Webbläsarsäkerhet

Browser Security  är ett Internetsäkerhetsprogram för webbläsare för att skydda nätverksdata och datorsystem från integritetsintrång eller skadlig programvara . Webbläsarsäkerhetsexploater använder ofta JavaScript , ibland cross-site scripting (XSS) [1] med en extra nyttolast med Adobe Flash . [2] Säkerhetsexploater kan också utnyttja sårbarheter (säkerhetshål) som vanligtvis utnyttjas i alla webbläsare (inklusive Mozilla Firefox , [3] Google Chrome , [4] Opera , [5] Microsoft Internet Explorer , [6] och Safari [ 7 ] ).

Säkerhet

Webbläsare kan kapas på ett eller flera av följande sätt:

• Operativsystemet är hackat och skadlig programvara läser/modifierar webbläsarens minnesutrymme i privilegierat läge [8]
• Operativsystemet har skadlig programvara som körs som en bakgrundsprocess som läser/modifierar webbläsarens minnesutrymme i privilegierat läge
• Huvudwebbläsarens körbara fil kan hackas
• Webbläsarkomponenter kan hackas
• Webbläsarplugins kan hackas
• Webbläsarnätverksmeddelanden kan fångas upp utanför maskinen [9]

Webbläsaren kanske inte är medveten om någon av ovanstående överträdelser och kan indikera för användaren att en säker anslutning har upprättats.

Närhelst en webbläsare kommunicerar med en webbplats, samlar webbplatsen in viss information om webbläsaren som en del av den interaktionen (åtminstone för att bearbeta formateringen av sidan som ska levereras). [10] Om skadlig kod har infogats i innehållet på en webbplats eller, i värsta fall, om den webbplatsen har utformats specifikt för att vara värd för skadlig kod, kan webbläsarspecifika sårbarheter tillåta den skadliga koden att starta processer i webbläsaren ansökan. på ett oavsiktligt sätt (och tänk på att en av informationen som en webbplats samlar in när den kommunicerar med en webbläsare är webbläsarens identifiering, vilket tillåter utnyttjande av vissa sårbarheter). [11] När angriparen väl kan köra processer på offrets dator, kan utnyttjande av kända säkerhetsbrister tillåta angriparen att få privilegierad åtkomst (om webbläsaren inte redan körs med privilegierad åtkomst) till det "infekterade" systemet för att utföra ett ännu större utbud av skadliga processer och handlingar på maskinen eller till och med i offrets hela nätverk. [12]

Popup-fönster

Säkerhetsintrång i webbläsare syftar vanligtvis till att kringgå skydd för att visa popup-annonser [13] , samla in personlig information (PII) antingen för marknadsföring på nätet eller identitetsstöld, webbplatsspårning eller webbanalys om en användare mot deras vilja med hjälp av verktyg som en web beacon, Clickjacking , Likejacking (som använder Facebook Gilla-knappen ), [14] [15] [16] [17] HTTP-cookies , zombie-cookies eller Flash-cookies Flash-cookies (Local Shared Objects eller LSO); [2] installation av adware , virus , spionprogram som trojaner (för att få tillgång till användarnas personliga datorer genom att hacka ) eller annan skadlig programvara , inklusive att stjäla internetbanker med hjälp av Man-in-the-Browser- attacker".

En djupdykning i sårbarheter i webbläsaren Chromium visar att felaktig indatavalidering (CWE-20) och felaktig åtkomstkontroll (CWE-284) är de vanligaste orsakerna till säkerhetsbrister. [18] Dessutom, bland de sårbarheter som studerades under denna studie, uppstod 106 sårbarheter i Chromium på grund av återanvändning eller import av sårbara versioner av tredjepartsbibliotek.

Sårbarheter i själva webbläsarprogramvaran kan minimeras genom att hålla webbläsarprogramvaran uppdaterad, [19] men det räcker inte om det underliggande operativsystemet äventyras, till exempel av ett rootkit. [20] Vissa underkomponenter av webbläsare, såsom skript, tillägg och cookies, [21] [22] [23] är särskilt sårbara (det "obfuscerade hjälpproblemet") och måste också åtgärdas.

Enligt principen om försvar i djupet kanske en helt patchad och korrekt konfigurerad webbläsare inte räcker för att förhindra webbläsarrelaterade säkerhetsproblem. Till exempel kan ett rootkit fånga upp tangenttryckningar när någon går in på en bankwebbplats, eller utföra en "man-in-the- midten-attack " genom att ändra nätverkstrafik in och ut ur en webbläsare. DNS-kapning eller DNS- spoofing kan användas för att returnera falska positiva resultat för felskrivna webbplatsnamn eller för att snedvrida sökresultat för populära sökmotorer. Skadlig programvara som RSPlug ändrar helt enkelt systemkonfigurationen för att peka på oseriösa DNS-servrar.

Webbläsare kan använda säkrare nätverkstekniker för att förhindra några av dessa attacker:

• DNS : DNSSec och DNSCrypt , till exempel med icke-standardiserade DNS-servrar som Google Public DNS eller OpenDNS .
• HTTP : HTTP Secure och SPDY med digitalt signerade certifikat för offentliga nyckel eller utökade valideringscertifikat .

Perimeterskydd, vanligtvis genom användning av brandväggar och användning av filtrerande proxyservrar som blockerar skadliga webbplatser och utför antivirusskanning av alla nedladdade filer, implementeras vanligtvis som en bästa praxis i stora organisationer för att blockera skadlig nätverkstrafik innan den når webbläsaren.

Ämnet webbläsarsäkerhet har vuxit till en sådan grad att det har gett upphov till hela organisationer som The Browser Exploitation Framework Project [24] som skapar plattformar för att samla in verktyg för att knäcka webbläsarsäkerhet, skenbart för att kontrollera webbläsare och nätverkssystem för sårbarheter.

Plugins och tillägg

Även om de inte ingår i själva webbläsaren, ökar webbläsarens plugin-program och tillägg attackytan genom att avslöja sårbarheter i Adobe Flash Player , Adobe (Acrobat) Reader , Java -plugin och ActiveX , som vanligtvis utnyttjas av angripare. [25] Forskare har noggrant studerat säkerhetsarkitekturen för olika webbläsare, särskilt de som bygger på plug-and-play-principer. Denna studie identifierade 16 vanliga typer av sårbarheter och 19 potentiella korrigeringar. Skadlig programvara kan också implementeras som ett webbläsartillägg, till exempel ett webbläsarhjälpobjekt i fallet med Internet Explorer. [26] Webbläsare som Google Chrome och Mozilla Firefox kan blockera eller varna användare om osäkra plugins.

Adobe Flash

En studie från augusti 2009 av Social Science Research Network visade att 50 % av webbplatserna som använder Flash också använder Flash-cookies, men integritetspolicyn avslöjar dem sällan och det fanns inga användarkontroller för sekretessinställningar. [27] De flesta webbläsares funktioner för cache- och historikradering påverkar inte Flash Player som skriver lokala delade objekt till sin egen cache, och användargemenskapen är mycket mindre medveten om existensen och funktionen hos Flash-cookies än HTTP-cookies. [28] Således kan användare som har raderat HTTP-cookies och rensat webbläsarhistorikfiler och cacheminne tro att de har raderat all spårningsdata från sina datorer, när Flash-webbhistoriken faktiskt finns kvar. Förutom manuell radering kan BetterPrivacy-tillägget för Firefox radera Flash-cookies. [2] Adblock Plus kan användas för att filtrera bort vissa hot, [13] och Flashblock kan användas för att ge en möjlighet innan innehåll tillåts på andra betrodda webbplatser. [29]

Charlie Miller rekommenderade "inte installera Flash" vid CanSecWests datorsäkerhetskonferens [30] . Flera andra säkerhetsexperter rekommenderar också att du inte installerar Adobe Flash Player eller blockerar den. [31]

Lösenordssäkerhetsmodell

Innehållet på webbsidan är godtyckligt och kontrolleras av den person som äger domänen vars namn visas i adressfältet. Om HTTPS används används kryptering för att förhindra inkräktare som har tillgång till nätverket från att ändra innehållet på sidan under överföring. När ett lösenordsfält visas på en webbsida måste användaren titta i adressfältet för att avgöra om domännamnet i adressfältet är rätt plats att skicka in lösenordet. [32] Till exempel, för Googles system för enkel inloggning (som det används, till exempel på youtube.com), måste användaren alltid kontrollera att adressfältet säger " https://accounts.google.com" innan han anger sitt Lösenord.

En kompromisslös webbläsare ser till att adressfältet är korrekt. Denna garanti är en av anledningarna till att webbläsare vanligtvis visar en varning när de går i helskärmsläge ovanpå där adressfältet normalt skulle vara, så en helskärmswebbplats kan inte skapa ett falskt webbläsargränssnitt med ett falskt adressfält. [33]

Hardware Browser

Det har gjorts försök att sälja hårdvaruwebbläsare som körs från skrivbara, icke-skrivbara filsystem. Data kan inte sparas på enheten och media kan inte skrivas över, en tom körbar fil visas varje gång den laddas. Den första sådana enheten var ZeusGard Secure Hardware Browser, som släpptes i slutet av 2013. ZeusGards webbplats har legat nere sedan mitten av 2016. En annan enhet, iCloak® Stik från iCloak-webbplatsen , tillhandahåller en komplett Live CD som helt ersätter hela datorns operativsystem och erbjuder två webbläsare från ett skrivskyddat system. Med iCloak tillhandahåller de Tor-webbläsaren för anonym surfning, såväl som den vanliga Firefox-webbläsaren för icke-anonym surfning. All osäkrad webbtrafik (till exempel att inte använda https) kan fortfarande vara föremål för man-in-the-middle-modifiering eller annan manipulation baserad på nätverkstrafik.

Live CD

Live-CD-skivor , som kör operativsystemet från en oskrivbar källa, levereras vanligtvis med webbläsare som en del av standardavbildningen. Så länge den ursprungliga Live CD-avbildningen är fri från skadlig programvara, kommer all programvara du använder, inklusive webbläsaren, att laddas utan skadlig programvara varje gång du startar Live CD-avbildningen.

Webbläsarsäkerhet

Att surfa på Internet som ett användarkonto med minsta privilegier (inga administratörsrättigheter) begränsar möjligheten för en säkerhetsexploatering i en webbläsare att äventyra hela operativsystemet. [34]

Internet Explorer 4 och senare låter dig svartlista [35] [36] [37] och vitlista [38] [39] ActiveX-kontroller , tillägg och webbläsartillägg på olika sätt.

Internet Explorer 7 lade till "skyddat läge", en teknik som förbättrar webbläsarsäkerheten genom att använda en säkerhetssandlåda i Windows Vista som kallas obligatorisk integritetskontroll . [40] Google Chrome tillhandahåller en sandlåda för att begränsa åtkomsten till webbsidor av operativsystemet. [41]

Misstänkta skadliga webbplatser som rapporterats av Google [42] och bekräftats av Google flaggas som värd för skadlig programvara i vissa webbläsare. [43]

Det finns tillägg och plugins från tredje part för att skydda även de senaste webbläsarna, [44] samt några för äldre webbläsare och operativsystem. Vitlistningsprogram som NoScript kan blockera JavaScript , som används för de flesta integritetsattacker, vilket gör att användare endast kan välja webbplatser som de vet är säkra. Skapare av filterlistor har varit kontroversiella för att tillåta vissa webbplatser att passera förinstallerade filter som standard. [45] US-CERT rekommenderar att du blockerar Flash med NoScript. [46]

Fuzzing

Moderna webbläsare är föremål för omfattande fuzzing för att identifiera sårbarheter. Chromium -koden för Google Chrome granskas ständigt av Chromes säkerhetsteam med 15 000 kärnor . [47] För Microsoft Edge och Internet Explorer genomförde Microsoft suddiga tester med 670 maskinår under produktutvecklingen och genererade över 400 miljarder DOM-manipulationer från 1 miljard HTML-filer. [48] ​​[47]

Bästa praxis

• Ladda ner Clean Software: Installera ett rent operativsystem med en känd ren webbläsare
• Vidta lämpliga motåtgärder mot sårbarheten Cross-Origin Resource Sharing (CORS) (exempelkorrigeringar för WebKit-baserade webbläsare tillhandahålls).
• Förhindra attacker med programvara från tredje part: använd säker webbläsare eller tilläggsfri vy.
• Förhindra DNS-manipulation: Använd en pålitlig och säker DNS. [49]
• Undvik exploateringar på webbplatser: använd plugin-program för webbläsare för att kontrollera länkar som vanligtvis används i internetsäkerhetsprogram.
• Undvik skadligt innehåll: Använd perimeterskydd och anti-malware-programvara.

Se även

• Antidetekteringswebbläsare
• Internet säkerhet
• Nätverkssäkerhet
• OWASP

Anteckningar

1. ↑ Maone, Giorgio NoScript :: Tillägg för Firefox . Mozilla-tillägg . Mozilla Foundation . (obestämd)
2. ↑ 1 2 3 BetterPrivacy :: Tillägg för Firefox . Mozilla Foundation .  (obestämd) (inte tillgänglig länk)
3. ↑ Keizer, Greg. Arkiverad från originalet den 28 oktober 2010, Firefox 3.5-sårbarhet bekräftad . . Hämtad 19 november 2010.
4. ↑ Messmer, Ellen och NetworkWorld. "Google Chrome toppar "Dirty Dozen" listan över sårbara appar" . Hämtad 19 november 2010.
5. ↑ Skinner, Carrie-Ann. Opera Plugs "Severe" Browser Hole Arkiverad från originalet den 20 maj 2009. . Hämtad 19 november 2010.
6. ↑ Bradley, Tony. "Det är dags att äntligen släppa Internet Explorer 6" Arkiverad 15 oktober 2012. . Hämtad 19 november 2010.
7. ↑ Webbläsare . Mashbar . Hämtad 2 september 2011. Arkiverad från originalet 2 september 2011. (obestämd)
8. ↑ Smith, Dave Yontoo-trojanen: Ny Mac OS X-malware infekterar webbläsarna Google Chrome, Firefox och Safari via adware . IBT Media Inc (21 mars 2013). Hämtad 21 mars 2013. Arkiverad från originalet 24 mars 2013. (obestämd)
9. ↑ Goodin, Dan MySQL.com-intrång gör att besökare utsätts för skadlig programvara . Registret . Hämtad 26 september 2011. Arkiverad från originalet 28 september 2011. (obestämd)
10. ↑ Clinton Wong. HTTP-transaktioner . O'Reilly. Arkiverad från originalet den 13 juni 2013. (obestämd)
11. ↑ 9 sätt att veta att din dator är infekterad med skadlig programvara . Arkiverad från originalet den 11 november 2013. (obestämd)
12. ↑ Vitböcker för Symantec Security Response . Arkiverad från originalet den 9 juni 2013. (obestämd)
13. ↑ 1 2 Palant, Wladimir Adblock Plus :: Tillägg för Firefox . Mozilla-tillägg . Mozilla Foundation . (obestämd)
14. ↑ Facebooks integritet undersöktes över "gilla", inbjudningar , CBC News  (23 september 2010). Hämtad 24 augusti 2011.
15. ↑ Albanesius, Chloe . Tyska byråer förbjudna att använda Facebook, "Gilla"-knappen , PC Magazine  (19 augusti 2011). Hämtad 24 augusti 2011.
16. ↑ McCulagh, Declan . Facebook "Gilla"-knapp utvärderar integritetsgranskning , CNET News  (2 juni 2010). Hämtad 19 december 2011.
17. ↑ Roosendaal, Arnold Facebook spårar och spårar alla: Gilla detta! (30 november 2010). (obestämd)
18. ↑ Santos, JCS; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, JV; Sejfia, A. (april 2017). "Förstå programvara sårbarheter relaterade till arkitektonisk säkerhetstaktik: en empirisk undersökning av Chromium, PHP och Thunderbird" . 2017 IEEE International Conference on Software Architecture (ICSA) : 69-78. DOI : 10.1109/ICSA.2017.39 . ISBN  978-1-5090-5729-0 . S2CID  29186731 .
19. ↑ Delstaten Vermont. Webbläsaresattacker . Hämtad 11 april 2012. Arkiverad från originalet 13 februari 2012. (obestämd)
20. ↑ Översikt över Windows Rootkit . Symantec. Hämtad 20 april 2013. Arkiverad från originalet 16 maj 2013. (obestämd)
21. ↑ Cross Site Scripting Attack . Hämtad 20 maj 2013. Arkiverad från originalet 15 maj 2013. (obestämd)
22. ↑ Lenny Zeltser. Förhindra attacker på webbläsaren och tillägg . Hämtad 20 maj 2013. Arkiverad från originalet 7 maj 2013. (obestämd)
23. ↑ Dan Goodin. Två nya attacker mot SSL-dekryptera autentiseringscookies (14 mars 2013). Hämtad 20 maj 2013. Arkiverad från originalet 15 maj 2013. (obestämd)
24. ↑ beefproject.com . Arkiverad från originalet den 11 augusti 2011. (obestämd)
25. ↑ Santos, Joanna C.S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "Akilles häl av plug-and-play-programvaruarkitekturer: A Grounded Theory Based Approach" . Handlingar från 2019:s 27:e ACM Joint Meeting on European Software Engineering Conference och Symposium on the Foundations of Software Engineering . ESEC/FSE 2019. New York, NY, USA: ACM: 671-682. DOI : 10.1145/3338906.3338969 . ISBN  978-1-4503-5572-8 . S2CID  199501995 .
26. ↑ Hur man skapar en regel som blockerar eller loggar webbläsarhjälpobjekt i Symantec Endpoint Protection . Symantec.com. Hämtad 12 april 2012. Arkiverad från originalet 14 maj 2013. (obestämd)
27. ↑ Mall:Cite ssrn
28. ↑ Lokala delade objekt -- "Flash-kakor" . Electronic Privacy Information Center (21 juli 2005). Hämtad 8 mars 2010. Arkiverad från originalet 16 april 2010. (obestämd)
29. ↑ Chee, Philip Flashblock :: Tillägg för Firefox . Mozilla-tillägg . Mozilla Foundation . Arkiverad från originalet den 15 april 2013. (obestämd)
30. ↑ Pwn2Own 2010: intervju med Charlie Miller (1 mars 2010). Hämtad 27 mars 2010. Arkiverad från originalet 24 april 2011. (obestämd)
31. ↑ Expert säger att Adobe Flash-policyn är riskabel (12 november 2009). Hämtad 27 mars 2010. Arkiverad från originalet 26 april 2011. (obestämd)
32. ↑ John C. Mitchell. Webbläsarsäkerhetsmodell . Arkiverad från originalet den 20 juni 2015. (obestämd)
33. ↑ Använda HTML5 helskärms-API för nätfiskeattacker » Feross.org . feross.org . Hämtad 7 maj 2018. Arkiverad från originalet 25 december 2017. (obestämd)
34. ↑ Använda ett minst privilegierat användarkonto . Microsoft . Hämtad 20 april 2013. Arkiverad från originalet 6 mars 2013. (obestämd)
35. ↑ Hur man stoppar en ActiveX-kontroll från att köras i Internet Explorer . Microsoft . Hämtad 22 november 2014. Arkiverad från originalet 2 december 2014. (obestämd)
36. ↑ Internet Explorer säkerhetszoner registerposter för avancerade användare . Microsoft . Hämtad 22 november 2014. Arkiverad från originalet 2 december 2014. (obestämd)
37. ↑ Inaktuell blockering av ActiveX-kontroll . Microsoft . Hämtad 22 november 2014. Arkiverad från originalet 29 november 2014. (obestämd)
38. ↑ Hantering av tillägg och kraschidentifiering för Internet Explorer . Microsoft . Hämtad 22 november 2014. Arkiverad från originalet 29 november 2014. (obestämd)
39. ↑ Hur man hanterar Internet Explorer-tillägg i Windows XP Service Pack 2 . Microsoft . Hämtad 22 november 2014. Arkiverad från originalet 2 december 2014. (obestämd)
40. ↑ Matthew Conover. Analys av säkerhetsmodellen för Windows Vista . Symantec Corp. Hämtad 8 oktober 2007. Arkiverad från originalet 16 maj 2008. (obestämd)
41. ↑ Webbläsarsäkerhet: Lektioner från Google Chrome . Arkiverad från originalet den 11 november 2013. (obestämd)
42. ↑ Rapportera skadlig programvara (URL) till Google . Arkiverad från originalet den 12 september 2014. (obestämd)
43. ↑ Google Säker webbsökning . Arkiverad från originalet den 14 september 2014. (obestämd)
44. ↑ 5 sätt att säkra din webbläsare . Zonalarm . Arkiverad från originalet den 7 september 2014. (obestämd)
45. ↑ Adblock Plus kommer snart att blockera färre annonser - SiliconFilter . Siliconfilter.com. Hämtad 20 april 2013. Arkiverad från originalet 30 januari 2013. (obestämd)
46. ↑ Säkra din webbläsare . Hämtad 27 mars 2010. Arkiverad från originalet 26 mars 2010. (obestämd)
47. ↑ 1 2 Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus Webbläsarsäkerhet Whitepaper . X41D SEC GmbH (19 sep 2017). (obestämd)
48. ↑ Säkerhetsförbättringar för Microsoft Edge (Microsoft Edge för IT-proffs  )  ? . Microsoft (15 oktober 2017). Hämtad: 31 augusti 2018.  (obestämd)
49. ↑ Pearce, Paul. Global mätning av {DNS}-manipulation  : [ eng. ]  / Paul Pearce, Ben Jones, Frank Li … [ et al. ] . — 2017. — S. 307–323. — ISBN 978-1-931971-40-9 .

Länkar

• Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus Webbläsarsäkerhet vitbok . X41D SEC GmbH (19 sep 2017). (obestämd)
• Heiderich, Mario; Inführ, Alex; Fäßler, Fabian; Krein, Nikolay; Kinugawa, Masato Cure53 Webbläsarsäkerhet vitbok . Cure53 (29 november 2017). (obestämd)