Безопасность браузера (>y[khgvukvm, Qjgr[yjg)

Перейти к навигации Перейти к поиску

Безопасность браузера — это приложение интернет-безопасности к веб-браузерам для защиты сетевых данных и компьютерных систем от нарушений конфиденциальности или вредоносных программ. Эксплойты безопасности браузеров часто используют JavaScript, иногда с межсайтовым скриптингом (XSS)[1] с дополнительной полезной нагрузкой, использующей Adobe Flash.[2] Эксплойты безопасности также могут использовать уязвимости (дыры в безопасности), которые обычно используются во всех браузерах (включая Mozilla Firefox,[3] Google Chrome,[4] Opera,[5] Microsoft Internet Explorer,[6] и Safari[7]).

Безопасность

[править | править код]

Веб-браузеры могут быть взломаны одним или несколькими из следующих способов:

  • Операционная система взломана, и вредоносное ПО считывает/изменяет пространство памяти браузера в привилегированном режиме[8]
  • В операционной системе есть вредоносное ПО, работающее как фоновый процесс, который читает/изменяет пространство памяти браузера в привилегированном режиме
  • Может быть взломан исполняемый файл основного браузера
  • Могут быть взломаны компоненты браузера
  • Могут быть взломаны плагины браузера
  • Сетевые сообщения браузера могут быть перехвачены вне машины[9]

Браузер может не знать о каком-либо из вышеперечисленных нарушений и может показать пользователю, что установлено безопасное соединение.

Всякий раз, когда браузер связывается с веб-сайтом, веб-сайт в рамках этого взаимодействия собирает некоторую информацию о браузере (по крайней мере, для обработки форматирования страницы, которая должна быть доставлена).[10] Если вредоносный код был вставлен в содержимое веб-сайта или, в худшем случае, если этот веб-сайт был специально разработан для размещения вредоносного кода, то уязвимости, характерные для конкретного браузера, могут позволить этому вредоносному коду запускать процессы в приложении браузера. непреднамеренным образом (и помните, что одним из элементов информации, которую веб-сайт собирает при обмене данными с браузером, является идентификация браузера, позволяющая использовать определённые уязвимости).[11] Как только злоумышленник сможет запускать процессы на компьютере жертвы, использование известных уязвимостей в системе безопасности может позволить злоумышленнику получить привилегированный доступ (если браузер ещё не запущен с привилегированным доступом) к «зараженной» системе, чтобы выполнить ещё большее разнообразие вредоносных процессов и действий на машине или даже во всей сети жертвы.[12]

Всплывающее окно

[править | править код]

Нарушения безопасности веб-браузера обычно имеют целью обход средств защиты для отображения всплывающей рекламы[13], сбора личной информации (PII) либо для интернет-маркетинга либо для кражи личных данных, отслеживания веб-сайтов или веб-аналитики о пользователе против его воли с использованием инструментов, таких как веб-маяк, Кликджекинг, Likejacking (где используется кнопка «Нравится» Facebook),[14][15][16][17] HTTP cookie, зомби cookie или файлы Flash cookie Flash cookies (локальные общие объекты или LSO);[2] установка рекламного ПО, вирусы, шпионское ПО таких как троянские программы (для получения доступа к персональным компьютерам пользователей путем взлома) или другое вредоносное ПО, включая кражу интернет-банкинга с использованием атак «Человек-в-браузере[англ.]».

Углубленное изучение уязвимостей в веб-браузере Chromium показывает, что неправильная проверка ввода (CWE-20) и неправильный контроль доступа (CWE-284) являются наиболее распространенными основными причинами уязвимостей безопасности.[18] Кроме того, среди уязвимостей, изученных во время этого исследования, 106 уязвимостей возникли в Chromium из-за повторного использования или импорта уязвимых версий сторонних библиотек.

Уязвимости в самом программном обеспечении веб-браузера можно свести к минимуму, постоянно обновляя программное обеспечение браузера,[19] , но этого будет недостаточно, если базовая операционная система скомпрометирована, например, руткитом.[20] Некоторые подкомпоненты браузеров, такие как сценарии, надстройки и cookie-файлов,[21][22][23]особенно уязвимы («проблема запутанного помощника»), и их также необходимо решать.

Следуя принципу эшелонированной защиты, полностью исправленный и правильно настроенный браузер может оказаться недостаточным для предотвращения возникновения проблем безопасности, связанных с браузером. Например, руткит может перехватывать нажатия нажатия клавиш, когда кто-то входит на банковский веб-сайт, или выполнять «атаку посредника», изменяя сетевой трафик в веб-браузере и из него. Перехват DNS или спуфинг DNS могут использоваться для возврата ложных срабатываний для ошибочно введенных имен веб-сайтов или для искажения результатов поиска для популярных поисковых систем. Вредоносное ПО, такое как RSPlug, просто изменяет конфигурацию системы, чтобы указать на мошеннические DNS-серверы.

Браузеры могут использовать более безопасные методы сетевого взаимодействия, чтобы предотвратить некоторые из этих атак:

Защита периметра, как правило, с помощью брандмауэров и использования фильтрующих прокси-серверов, которые блокируют вредоносные веб-сайты и выполняют антивирусное сканирование любых загружаемых файлов, обычно реализуется в качестве передовой практики в крупных организациях для блокировки вредоносного сетевого трафика до того, как он достигнет браузера.

Тема безопасности браузера разрослась до такой степени, что породила целые организации, такие как The Browser Exploitation Framework Project,[24] создающие платформы для сбора инструментов для взлома безопасности браузера, якобы для проверки браузеров и сетевых систем на наличие уязвимостей.

Плагины и расширения

[править | править код]

Хотя подключаемые модули и расширения браузера сами по себе не являются частью браузера, они расширяют пространство для атак, раскрывая уязвимости в Adobe Flash Player, Adobe (Acrobat) Reader, подключаемом модуле Java и ActiveX, которые обычно используются злоумышленниками.[25] Исследователи тщательно изучили архитектуру безопасности различных веб-браузеров, в частности тех, которые основаны на принципах plug-and-play. Это исследование выявило 16 распространенных типов уязвимостей и 19 потенциальных способов их устранения. Вредоносное ПО также может быть реализовано как расширение браузера, например вспомогательный объект браузера в случае Internet Explorer.[26] Такие браузеры, как Google Chrome и Mozilla Firefox, могут блокировать или предупреждать пользователей о небезопасных плагинах.

Исследование, проведенное в августе 2009 года Social Science Research Network, показало, что 50 % веб-сайтов, использующих Flash, также используют файлы Flash cookie, однако политики конфиденциальности редко раскрывают их, а пользовательские элементы управления настройками конфиденциальности отсутствовали.[27] Кэш большинства браузеров и функции удаления истории не влияют на запись Flash Player локальных общих объектов в собственный кеш, и сообщество пользователей гораздо меньше знает о существовании и функциях файлов Flash cookie, чем файлы cookie HTTP.[28] Таким образом, пользователи, которые удалили HTTP-куки и очистили файлы истории браузера и кеши, могут полагать, что они удалили все данные отслеживания со своих компьютеров, хотя на самом деле история просмотра Flash остается. Помимо ручного удаления, надстройка BetterPrivacy для Firefox может удалять файлы Flash cookie.[2] Adblock Plus можно использовать для фильтрации определённых угроз,[13] а Flashblock можно использовать, чтобы дать возможность перед тем, как разрешить контент на других сайтах, которым доверяют.[29]

Чарли Миллер рекомендовал «не устанавливать Flash» н[30] на конференции по компьютерной безопасности CanSecWest. Несколько других экспертов по безопасности также рекомендуют либо не устанавливать Adobe Flash Player, либо заблокировать его.[31]

Модель безопасности пароля

[править | править код]

Содержимое веб-страницы является произвольным и контролируется лицом, владеющим доменом, имя которого отображается в адресной строке. Если используется HTTPS, то шифрование используется для защиты от злоумышленников, имеющих доступ к сети, от изменения содержимого страницы в пути. При представлении поля пароля на веб-странице пользователь должен посмотреть на адресную строку, чтобы определить, является ли доменное имя в адресной строке правильным местом для отправки пароля.[32] Например, для системы единого входа Google (используемой, например, на youtube.com) пользователь всегда должен проверять, что в адресной строке указано "https://accounts.google.com», прежде чем вводить свой пароль.

Нескомпрометированный браузер гарантирует правильность адресной строки. Эта гарантия является одной из причин, по которой браузеры обычно отображают предупреждение при переходе в полноэкранный режим поверх того места, где обычно находится адресная строка, поэтому полноэкранный веб-сайт не может создать поддельный пользовательский интерфейс браузера с поддельной адресной строкой.[33]

Аппаратный браузер

[править | править код]

Были попытки продавать аппаратные браузеры, работающие из файловых систем, недоступных для записи и только для чтения. Данные не могут быть сохранены на устройстве, а носитель не может быть перезаписан, каждый раз при загрузке отображается чистый исполняемый файл. Первым таким устройством был ZeusGard Secure Hardware Browser, выпущенный в конце 2013 года. Веб-сайт ZeusGard не работал с середины 2016 года. Другое устройство, iCloak® Stik из веб-сайта iCloak, предоставляет полную Live CD, которая полностью заменяет всю операционную систему компьютера и предлагает два веб-браузера из системы только для чтения. С iCloak они предоставляют браузер Tor для анонимного просмотра, а также обычный браузер Firefox для неанонимного просмотра. Любой незащищенный веб-трафик (например, не использующий https) может по-прежнему подвергаться изменению со стороны посредника или другим манипуляциям на основе сетевого трафика.

Live CD, которые запускают операционную систему из источника, недоступного для записи, обычно поставляются с веб-браузерами как часть образа по умолчанию. Если исходный образ Live CD не содержит вредоносных программ, все используемое программное обеспечение, включая веб-браузер, будет загружаться без вредоносных программ при каждой загрузке образа Live CD.

Защита браузера

[править | править код]

Работа в Интернете в качестве учётной записи пользователя с наименьшими привилегиями (без прав администратора) ограничивает возможность использования эксплойта безопасности в веб-браузере от компрометации всей операционной системы.[34]

Internet Explorer 4 и более поздние версии позволяют различными способами заносить в чёрный список[35][36][37] и белый список элементы управления[38][39] ActiveX, надстройки и расширения браузера.

Internet Explorer 7 добавлен «защищенный режим», технология, которая повышает безопасность браузера за счет применения функции изолированной программной среды безопасности Windows Vista называемой обязательным контролем целостности.[40] Google Chrome предоставляет песочницу для ограничения доступа к веб-страницам операционной системой.[41]

Подозреваемые вредоносные сайты, о которых сообщается Google[42] и которые подтверждаются Google, помечаются как размещающие вредоносные программы в определённых браузерах.[43]

Существуют сторонние расширения и плагины для защиты даже новейших браузеров,[44] а также некоторые для старых браузеров и операционных систем. Программное обеспечение на основе белого списка, такое как NoScript может блокировать JavaScript, которые используются для большинства атак на конфиденциальность, позволяя пользователям выбирать только те сайты, которые, как они знают, безопасны. Ведущие списков фильтрации вызвали споры из-за того, что по умолчанию разрешают некоторым сайтам проходить предварительно установленные фильтры.[45] US-CERT рекомендует блокировать Flash с помощью NoScript.[46]

Современные веб-браузеры подвергаются обширному фаззингу для выявления уязвимостей. Код Chromium для Google Chrome постоянно проверяется командой безопасности Chrome с помощью 15 000 ядер.[47] Для Microsoft Edge и Internet Explorer Microsoft провела нечеткое тестирование с использованием 670 машино-лет во время разработки продукта, сгенерировав более 400 миллиардов манипуляций с DOM из 1 миллиарда HTML-файлов.[48][47]

Лучшая практика

[править | править код]
  • Загрузить чистое программное обеспечение: устанавливайте чистую операционную систему с заведомо чистым веб-браузером
  • Принять адекватные контрмеры против уязвимости Cross-Origin Resource Sharing (CORS) (приведены примеры исправлений для браузеров на базе WebKit).
  • Предотвратите атаки с помощью стороннего программного обеспечения: используйте защищенный веб-браузер или режим бесплатного просмотра надстроек.
  • Предотвратите манипуляции с DNS: используйте доверенный и безопасный DNS.[49]
  • Избегайте эксплойтов на веб-сайтах: используйте подключаемые модули браузера для проверки ссылок, обычно используемые в программах интернет-безопасности.
  • Избегайте вредоносного контента: используйте защиту периметра и программное обеспечение для защиты от вредоносных программ.

Примечания

[править | править код]
  1. Maone, Giorgio NoScript :: Add-ons for Firefox. Mozilla Add-ons. Mozilla Foundation. Дата обращения: 13 августа 2022. Архивировано 11 мая 2011 года.
  2. 1 2 3 BetterPrivacy :: Add-ons for Firefox. Mozilla Foundation. Дата обращения: 13 августа 2022. Архивировано из оригинала 1 октября 2014 года.
  3. Keizer, Greg. Firefox 3.5 Vulnerability Confirmed Архивировано 28 октября 2010 года.. Retrieved 19 November 2010.
  4. Messmer, Ellen and NetworkWorld. «Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List» (недоступная ссылка). Retrieved 19 November 2010.
  5. Skinner, Carrie-Ann. Opera Plugs «Severe» Browser Hole Архивировано 20 мая 2009 года.. Retrieved 19 November 2010.
  6. Bradly, Tony. «It’s Time to Finally Drop Internet Explorer 6» Архивировано 15 октября 2012 года.. Retrieved 19 November 2010.
  7. Browser. Mashable. Дата обращения: 2 сентября 2011. Архивировано 2 сентября 2011 года.
  8. Smith, Dave The Yontoo Trojan: New Mac OS X Malware Infects Google Chrome, Firefox And Safari Browsers Via Adware. IBT Media Inc (21 марта 2013). Дата обращения: 21 марта 2013. Архивировано 24 марта 2013 года.
  9. Goodin, Dan MySQL.com breach leaves visitors exposed to malware. The Register. Дата обращения: 26 сентября 2011. Архивировано 28 сентября 2011 года.
  10. Clinton Wong. HTTP Transactions. O'Reilly. Архивировано 13 июня 2013 года.
  11. 9 Ways to Know Your PC is Infected with Malware. Архивировано 11 ноября 2013 года.
  12. Symantec Security Response Whitepapers. Архивировано 9 июня 2013 года.
  13. 1 2 Palant, Wladimir Adblock Plus :: Add-ons for Firefox. Mozilla Add-ons. Mozilla Foundation. Дата обращения: 13 августа 2022. Архивировано 7 августа 2011 года.
  14. "Facebook privacy probed over 'like,' invitations". CBC News. 23 Сентябрь 2010. Архивировано 26 июня 2012. Дата обращения: 24 августа 2011. {{cite news}}: Указан более чем один параметр |accessdate= and |access-date= (справка)
  15. Albanesius, Chloe (19 Август 2011). "German Agencies Banned From Using Facebook, 'Like' Button". PC Magazine. Архивировано 29 марта 2012. Дата обращения: 24 августа 2011. {{cite news}}: Указан более чем один параметр |accessdate= and |access-date= (справка)
  16. McCullagh, Declan (2 Июнь 2010). "Facebook 'Like' button draws privacy scrutiny". CNET News. Архивировано 5 декабря 2011. Дата обращения: 19 декабря 2011. {{cite news}}: Указан более чем один параметр |accessdate= and |access-date= (справка)
  17. Roosendaal, Arnold Facebook Tracks and Traces Everyone: Like This! (30 ноября 2010). Дата обращения: 17 сентября 2022. Архивировано 20 сентября 2022 года.
  18. Santos, J. C. S.; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, J. V.; Sejfia, A. (April 2017). "Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird". 2017 IEEE International Conference on Software Architecture (ICSA): 69—78. doi:10.1109/ICSA.2017.39. ISBN 978-1-5090-5729-0. S2CID 29186731.
  19. State of Vermont. Web Browser Attacks. Дата обращения: 11 апреля 2012. Архивировано 13 февраля 2012 года.
  20. Windows Rootkit Overview. Symantec. Дата обращения: 20 апреля 2013. Архивировано 16 мая 2013 года.
  21. Cross Site Scripting Attack. Дата обращения: 20 мая 2013. Архивировано 15 мая 2013 года.
  22. Lenny Zeltser. Mitigating Attacks on the Web Browser and Add-Ons. Дата обращения: 20 мая 2013. Архивировано 7 мая 2013 года.
  23. Dan Goodin. Two new attacks on SSL decrypt authentication cookies (14 марта 2013). Дата обращения: 20 мая 2013. Архивировано 15 мая 2013 года.
  24. beefproject.com. Архивировано 11 августа 2011 года.
  25. Santos, Joanna C. S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "Achilles' Heel of plug-and-Play Software Architectures: A Grounded Theory Based Approach". Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering. ESEC/FSE 2019. New York, NY, USA: ACM: 671—682. doi:10.1145/3338906.3338969. ISBN 978-1-4503-5572-8. S2CID 199501995.
  26. How to Create a Rule That Will Block or Log Browser Helper Objects in Symantec Endpoint Protection. Symantec.com. Дата обращения: 12 апреля 2012. Архивировано 14 мая 2013 года.
  27. Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (2009-08-10). "Soltani, Ashkan, Canty, Shannon, Mayo, Quentin, Thomas, Lauren and Hoofnagle, Chris Jay: Flash Cookies and Privacy". SSRN 1446862.
  28. Local Shared Objects -- "Flash Cookies". Electronic Privacy Information Center (21 июля 2005). Дата обращения: 8 марта 2010. Архивировано 16 апреля 2010 года.
  29. Chee, Philip Flashblock :: Add-ons for Firefox. Mozilla Add-ons. Mozilla Foundation. Архивировано 15 апреля 2013 года.
  30. Pwn2Own 2010: interview with Charlie Miller (1 марта 2010). Дата обращения: 27 марта 2010. Архивировано 24 апреля 2011 года.
  31. Expert says Adobe Flash policy is risky (12 ноября 2009). Дата обращения: 27 марта 2010. Архивировано 26 апреля 2011 года.
  32. John C. Mitchell. Browser Security Model. Архивировано 20 июня 2015 года.
  33. Using the HTML5 Fullscreen API for Phishing Attacks » Feross.org. feross.org. Дата обращения: 7 мая 2018. Архивировано 25 декабря 2017 года.
  34. Using a Least-Privileged User Account. Microsoft. Дата обращения: 20 апреля 2013. Архивировано 6 марта 2013 года.
  35. How to Stop an ActiveX control from running in Internet Explorer. Microsoft. Дата обращения: 22 ноября 2014. Архивировано 2 декабря 2014 года.
  36. Internet Explorer security zones registry entries for advanced users. Microsoft. Дата обращения: 22 ноября 2014. Архивировано 2 декабря 2014 года.
  37. Out-of-date ActiveX control blocking. Microsoft. Дата обращения: 22 ноября 2014. Архивировано 29 ноября 2014 года.
  38. Internet Explorer Add-on Management and Crash Detection. Microsoft. Дата обращения: 22 ноября 2014. Архивировано 29 ноября 2014 года.
  39. How to Manage Internet Explorer Add-ons in Windows XP Service Pack 2. Microsoft. Дата обращения: 22 ноября 2014. Архивировано 2 декабря 2014 года.
  40. Matthew Conover. Analysis of the Windows Vista Security Model. Symantec Corporation. Дата обращения: 8 октября 2007. Архивировано 16 мая 2008 года.
  41. Browser Security: Lessons from Google Chrome. Архивировано 11 ноября 2013 года.
  42. Report malicious software (URL) to Google. Архивировано 12 сентября 2014 года.
  43. Google Safe Browsing. Архивировано 14 сентября 2014 года.
  44. 5 Ways to Secure Your Web Browser. ZoneAlarm. Архивировано 7 сентября 2014 года.
  45. Adblock Plus Will Soon Block Fewer Ads — SiliconFilter. Siliconfilter.com. Дата обращения: 20 апреля 2013. Архивировано 30 января 2013 года.
  46. Securing Your Web Browser. Дата обращения: 27 марта 2010. Архивировано 26 марта 2010 года.
  47. 1 2 Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus Browser Security WhitePaper. X41D SEC GmbH (19 сентября 2017). Дата обращения: 13 августа 2022. Архивировано 1 февраля 2022 года.
  48. Security enhancements for Microsoft Edge (Microsoft Edge for IT Pros) (амер. англ.). Microsoft (15 октября 2017). Дата обращения: 31 августа 2018. Архивировано 1 сентября 2018 года.
  49. Pearce, Paul. Global Measurement of {DNS} Manipulation : [англ.] / Paul Pearce, Ben Jones, Frank Li … [et al.]. — 2017. — P. 307–323. — ISBN 978-1-931971-40-9.
  • Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus Browser Security White Paper. X41D SEC GmbH (19 сентября 2017).
  • Heiderich, Mario; Inführ, Alex; Fäßler, Fabian; Krein, Nikolai; Kinugawa, Masato Cure53 Browser Security White Paper. Cure53 (29 ноября 2017).