Internet Explorer 9: более безопасен?
Введение
Microsoft только недавно выпустила последнюю версию своего веб-браузера, Internet Explorer 9. Он изящный и красивый, и он определенно быстрее, чем его предшественник, но является ли он более безопасным? Давай выясним.
Почему безопасность браузера важна как никогда
Веб-безопасность состоит из двух компонентов: безопасность веб-сайтов и серверов, на которых они расположены, и безопасность клиентского программного обеспечения, которое обращается к этим сайтам, — веб-браузера. Было время, когда веб-браузер был лишь одним из многих интернет-приложений. Как я недавно писал в общем обзоре IE 9 для Win7News.net, это уже не так. В то время как раньше мы использовали отдельные почтовые клиенты, FTP-клиенты, IRC-клиенты, средства чтения групп новостей и многое другое, сегодня многие пользователи компьютеров выполняют большинство своих вычислительных задач через свои браузеры. Это также начинает охватывать бизнес-пользователей, поскольку все больше компаний отказываются от своих локальных почтовых серверов и переводят своих сотрудников на службы веб-почты, а также избавляются от локально установленных приложений в пользу более дешевых или бесплатных веб-служб, таких как Google Apps и Microsoft. Веб-приложения Office.
Теперь, когда веб-браузер занял центральное место и неразрывно связан с большей частью того, что пользователи делают на своих компьютерах, как никогда важно, чтобы браузер обеспечивал безопасную среду не только для просмотра сайтов в поисках информации, но и для фактического выполнения конфиденциальных задач. Злоумышленники, конечно же, признают это и рассматривают браузер как очень привлекательную цель. Веб-браузер является одним из наиболее часто используемых приложений, и на ежегодном мероприятии Pwn2Own исследователи безопасности соревнуются, чтобы вывести из строя популярные веб-браузеры. На конкурсе этого года IE 8 был успешно взломан вместе с Safari 5.0.3 (исследователи, которые должны были протестировать Firefox и Chrome, отказались или не явились соответственно). Вы можете прочитать больше об этом здесь.
Эволюция безопасности Internet Explorer
Веб-браузер Microsoft прошел долгий путь со времен IE 1.0, который появился в Windows 95 Plus! Пакет. В те ранние дни коммерческого Интернета безопасность не была такой серьезной проблемой, хотя к концу 1995 года, когда была выпущена версия 2.0, Microsoft добавила поддержку Secure Socket Layer (SSL). В последующих версиях браузера больше внимания уделялось добавлению таких функций, как улучшения мультимедиа, а также повышение производительности и стабильности. Однако расширенная функциональность также означала больше функций, которые можно было использовать, и IE использовал для этого концепцию зон безопасности.
IE 6.0, который был предустановлен в Windows XP (но был выпущен за несколько месяцев до этого), был первой версией, которая фактически начала решать вопросы безопасности и конфиденциальности, с новым инструментом обработки файлов cookie и первой реализацией протокола P3P для управления настройками конфиденциальности.. Это немного иронично, учитывая, что IE 6 теперь считается большой угрозой безопасности, и все, включая Microsoft, призывают пользователей компьютеров прекратить его использование. Узнайте больше здесь.
Реальный толчок к безопасности пришел с IE 7, который поставлялся с фильтром фишинга для защиты от вредоносных веб-сайтов, которые не являются тем, за что они претендуют, и вводил режим ограниченных привилегий (также называемый защищенным режимом IE) на компьютерах под управлением Vista, но эта функция не поддерживалась на компьютерах с XP. Кроме того, поддержка Active X помогла защититься от некоторых опасностей, связанных с элементами управления Active X, а IE 7 позволил вам включить ее для каждой зоны, а сами зоны безопасности по умолчанию были более заблокированы. Еще одно улучшение безопасности в IE 7 было разработано для защиты от междоменных сценариев, заставляя сценарии сохранять один и тот же контекст безопасности, даже когда они были перенаправлены. Улучшенные уведомления SSL/TLS упростили для пользователей определение того, защищена ли веб-транзакция, а веб-сайты, получившие сертификаты высокой надежности (для которых требуется процесс проверки личности), обозначались цветной (зеленой) адресной строкой. Были добавлены новые ключи реестра для предотвращения доступа HTML к личным данным пользователей. Был даже «режим без надстроек», гарантирующий, что угрозы не могут быть введены через надстройки браузера. В целом, IE 7 стал большим шагом вперед для Microsoft с точки зрения безопасности. Более подробно обо всех улучшениях безопасности см. статью, которую я написал на эту тему еще в 2005 году здесь.
IE 8 вышел в 2009 году и добавил дополнительные улучшения безопасности, такие как выделение домена, что упрощает определение домена сайта, к которому вы обращаетесь, и фильтр SmartScreen, который был новой и улучшенной версией фишингового фильтра IE 7, который, помимо защиты от фишинговых сайтов, также защищает вас от сайтов, которые, как известно, доставляют вредоносное ПО. Хотя браузер дает пользователям возможность игнорировать предупреждение, администраторы могут использовать групповую политику, чтобы запретить им это делать. Помимо черного списка, фильтр также использовал эвристику для обнаружения потенциально опасных сайтов. IE 8 также включает изменения в ActiveX, так что элементы управления теперь устанавливаются по умолчанию для каждого пользователя, а также могут быть установлены для каждого сайта. Биты аннулирования ActiveX были интегрированы с Центром обновления Windows, поэтому элементы управления можно было автоматически отключать при обнаружении эксплойта. Предотвращение выполнения данных (DEP) было включено по умолчанию, фильтр XSS обеспечивает лучшую защиту от межсайтовых сценариев, а функции междоменных запросов и обмена сообщениями между документами делают обмен информацией между сайтами более безопасным. Microsoft также предоставила Руководство по безопасности рабочего стола IE 8 с информацией о том, как настроить параметры для более заблокированной конфигурации безопасности.
Что предлагает IE 9?
IE 9 основан на всех функциях безопасности, представленных в IE 7 и IE 8. Он также содержит некоторые дополнительные средства защиты, такие как расширенные функции защиты памяти, которые направлены на предотвращение запуска вредоносного кода при обнаружении уязвимости, связанной с памятью.. DEP/NX является основой защиты памяти и заставляет процессор завершать процесс, когда блок памяти не содержит надлежащей маркировки, указывающей, что это исполняемый код. Это означает, что если злоумышленник помещает данные в память, процессор вызывает исключение и вызывает «безопасный сбой», а не выполняет потенциально опасные инструкции. Чтобы лучше понять, как работает DEP/NX, перейдите по этой ссылке.
В IE 9 также улучшена другая функция IE 8, рандомизация адресного пространства (ASLR), которая помогает предотвратить обход средств защиты DEP/NX злоумышленниками, гарантируя непредсказуемое распределение пространства памяти процесса. Процесс рандомизации был улучшен в IE 9, чтобы исключить предсказуемые сопоставления памяти. IE 9 также поддерживает вызов новой функции SEHOP (защита структурированного обработчика исключений от перезаписи), которая проверяет целостность цепочки обработки исключений, чтобы предотвратить злоупотребление структурированной обработкой исключений. Это преодолевает некоторые ограничения SafeSEH (безопасная структурированная обработка исключений), который был разработан для предотвращения внедрения вредоносных структурированных обработчиков исключений в цепочку, но который был включен для каждой DLL и требовал компиляции надстроек с Флаг SafeSEH. Детали этих функций будут наиболее интересны разработчикам; если вам интересно, вы можете узнать больше о SEHOP здесь.
Еще одним направлением безопасности IE 9 является защита от атак социальной инженерии. В этом есть смысл, ведь многие эксперты считают социальную инженерию одной из самых больших угроз для ИТ-инфраструктуры. Эту позицию недавно заняла Федеральная полиция Австралии на конференции Discover IT 2011 Австралийского компьютерного общества, как сообщает CIO Australia. Проверьте это здесь
А конкурс социальной инженерии на последнем Defcon в сентябре прошлого года показал, что большинство организаций легко отдают жизненно важную информацию социальным инженерам. Вы можете прочитать больше здесь.
Социальная инженерия привлекательна для злоумышленников, потому что им не нужны глубокие технические навыки для проведения атаки; все, что им нужно сделать, это убедить пользователя компьютера сделать что-то, что позволит злоумышленнику проникнуть внутрь. IE 9 улучшил фильтр SmartScreen, добавив функцию репутации приложений SmartScreen, которая работает с репутацией URL-адресов для улучшения защиты от атак с использованием социальной инженерии. Application Reputation пытается отличить надежные загрузки от потенциально вредоносных. Фильтр SmartScreen также интегрирован в новый менеджер загрузок в IE 9 (сама по себе функция, которую некоторые пользователи давно хотели).
Подробнее о репутации приложений можно прочитать здесь.
Еще одна функция безопасности/конфиденциальности, встроенная в IE 9, называется «Защита от отслеживания». Эта функция позволяет пользователям блокировать или разрешать стороннее содержимое с помощью списков защиты от отслеживания от доверенных организаций. Получите полную информацию о защите от слежения здесь.
Наконец, функция «Закрепленные сайты» в IE 9, хотя она и может показаться просто удобством, также дает некоторые преимущества в плане безопасности. Закрепляя сайты, которыми вы часто пользуетесь, например сайт вашего банка, на панели инструментов, вы упрощаете переход на сайт таким образом и избегаете переходов по ссылкам в сообщениях электронной почты, защищая себя от такого типа фишинга. Еще одним преимуществом является то, что, поскольку закрепленные сайты работают в отдельном сеансе IE, файлы cookie, используемые этими сайтами, не могут быть доступны и использованы сайтами на вкладках в главном окне IE. Еще одна хорошая особенность закрепленных сайтов заключается в том, что они работают без дополнительных панелей инструментов или вспомогательных объектов, поэтому злоумышленники, использующие их в качестве вектора атаки, не смогут атаковать сеансы ваших закрепленных сайтов. Вы также можете убедиться, что вы всегда подключаетесь к защищенной (https) версии сайта и не будете перенаправлены на незащищенную (http) версию. И вы получаете некоторую защиту от атак «человек посередине», направленных на протокол HTTPS, потому что соединение будет разорвано, если возникнут проблемы с сертификатом сайта. Если вы не знакомы с закрепленными сайтами, прочитайте об этой функции здесь.
Что еще тебе надо?
Со всеми упомянутыми выше механизмами безопасности в IE 9 не хватает чего-то, что сделало бы браузер более безопасным? Были жалобы на то, что параметры безопасности по умолчанию недостаточно строгие, и что весь активный контент должен быть полностью заблокирован по умолчанию, тогда пользователи могут добавлять доверенные сайты по одному.
В том же духе защитники безопасности могут возражать против метода черного списка, используемого SmartScreen. Это в основном позволяет сайтам, которые не известны как вредоносные (хотя, как упоминалось ранее, также используются эвристики). Эти люди предпочтут метод белого списка, который запрещает все сайты, кроме тех, которые, как известно, заслуживают доверия. Несомненно, это более безопасный подход, но он также может вызвать гнев многих пользователей (как UAC «прямо в лицо» в Vista).
Еще одна распространенная жалоба заключается в том, что настройки безопасности IE, хотя и обеспечивают очень тонкий контроль, слишком сложны для среднего пользователя. Что бы вы изменили, добавили или упростили в функциях безопасности IE? Что в вашем списке пожеланий по безопасности для IE 10? Дайте мне знать, и я составлю список и опубликую результаты в своем блоге Windowsecurity.