Безопасен ли Internet Explorer по своей природе?

В свете недавнешних атак на Гугл и другие компании, для проведения которых использовались уязвимости обозревателя IE 6, кажется, что куда не поверни, все рекомендуют избавиться от Internet Explorer. Ким Командо давала таковой совет в прошлые выходные в собственном шоу по радио, но такие советы исходят не только лишь от ученых мужей. Как молвят последние отчеты, федеральное агентство Германии по безопасности информационных технологий и французская CERTA рекомендовали гражданам ЕС избегать использования всех версий IE.

Признанным фактом стало то, что браузер IE опасен по собственной природе. Так ли это по сути? Вправду ли обозреватели Firefox, Chrome, Safari и/либо Opera более неопасны? Следует ли вашей компании воспрещать внедрение Internet Explorer? В этой статье мы не будем заострять внимания на сенсационные заглавия, а с головой погрузимся в факты о безопасности браузера и о том, поможет ли переход на другой обозреватель уберечься от атак.

Взлом Гугл

12 января компания Гугл на собственном блоге опубликовала информацию о том, что в декабре она подверглась хакерской атаке. В посте говорилось, что более 20 других компаний также стати целью, а источник атаки находился в Китае.

Китайское правительство отвергло свою причастность к этим атакам.

В следующих отчетах говорилось о том, что для атак употреблялся троян под заглавием Hydraq. Этот троян был частью набора вредных кодов под заглавием Aurora. 14 января компания Microsoft выпустиларекомендации к безопасности 979352 после того, как было проведено расследование и принято решение о том, что вредный код использовал сценарий JavaScript для копирования, высвобождения и ссылки элемента Document Object Model; когда код атаки помещался в свободной ячейке памяти, его можно было выполнить.

Уязвимостью, которая использовалась взломщиками для мотивированных атак, стала уязвимость HTML Object Memory Corruption, позволяющая взломщику удаленно делать случайный код методом доступа к указателю ссылки, связанному с удаленным объектом. Хотя эта уязвимость существует в версиях IE 7 и 8, известные атаки проводились на IE 6. По сути, защищенный режим (Protected Mode IE) обозревателя IE 7 и 8, применяемый на Windows Vista и Windows 7, существенно усложняет внедрение этой уязвимости. Дополнительная защита обеспечивается функцией предотвращения выполнения данных Data Execution Prevention (DEP). DEP включена по дефлоту в IE 8, но не в прошлых версиях IE.

21 января обновление безопасности Microsoft Security Bulletin MS10-002, обозначенное как критичные, было выпущено с накопительным пакетом обновления для Internet Explorer версий 5.01, 6, 7 и 8 под последующие ОС:

Windows 2000 SP4
Windows XP SP2 и SP3
Windows XP Professional X64 SP2
Windows Server 2003 SP2 (включая версии x64 и Itanium)
Windows Vista, SP1 и SP2 (включая x64)
Windows Server 2008 SP2 (32 и 64 bit версии, также Itanium)
Windows 7 (32 и 64 bit версий)
Windows Server 2008 R2, x64 и Itanium

Установка Server Core для продукта Windows Server 2008 и 2008 R2 не подвергается этой уязвимости.

Это было внеочередное и срочное обновление, которое в ином случае вышло бы только 9 февраля. По сути, старший советник по безопасности в Sophos (которая критиковала Microsoft в прошедшем) заявил, что реакция Microsoft на уязвимость IE была «необычайно быстрой», что противоречит расхожему воззрению том, что юзеры должны стопроцентно отрешиться от IE. Дополнительную информацию смотрите тут.

Последствия атаки на Гугл

Атаки, попавшие в заглавия прессы чувствовались как в политическом, так и технологическом секторе. Компания Гугл заявила, что они пересматривают свои дела с Китаем и пригрозили свернуть свою деятельность на местности страны. Госсекретарь США Хилари Клинтон призвала представителей китайского правительства провести расследование по поводу этих атак и заявила, что компания Гугл должна отрешиться от поддержки ‘цензуры по политическим мотивам’, которая практикуется в Китае. Президент Обама по сообщениям неких источников «обеспокоен» сложившейся ситуацией. Официальный дилер Китая заявил, что США выдвигает «необоснованные обвинения».

Тем временем в техническом секторе США и других странах основной протест был адресован не Китаю, а компании Microsoft. Изречение «Откажитесь от использования Internet Explorer» стало заклинанием, и даже US-CERT (Computer Emergency Readiness Team) рекомендовало отрешиться от использования IE и перейти на более «безопасные» браузеры:

Рассмотрение корня препядствия

Хотя заглавия статей звучат так, как будто все отказались от использования обозревателя IE, если посмотреть на делему не исходя из убеждений заголовков, то можно узреть несколько иную картину. К примеру, в заявлении правительства Германии была рекомендация не использовать IE, пока компанией Microsoft не будет выпущено исправление уязвимости Hydraq. Многие статьи опускали последнюю часть этой советы, в итоге чего могло показаться, что правительственное ведомство рекомендовало юзерам навечно отрешиться от использования IE (для примера можно взять последующие источники тут и тут).

Статистика тоже может быть неверной. Этот отчет от Secunia, выпущенный в феврале прошедшего года, гласит о том, что в IE было найдено больше уязвимостей, чем в других обозревателях. Но тут не принимается во внимание и большая толика рынка (а, как следует, и большая привлекательность для взломщиков), которую занимает IE. К тому же этот отчет был изготовлен до официального выхода IE 8, в какой был добавлен ряд функций безопасности.

На самом ли деле IE по собственной природе наименее защищен, чем другие обозреватели?

Не оставляет сомнения тот факт, что различные версии Internet Explorer имеют уязвимости безопасности, которые могут употребляться взломщиками. Вопрос состоит в том, вправду ли другие интернет браузеры более неопасны. Давайте поглядим.

В ноябре 2009 года Secunia выпущен бюллетень высочайшей степени критичности, в каком говорится, что уязвимости в интернет браузере Apple Safari позволяют атакам обходить ограничения безопасности, открывать секретные данные и/либо удаленно получать доступ к системе. Обновления безопасности для Safari были выпущены в феврале, мае, июне, июле и августе 2009 года. Некие из этих уязвимостей позволяют удаленно делать код.
В сентябре 2009 года было выпущено 10 исправлений безопасности для Firefox 3.5, и все не считая 1-го имели статус критичных. По сути Мозилла обычно выпускает обновления безопасности каждые две-три недели. А в прошедшем ноябре отчет об уязвимостях Cenzic нашел, что обозреватель Firefox является самым уязвимым интернет браузером в основном в силу его архитектуры дополнительных модулей (т.н. плагинов). На долю Firefox приходится 44 процента всех уязвимостей интернет браузеров.
Уязвимость безопасности была найдена в обозревателе Chrome от компании Гугл через один день после его выхода. С тех пор было выпущено много обновлений безопасности. В прошедшем августе сообщалось о многих недочетах в безопасности обозревателя Chrome, которые могли обеспечивать атаки выполнения кода. В ноябре 2009 было сообщено о том, что обозреватели Opera версии ниже 10.01 содержали многие уязвимости безопасности.

Как гласит представитель компании Sophos, Чет Вишневски (Chet Wisniewski), Firefox и другие «альтернативные» браузеры все почаще подвергаются атакам, в итоге чего количество атак на эти браузеры приближается к количеству атак на IE. Толика обозревателя IE на рынке (чуток меньше 60% на декабрь 2009 года) делает его возлюбленной мишенью для взломщиков. Если юзеры не станут использовать IE и другие обозреватели станут более пользующимися популярностью, хакеры естественно будут концентрироваться на этих более фаворитных браузерах. И как заявилГрэм Клули (Graham Cluley) (очередной консультант Sophos) «У всех обозревателей есть свои недочеты в области безопасности».

Следует ли биться либо просто перейти на другой обозреватель?

При принятии решения о переходе на другой обозреватель нужно управляться фактами, а не слухами. Естественно, есть фактор «большей степени безопасности благодаря наименьшей популярности», который свойственен обозревателям с маленький толикой на рынке, к примеру Opera либо Chrome (при 1,68% и 5,02% соответственно на декабрь 2009 года). Взломщики предпочитают растрачивать свое время на разработку средств атаки для более обширно применяемых программных товаров, так как это резвее и лучше окупается, потому что затрагивает большее количество юзеров ‘ как террористы употребляют места большего скопления людей в качестве собственных мишеней, чтоб причинить вред большему количеству жертв. Но таковой метод защиты не является надежным в наилучшем случае и будет утрачен, если большее количество юзеров перейдет на внедрение 1-го продукта, который в текущее время наименее популярен.

Из-за всей этой шумихи по поводу того, что обозреватель IE «опасен» и заявлений о том, что остальные обозреватели не имеют заморочек с безопасностью, переход на внедрение других обозревателей может вызывать неверное чувство защищенности. Если юзеры сочтут, что все, что им необходимо для безопасности – это «правильный» браузер, они могут игнорировать необходимость установки обновлений либо правильной опции характеристик, что сделает их еще больше незащищенными, чем при использовании IE.

Смена браузеров может также востребовать времени, чтоб юзеры смогли освоить новые обозреватели. Еще одним моментом, который нужно учитывать при принятии решения, будет то, что юзерам может потребоваться доступ к интернет веб-сайтам, для правильного отображения которых нужен IE, либо внедрение пользовательских приложений, требующих IE.

Более неопасный интернет серфинг с IE

Заместо перехода на новый браузер, наилучшим вариантом может стать переход на другую «более новейшую и поболее безопасную» версию самого IE. IE 8 включает огромное количество новых функций безопасности, включая фильтр SmartScreen, который перекрывает незаконные веб-сайты, фильтр выполнения сценариев меж веб-сайтами для предотвращения XSS атак, предотвращение ‘clickjacking’ (использующее интегрированный код для того, чтоб вынудить юзеров перейти по ссылке, выполняющей скрытое действие), и функцию выделения домена, которая позволяет юзерам определять потенциальные фишинговые веб-сайты.

Кроме обновления до самой новейшей версии IE вы сможете сделать последующие дополнительные шаги по обеспечению безопасности:

Вовремя устанавливайте обновления безопасности. Огромное количество удачных атак употребляет уязвимости, для которых уже выпущены обновления. Как говорится в отчете Verizon Business’s 2008 Data Breach Investigations Report «Для девяноста процентов узнаваемых уязвимостей, применяемых атаками, исправления выпускались как минимум за 6 месяцев до взлома». Многие организации не используют обновления впору из-за недочета времени, недочета познаний либо ужаса того, что эти исправления приведут к дилеммам надежности/стабильности.
Настраивайте характеристики браузера на наивысшую безопасность. В IE, нажимаете Сервис | Характеристики обозревателя | Безопасность, чтоб поглядеть опции. В IE 7 и 8 удостоверьтесь, что защищенный режим (Protected Mode) включен. В IE 8 функция DEP включена по дефлоту; вы сможете включить ее в IE 7, отметив опцию ‘Включить защиту памяти для понижения риска атаки из Веба’. Для лучшей безопасности установите бегунок в закладке Безопасность (Security) в положение Высочайший (High) для зоны Веб (но это может вызвать неправильную работу либо отображение неких интернет веб-сайтов). В IE 8 удостоверьтесь, что фильтр SmartScreen включен.
Если вы все еще используете IE под Windows XP, заходите в систему от имени учетной записи обыденного юзера, а не юзера с правами админа, это не позволит случаем загружать и устанавливать программки, также не позволит вредоносному коду заносить конфигурации в характеристики системы.
Еще одним методом увеличения уровня безопасности является пуск интернет браузера на виртуальной машине, установленной на платформе VM, к примеру Windows Virtual PC либо VMWare Workstation. Таким макаром, средства атаки на браузер воздействую лишь на виртуальную машину и не затронут вашу основную систему. Еще больше надежным будет подключение виртуальной машины через демилитаризованную зону DMZ либо другую сеть, которая изолирована от вашей сети предприятия.

Заключение

Интернет браузеры по собственной сущности уязвимы для наружных атак, так как они представляют собой приложения, почаще все работающие в вебе. В отличие от интернет браузеров прошедших лет, которые показывали только текст и графику, современные обозреватели представляют собой более сложные клиенты, выполняющие сценарии, Java, Flash, QuickTime, Silverlight, ActiveX элементы управления и остальной исполняемый код снутри браузера.

1-ое место браузера Firefox по количеству уязвимостей, также рост толики этого обозревателя на рынке (на сегодня уже около 25%) показывает, что когда обозреватель становится более пользующимся популярностью, он завлекает больше внимания взломщиков и разработчиков вредного кода. Недавнешние советы по поводу того, что необходимо использовать ‘что угодно не считая IE’ являются неправильными, так как они принуждают юзеров веровать в то, что остальные обозреватели неопасны, а массовый переход на Firefox либо Chrome просто завлечет больше внимания взломщиков к взлому этих обозревателей.

Наилучшим методом защиты собственной системы и сети от веб атак является следование обычным советам по обновлению, апдейту и правильным настройкам характеристик вашего браузера, независимо от того, каким обозревателем вы пользуетесь.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.