Guida del Centro test alla sicurezza del browser

La recente patch di emergenza fuori banda per Internet Explorer ha molti esperti che consigliano qualsiasi browser tranne IE come la migliore difesa di sicurezza. Sebbene ci sia una certa sicurezza nell'utilizzo di software meno frequentemente attaccati, una domanda migliore è quale sia la scelta più sicura tra i browser più popolari? Quali sono le caratteristiche di sicurezza più importanti da cercare in un browser e quali sono i punti deboli a cui prestare attenzione?

Questa recensione si concentra sulle funzionalità di sicurezza dei seguenti browser Internet basati su Windows: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera Software's Opera e Apple Safari. Tutti tranne Chrome sono inclusi perché si collocano tra i browser più popolari, con una lunga esperienza e milioni di utenti. Google Chrome è incluso perché vanta un modello di sicurezza unico e l'ampia aspettativa di intaccare in modo significativo la quota di mercato degli altri browser. Nella revisione sono state utilizzate le ultime versioni pubblicamente disponibili (comprese le versioni beta). Ogni browser è stato testato su Windows XP Pro SP3 e Windows Vista Enterprise.

[Per ulteriori informazioni sulla sicurezza del browser e sulle revisioni sulla sicurezza di Chrome, Firefox, Internet Explorer, Opera e Safari del Test Center, vedere il rapporto speciale di. ]

Lo scopo di questa recensione era testare l'idoneità alla sicurezza di ogni browser. Pertanto, queste recensioni generalmente non coprono nuove funzionalità non correlate alla sicurezza. Inoltre, poiché questa recensione è stata incentrata sul test della sicurezza di ogni browser particolare, tutti i browser sono stati testati solo con i componenti aggiuntivi installati dal fornitore predefinito. Ad esempio, sebbene NoScript sia un popolare componente aggiuntivo del browser Firefox spesso installato per migliorare la sicurezza, non è installato per impostazione predefinita e non viene creato dal fornitore, quindi non è stato incluso nella recensione.

Divulgazione completa: l'autore di questo articolo è impiegato a tempo pieno da Microsoft come architetto della sicurezza. Non ha alcun coinvolgimento nello sviluppo o nel marketing di Internet Explorer. Utilizza più browser su diverse piattaforme OS su base giornaliera e ha diversi preferiti, inclusi i browser non inclusi in questa recensione.

Creare un browser sicuro

In generale, gli amministratori devono considerare ogni browser Web connesso a Internet come ad alto rischio. In ambienti ad altissima sicurezza, i browser Web non possono essere eseguiti o non possono eseguire il rendering del contenuto da Internet. Ma supponendo che la tua azienda debba navigare in Internet e cerchi un browser Web con un livello di sicurezza accettabile, continua a leggere. Un browser sicuro deve includere almeno i seguenti tratti:

* È stato codificato utilizzando le tecniche SDL (Security Development Lifecycle).

* È stato sottoposto a revisione del codice e fuzzing.

* Separa logicamente i domini di sicurezza di rete e locali.

* Impedisce un facile controllo remoto dannoso.

* Previene il reindirizzamento dannoso.

* Ha impostazioni predefinite sicure.

* Consente all'utente di confermare il download o l'esecuzione di qualsiasi file.

* Previene l'oscurità degli URL.

* Contiene funzionalità anti-buffer overflow.

* Supporta protocolli sicuri comuni (SSL, TLS, ecc.) E cifrari (3DES, AES, RSA, ecc.).

* Si patch e si aggiorna automaticamente (con il consenso dell'utente).

* Ha un blocco popup.

* Utilizza un filtro anti-phishing.

* Impedisce l'uso improprio dei cookie del sito Web.

* Impedisce un facile spoofing dell'URL.

* Fornisce zone / domini di sicurezza per separare fiducia e funzionalità.

* Protegge le credenziali di accesso al sito Web dell'utente durante l'archiviazione e l'utilizzo.

* Consente di abilitare e disabilitare facilmente i componenti aggiuntivi del browser.

* Previene l'uso malizioso della finestra.

* Fornisce controlli sulla privacy.

Un altro buon punto per iniziare ad apprendere le basi dettagliate della sicurezza del browser Web è la Parte 2 del Manuale sulla sicurezza del browser, gestito da Michal Zalewski. Il Manuale sulla sicurezza del browser offre un'ottima introduzione a molte delle politiche di sicurezza dietro le quinte che sono alla base della maggior parte dei browser odierni e indica quali funzionalità sono supportate in vari browser.

Come misurare la sicurezza di un browser

Modello di sicurezza.Ogni browser è codificato sulla forza sottostante del modello di sicurezza scelto dal fornitore del browser. Questo modello è ciò che mantiene il lato della rete non affidabile separato dalle zone di sicurezza più affidabili. Se il malware è in grado di sfruttare il browser, quanto facilmente può compromettere l'intero sistema? Quali difese ha incluso il fornitore nel browser?s design sottostante per prevenire usi dannosi? Come viene impedito il reindirizzamento dannoso (come lo scripting cross-site tra domini e il furto di frame)? La memoria è protetta e svuotata dal riutilizzo dannoso? Il browser offre agli utenti finali più domini o zone di sicurezza con diversi livelli di funzionalità in cui collocare diversi siti Web in base al livello di attendibilità associato? Quali protezioni per l'utente finale sono state integrate nel browser? Il browser tenta di aggiornarsi? Tutte queste domande e altre ancora servono a determinare l'idoneità del modello di sicurezza di un browser.

Quando il browser viene eseguito su Windows, sfrutta la prevenzione dell'esecuzione dei dati (DEP)? Se funziona su Windows Vista, utilizza la virtualizzazione dei file e del registro, i controlli di integrità obbligatori (vedere la barra laterale) o la randomizzazione del layout dello spazio degli indirizzi? Questi argomenti richiedono troppo spazio per essere discussi in modo appropriato in questa recensione, ma tutti e quattro i meccanismi possono rendere più difficile per il malware ottenere il controllo del sistema.

Set di funzionalità e complessità. Più funzionalità e maggiore complessità sono l'antitesi della sicurezza informatica. Funzionalità aggiuntive significano più codice disponibile da sfruttare con interazioni più impreviste. Al contrario, un browser con un set di funzionalità minimo potrebbe non essere in grado di eseguire il rendering di siti Web popolari, il che costringe l'utente a utilizzare un altro browser oa installare componenti aggiuntivi potenzialmente non sicuri. I componenti aggiuntivi popolari sono spesso sfruttati dagli autori di malware.

Anche le zone di sicurezza definibili dall'utente (note anche come domini di sicurezza) sono una caratteristica importante. In definitiva, meno funzionalità si traducono in una maggiore sicurezza. Le aree di protezione forniscono un modo per classificare vari siti Web come più affidabili e, quindi, adatti per una maggiore funzionalità. Dovresti essere in grado di fidarti dei siti Web della tua azienda molto più di un sito Web che offre software piratato o di una piccola pagina Web fornita da qualcuno che non conosci. Le zone di protezione consentono di impostare varie impostazioni e funzionalità di protezione in base alla posizione, al dominio o all'indirizzo IP del sito Web.

I domini di protezione vengono utilizzati in ogni prodotto di protezione del computer (firewall, IPS e così via) per stabilire limiti di sicurezza e aree di attendibilità predefinita. La presenza di un'area di sicurezza in un browser estende tale modello. I browser senza zone di sicurezza incoraggiano a trattare tutti i siti Web con lo stesso livello di affidabilità, nonché a riconfigurare il browser o utilizzare un altro browser per siti Web meno affidabili prima di ogni visita.

Annunci e attacchi di vulnerabilità. Quante vulnerabilità sono state trovate e annunciate pubblicamente nei confronti del prodotto browser? I conteggi delle vulnerabilità aumentano o diminuiscono man mano che il fornitore applica la patch al browser? Quanto sono state gravi le vulnerabilità? Consentono la compromissione completa del sistema o la negazione del servizio? Quante vulnerabilità sono attualmente prive di patch? Qual è la storia degli attacchi zero-day contro il fornitore? Con quale frequenza viene scelto come target il browser del fornitore rispetto a un prodotto della concorrenza?

Test di sicurezza del browser. Come si è comportato il browser rispetto alle suite di test di sicurezza del browser comunemente disponibili? In questa recensione, tutti i prodotti hanno superato i più noti test di sicurezza del browser su Internet, quindi ogni elemento è stato ulteriormente esposto a dozzine di siti Web dannosi nella vita reale. Spesso il risultato non era gradevole. Ho riscontrato frequenti blocchi del browser, contenuti discutibili e talvolta riavvii completi del sistema.

Funzionalità di gestibilità aziendale. si rivolge ad amministratori e tecnici che devono svolgere attività in un'intera azienda. In genere è facile proteggere un singolo browser preferito per uso personale, ma farlo per un'intera azienda richiede strumenti speciali. Se il browser è stato selezionato per l'uso aziendale, quanto è facile installare, impostare e gestire configurazioni sicure per ogni utente?

Queste sono le categorie generali che sono state prese in considerazione durante la revisione di ciascun browser Internet.

Come ho provato

Le suite di test basate su Internet includevano diversi siti di test sulla sicurezza del browser, come scanit e Jason's Toolbox; diversi siti di test JavaScript, Java e di blocco popup; diversi siti Web di test cross-site scripting (XSS); e diversi siti di test sulla privacy del browser. Ho testato la sicurezza della gestione delle password dei browser utilizzando il sito Web Password Manager Evaluator e la sicurezza della gestione dei cookie utilizzando il sito Web Cookie Forensics di Gibson Research Corporation. Ho testato i certificati di convalida estesa utilizzando i collegamenti forniti sul sito IIS7.

Ho visitato dozzine di siti Web noti per contenere malware in tempo reale da diversi elenchi di siti di malware pubblici e privati, incluso ShadowServer. Ho anche visitato dozzine di noti siti Web di phishing, per gentile concessione di PhishTank e siti di riferimento simili. Ho utilizzato Process Explorer per monitorare i processi e le risorse locali durante l'installazione e le operazioni in corso. E ho rilevato il traffico di rete dei browser utilizzando Microsoft Network Monitor o Wireshark ed esaminato i risultati per perdite di informazioni.

Infine, ho anche fatto affidamento su test di vulnerabilità pubblici per queste valutazioni, inclusi Metasploit e milw0rm.com. Le statistiche sulle vulnerabilità sono state prese da Secunia.com o CVE.

Inoltre, ogni browser è stato utilizzato per una serie di diverse settimane (o più a lungo) per testare l'uso generale, gli intervalli di patch e altre funzionalità coinvolte.

Il browser più sicuro

Quindi, la conclusione generale di questa recensione è che qualsiasi browser completamente patchato può essere utilizzato in modo relativamente sicuro. Puoi cambiare browser, ma il tuo rischio è lo stesso con tutti loro - quasi zero - se il tuo browser, sistema operativo e tutti i componenti aggiuntivi e plug-in sono completamente patchati.

Tuttavia, se fingevo di essere un utente finale indotto con l'inganno a eseguire un eseguibile dannoso (come un falso programma antivirus), ogni browser consentiva che il sistema venisse infettato e compromesso. Gli utenti finali che eseguono Windows Vista senza credenziali elevate avrebbero impedito la maggior parte delle infezioni da malware, ma anche quegli utenti venivano prontamente sfruttati se si elevavano intenzionalmente per installare il programma canaglia.

Suggerimenti per la sicurezza del browser

* Non accedere come amministratore o root quando si esegue un browser Internet (o utilizzare UAC su Windows Vista, SU su Linux, ecc.).

* Assicurati che il browser, il sistema operativo e tutti i componenti aggiuntivi e plug-in siano completamente patchati.

* Non lasciarti ingannare dall'esecuzione di codice dannoso.

* Se viene richiesto inaspettatamente di installare software di terze parti durante la navigazione in un sito, aprire un'altra scheda e scaricare il software richiesto direttamente dal sito Web del fornitore del software.

* Fai attenzione a quali componenti aggiuntivi e plug-in utilizzi. Molti non sono sicuri, molti sono molto insicuri e alcuni sono in realtà malware sotto mentite spoglie.