Securitatea navigatorului web
Securitatea navigatorului web este aplicarea securității Internetului la navigatoarele web, pentru a proteja datele conectate la rețea și sistemele informatice de încălcări ale confidențialității sau de malware. Exploatările de securitate ale navigatoarelor web folosesc adesea JavaScript, uneori cu Cross-site scripting(d) (XSS),[1] cu o sarcină utilă secundară folosind Adobe Flash. Exploatările de securitate pot profita și de vulnerabilități (găuri de securitate) care sunt frecvent exploatate în toate navigatoarele web (inclusiv Google Chrome, Microsoft Internet Explorer,[2] Mozilla Firefox,[3] Opera,[4] și Safari[5]).
Securitate
[modificare | modificare sursă]Navigatoarele web pot fi încălcate în unul sau mai multe dintre următoarele moduri:
- Sistemul de operare este încălcat și malware-ul citește/modifică spațiul de memorie al navigatorului web în modul privilegiat[6]
- Sistemul de operare are un malware care rulează ca proces în fundal, care citește/modifică spațiul de memorie al navigatorului web în modul privilegiat
- Executabilul principal al navigatorului web poate fi piratat
- Componentele navigatorului web pot fi sparte
- Plugin-urile navigatorului web pot fi piratate
- Comunicațiile de rețea ale navigatorului web pot fi interceptate în afara mașinii[7]
Navigatorul web poate să nu fie conștient de niciuna dintre încălcările de mai sus și poate afișa utilizatorului că s-a realizat o conexiune sigură.
Ori de câte ori un navigator web comunică cu un site web, site-ul web, ca parte a acestei comunicări, colectează unele informații despre navigator (pentru a procesa formatarea paginii care urmează să fie livrată, dacă nu altceva).[8] Dacă a fost introdus cod rău intenționat în conținutul site-ului web sau, în cel mai rău caz, dacă acel site web a fost special conceput pentru a găzdui cod rău intenționat, atunci vulnerabilitățile specifice unui anumit browser pot permite acestui cod rău intenționat să execute procese în cadrul aplicației navigatorului web în moduri neintenționate (și rețineți că una dintre informațiile pe care un site web le colectează dintr-o comunicare a navigatorului web este identitatea navigatorului web - permițând exploatarea unor vulnerabilități specifice).[9] Odată ce un atacator este capabil să execute procese pe mașina vizitatorului, atunci exploatarea vulnerabilităților cunoscute de securitate poate permite atacatorului să obțină acces privilegiat (dacă navigatorul web nu rulează deja cu acces privilegiat) la sistemul „infectat” pentru a efectua o varietate și mai mare de procese și activități rău intenționate pe mașină sau chiar pe întreaga rețea a victimei.[10]
Încălcarea securității navigatoarelor web este de obicei în scopul de a ocoli protecțiile pentru a afișa publicitate pop-up[11] colectarea de date personale (PII) fie pentru marketing pe Internet sau furt de identitate, urmărirea site-urilor web sau analiza web despre un utilizator împotriva voinței acestuia folosind instrumente precum bug-uri web, Clickjacking(d), Likejacking(d) (unde butonul de like al Facebook este vizat),[12][13][14] cookie-uri HTTP, cookie-uri zombi sau cookie-uri Flash (obiecte partajate locale sau LSO); instalarea de adware, viruși, spyware, precum caii troieni (pentru a obține acces la computerele personale ale utilizatorilor prin cracking) sau alt malware, inclusiv furtul de conturi bancare online, folosind atacuri man-in-the-browser.
Un studiu aprofundat al vulnerabilităților din navigatorul web Chromium indică faptul că validarea necorespunzătoare a intrării (CWE-20) și controlul necorespunzător al accesului (CWE-284) sunt cele mai frecvente cauze principale ale vulnerabilităților de securitate.[15] Mai mult, dintre vulnerabilitățile examinate la momentul acestui studiu, 106 vulnerabilități au apărut în Chromium din cauza reutilizării sau importării versiunilor vulnerabile ale bibliotecilor terțe.
Vulnerabilitățile din software-ul în sine al navigatorului web pot fi minimizate prin menținerea actualizată a software-ului navigatorului,[16] dar nu vor fi suficiente dacă sistemul de operare de bază este compromis, de exemplu, de un rootkit.[17] Unele subcomponente ale navigatoarelor, cum ar fi scripturile, add-on-urile și cookie-urile,[18][19][20] sunt deosebit de vulnerabile („problema deputatului confuz”) și trebuie abordate și ele.
Urmând principiul apărării în profunzime, un browser complet actualizat și configurat corect poate să nu fie suficient pentru a garanta că nu pot apărea probleme de securitate legate de browser. De exemplu, un rootkit poate captura apăsările de taste în timp ce cineva se conectează la un site web bancar sau poate efectua un atac de tip man-in-the-middle modificând traficul de rețea către și de la un browser web. DNS hijacking-ul sau DNS spoofing-ul poate fi folosit pentru a returna rezultate pozitive false pentru numele de site-uri web scrise greșit sau pentru a submina rezultatele căutării pentru motoarele de căutare populare. Malware-ul precum RSPlug modifică pur și simplu configurația unui sistem pentru a indica servere DNS rău intenționate.
Navigatoarele web pot folosi metode de comunicare în rețea mai sigure pentru a ajuta la prevenirea unor astfel de atacuri:
- DNS: DNSSec(d) și DNSCrypt(d), de exemplu cu servere DNS care nu sunt implicite, cum ar fi Google Public DNS sau OpenDNS.
- HTTP: HTTP Secure și SPDY(d) cu certificate cu cheie publică semnate digital sau certificate cu validare extinsă.
Apărările perimetrale, de obicei prin firewall-uri și utilizarea de servere proxy de filtrare care blochează site-urile web rău intenționate și efectuează scanări antivirus ale oricăror descărcări de fișiere, sunt implementate în mod obișnuit ca o bună practică în organizațiile mari pentru a bloca traficul de rețea rău intenționat înainte de a ajunge la un browser.
Subiectul securității navigatorului web a crescut până la punctul de a genera crearea întregilor organizații, cum ar fi The Browser Exploitation Framework Project,[21] creând platforme pentru a colecta instrumente pentru a încălca securitatea navigatorului web, aparent în scopul de a testa navigatoarele web și sistemele de rețea pentru vulnerabilități.
Plugin-uri și extensii
[modificare | modificare sursă]Deși nu fac parte din navigatorului web în sine, plugin-urile și extensiile navigatorului web extind suprafața de atac, expunând vulnerabilități în Adobe Flash Player, Adobe (Acrobat) Reader(d), plugin-ul Java și ActiveX(d) care sunt frecvent exploatate. Cercetătorii[22] au studiat pe larg arhitectura de securitate a diferitelor navigatoare web, în special a celor care se bazează pe modele plug-and-play. Acest studiu a identificat 16 tipuri comune de vulnerabilitate și 19 potențiale măsuri de atenuare. Malware-ul poate fi implementat și ca extensie de browser, cum ar fi un obiect de ajutor pentru browser în cazul Internet Explorer.[23] În diferite alte exploit-uri, site-urile web care au fost concepute să pară autentice și includeau pop-up-uri false „actualizează Adobe Flash” concepute ca indicii vizuale pentru a descărca în schimb sarcini utile de malware.[24] Unele navigatoare web, precum Google Chrome și Mozilla Firefox, pot bloca sau pot avertiza utilizatorii cu privire la plugin-urile nesigure.
Adobe Flash
[modificare | modificare sursă]Un studiu din august 2009 realizat de Social Science Research Network(d) a constatat că 50% dintre site-urile web care utilizează Flash foloseau și cookie-uri Flash, însă politicile de confidențialitate le-au dezvăluit rar, iar controalele utilizatorului pentru preferințele de confidențialitate lipseau. Majoritatea funcțiilor de ștergere a cache-ului și a istoricului navigatorului web nu afectează scrierea de obiecte partajate locale de către Flash Player în propriul său cache, iar comunitatea de utilizatori este mult mai puțin conștientă de existența și funcția cookie-urilor Flash decât cookie-urile HTTP.[25] Astfel, utilizatorii care au șters cookie-urile HTTP și au curățat fișierele de istoric și cache-urile navigatorului web pot crede că au curățat toate datele de urmărire de pe computerele lor, în timp ce de fapt rămâne istoricul de navigare Flash. Pe lângă eliminarea manuală, add-on-ul BetterPrivacy pentru Firefox poate elimina cookie-urile Flash. Adblock Plus(d) poate fi folosit pentru a filtra amenințările specifice,[11] iar Flashblock(d) poate fi folosit pentru a oferi o opțiune înainte de a permite conținutul pe site-uri de altfel de încredere.[26]
Charlie Miller a recomandat „să nu instalați Flash”[27] la conferința de securitate a computerelor CanSecWest. Alți câțiva experți în securitate recomandă, de asemenea, să nu instalați Adobe Flash Player sau să îl blocați.[28]
Modelul de securitate a parolelor în browser
[modificare | modificare sursă]Conținutul unei pagini web este arbitrar și controlat de entitatea care deține domeniul afișat în bara de adrese. Dacă se folosește HTTPS, atunci criptarea este utilizată pentru a proteja împotriva atacatorilor cu acces la rețea care doresc să modifice conținutul paginii pe parcurs. Când i se prezintă un câmp pentru parolă pe o pagină web, utilizatorul trebuie să se uite la bara de adrese pentru a determina dacă numele domeniului din bara de adrese este locul corect pentru a trimite parola.[29] De exemplu, pentru sistemul de autentificare unică al Google (utilizat pe YouTube.com), utilizatorul trebuie să verifice întotdeauna dacă bara de adrese afișează „https://accounts.google.com” înainte de a introduce parola.
Un browser necompromis garantează corectitudinea barei de adrese. Această garanție este unul dintre motivele pentru care navigatoarele web vor afișa, în general, un avertisment atunci când intră în modul ecran complet, deasupra locului unde ar fi în mod normal bara de adrese, astfel încât o pagină web cu ecran complet să nu poată crea o interfață falsă de utilizator a navigatorului web cu o bară de adrese falsă.[30]
Securizarea navigatorului web
[modificare | modificare sursă]Navigarea pe internet ca utilizator cu privilegii minime (adică fără privilegii de administrator) limitează capacitatea unei vulnerabilități de securitate din navigatorul web de a compromite întregul sistem de operare.[31]
Internet Explorer 4(d) și versiunile ulterioare permit blocarea pe liste negre[32][33][34] și pe liste albe[35][36] a controalelor ActiveX(d), add-on-urilor și extensiilor de browser în diverse moduri.
Internet Explorer 7(d) a adăugat „modul protejat”, o tehnologie care securizează navigatorul web prin aplicarea unei caracteristici de tip sandbox de securitate din Windows Vista numită Mandatory Integrity Control.[37] Google Chrome oferă un sandbox pentru a limita accesul paginii web la sistemul de operare.[38]
Site-urile web suspectate de malware raportate la Google și confirmate de Google[39] sunt marcate ca găzduind malware în anumite navigatoare web.[40]
Există extensii și plugin-uri terțe disponibile pentru a securiza chiar și cele mai recente navigatoare web[41] și unele pentru navigatoare web și sisteme de operare mai vechi. Software-ul bazat pe liste albe, precum NoScript(d), poate bloca JavaScript și Adobe Flash, care este folosit pentru majoritatea atacurilor asupra confidențialității, permițând utilizatorilor să aleagă doar site-urile pe care știu că sunt în siguranță - AdBlock Plus(d) folosește și abonamente la reguli de filtrare a anunțurilor pe liste albe, deși atât software-ul în sine, cât și administratorii listei de filtrare au intrat în controversă pentru că, în mod implicit, permit unor site-uri să treacă filtrele predefinite.[42] US-CERT recomandă blocarea Flash folosind NoScript(d).[43]
Fuzzing
[modificare | modificare sursă]Navigatoarele web moderne sunt supuse unor teste de Fuzzing(d) extensive pentru a descoperi vulnerabilități. Codul Chromium al Google Chrome este supus în mod continuu la fuzzing de către echipa de securitate Chrome cu 15.000 de nuclee.[44] Pentru Microsoft Edge și Internet Explorer, Microsoft a efectuat teste de fuzzing cu 670 de ani-mașină în timpul dezvoltării produsului, generând mai mult de 400 de miliarde de manipulări DOM din 1 miliard de fișiere HTML.[45][44]
Note
[modificare | modificare sursă]- ^ Maone, Giorgio. „NoScript :: Add-ons for Firefox”. Mozilla Add-ons. Mozilla Foundation.
- ^ Bradly, Tony. "It's Time to Finally Drop Internet Explorer 6" Arhivat în , la Wayback Machine.. Retrieved 19 November 2010.
- ^ Keizer, Greg. Firefox 3.5 Vulnerability Confirmed Arhivat în , la Wayback Machine.. Retrieved 19 November 2010.
- ^ Skinner, Carrie-Ann. Opera Plugs "Severe" Browser Hole Arhivat în , la Wayback Machine.. Retrieved 19 November 2010.
- ^ „Browser”. Mashable(d). Arhivat din original la . Accesat în .
- ^ Smith, Dave (). „The Yontoo Trojan: New Mac OS X Malware Infects Google Chrome, Firefox And Safari Browsers Via Adware”. IBT Media Inc. Arhivat din original la . Accesat în .
- ^ Goodin, Dan. „MySQL.com breach leaves visitors exposed to malware”. The Register(d). Arhivat din original la . Accesat în .
- ^ Clinton Wong. „HTTP Transactions”. O'Reilly. Arhivat din original la .
- ^ „9 Ways to Know Your PC is Infected with Malware”. Arhivat din original la .
- ^ „Symantec Security Response Whitepapers”. Arhivat din original la .
- ^ a b Palant, Wladimir. „Adblock Plus :: Add-ons for Firefox”. Mozilla Add-ons. Mozilla Foundation.
- ^ „Facebook privacy probed over 'like,' invitations”. CBC News. . Arhivat din original la . Accesat în .
- ^ Albanesius, Chloe (). „German Agencies Banned From Using Facebook, 'Like' Button”. PC Magazine. Arhivat din original la . Accesat în .
- ^ McCullagh, Declan (). „Facebook 'Like' button draws privacy scrutiny”. CNET News. Arhivat din original la . Accesat în .
- ^ Santos, J. C. S.; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, J. V.; Sejfia, A. (aprilie 2017). „Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird”. 2017 IEEE International Conference on Software Architecture (ICSA). pp. 69–78. doi:10.1109/ICSA.2017.39. ISBN 978-1-5090-5729-0.
- ^ State of Vermont. „Web Browser Attacks”. Arhivat din original la . Accesat în .
- ^ „Windows Rootkit Overview” (PDF). Symantec. Arhivat din original (PDF) la . Accesat în .
- ^ „Cross Site Scripting Attack”. Arhivat din original la . Accesat în .
- ^ Lenny Zeltser. „Mitigating Attacks on the Web Browser and Add-Ons”. Arhivat din original la . Accesat în .
- ^ Dan Goodin (). „Two new attacks on SSL decrypt authentication cookies”. Arhivat din original la . Accesat în .
- ^ „beefproject.com”. Arhivat din original la .
- ^ Santos, Joanna C. S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (). „Achilles' heel of plug-and-Play software architectures: A grounded theory based approach”. Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering. ESEC/FSE 2019. New York, NY, US: ACM. pp. 671–682. doi:10.1145/3338906.3338969. ISBN 978-1-4503-5572-8.
- ^ „How to Create a Rule That Will Block or Log Browser Helper Objects in Symantec Endpoint Protection”. Symantec.com. Arhivat din original la . Accesat în .
- ^ Aggarwal, Varun (). „Breaking: Fake sites of 50 Indian News portals luring gullible readers”. The Economic Times CIO. Arhivat din original la . Accesat în .
- ^ „Local Shared Objects -- "Flash Cookies"”. Electronic Privacy Information Center. . Arhivat din original la . Accesat în .
- ^ Chee, Philip. „Flashblock :: Add-ons for Firefox”. Mozilla Add-ons. Mozilla Foundation. Arhivat din original la .
- ^ „Pwn2Own 2010: interview with Charlie Miller”. . Arhivat din original la . Accesat în .
- ^ „Expert says Adobe Flash policy is risky”. . Arhivat din original la . Accesat în .
- ^ John C. Mitchell. „Browser Security Model” (PDF). Arhivat din original (PDF) la .
- ^ „Using the HTML5 Fullscreen API for Phishing Attacks » Feross.org”. feross.org. Arhivat din original la . Accesat în .
- ^ „Using a Least-Privileged User Account”. Microsoft. . Arhivat din original la . Accesat în .
- ^ „How to Stop an ActiveX control from running in Internet Explorer”. Microsoft. Arhivat din original la . Accesat în .
- ^ „Internet Explorer security zones registry entries for advanced users”. Microsoft. Arhivat din original la . Accesat în .
- ^ „Out-of-date ActiveX control blocking”. Microsoft. Arhivat din original la . Accesat în .
- ^ „Internet Explorer Add-on Management and Crash Detection”. Microsoft. . Arhivat din original la . Accesat în .
- ^ „How to Manage Internet Explorer Add-ons in Windows XP Service Pack 2”. Microsoft. Arhivat din original la . Accesat în .
- ^ Matthew Conover. „Analysis of the Windows Vista Security Model” (PDF). Symantec Corporation. Arhivat din original (PDF) la . Accesat în .
- ^ „Browser Security: Lessons from Google Chrome”. august 2009. Arhivat din original la .
- ^ „Report malicious software (URL) to Google”. Arhivat din original la .
- ^ „Google Safe Browsing”. Arhivat din original la .
- ^ „5 Ways to Secure Your Web Browser”. ZoneAlarm. . Arhivat din original la .
- ^ „Adblock Plus Will Soon Block Fewer Ads – SiliconFilter”. Siliconfilter.com. . Arhivat din original la . Accesat în .
- ^ „Securing Your Web Browser”. Arhivat din original la . Accesat în .
- ^ a b Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (). „Browser Security WhitePaper” (PDF). X41D SEC GmbH. Arhivat din original (PDF) la . Accesat în .
- ^ „Security enhancements for Microsoft Edge (Microsoft Edge for IT Pros)”. Microsoft. . Arhivat din original la . Accesat în .
Lectură suplimentară
[modificare | modificare sursă]- Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (). „Browser Security White Paper” (PDF). X41D SEC GmbH.
- Heiderich, Mario; Inführ, Alex; Fäßler, Fabian; Krein, Nikolai; Kinugawa, Masato (). „Cure53 Browser Security White Paper” (PDF). Cure53.