Уязвимости веб-браузера: возможен ли безопасный серфинг?

Опубликовано: 13 Апреля, 2023

В последнее время большое внимание средств массовой информации было уделено уязвимостям в веб-браузере Microsoft Internet Explorer. Вплоть до того, что в июне Группа готовности к компьютерным чрезвычайным ситуациям (CERT) правительства США выпустила предупреждение, в котором рекомендовала пользователям компьютеров прекратить использование IE. Что случилось с этим? Рискуете ли вы своей жизнью (или, по крайней мере, жизнью ваших данных), продолжая использовать веб-браузер Microsoft? Каковы критические проблемы и можно ли их решить? Являются ли другие веб-браузеры столь же неуязвимыми, как можно было бы подумать из заголовков?


Интернет может быть опасным местом


Еще в «старые времена» Всемирной паутины «просмотр сайтов» был относительно безопасным занятием. Большинство веб-страниц были написаны на простом HTML, с текстом и изображениями и ничем другим (конечно, самые первые браузеры были только текстовыми). Анимированный.gif был примерно таким же «активным», как и до 90-х годов. Однако вскоре веб-разработчики стали жертвой синдрома «нужно построить лучшую мышеловку», и появились всевозможные новые технологии, чтобы сделать просмотр веб-страниц более насыщенным, интересным и интерактивным.


Вскоре веб-страницы содержали гораздо больше, чем просто текст и изображения. Веб-дизайнеры начали использовать сценарии и другой встроенный код, чтобы оживить свои страницы. Microsoft представила ActiveX, продукт технологий OLE и COM, который обеспечивает функциональность, аналогичную апплетам Java, но с большей гибкостью (и создает больший риск для безопасности), поскольку элементы управления ActiveX могут получать доступ к операционной системе Windows.


Сценарии, апплеты и элементы управления ActiveX могут быть встроены в веб-страницы для совершения удивительных действий, но они также могут использоваться злоумышленниками для совершения не столь чудесных действий, таких как заражение вашего компьютера вирусом, тайная установка программного обеспечения на ваш компьютер. машина, которая позволит хакеру взять ее под контроль, начать атаку и т. д. Это связано с особенностями технологий; как и все технологии, ее можно использовать во благо или во зло.


Как будто этого недостаточно, все популярные веб-браузеры (как и любое программное обеспечение любого типа) имеют недостатки в системе безопасности, некоторые более серьезные, чем другие. Microsoft Internet Explorer недавно был поражен несколькими серьезными дырами в безопасности, включая эксплойт «download.ject», который влияет на пользователей IE, когда они заходят на веб-сайт на зараженной машине IIS.


Является ли IE проблемой?


Рекомендация CERT (см. http://www.internetnews.com/security/article.php/3374931) о том, что пользователи должны рассмотреть альтернативный браузер, была основана на том факте, что в IE было обнаружено очень много недостатков безопасности. Кажется, не проходит и недели, чтобы не объявили еще одну или несколько. Однако рекомендация упускает из виду тот факт, что в тот же период было объявлено об уязвимостях, затрагивающих веб-браузеры Mozilla и Opera, две наиболее популярные альтернативы IE.


Сторонники анти-Майкрософта отвечают, что недостатки в других браузерах возникают реже, менее серьезны и исправляются быстрее. Безусловно, в их утверждениях есть доля правды.


Internet Explorer занимает наибольшую долю рынка браузеров, точно так же, как Windows занимает самую большую долю рынка клиентских операционных систем. «Большие парни» всегда будут самой популярной мишенью как для хакеров, так и для критиков. Если создание вредоносного кода или атак — это ваше «дело», зачем тратить время на их разработку для браузеров или ОС, которые используются лишь относительно небольшой частью компьютерного сообщества? Целесообразнее нацеливаться на программное обеспечение, которое наиболее широко используется. Это означает, что пока IE остается самым популярным, он будет самым популярным браузером для поиска дыр и разработки эксплойтов. Это также означает, что если рекомендации CERT и других по переключению браузеров будут восприняты серьезно и другой браузер станет самым популярным, злоумышленники, по всей вероятности, обратят свое внимание на этот браузер, и мы увидим всплеск эксплойтов для него.


Как насчет заявления о том, что недостатки безопасности в IE более опасны, чем в других браузерах? Поскольку IE гораздо более тесно интегрирован с операционной системой, это правда, что с его помощью можно причинить больше вреда. Это особенно верно, если вы «открываете» все ограничения безопасности при настройке параметров браузера. Это нередкая реакция разочарованных веб-серферов, которые обнаруживают, что некоторые страницы не будут работать с IE в более безопасной конфигурации, поэтому они просто включают все. Ой! Microsoft дает вам большую гибкость для настройки параметров безопасности, но вы должны руководствоваться здравым смыслом при настройке этих конфигураций, иначе вы подвергнете себя риску.


Выпускают ли другие производители браузеров свои исправления быстрее, чем Microsoft? К сожалению, это часто правда. Многие из компаний, которые делают другие браузеры, являются небольшими компаниями, у которых мало или совсем нет других продуктов. Они могут ориентироваться исключительно на браузер. Чем больше становится компания (или правительство, либо любая другая организация), тем медленнее она реагирует. В небольшой компании управленческая команда (или один человек) может принять решение и выпустить новый патч в течение нескольких дней или даже часов. В крупной компании такие решения должны пройти через бюрократию, быть прокомментированы юрисконсультами, пройти тестирование и еще раз тестирование и т. д. Во многих отношениях Microsoft является жертвой собственного феноменального успеха.


Итог: вы, вероятно, будете в большей безопасности, используя один из менее популярных браузеров вместо IE, по крайней мере, на данный момент. Это особенно актуально для менее технически подкованных пользователей, которые не понимают, как правильно настроить параметры безопасности. Но значит ли это, что все перестанут использовать IE? Мы так не думаем.


Почему пользователи будут продолжать использовать IE


Недавний опрос читателей WinXP News (www.winxpnews.com) показал, что, несмотря на рекомендации CERT, более половины из них заявили, что намерены использовать Internet Explorer, по крайней мере, для некоторых операций просмотра. Причины разнообразны. Люди склонны жаждать знакомого, и если IE — это то, чем они пользуются годами, многие предпочли бы не переключаться и изучать что-то новое, независимо от того, насколько интуитивно понятным он может быть. Люди также склонны к лени. IE поставляется с операционной системой, готовой к использованию, и не требует загрузки и установки чего-либо.


Некоторые люди «дважды стесняются» после неудачного опыта работы с альтернативным браузером. Некоторые сообщали, что другой браузер не устанавливался или, что еще хуже, устанавливал и «сломал» другие программы или вызывал сбой их ОС. Третьи обнаружили, что многие веб-сайты разрабатываются с учетом IE и не отображаются или не работают должным образом в других браузерах, по крайней мере, с настройками по умолчанию. Например, веб-интерфейс для брандмауэра, который я тестировал на прошлой неделе, не мог быть открыт ни в Mozilla, ни в Opera с настройками по умолчанию; IE открыл без проблем.


«Лучший» интерфейс браузера — это вопрос личных предпочтений, и некоторым людям просто больше нравится IE. В прошлом многие придерживались IE, потому что это был единственный браузер, для которого была доступна панель инструментов Google, хотя теперь ее можно установить в Mozilla и даже включить в версию браузера Mozilla для Firefox (http://www.mozilla. org/products/firefox/). По тем или иным причинам многие пользователи будут продолжать использовать IE, пока он доступен. Вопрос в том, что они (и пользователи всех браузеров) могут сделать, чтобы сделать свой серфинг более безопасным?


Руководство по безопасному серфингу


Вот некоторые рекомендации, о которых должен знать каждый веб-пользователь в вашей организации:



  1. Если на вашем компьютере есть конфиденциальные данные, не просматривайте Интернет. В бизнес-среде компьютеры, на которых хранятся секретные данные, не должны использоваться для просмотра веб-страниц, и точка. Это помогает ограничить веб-атаки компьютерами, которые не содержат наиболее конфиденциальных данных.
  2. Установите исправления и обновления безопасности. Администраторы, как правило, сосредотачиваются на исправлениях операционной системы и могут уделять меньше внимания обновлениям, предназначенным «только» для веб-браузера. Однако загружайте исправления только с известных авторизованных сайтов. Были случаи, когда электронные письма якобы от Microsoft содержали поддельные исправления, которые на самом деле содержали вредоносный код.
  3. Убедитесь, что браузеры последней версии и способны использовать самое надежное (128-битное) шифрование для безопасной связи.
  4. Отключите подключаемые модули и настройте параметры безопасности, чтобы не запускать апплеты Java, JavaScript и VBScript, элементы управления ActiveX и т. д. без предварительного запроса. Если вам нужен подключаемый модуль для определенного действия, временно включите его только для этого действия, а затем снова отключите.
  5. Рассмотрите возможность использования более одного веб-браузера для разных действий. Например, недавний эксплойт для IE позволил хакерам собирать такую информацию, как пароли, введенные на банковских веб-сайтах, с помощью программного кейлоггера. Хотя я предпочитаю использовать IE для общего просмотра веб-страниц, я предусмотрительно использовал другой браузер (даже переключился на другой компьютер, используя Safari в Mac OS X) для финансовых транзакций.

Последнее, похоже, учитывается немногими пользователями: нет никаких причин, по которым вы должны использовать только один веб-браузер. У меня есть IE, Firefox, Opera и Maxthon (ранее известный как MyIE2), все они установлены и мирно сосуществуют на моей основной рабочей станции. Это помогает мне в разработке моих собственных веб-сайтов, потому что я могу проверить, как (и работают ли) различные компоненты в альтернативных браузерах (например, некоторые из веб-компонентов, такие как кнопки наведения, которые вы можете легко вставить с помощью FrontPage, прекрасно выглядят в IE)., но не переводить в другие браузеры). Что еще более важно, если мне нужно перейти на сайт, который, как я не знаю, заслуживает доверия, я могу сделать это с помощью браузера, который с меньшей вероятностью будет взломан.


Резюме


Сетевые администраторы должны взять на себя инициативу в обучении пользователей передовым методам обеспечения безопасности. Хотя мы могли бы применять политики, требующие от пользователей использования альтернативного браузера, это может быть только временным решением, а в некоторых случаях может быть неосуществимым. Мы также должны научиться лучше защищать все веб-браузеры и распространять эту информацию среди пользователей компьютеров в наших организациях.