcționarea cookie-urilor Flash decât cookie-urile HTTP. [28] Astfel, utilizatorii care au șters cookie-urile HTTP și au șters fișierele din istoricul browserului și cache-urile pot crede că au șters toate datele de urmărire de pe computerele lor, când, de fapt, istoricul de navigare Flash rămâne. Pe lângă ștergerea manuală, programul de completare BetterPrivacy pentru Firefox poate șterge cookie-urile Flash. [2] Adblock Plus poate fi folosit pentru a filtra anumite amenințări, [13] și Flashblock poate fi folosit pentru a oferi o oportunitate înainte de a permite conținut pe alte site-uri de încredere. [29]

Charlie Miller a recomandat „nu instalați Flash” la conferința de securitate a computerelor CanSecWest [30] . Câțiva alți experți în securitate recomandă fie să nu instalați Adobe Flash Player, fie să îl blocați. [31]

Model de securitate a parolei

Conținutul paginii web este arbitrar și este controlat de persoana care deține domeniul al cărui nume apare în bara de adrese. Dacă se utilizează HTTPS , atunci criptarea este utilizată pentru a preveni intrușii care au acces la rețea să modifice conținutul paginii în tranzit. Când prezintă un câmp de parolă pe o pagină web, utilizatorul trebuie să se uite la bara de adrese pentru a determina dacă numele domeniului din bara de adrese este locul corect pentru a trimite parola. [32] De exemplu, pentru sistemul de conectare unică Google (așa cum este utilizat, de exemplu, pe youtube.com), utilizatorul trebuie să verifice întotdeauna dacă bara de adrese scrie „ https://accounts.google.com” înainte de a introduce parola.

Un browser fără compromisuri asigură că bara de adrese este corectă. Această garanție este unul dintre motivele pentru care browserele afișează de obicei un avertisment atunci când merg pe ecran complet deasupra locului în care ar fi în mod normal bara de adrese, astfel încât un site web cu ecran complet nu poate crea o interfață de utilizare a browserului fals cu o bară de adrese falsă. [33]

Browser hardware

Au existat încercări de a vinde browsere hardware care rulează din sisteme de fișiere care nu pot fi scrise decât în ​​citire. Datele nu pot fi salvate pe dispozitiv și suportul media nu poate fi suprascris, un fișier executabil gol este afișat de fiecare dată când este încărcat. Primul astfel de dispozitiv a fost ZeusGard Secure Hardware Browser, lansat la sfârșitul anului 2013. Site-ul web ZeusGard a fost oprit de la jumătatea anului 2016. Un alt dispozitiv, iCloak® Stik de pe site-ul web iCloak , oferă un CD Live complet care înlocuiește complet întregul sistem de operare al computerului și oferă două browsere web dintr-un sistem numai pentru citire. Cu iCloak, acestea furnizează browserul Tor pentru navigarea anonimă, precum și browserul Firefox obișnuit pentru navigarea non-anonime. Orice trafic web nesecurizat (de exemplu, care nu folosește https) poate fi supus în continuare modificări de tip „man-in-the-middle” sau alte manipulări bazate pe traficul de rețea.

Live CD

CD-urile live , care rulează sistemul de operare dintr-o sursă care nu poate fi scrisă, sunt livrate de obicei cu browsere web ca parte a imaginii implicite. Atâta timp cât imaginea originală Live CD nu conține programe malware, toate programele pe care le utilizați, inclusiv browserul web, se vor încărca fără malware de fiecare dată când porniți imaginea Live CD.

Securitatea browserului

Navigarea pe Internet ca cont de utilizator cu cele mai puține privilegii (fără drepturi de administrator) limitează capacitatea unui exploit de securitate într-un browser web de a compromite întregul sistem de operare. [34]

Internet Explorer 4 și versiunile ulterioare vă permit să includeți pe lista neagră [35] [36] [37] și pe lista albă [38] [39] controalele ActiveX , suplimentele și extensiile de browser în diferite moduri.

Internet Explorer 7 a adăugat „modul protejat”, o tehnologie care îmbunătățește securitatea browserului prin utilizarea unei caracteristici de securitate Windows Vista , numită control obligatoriu al integrității . [40] Google Chrome oferă un sandbox pentru a restricționa accesul la paginile web de către sistemul de operare. [41]

Site-urile suspecte rău intenționate raportate de Google [42] și confirmate de Google sunt marcate ca găzduind programe malware în anumite browsere. [43]

Există extensii și pluginuri terță parte pentru a proteja chiar și cele mai recente browsere [44] , precum și unele pentru browsere și sisteme de operare mai vechi. Software-ul de înscriere în lista albă, cum ar fi NoScript , poate bloca JavaScript , care este utilizat pentru majoritatea atacurilor de confidențialitate, permițând utilizatorilor să selecteze doar site-urile despre care știu că sunt sigure. Producătorii listelor de filtre au fost controversați pentru că au permis unor site-uri să treacă filtre preinstalate în mod implicit. [45] US-CERT recomandă blocarea Flash folosind NoScript. [46]

Fuzzing

Browserele web moderne sunt supuse unui fuzz extins pentru a identifica vulnerabilități. Codul Chromium pentru Google Chrome este revizuit constant de echipa de securitate Chrome cu 15.000 de nuclee. [47] Pentru Microsoft Edge și Internet Explorer , Microsoft a efectuat teste neclare folosind 670 de ani de mașină în timpul dezvoltării produsului, generând peste 400 de miliarde de manipulări DOM din 1 miliard de fișiere HTML. [48] ​​​​[47]

Cele mai bune practici

• Descărcați software curat: Instalați un sistem de operare curat cu un browser web curat cunoscut
• Luați contramăsuri adecvate împotriva vulnerabilității Cross-Origin Resource Sharing (CORS) (sunt furnizate exemple de remedieri pentru browserele bazate pe WebKit).
• Preveniți atacurile cu software terță parte: utilizați browser web securizat sau vizualizare gratuită a suplimentelor.
• Preveniți manipularea DNS: utilizați un DNS de încredere și sigur. [49]
• Evitați exploatările pe site-uri web: utilizați plug-in-urile browserului pentru a verifica link-urile utilizate în mod obișnuit în programele de securitate pe internet.
• Evitați conținutul rău intenționat: utilizați protecție perimetrală și software anti-malware.

Vezi și

• Browser Antidetect
• Securitatea internetului
• Securitatea retelei
• OWASP

Note

1. ↑ Maone, Giorgio NoScript :: Suplimente pentru Firefox . Suplimente Mozilla . Fundația Mozilla . (nedefinit)
2. ↑ 1 2 3 BetterPrivacy :: Suplimente pentru Firefox . Fundația Mozilla .  (nedefinit) (link indisponibil)
3. ↑ Keiser, Greg. Arhivat din original pe 28 octombrie 2010, Vulnerabilitatea Firefox 3.5 confirmată . . Consultat la 19 noiembrie 2010.
4. ^ Messmer, Ellen și NetworkWorld. „Google Chrome se află în topul listei de aplicații vulnerabile „Dirty Dozen”” . Consultat la 19 noiembrie 2010.
5. ↑ Skinner, Carrie-Ann. Opera Plugs „Severe” Browser Hole Arhivat din original pe 20 mai 2009. . Consultat la 19 noiembrie 2010.
6. ↑ Bradley, Tony. „Este timpul să renunțăm în sfârșit la Internet Explorer 6” Arhivat 15 octombrie 2012. . Consultat la 19 noiembrie 2010.
7. ↑ Browser . Mashable . Consultat la 2 septembrie 2011. Arhivat din original pe 2 septembrie 2011. (nedefinit)
8. ↑ Smith, Dave The Yontoo Troian: Noul program malware Mac OS X infectează browserele Google Chrome, Firefox și Safari prin adware . IBT Media Inc (21 martie 2013). Consultat la 21 martie 2013. Arhivat din original pe 24 martie 2013. (nedefinit)
9. ↑ Goodin, Dan încălcarea MySQL.com îi lasă pe vizitatori expuși la malware . Registrul . Consultat la 26 septembrie 2011. Arhivat din original pe 28 septembrie 2011. (nedefinit)
10. ↑ Clinton Wong. Tranzacții HTTP . O'Reilly. Arhivat din original pe 13 iunie 2013. (nedefinit)
11. ↑ 9 moduri de a ști că computerul tău este infectat cu programe malware . Arhivat din original pe 11 noiembrie 2013. (nedefinit)
12. ↑ Documente albe Symantec Security Response . Arhivat din original pe 9 iunie 2013. (nedefinit)
13. ↑ 1 2 Palant, Wladimir Adblock Plus :: Suplimente pentru Firefox . Suplimente Mozilla . Fundația Mozilla . (nedefinit)
14. ↑ Confidențialitatea Facebook a investigat în legătură cu invitațiile „like” , CBC News  (23 septembrie 2010). Preluat la 24 august 2011.
15. ↑ Albanesius, Chloe . Agențiile germane au interzis să folosească Facebook, butonul „Like” , PC Magazine  (19 august 2011). Preluat la 24 august 2011.
16. ↑ McCullagh, Declan . Butonul „Like” de pe Facebook atrage controlul confidențialității , CNET News  (2 iunie 2010). Preluat la 19 decembrie 2011.
17. ↑ Roosendaal, Arnold Facebook urmărește și urmărește pe toată lumea: Like This! (30 noiembrie 2010). (nedefinit)
18. ↑ Santos, JCS; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, JV; Sejfia, A. (aprilie 2017). „Înțelegerea vulnerabilităților software legate de tacticile de securitate arhitecturală: o investigație empirică a Chromium, PHP și Thunderbird” . 2017 IEEE International Conference on Software Architecture (ICSA) : 69-78. DOI : 10.1109/ICSA.2017.39 . ISBN  978-1-5090-5729-0 . S2CID  29186731 .
19. ↑ Statul Vermont. Atacuri de browser web . Consultat la 11 aprilie 2012. Arhivat din original pe 13 februarie 2012. (nedefinit)
20. ↑ Prezentare generală a rootkit-ului Windows . Symantec. Consultat la 20 aprilie 2013. Arhivat din original pe 16 mai 2013. (nedefinit)
21. ↑ Cross Site Scripting Attack . Preluat la 20 mai 2013. Arhivat din original la 15 mai 2013. (nedefinit)
22. ↑ Lenny Zeltser. Atenuarea atacurilor asupra browserului web și a suplimentelor . Consultat la 20 mai 2013. Arhivat din original pe 7 mai 2013. (nedefinit)
23. ↑ Dan Goodin. Două noi atacuri asupra modulelor cookie de autentificare SSL decriptate (14 martie 2013). Preluat la 20 mai 2013. Arhivat din original la 15 mai 2013. (nedefinit)
24. ↑ beefproject.com . Arhivat din original pe 11 august 2011. (nedefinit)
25. ↑ Santos, Joanna C.S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). „Calcul lui Ahile al arhitecturilor software plug-and-play: o abordare bazată pe teorie fundamentată” . Proceedings of the 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering . ESEC/FSE 2019. New York, NY, SUA: ACM: 671-682. DOI : 10.1145/3338906.3338969 . ISBN  978-1-4503-5572-8 . S2CID  199501995 .
26. ↑ Cum să creați o regulă care va bloca sau va înregistra obiectele de ajutor pentru browser în Symantec Endpoint Protection . Symantec.com. Consultat la 12 aprilie 2012. Arhivat din original la 14 mai 2013. (nedefinit)
27. ↑ Model:Cite ssrn
28. ↑ Local Shared Objects -- „Flash Cookies” . Electronic Privacy Information Center (21 iulie 2005). Preluat la 8 martie 2010. Arhivat din original la 16 aprilie 2010. (nedefinit)
29. ↑ Chee, Philip Flashblock :: Suplimente pentru Firefox . Suplimente Mozilla . Fundația Mozilla . Arhivat din original pe 15 aprilie 2013. (nedefinit)
30. ↑ Pwn2Own 2010: interviu cu Charlie Miller (1 martie 2010). Preluat la 27 martie 2010. Arhivat din original la 24 aprilie 2011. (nedefinit)
31. ↑ Expertul spune că politica Adobe Flash este riscantă (12 noiembrie 2009). Preluat la 27 martie 2010. Arhivat din original la 26 aprilie 2011. (nedefinit)
32. ↑ John C. Mitchell. Model de securitate a browserului . Arhivat din original pe 20 iunie 2015. (nedefinit)
33. ↑ Utilizarea API-ului HTML5 Fullscreen pentru atacuri de tip phishing » Feross.org . feross.org . Preluat la 7 mai 2018. Arhivat din original la 25 decembrie 2017. (nedefinit)
34. ↑ Utilizarea unui cont de utilizator cel mai puțin privilegiat . Microsoft . Consultat la 20 aprilie 2013. Arhivat din original pe 6 martie 2013. (nedefinit)
35. ↑ Cum să opriți rularea unui control ActiveX în Internet Explorer . Microsoft . Preluat la 22 noiembrie 2014. Arhivat din original la 2 decembrie 2014. (nedefinit)
36. ↑ Intrări în registrul zonelor de securitate ale Internet Explorer pentru utilizatorii avansați . Microsoft . Preluat la 22 noiembrie 2014. Arhivat din original la 2 decembrie 2014. (nedefinit)
37. ↑ Blocarea controlului ActiveX învechită . Microsoft . Consultat la 22 noiembrie 2014. Arhivat din original pe 29 noiembrie 2014. (nedefinit)
38. ↑ Gestionarea suplimentelor Internet Explorer și detectarea accidentelor . Microsoft . Consultat la 22 noiembrie 2014. Arhivat din original pe 29 noiembrie 2014. (nedefinit)
39. ↑ Cum să gestionezi suplimentele Internet Explorer în Windows XP Service Pack 2 . Microsoft . Preluat la 22 noiembrie 2014. Arhivat din original la 2 decembrie 2014. (nedefinit)
40. ↑ Matthew Conover. Analiza modelului de securitate Windows Vista . Symantec Corp. Consultat la 8 octombrie 2007. Arhivat din original pe 16 mai 2008. (nedefinit)
41. ↑ Securitatea browserului: lecții din Google Chrome . Arhivat din original pe 11 noiembrie 2013. (nedefinit)
42. ↑ Raportați software-ul rău intenționat (URL) la Google . Arhivat din original pe 12 septembrie 2014. (nedefinit)
43. ↑ Navigare sigură Google . Arhivat din original pe 14 septembrie 2014. (nedefinit)
44. ↑ 5 moduri de a vă asigura browserul web . ZoneAlarm . Arhivat din original pe 7 septembrie 2014. (nedefinit)
45. ↑ Adblock Plus va bloca în curând mai puține anunțuri - SiliconFilter . Siliconfilter.com. Consultat la 20 aprilie 2013. Arhivat din original la 30 ianuarie 2013. (nedefinit)
46. ↑ Securizarea browserului dvs. web . Consultat la 27 martie 2010. Arhivat din original pe 26 martie 2010. (nedefinit)
47. ↑ 1 2 Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Cartea albă privind securitatea browserului Markus . X41D SEC GmbH (19 septembrie 2017). (nedefinit)
48. ↑ Îmbunătățiri de securitate pentru Microsoft Edge (Microsoft Edge pentru profesioniști IT  )  ? . Microsoft (15 octombrie 2017). Preluat: 31 august 2018.  (nedefinit)
49. ↑ Pearce, Paul. Măsurarea globală a manipulării {DNS}  : [ ing. ]  / Paul Pearce, Ben Jones, Frank Li … [ și colab. ] . — 2017. — P. 307–323. — ISBN 978-1-931971-40-9 .

Link -uri

• Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus Cartea albă privind securitatea browserului . X41D SEC GmbH (19 septembrie 2017). (nedefinit)
• Heiderich, Mario; Inführ, Alex; Fäßler, Fabian; Krein, Nikolay; Kinugawa, Masato Cure53 Browser Security White Paper . Cure53 (29 noiembrie 2017). (nedefinit)