Ohjelmointi

Test Centerin opas selaimen tietoturvaan

Äskettäisessä Internet Explorerin kaistan ulkopuolisessa hätäkorjauksessa on monia asiantuntijoita, jotka suosittelevat mitä tahansa selainta, mutta IE: tä parhaana suojausturvana. Vaikka harvemmin hyökättyjen ohjelmistojen käytössä on jonkin verran turvallisuutta, on parempi kysyä, mikä on turvallisin valinta suosituimpien selainten joukossa? Mitkä ovat tärkeimmät turvaominaisuudet, joita etsit selaimessa, ja mitkä ovat varovaisuuden heikkoudet?

Tässä katsauksessa keskitytään seuraavien Windows-pohjaisten Internet-selainten suojausominaisuuksiin: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera-ohjelmiston Opera ja Applen Safari. Kaikki paitsi Chrome ovat mukana, koska ne sijoittuvat suosituimpien selainten joukkoon, joilla on pitkä historia ja miljoonia käyttäjiä. Google Chrome on mukana, koska sillä on ainutlaatuinen suojausmalli ja laaja odotukset syödä merkittävästi muiden selainten markkinaosuutta. Katsauksessa on käytetty viimeisimpiä julkisesti saatavilla olevia versioita (mukaan lukien beetaversiot). Jokainen selain on testattu Windows XP Pro SP3- ja Windows Vista Enterprise -käyttöjärjestelmissä.

[ForLisätietoja selaimen turvallisuudesta ja Test Centerin Chrome-, Firefox-, Internet Explorer-, Opera- ja Safari-tietoturvatarkastuksista, katso erityiskertomus. ]

Tämän tarkistuksen tarkoituksena oli testata jokaisen selaimen suojauskunto. Sellaisina nämä arviot eivät yleensä kata mitään uusia ominaisuuksia, jotka eivät liity turvallisuuteen. Koska tämä tarkastelu keskittyi kunkin selaimen tietoturvan testaamiseen, kaikkia selaimia testattiin vain toimittajan oletusasennetuilla lisäosilla. Esimerkiksi, vaikka NoScript on suosittu Firefox-selaimen lisäosa, joka asennetaan usein turvallisuuden parantamiseksi, sitä ei ole asennettu oletuksena eikä myyjä ole luonut sitä, joten sitä ei sisällytetty tarkasteluun.

Täysi paljastus: Tämän artikkelin kirjoittaja on Microsoftin palveluksessa kokopäiväisesti turvallisuusarkkitehtina. Hän ei osallistu Internet Explorerin kehittämiseen tai markkinointiin. Hän käyttää päivittäin useita selaimia useilla käyttöjärjestelmillä ja hänellä on useita suosikkeja, mukaan lukien selaimet, joita ei sisälly tähän arvosteluun.

Suojatun selaimen luominen

Järjestelmänvalvojien on yleensä pidettävä jokaista Internetiin liitettyä verkkoselainta suurena riskinä. Hyvin turvallisissa ympäristöissä verkkoselaimet eivät saa toimia tai niiden ei tule antaa sisältöä Internetistä. Mutta olettaen, että yrityksesi täytyy selata Internetiä ja etsii hyväksyttävää suojaustasoa käyttävää verkkoselainta, jatka lukemista. Suojatun selaimen on sisällettävä vähintään seuraavat ominaisuudet:

* Se koodattiin SDL (Security Development Lifecycle) -tekniikoilla.

* Se on läpikäynyt koodin tarkistuksen ja fuusioinnin.

* Se erottaa loogisesti verkko- ja paikalliset tietoturvatunnukset.

* Se estää helposti haitallisen kauko-ohjauksen.

* Se estää haitallisen uudelleenohjauksen.

* Siinä on turvalliset oletukset.

* Sen avulla käyttäjä voi vahvistaa tiedoston lataamisen tai suorittamisen.

* Se estää URL-osoitteiden hämärtymisen.

* Se sisältää puskurin ylivuotoa estäviä ominaisuuksia.

* Se tukee yleisiä suojattuja protokollia (SSL, TLS jne.) Ja salauksia (3DES, AES, RSA jne.).

* Se korjaa ja päivittää itsensä automaattisesti (käyttäjän suostumuksella).

* Siinä on ponnahdusikkunoiden esto.

* Siinä käytetään phishing-suodatinta.

* Se estää verkkosivustojen evästeiden väärinkäytön.

* Se estää URL-osoitteiden huijaamisen helposti.

* Se tarjoaa suojausvyöhykkeet / toimialueet luottamuksen ja toiminnallisuuden erottamiseksi.

* Se suojaa käyttäjän verkkosivuston kirjautumistietoja tallennuksen ja käytön aikana.

* Sen avulla selaimen lisäosat voidaan ottaa helposti käyttöön ja poistaa käytöstä.

* Se estää ilkikurista ikkunoiden käyttöä.

* Se tarjoaa yksityisyyden valvonnan.

Toinen hyvä paikka aloittaa verkkoselaimen tietoturvan perusteiden oppiminen on Selainsuojauksen käsikirjan osa 2, jota ylläpitää Michal Zalewski. Selaimen tietoturvakäsikirja tarjoaa erinomaisen johdannon moniin kulissien takana oleviin tietoturvakäytäntöihin, jotka ovat useimpien nykyisten selainten taustalla, ja kertoo, mitä ominaisuuksia tuetaan eri selaimissa.

Kuinka mitata selaimen turvallisuutta

Turvallisuusmalli. Jokainen selain on koodattu selaimen toimittajan valitseman suojausmallin taustalla olevaan vahvuuteen. Tämä malli pitää epäluotettavan verkkopuolen erillään luotettavammista suojavyöhykkeistä. Jos haittaohjelma pystyy hyödyntämään selainta, kuinka helposti se voi vaarantaa koko järjestelmän? Mitä puolustuksia myyjä sisällytti selaimen taustalla olevaan suunnitteluun estääkseen haitallisen käytön? Kuinka haitallinen uudelleenohjaus (kuten verkkotunnusten välinen sivustojen välinen komentosarja ja kehysvarkaus) estetään? Onko muisti suojattu ja puhdistettu väärinkäyttäjiä vastaan? Antaako selain loppukäyttäjille useita suojausalueita tai vyöhykkeitä, joilla on erilainen toiminnallisuus, johon eri verkkosivustot voidaan sijoittaa heidän liittyvän luottamuksensa mukaan? Mitä loppukäyttäjän suojauksia on rakennettu selaimeen? Yritäkö selain päivittää itseään? Kaikissa näissä ja muissa kysymyksissä selvitetään selaimen suojausmallin kunto.

Kun selain toimii Windowsissa, hyödyntääkö se tietojen suorittamisen estämistä (DEP)? Jos se toimii Windows Vistassa, käyttääkö se tiedostojen ja rekisterien virtualisointia, pakollisia eheysohjaimia (katso sivupalkki) vai osoitetilan asettelujen satunnaistamista? Nämä aiheet vaativat liian paljon tilaa keskustellakseen asianmukaisesti tässä katsauksessa, mutta kaikki neljä mekanismia voivat vaikeuttaa haittaohjelmien saamista järjestelmän hallintaan.

Ominaisuusjoukko ja monimutkaisuus. Useat ominaisuudet ja lisääntynyt monimutkaisuus ovat tietoturvan vastakohta. Lisäominaisuudet tarkoittavat enemmän käytettävissä olevan koodin odottamattomampia vuorovaikutuksia. Sitä vastoin selain, jolla on vähäinen ominaisuusjoukko, ei välttämättä pysty renderoimaan suosittuja verkkosivustoja, mikä pakottaa käyttäjän käyttämään toista selainta tai asentamaan mahdollisesti epävarmoja lisäosia. Haittaohjelmien kirjoittajat hyödyntävät usein suosittuja lisäosia.

Käyttäjän määrittelemät suojausvyöhykkeet (tunnetaan myös nimellä suojausalueet) ovat myös tärkeä ominaisuus. Viime kädessä vähemmän toimintoja parantaa turvallisuutta. Suojausvyöhykkeet tarjoavat tavan luokitella eri verkkosivustot luotettavammiksi ja soveltuviksi suurempaan toiminnallisuuteen. Sinun pitäisi pystyä luottamaan yrityksesi verkkosivustoihin huomattavasti enemmän kuin verkkosivusto, joka tarjoaa laittomia ohjelmistoja, tai pieni verkkosivusto, jota palvelee tuntematon henkilö. Suojausvyöhykkeiden avulla voit asettaa erilaisia ​​suojausasetuksia ja toimintoja verkkosivuston sijainnin, toimialueen tai IP-osoitteen perusteella.

Suojausalueita käytetään jokaisessa tietoturvatuotteessa (palomuurit, IPS: t ja niin edelleen) suojausrajojen ja oletusluottamuksen alueiden määrittämiseen. Turvavyöhykkeen käyttäminen selaimessa laajentaa mallia. Selaimet, joilla ei ole suojausvyöhykkeitä, kannustavat sinua käsittelemään kaikkia verkkosivustoja samalla luottamustasolla - samoin kuin määrittämään selaimen uudelleen tai käyttämään toista selainta vähemmän luotettaville verkkosivustoille ennen jokaista käyntiä.

Haavoittuvuuksia koskevat ilmoitukset ja hyökkäykset. Kuinka monta haavoittuvuutta selaintuotteesta on löydetty ja julkisesti ilmoitettu? Nousevatko haavoittuvuuksien lukumäärät, kun toimittaja korjaa selainta? Kuinka vakavia haavoittuvuudet ovat olleet? Sallivatko ne täyden järjestelmän vaarantumisen tai palveluneston? Kuinka monta haavoittuvuutta ei tällä hetkellä ole korjattu? Mikä on myyjää vastaan ​​tehtyjen nollapäivähyökkäysten historia? Kuinka usein myyjän selaimeen kohdistetaan kilpailijan tuotetta vastaan?

Selaimen turvatestit. Kuinka selain suoriutui yleisesti saatavilla olevista selainten tietoturvatestipaketeista? Tässä tarkastelussa kaikki tuotteet läpäisivät tunnetuimmat Internetissä olevat selainturvatestit, joten jokainen tuote altistettiin edelleen kymmenille tosielämän haitallisille verkkosivustoille. Usein lopputulos ei ollut kaunis. Koin usein selaimen lukkiutumisen, haitallista sisältöä ja joskus täydellisen järjestelmän uudelleenkäynnistyksen.

Yritysten hallittavuusominaisuudet. palvelee järjestelmänvalvojia ja teknikkoja, joiden on suoritettava tehtäviä koko yrityksessä. Suosikkiselaimen on yleensä helppo turvata henkilökohtaiseen käyttöön, mutta sen tekeminen koko yritykselle vaatii erikoistyökaluja. Jos selain on valittu yrityskäyttöön, kuinka helppoa on asentaa, asettaa ja hallita suojattuja kokoonpanoja jokaiselle käyttäjälle?

Nämä ovat yleisiä luokkia, jotka otettiin huomioon tarkistettaessa kutakin Internet-selainta.

Kuinka testasin

Internet-pohjaisiin testipaketteihin kuului useita selaimen tietoturvasivustoja, kuten scanit ja Jasonin Toolbox; useita JavaScript-, Java- ja ponnahdusikkunoiden estosivustoja; useita sivustojen välisiä komentosarjoja (XSS) testaavia verkkosivustoja; ja useita selaimen tietosuojatestiä. Testasin selainten salasanojen käsittelyn turvallisuuden Password Manager Evaluator -verkkosivustolla ja evästeiden käsittelyn turvallisuuden Gibson Research Corporationin evästeiden rikostekniikan verkkosivustolla. Testasin Extended Validation -sertifikaatteja IIS7-sivustossa olevien linkkien avulla.

Surffasin kymmenille verkkosivustoille, joiden tiedetään sisältävän live-haittaohjelmia useista julkisista ja yksityisistä haittaohjelmaluetteloista, mukaan lukien ShadowServer. Kävin myös kymmenissä tunnetuissa tietojenkalastelusivustoissa PhishTankin ja vastaavien viittaussivustojen avulla. Käytin Process Exploreria paikallisten prosessien ja resurssien seurantaan asennuksen ja käynnissä olevien toimintojen aikana. Ja haistin selainten verkkoliikenteen Microsoft Network Monitorilla tai Wiresharkilla ja tutkin tuloksia tietovuotojen varalta.

Lopuksi luotin myös julkisiin haavoittuvuustesteihin näissä arvioinneissa, mukaan lukien Metasploit ja milw0rm.com. Haavoittuvuustilastot otettiin Secunia.comista tai CVE: stä.

Lisäksi kutakin selainta käytettiin useiden viikkojen (tai pidempään) aikana yleisen käytön, korjaustiedostojen ja muiden mukana olevien toimintojen testaamiseen.

Turvallisin selain

Tästä syystä tämän tarkastelun yleinen johtopäätös on, että mitä tahansa täysin korjattua selainta voidaan käyttää suhteellisen turvallisesti. Voit vaihtaa selainta, mutta riskisi on sama kaikilla niillä - melkein nolla - jos selaimesi, käyttöjärjestelmäsi sekä kaikki lisäosat ja laajennukset on korjattu kokonaan.

Jos kuitenkin teeskentelin olevani loppukäyttäjä, joka huijasi suorittamaan haitallisen suoritustiedoston (kuten väärennetyn virustorjuntaohjelman), kukin selain antoi järjestelmän tartunnan ja vaarantumisen. Loppukäyttäjät, jotka käyttävät Windows Vistaa ilman korotettuja kirjautumistietoja, olisivat estäneet useimpien haittaohjelmien aiheuttamien infektioiden esiintymisen, mutta jopa näitä käyttäjiä hyödynnettiin helposti, jos he korosivat tarkoituksellisesti asentaa rogue-ohjelman.

Selaimen tietoturvavinkit

* Älä kirjaudu järjestelmänvalvojana tai pääkäyttäjänä, kun käytät Internet-selainta (tai käytä UAC: ta Windows Vistassa, SU: ta Linuxissa jne.).

* Varmista, että selain, käyttöjärjestelmä sekä kaikki lisäosat ja laajennukset on korjattu kokonaan.

* Älä huijata suorittamaan haitallista koodia.

* Jos sinua odotetaan odottamatta asentamaan kolmannen osapuolen ohjelmistoa selatessasi sivustoa, avaa toinen välilehti ja lataa pyydetty ohjelmisto suoraan ohjelmistotoimittajan verkkosivustolta.

* Ole varovainen siitä, mitä lisäosia ja laajennuksia käytät. Monet eivät ole turvassa, monet ovat hyvin epävarmoja, ja jotkut ovat todella peiteltyjä haittaohjelmia.

Copyright fi.verticalshadows.com 2022