Browser sikkerhed

Browser Security  er en internetsikkerhedsapplikation til webbrowsere for at beskytte netværksdata og computersystemer mod brud på privatlivets fred eller malware . Browsersikkerhedsudnyttelser bruger ofte JavaScript , nogle gange cross-site scripting (XSS) [1] med en ekstra nyttelast ved hjælp af Adobe Flash . [2] Sikkerhedsudnyttelser kan også udnytte sårbarheder (sikkerhedshuller), der almindeligvis udnyttes i alle browsere (inklusive Mozilla Firefox , [3] Google Chrome , [4] Opera , [5] Microsoft Internet Explorer , [6] og Safari [ 7 ] ).

Sikkerhed

Webbrowsere kan kapres på en eller flere af følgende måder:

Browseren er muligvis ikke opmærksom på nogen af ​​ovenstående overtrædelser og kan indikere over for brugeren, at der er etableret en sikker forbindelse.

Når en browser kommunikerer med et websted, indsamler webstedet nogle oplysninger om browseren som en del af denne interaktion (i det mindste for at behandle formateringen af ​​den side, der skal leveres). [10] Hvis ondsindet kode er blevet indsat i indholdet af et websted, eller i værste fald, hvis webstedet er specielt designet til at hoste ondsindet kode, så kan browserspecifikke sårbarheder tillade, at den ondsindede kode starter processer i browseren ansøgning. på en utilsigtet måde (og husk på, at en af ​​de oplysninger, som et websted indsamler, når det kommunikerer med en browser, er identifikation af browseren, som tillader udnyttelse af visse sårbarheder). [11] Når først angriberen er i stand til at køre processer på ofrets computer, kan udnyttelse af kendte sikkerhedssårbarheder give angriberen mulighed for at få privilegeret adgang (hvis browseren ikke allerede kører med privilegeret adgang) til det "inficerede" system for at udføre et endnu større udvalg af ondsindede processer og handlinger på maskinen eller endda i hele offerets netværk. [12]

Popup-vindue

Sikkerhedsbrud på webbrowsere har typisk til formål at omgå beskyttelsen for at vise pop-up-annoncer [13] , indsamle personlige oplysninger (PII) enten til online markedsføring eller identitetstyveri, webstedssporing eller webanalyse om en bruger mod deres vilje med brug af værktøjer som f.eks. web beacon, Clickjacking , Likejacking (som bruger Facebook Synes godt om knappen ), [14] [15] [16] [17] HTTP cookies , zombie cookies eller Flash cookies Flash cookies (Local Shared Objects eller LSO); [2] installation af adware , vira , spyware såsom trojanske heste (for at få adgang til brugernes personlige computere ved at hacke ) eller anden malware , herunder stjæle internetbank ved hjælp af Man-in-the-Browser- angreb ".

Et dybt dyk ned i sårbarheder i Chromium-webbrowseren viser, at forkert inputvalidering (CWE-20) og forkert adgangskontrol (CWE-284) er de mest almindelige årsager til sikkerhedssårbarheder. [18] Blandt de sårbarheder, der blev undersøgt i løbet af denne undersøgelse, opstod 106 sårbarheder i Chromium på grund af genbrug eller import af sårbare versioner af tredjepartsbiblioteker.

Sårbarheder i selve webbrowsersoftwaren kan minimeres ved at holde browsersoftwaren opdateret, [19] men dette vil ikke være nok, hvis det underliggende operativsystem kompromitteres, for eksempel af et rootkit. [20] Nogle underkomponenter af browsere, såsom scripts, tilføjelser og cookies, [21] [22] [23] er særligt sårbare (det "slørede hjælpeproblem") og skal også løses.

I overensstemmelse med princippet om forsvar i dybden er en fuldt patchet og korrekt konfigureret browser muligvis ikke tilstrækkelig til at forhindre browserrelaterede sikkerhedsproblemer. For eksempel kan et rootkit opsnappe tastetryk , når nogen går ind på et bankwebsted, eller udføre et "man-in-the- midten-angreb " ved at ændre netværkstrafikken ind og ud af en webbrowser. DNS-kapring eller DNS -spoofing kan bruges til at returnere falske positiver for forkert indtastede webstedsnavne eller til at skæve søgeresultater for populære søgemaskiner. Malware som RSPlug ændrer simpelthen systemkonfigurationen til at pege på useriøse DNS-servere.

Browsere kan bruge mere sikre netværksteknikker til at forhindre nogle af disse angreb:

Perimeterbeskyttelse, typisk gennem brug af firewalls og brug af filtrerende proxyer , der blokerer ondsindede websteder og udfører antivirusscanning af alle downloadede filer, er almindeligvis implementeret som en bedste praksis i store organisationer for at blokere ondsindet netværkstrafik, før den når browseren.

Emnet browsersikkerhed er vokset i en sådan grad, at det har affødt hele organisationer, såsom The Browser Exploitation Framework Project [24] , der skaber platforme til at indsamle værktøjer til at knække browsersikkerhed, angiveligt for at tjekke browsere og netværkssystemer for sårbarheder.

Plugins og udvidelser

Selvom de ikke er en del af selve browseren, øger browser-plugins og -udvidelser angrebsfladen ved at afsløre sårbarheder i Adobe Flash Player , Adobe (Acrobat) Reader , Java - plugin og ActiveX , som almindeligvis udnyttes af angribere. [25] Forskere har omhyggeligt studeret sikkerhedsarkitekturen i forskellige webbrowsere, især dem, der er baseret på plug-and-play-principper. Denne undersøgelse identificerede 16 almindelige typer af sårbarheder og 19 potentielle rettelser. Malware kan også implementeres som en browserudvidelse, såsom et browserhjælpeobjekt i forbindelse med Internet Explorer. [26] Browsere som Google Chrome og Mozilla Firefox kan blokere eller advare brugere om usikre plugins.

Adobe Flash

En undersøgelse fra august 2009 foretaget af Social Science Research Network viste, at 50 % af websteder, der bruger Flash, også bruger Flash-cookies, men privatlivspolitikker afslører dem sjældent, og der var ingen brugerkontrol til privatlivsindstillinger. [27] De fleste browseres cache- og historiesletningsfunktioner påvirker ikke Flash Player, der skriver lokale delte objekter til sin egen cache, og brugerfællesskabet er meget mindre opmærksom på eksistensen og funktionen af ​​Flash-cookies end HTTP-cookies. [28] Således kan brugere, der har slettet HTTP-cookies og ryddet browserhistorikfiler og caches, tro, at de har slettet alle sporingsdata fra deres computere, mens Flash-browserhistorikken faktisk forbliver. Ud over manuel sletning kan BetterPrivacy-tilføjelsen til Firefox slette Flash-cookies. [2] Adblock Plus kan bruges til at bortfiltrere visse trusler, [13] og Flashblock kan bruges til at give en mulighed, før indhold tillades på andre betroede websteder. [29]

Charlie Miller anbefalede "ikke installere Flash" på CanSecWest computersikkerhedskonferencen [30] . Flere andre sikkerhedseksperter anbefaler også enten ikke at installere Adobe Flash Player eller blokere den. [31]

Adgangskodesikkerhedsmodel

Indholdet af websiden er vilkårligt og kontrolleres af den person, der ejer domænet, hvis navn vises i adresselinjen. Hvis HTTPS bruges , bruges kryptering til at forhindre ubudne gæster, der har adgang til netværket, i at ændre indholdet på siden under transit. Når du præsenterer et adgangskodefelt på en webside, skal brugeren se på adresselinjen for at afgøre, om domænenavnet i adresselinjen er det rigtige sted at indsende adgangskoden. [32] For eksempel, for Googles single sign-on-system (som det f.eks. bruges på youtube.com), skal brugeren altid kontrollere, at adresselinjen siger " https://accounts.google.com" , før han indtaster deres adgangskode.

En kompromisløs browser sikrer, at adresselinjen er korrekt. Denne garanti er en af ​​grundene til, at browsere typisk viser en advarsel, når de går i fuld skærm oven på, hvor adresselinjen normalt ville være, så et fuldskærmswebsted kan ikke oprette en falsk browser-UI med en falsk adresselinje. [33]

Hardwarebrowser

Der har været forsøg på at sælge hardwarebrowsere, der kører fra skrivebeskyttede, ikke-skrivbare filsystemer. Data kan ikke gemmes på enheden, og mediet kan ikke overskrives, en tom eksekverbar fil vises hver gang den indlæses. Den første sådan enhed var ZeusGard Secure Hardware Browser, udgivet i slutningen af ​​2013. ZeusGards hjemmeside har været nede siden midten af ​​2016. En anden enhed, iCloak® Stik fra iCloak-webstedet , giver en komplet Live CD , der fuldstændig erstatter hele computerens operativsystem og tilbyder to webbrowsere fra et skrivebeskyttet system. Med iCloak leverer de Tor-browseren til anonym browsing, såvel som den almindelige Firefox-browser til ikke-anonym browsing. Enhver usikret webtrafik (for eksempel uden at bruge https) kan stadig være genstand for man-in-the-middle-modifikation eller anden manipulation baseret på netværkstrafik.

Live CD

Live-cd'er , som kører operativsystemet fra en uskrivelig kilde, leveres normalt med webbrowsere som en del af standardbilledet. Så længe det originale Live CD-billede er fri for malware, vil al software, du bruger, inklusive webbrowseren, indlæses uden malware, hver gang du starter Live CD-billedet.

Browsersikkerhed

At surfe på internettet som en brugerkonto med de mindste privilegier (ingen administratorrettigheder) begrænser muligheden for en sikkerhedsudnyttelse i en webbrowser til at kompromittere hele operativsystemet. [34]

Internet Explorer 4 og nyere giver dig mulighed for at sortliste [35] [36] [37] og hvidliste [38] [39] ActiveX-kontroller , tilføjelser og browserudvidelser på forskellige måder.

Internet Explorer 7 tilføjede "beskyttet tilstand", en teknologi, der forbedrer browsersikkerheden ved at bruge en Windows Vista -sikkerhedssandkassefunktion kaldet obligatorisk integritetskontrol . [40] Google Chrome har en sandkasse til at begrænse adgangen til websider af operativsystemet. [41]

Mistænkte ondsindede websteder rapporteret af Google [42] og bekræftet af Google er markeret som hosting af malware i visse browsere. [43]

Der er tredjepartsudvidelser og plugins til at beskytte selv de nyeste browsere, [44] såvel som nogle til ældre browsere og operativsystemer. Hvidlistesoftware som NoScript kan blokere JavaScript , som bruges til de fleste privatlivsangreb, så brugere kun kan vælge websteder, som de ved er sikre. Filterlisteproducenter har været kontroversielle for at tillade nogle websteder at passere forudinstallerede filtre som standard. [45] US-CERT anbefaler at blokere Flash ved hjælp af NoScript. [46]

Fuzzing

Moderne webbrowsere er genstand for omfattende fuzzing for at identificere sårbarheder. Chromium - koden til Google Chrome gennemgås konstant af Chrome-sikkerhedsteamet med 15.000 kerner. [47] For Microsoft Edge og Internet Explorer udførte Microsoft fuzzy test ved hjælp af 670 maskinår under produktudvikling, og genererede over 400 milliarder DOM-manipulationer fra 1 milliard HTML-filer. [48] ​​[47]

Bedste praksis

Se også

Noter

  1. Maone, Giorgio NoScript :: Tilføjelser til Firefox . Mozilla tilføjelser . Mozilla Foundation .
  2. 1 2 3 BetterPrivacy :: Tilføjelser til Firefox . Mozilla Foundation .  (utilgængeligt link)
  3. Keizer, Greg. Arkiveret fra originalen den 28. oktober 2010, Firefox 3.5-sårbarhed bekræftet . . Hentet 19. november 2010.
  4. Messmer, Ellen og NetworkWorld. "Google Chrome topper 'Dirty Dozen' listen over sårbare apps" . Hentet 19. november 2010.
  5. Skinner, Carrie-Ann. Opera Plugs "Severe" Browser Hole Arkiveret fra originalen den 20. maj 2009. . Hentet 19. november 2010.
  6. Bradley, Tony. "Det er tid til endelig at droppe Internet Explorer 6" Arkiveret 15. oktober 2012. . Hentet 19. november 2010.
  7. Browser . Mashable . Hentet 2. september 2011. Arkiveret fra originalen 2. september 2011.
  8. Smith, Dave The Yontoo Trojan: New Mac OS X Malware inficerer Google Chrome, Firefox og Safari-browsere via adware . IBT Media Inc (21. marts 2013). Hentet 21. marts 2013. Arkiveret fra originalen 24. marts 2013.
  9. Goodin, Dan MySQL.com-brud efterlader besøgende udsat for malware . Registeret . Hentet 26. september 2011. Arkiveret fra originalen 28. september 2011.
  10. Clinton Wong. HTTP-transaktioner . O'Reilly. Arkiveret fra originalen den 13. juni 2013.
  11. 9 måder at vide, at din pc er inficeret med malware på . Arkiveret fra originalen den 11. november 2013.
  12. Whitepapers for Symantec Security Response . Arkiveret fra originalen den 9. juni 2013.
  13. 1 2 Palant, Wladimir Adblock Plus :: Tilføjelser til Firefox . Mozilla tilføjelser . Mozilla Foundation .
  14. Facebooks privatliv undersøgt over 'synes godt om' invitationer , CBC News  (23. september 2010). Hentet 24. august 2011.
  15. Albanesius, Chloe . Tyske agenturer forbudt at bruge Facebook, 'Synes godt om'-knap , PC Magazine  (19. august 2011). Hentet 24. august 2011.
  16. McCulagh, Declan . Facebook 'Synes godt om'-knap sætter fokus på privatlivets fred , CNET News  (2. juni 2010). Hentet 19. december 2011.
  17. Roosendaal, Arnold Facebook sporer og sporer alle: Synes godt om dette! (30. november 2010).
  18. Santos, JCS; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, JV; Sejfia, A. (april 2017). "Forstå softwaresårbarheder relateret til arkitektonisk sikkerhedstaktik: En empirisk undersøgelse af Chromium, PHP og Thunderbird" . 2017 IEEE International Conference on Software Architecture (ICSA) : 69-78. DOI : 10.1109/ICSA.2017.39 . ISBN  978-1-5090-5729-0 . S2CID  29186731 .
  19. Staten Vermont. Webbrowserangreb . Hentet 11. april 2012. Arkiveret fra originalen 13. februar 2012.
  20. Oversigt over Windows Rootkit . Symantec. Hentet 20. april 2013. Arkiveret fra originalen 16. maj 2013.
  21. Cross Site Scripting Attack . Hentet 20. maj 2013. Arkiveret fra originalen 15. maj 2013.
  22. Lenny Zeltser. Afbødende angreb på webbrowseren og tilføjelser . Hentet 20. maj 2013. Arkiveret fra originalen 7. maj 2013.
  23. Dan Goodin. To nye angreb på SSL-dekryptering af autentificeringscookies (14. marts 2013). Hentet 20. maj 2013. Arkiveret fra originalen 15. maj 2013.
  24. beefproject.com . Arkiveret fra originalen den 11. august 2011.
  25. Santos, Joanna C.S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "Akilles' hæl af plug-and-play-softwarearkitekturer: A Grounded Theory Based Approach" . Proceedings fra 2019 27. ACM Joint Meeting on European Software Engineering Conference og Symposium on the Foundations of Software Engineering . ESEC/FSE 2019. New York, NY, USA: ACM: 671-682. DOI : 10.1145/3338906.3338969 . ISBN  978-1-4503-5572-8 . S2CID  199501995 .
  26. Sådan opretter du en regel, der blokerer eller logger browserhjælpeobjekter i Symantec Endpoint Protection . Symantec.com. Hentet 12. april 2012. Arkiveret fra originalen 14. maj 2013.
  27. Skabelon:Cite ssrn
  28. Lokale delte objekter -- "Flash-cookies" . Electronic Privacy Information Center (21. juli 2005). Hentet 8. marts 2010. Arkiveret fra originalen 16. april 2010.
  29. Chee, Philip Flashblock :: Tilføjelser til Firefox . Mozilla tilføjelser . Mozilla Foundation . Arkiveret fra originalen den 15. april 2013.
  30. Pwn2Own 2010: interview med Charlie Miller (1. marts 2010). Hentet 27. marts 2010. Arkiveret fra originalen 24. april 2011.
  31. Ekspert siger, at Adobe Flash-politikken er risikabel (12. november 2009). Hentet 27. marts 2010. Arkiveret fra originalen 26. april 2011.
  32. John C. Mitchell. Browsersikkerhedsmodel . Arkiveret fra originalen den 20. juni 2015.
  33. Brug af HTML5 Fullscreen API til phishing-angreb » Feross.org . feross.org . Hentet 7. maj 2018. Arkiveret fra originalen 25. december 2017.
  34. Brug af en mindst privilegeret brugerkonto . Microsoft . Hentet 20. april 2013. Arkiveret fra originalen 6. marts 2013.
  35. Sådan stopper du et ActiveX-objekt i at køre i Internet Explorer . Microsoft . Hentet 22. november 2014. Arkiveret fra originalen 2. december 2014.
  36. Internet Explorer-sikkerhedszoner i registreringsdatabasen for avancerede brugere . Microsoft . Hentet 22. november 2014. Arkiveret fra originalen 2. december 2014.
  37. Forældet ActiveX-kontrolblokering . Microsoft . Hentet 22. november 2014. Arkiveret fra originalen 29. november 2014.
  38. Administration af tilføjelsesprogrammer til Internet Explorer og registrering af nedbrud . Microsoft . Hentet 22. november 2014. Arkiveret fra originalen 29. november 2014.
  39. Sådan administreres Internet Explorer-tilføjelser i Windows XP Service Pack 2 . Microsoft . Hentet 22. november 2014. Arkiveret fra originalen 2. december 2014.
  40. Matthew Conover. Analyse af Windows Vista-sikkerhedsmodellen . Symantec Corp. Hentet 8. oktober 2007. Arkiveret fra originalen 16. maj 2008.
  41. Browsersikkerhed: Lektioner fra Google Chrome . Arkiveret fra originalen den 11. november 2013.
  42. Rapporter ondsindet software (URL) til Google . Arkiveret fra originalen den 12. september 2014.
  43. Google Sikker browsing . Arkiveret fra originalen den 14. september 2014.
  44. 5 måder at sikre din webbrowser på . ZoneAlarm . Arkiveret fra originalen den 7. september 2014.
  45. Adblock Plus vil snart blokere færre annoncer - SiliconFilter . Siliconfilter.com. Hentet 20. april 2013. Arkiveret fra originalen 30. januar 2013.
  46. Sikring af din webbrowser . Hentet 27. marts 2010. Arkiveret fra originalen 26. marts 2010.
  47. 1 2 Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus Hvidbog om browsersikkerhed . X41D SEC GmbH (19. september 2017).
  48. Sikkerhedsforbedringer til Microsoft Edge (Microsoft Edge for IT-professionelle  )  ? . Microsoft (15. oktober 2017). Hentet: 31. august 2018.
  49. Pearce, Paul. Global måling af {DNS}-manipulation  : [ eng. ]  / Paul Pearce, Ben Jones, Frank Li … [ et al. ] . — 2017. — S. 307–323. — ISBN 978-1-931971-40-9 .

Links

 Ondsindet software
Infektiøs malware
Gemme metoder
Malware
for profit
Af operativsystemer
Beskyttelse
Modforanstaltninger
  • Anti Spyware Coalition
  • computer overvågning
  • honningkrukke
  • Betjening: Bot Roast