Является ли Internet Explorer небезопасным по своей сути?

Опубликовано: 9 Апреля, 2023


Введение


После недавних атак на Google и другие компании, которые использовали уязвимость в безопасности IE 6, кажется, что куда бы вы ни повернулись, вы слышите, как кто-то советует вам отказаться от Internet Explorer. Ким Командо давала этот совет в прошлые выходные в своем радиошоу, но это касается не только технических экспертов. Согласно последним сообщениям, Федеральное управление информационной безопасности Германии и французская CERTA рекомендовали гражданам ЕС отказаться от использования всех версий IE.


Считается общеизвестным, что IE по своей сути небезопасен. Это правда? Являются ли Firefox, Chrome, Safari и/или Opera более безопасными? Следует ли вашей компании запретить использование Internet Explorer? В этой статье мы выходим за рамки сенсационных заголовков и углубляемся в факты о безопасности браузера и о том, действительно ли переключение защитит вас от атак.


Взлом Google


12 января Google сообщил в своем блоге, что компания подверглась атаке в декабре. В сообщении говорится, что более 20 других компаний также подверглись атакам, а источник атак, по-видимому, находился в Китае.


С тех пор китайское правительство отрицает свою причастность к атакам.


Согласно более поздним сообщениям, в атаках использовался троян-бэкдор под названием Hydraq. Троянец был частью набора вредоносных кодов под названием Aurora. 14 января Microsoft выпустила рекомендации по безопасности 979352 после изучения ситуации и вывода о том, что код эксплойта использовал JavaScript для копирования, выпуска и ссылки на элемент объектной модели документа; когда код атаки был помещен в место в свободной памяти, он мог быть выполнен.


Конкретная уязвимость, которая использовалась хакерами в целевых атаках, представляет собой уязвимость повреждения памяти объекта HTML, которая может позволить злоумышленнику удаленно выполнить произвольный код, получив доступ к указателю, связанному с удаленным объектом. Хотя уязвимость также существует в IE 7 и 8, единственные известные эксплойты использовали IE 6. На самом деле защищенный режим IE в IE 7 и 8, работающий в Windows Vista или Windows 7, значительно затрудняет использование этой уязвимости. Дополнительную защиту обеспечивает предотвращение выполнения данных (DEP). DEP включен по умолчанию в IE 8, но не в предыдущих версиях IE.


21 января бюллетень Microsoft по безопасности MS10-002 с пометкой «критический» был выпущен вместе с накопительным обновлением безопасности для Internet Explorer версий 5.01, 6, 7 и 8 в следующих операционных системах:



  • Windows 2000 с пакетом обновления 4
  • Windows XP SP2 и SP3
  • Windows XP Профессиональная X64 SP2
  • Windows Server 2003 SP2 (включая выпуски x64 и Itanium)
  • Windows Vista, SP1 и SP2 (включая выпуск x64)
  • Windows Server 2008 SP2 (32- и 64-разрядные версии и версия Itanium)
  • Windows 7 (32- и 64-разрядные версии)
  • Windows Server 2008 R2, x64 и версии Itanium

Установка Server Core Windows Server 2008 и 2008 R2 не подвержена этой уязвимости.


Это было «внеплановое» или «экстренное» обновление, которое не ждало обычного вторника исправлений, который должен был состояться 9 февраля. Фактически, старший советник по безопасности Sophos (который в прошлом критиковал Microsoft) заявил, что Microsoft Реакция на уязвимость IE была «исключительно быстрой» и даже «взрывной» и не согласовывалась с широко распространенным мнением о том, что пользователям следует вообще отказаться от IE. Подробнее здесь.


Последствия взлома Google


Атаки попали в заголовки как технической, так и основной прессы, а последствия ощущались как в политическом, так и в технологическом секторах. Google объявил, что они пересматривают свои отношения с Китаем и угрожают уйти из страны. Госсекретарь США Хиллари Клинтон призвала Китай расследовать атаки и заявила, что Google должен отказаться поддерживать «политически мотивированную цензуру», которую практикуют китайцы. Сообщается, что президент Обама «обеспокоен» ситуацией. Представитель Китая заявил, что США выдвигают «беспочвенные обвинения».


Между тем, в сфере технологий в США и других странах самый большой протест был не против Китая, а против Microsoft. «Прекратите использовать Internet Explorer» стало мантрой, и даже US-CERT (Computer Emergency Readiness Team) рекомендовал отказаться от IE в пользу других «более безопасных» веб-браузеров:


Глядя за заголовки


Хотя заголовки звучат так, как будто все полностью отказываются от IE, если взглянуть не только на сообщения в СМИ, но и на фактические рекомендации, то получится несколько иная история. Например, заявление правительства Германии фактически рекомендовало пользователям IE переключиться на другой браузер до тех пор, пока Microsoft не выпустит исправление для уязвимости Hydraq. Во многих статьях, сообщающих об этом совете, последняя часть была опущена, из-за чего создается впечатление, что правительственное агентство советует пользователям навсегда отказаться от IE (дополнительную информацию см. в следующих статьях, здесь и здесь).


Однако статистика тоже может вводить в заблуждение. Этот отчет от Secunia за февраль прошлого года показывает, что в IE было зарегистрировано больше уязвимостей, чем в других браузерах. Однако это не принимает во внимание большую долю рынка (и, следовательно, повышенную привлекательность для хакеров) IE. Кроме того, этот отчет был сделан до официального выпуска IE 8, в котором был добавлен ряд функций безопасности.


Является ли IE по своей природе менее безопасным, чем другие веб-браузеры?


Нет никаких сомнений в том, что различные версии Internet Explorer содержат уязвимости в системе безопасности, которые могут быть использованы злоумышленниками. Настоящий вопрос заключается в том, действительно ли другие веб-браузеры более безопасны. Давайте посмотрим на это.



  • В ноябре 2009 года Secunia выпустила предупреждение, оцененное как крайне критическое, в котором говорилось, что уязвимости в веб-браузере Apple Safari могут позволить атакам обойти ограничения безопасности, раскрыть конфиденциальную информацию и / или получить удаленный доступ к системе. Обновления безопасности для Safari также были выпущены в феврале, мае, июне, июле и августе 2009 года. Некоторые из этих уязвимостей включают возможность удаленного выполнения кода.

  • В сентябре 2009 года для Firefox 3.5 было выпущено десять исправлений безопасности, все из которых, кроме одного, были оценены как «критические». На самом деле Mozilla обычно выпускает обновления безопасности каждые две-три недели. А в прошлом ноябре отчет об уязвимостях Cenzic показал, что Firefox является наиболее уязвимым веб-браузером, в первую очередь из-за его архитектуры подключаемых модулей. На Firefox приходилось 44 процента всех уязвимостей браузера.

  • Уязвимость безопасности была обнаружена в браузере Google Chrome всего через день после его выпуска. С тех пор было выпущено несколько обновлений безопасности. В августе прошлого года сообщалось о нескольких серьезных недостатках безопасности в Chrome, которые могут подвергать пользователей атакам с выполнением кода. В ноябре 2009 года сообщалось, что версии Opera до 10.01 имеют множество уязвимостей безопасности.

По словам представителя Sophos Чета Вишневски, Firefox и другие «альтернативные» браузеры становятся все более уязвимыми для угроз, что дает им поверхности для атак, эквивалентные IE. Рыночная доля IE (чуть менее 60% по состоянию на декабрь 2009 г.) делает его излюбленной целью злоумышленников. Если пользователи откажутся от IE и другие браузеры станут более популярными, хакеры, естественно, обратят свое внимание на эти браузеры. И, как заметил Грэм Клули (еще один консультант Sophos), «у всех браузеров есть недостатки в безопасности».


Должны ли вы бороться или переключиться?


Принимая решение о переключении пользователей вашей компании на другой веб-браузер, вы должны руководствоваться фактами, а не нагнетанием страха. Несомненно, существует преимущество «безопасности через неизвестность», которое можно получить, используя браузер с низкой долей рынка, такой как Opera или Chrome (соответственно 1,68% и 5,02% по состоянию на декабрь 2009 г.). Злоумышленники предпочитают тратить свое время на разработку эксплойтов для наиболее часто используемого программного обеспечения, потому что они получают большую отдачу, затрагивая больше пользователей — точно так же, как террористы предпочитают нападать на большие собрания, где они могут причинить вред большему количеству жертв. Тем не менее, этот режим защиты в лучшем случае туманен и будет потерян, если значительное количество пользователей сделает то же самое и перейдет на (в настоящее время) менее популярные браузеры.


Из-за всей шумихи вокруг того, насколько «опасным» является IE, и намека на то, что другие браузеры не имеют проблем с безопасностью, смена браузера может привести к ложному чувству безопасности. Если пользователи думают, что все, что им нужно для обеспечения безопасности, — это использовать «правильный» браузер, они могут проигнорировать необходимость установки обновлений или правильной настройки параметров, что сделает их более уязвимыми, чем они были с IE.


Переключение браузеров также может привести к тому, что пользователи освоятся с новым программным обеспечением. Еще одно соображение при принятии решения заключается в том, может ли вашим пользователям понадобиться доступ к веб-сайтам, для правильного отображения которых требуется IE, или использование пользовательских приложений, для которых требуется IE.


Безопасный серфинг с IE


Вместо того, чтобы переключаться на другой браузер, лучшим вариантом может быть переход на другую — более новую и безопасную — версию самого IE. IE 8 включает множество новых функций безопасности, в том числе фильтр SmartScreen для блокировки сайтов-самозванцев, фильтр межсайтовых сценариев для предотвращения XSS-атак, предотвращение «перехвата кликов» (при котором используется встроенный код, чтобы убедить пользователей щелкнуть ссылку, выполняющую скрытые действия). и выделение домена, которое помогает пользователям идентифицировать возможные фишинговые сайты.


В дополнение к обновлению до последней версии IE вы можете предпринять дополнительные шаги, чтобы сделать серфинг более безопасным:



  • Своевременно применяйте обновления безопасности. Большое количество успешных атак используют уязвимости, для которых были выпущены исправления. Согласно отчету Verizon Business о расследовании нарушений данных за 2008 год, «для 90% известных уязвимостей, использованных в ходе этих атак, были доступны исправления как минимум за шесть месяцев до взлома». Многие организации не применяют обновления оперативно из-за нехватки времени, нехватки знаний или опасений, что исправление вызовет проблемы с надежностью/стабильностью.

  • Настройте параметры браузера для лучшей безопасности. В IE щелкните Инструменты | Параметры Интернета | Безопасность для проверки настроек. В IE 7 и 8 убедитесь, что защищенный режим включен. В IE 8 DEP включен по умолчанию; вы можете включить его в IE 7, установив флажок «Включить защиту памяти для предотвращения онлайн-атак». Для обеспечения максимальной безопасности установите ползунок на вкладке «Безопасность» в положение «Высокий» для зоны «Интернет» (однако это может привести к тому, что некоторые веб-сайты не будут отображаться или работать неправильно). В IE 8 убедитесь, что фильтр SmartScreen включен.

  • Если вы все еще используете IE в Windows XP, войдите в систему со стандартной учетной записью пользователя, а не с учетной записью администратора, что предотвратит непреднамеренную загрузку и установку программ или изменение настроек системы вредоносными программами.

  • Еще один способ повысить безопасность — запустить веб-браузер на виртуальной машине, установленной на настольном программном обеспечении для виртуальных машин, таком как Windows Virtual PC или VMWare Workstation. Таким образом, эксплойт браузера повлияет только на операционную систему виртуальной машины, а не на вашу основную систему. Еще лучше подключить виртуальную машину к Интернету через демилитаризованную зону или другую сеть, изолированную от вашей производственной сети.

Резюме


Веб-браузеры в целом по своей природе уязвимы для атак извне, потому что это программное обеспечение, которое чаще всего подвергается воздействию Интернета. В отличие от ранних веб-браузеров, которые отображали только текст и графику, современные браузеры представляют собой сложные клиенты, которые запускают сценарии, Java, Flash, QuickTime, Silverlight, элементы управления ActiveX и другой исполняемый код в браузере.


Подъем Firefox на первое место в списке уязвимостей браузера, в то же время он увеличил долю рынка (сейчас около 25%), иллюстрирует, что по мере того, как браузер становится все более популярным, он становится все более мишенью для хакеров и авторов вредоносных программ.. Недавние рекомендации использовать «все, кроме IE» ошибочны, потому что они заставляют пользователей поверить, что другие браузеры безопасны, а массовый переход от IE к Firefox или Chrome почти наверняка просто перенесет усилия злоумышленников на эти браузеры.


Лучший способ защитить свои системы и сеть от веб-атак — следовать простым рекомендациям по обновлению, обновлению и правильной настройке параметров вашего браузера, какой бы из них вы ни выбрали.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023