Уже давно безопасность работы пользователя в Интернете, конфиденциальность его данных, выбор соответствующего режима работы и его контроль стали ключевыми темами. В данной статье мы рассмотрим средства и технологии обеспечения безопасности браузера Microsoft Internet Explorer 8, в том числе: фильтр SmartScreen; защиту от фишинга и вредоносных программ; защиту от ClickJacking; фильтр запуска сценариев между узлами (XSS); выделение имени домена; запуск Internet Explorer в защищенном режиме; задание явного согласия на запуск элементов ActiveX; просмотр страниц в режиме InPrivate; фильтрацию InPrivate и защиту от исполнения в области данных DEP (Data Execution Protection/NX).
Фильтр SmartScreen
Сегодня в состав Internet Explorer 8 включен фильтр SmartScreen — технология, а вернее, набор технологий, предназначенный для защиты пользователей от возможных интернет-угроз, в том числе из разряда социальной инженерии. Базируется SmartScreen на технологии фишингового фильтра предыдущей версии Internet Explorer 7.
SmartScreen-фильтр предназначен для защиты пользователей от известных вредоносных сайтов, а кроме того, данный фильтр включает защиту от ClickJacking, технологии, применяемой для перехвата клавиш, искажения веб-страниц и т. д. Для того чтобы включить SmartScreen, необходимо (см. экран): в меню Internet Explorer 8 выбрать пункт «Безопасность» и в раскрывающемся меню указать фильтр SmartScreen и включить SmartScreen.
Чтобы подчеркнуть важность использования SmartScreen, приведу некоторые цифры:
- с начала марта 2009 года SmartScreen заблокировал более 560 млн попыток загрузки вредоносного программного обеспечения;
- ежечасно SmartScreen блокирует более 125 тыс. потенциально небезопасных сайтов и программ;
- каждую минуту происходит почти 2 тыс. загрузок потенциально опасных файлов.
Защита от фишинга и вредоносных программ
Прежде чем перейти к защите от фишинга, опять хочу привести несколько цифр. В январе 2010 года лаборатория NSS Labs провела тестирование браузеров на защиту от атак с использованием социальной инженерии (http://nsslabs.com/test-reports/NSSLabs_Q12010_GTRBrowserSEM_FINAL.pdf). В результате тестирования были получены следующие результаты (см. рисунок):
- Windows Internet Explorer 8 блокировал 85% угроз;
- Safari Apple 4 блокировал 29% угроз;
- Mozilla Firefox 3.5 блокировал 29% угроз;
- Google Chrome 4 блокировал 17% угроз;
- Opera 10 блокировала менее 1% угроз, фактически не обеспечив защиту от атак методами социальной инженерии.
Что же такое фишинг? Это мошенническая техника с использованием элементов социальной инженерии с целью заставить пользователя нажать поддельную ссылку в сообщении электронной почты и сообщить ту или иную информацию на фальшивом или мошенническом сайте.
Фильтр SmartScreen в Internet Explorer 8 предупреждает пользователя о подозрительных или уже известных мошеннических сайтах. При этом фильтр проводит анализ содержимого соответствующего сайта, а также использует сеть источников данных для определения степени его надежности. Фильтр SmartScreen сочетает анализ веб-страниц на стороне клиента на предмет обнаружения подозрительного поведения с онлайн-службой, доступ к которой пользователь разрешает или запрещает.
При этом реализуется три способа защиты от мошеннических и вредоносных узлов.
- Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится.
- Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов.
- Отправка адреса сайта, на который пользователь собирается зайти, онлайн-службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных веб-узлов. При этом доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц.
С помощью Internet Explorer 8 вы можете узнать, является ли узел мошенническим. Для этого нужно выбрать в меню «Сервис» пункт «Фильтр SmartScreen», а затем «Проверить веб-узел».
Для соблюдения режима конфиденциальности (с целью соблюдения privacy) состояние фильтра SmartScreen по умолчанию не определено, и поэтому перед пользователем появляется сообщение, включить или отключить эту функцию. По умолчанию при первом же запуске Internet Explorer 8 фильтр SmartScreen предлагает пользователю включить автоматическую проверку или отключить данную функцию совсем.
Работа фильтра SmartScreen основывается на службе Microsoft URL Reputation Service (URS), осуществляющей круглосуточную поддержку пользователей браузера Internet Explorer 8. Если фильтр SmartScreen включен, то он просматривает локальный список известных разрешенных узлов и отправляет адрес URL-узла службе URS для проверки.
Во избежание задержек обращения к URS производятся асинхронно, так что на работе пользователя процесс проверки не отражается. Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список узлы не подвергаются проверке фильтром SmartScreen. В фильтре SmartScreen также применяется механизм локального кэширования адресов URL, позволяющий сохранять ранее полученные рейтинги узлов и избежать лишних обращений по сети. Один из способов выявления потенциально фальшивых узлов, применяемый службой URS, — сбор отзывов пользователей о ранее неизвестных узлах. Пользователь может решить, следует ли отправлять информацию об узле, надежность которого вызывает у него подозрения.
Для защиты от фишинга и вредоносного кода фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь. Следует учитывать, что службе URS могут быть переданы личные сведения, поскольку иногда они находятся в самой строке адреса URL.
Фильтр SmartScreen можно включать или отключать избирательно для каждой зоны безопасности, но только в том случае, когда эта функция включена глобально. По умолчанию фильтр SmartScreen включен для всех зон, кроме зоны «Местная интрасеть».
Если вы захотите исключить некоторые узлы из списка проверяемых фильтром SmartScreen, но не отключать при этом фильтр полностью, необходимо включить фильтр глобально, а затем отключить фильтрацию только для зоны «Надежные узлы», после чего конкретные узлы добавить в эту зону.
Для того чтобы пользователи в организации не могли отключить фильтр SmartScreen, необходимо задействовать групповую политику. Настройку соответствующего параметра можно произвести в папке редактора объектов групповой политики: «Конфигурация пользователя»
«Административные шаблоны»«Компоненты Windows»Internet Explorer«Панель управления обозревателем»«Страница безопасности»<зона>
В таблице 1 приведены сведения о параметрах безопасности, относящихся к технологии SmartScreen в Internet Explorer 8.
Помимо указанных выше параметров для каждой зоны, можно задать два глобальных параметра фильтра SmartScreen в папке редактора объектов групповой политики: «Конфигурация пользователя»
«Административные шаблоны»«Компоненты Windows»Internet Explorer, см. таблицу 2.
Защита от ClickJacking
Для обнаружения и предотвращения ClickJacking в фильтре SmartScreen предусмотрена новая функция, которая является частью основного кода Internet Explorer 8. По умолчанию данная функция всегда включена и не может быть выключена.
Перехват щелчка, или ClickJacking, происходит, когда атакующему удается обманом заставить ничего не подозревающего пользователя щелкнуть по ссылке на контент, полученный из другого домена. Против техники ClickJacking большинство мер противодействия подделке HTTP-запросов (CSRF — cross-site request forgery) бессильны, и атакующий может использовать ее для изменения конфигурации надстроек обозревателя нужным ему образом.
Для реализации данной атаки злоумышленник демонстрирует некоторый набор фальшивых кнопок, а затем загружает поверх них другую страницу в прозрачном слое. Пользователь будет уверен, что он нажимает реальные кнопки, а на самом деле выполняет какие-то действия на скрытой странице. Проследить такую атаку практически невозможно, так как пользователь прошел аутентификацию на другой странице.
Чтобы узел мог воспользоваться дополнительной защитой от атак типа ClickJacking, необходимо включить заголовок X-FRAME-OPTIONS в состав HTTP-заголовков или в тег META HTTP-EQUIV. Дополнительные сведения об атаках типа ClickJacking можно нйти в блоге http://blogs.msdn.com/ie/
archive/2009/01/27/ie8‑security-part-vii-clickjacking-defenses.aspx.
Фильтр запуска сценариев между узлами (XSS)
Данная функция предназначена для защиты пользователя от некоторых видов атак на серверные приложения. Такие атаки называются «атаки типа 1» или «атаки отражением». Как правило, при этом некоторый код в форме сценария передается на веб-сервер, а затем возвращается пользователю. Например, информация, отправленная браузером, без проверки применяется серверным сценарием для генерации страницы, посылаемой пользователю. Если входная информация не проверяется, то отправленные пользователем данные могут быть включены в результирующую страницу без HTML-кодирования, и код, введенный на стороне клиента, «отразится» на странице, посылаемой другому пользователю.
Функция «фильтр XSS» защищает пользователя от подобных атак. Internet Explorer 8 производит анализ потока данных и может распознать некоторые действия, которые обычно не встречаются. При этом возможно запретить выполнение вредоносного сценария.
Посмотреть и настроить этот параметр можно в папке редактора объектов групповой политики: «Конфигурация пользователя»
«Административные шаблоны»«Компоненты Windows»Internet Explorer«Панель управления обозревателем»«Страница безопасности»<зона>. Описание дано в таблице 3.
Выделение домена
При работе с Internet Explorer 8 пользователь прежде всего увидит изменение во внешнем виде адресной строки. Функция выделения домена автоматически выделяет черным цветом ту часть адресной строки, которую она считает основным доменом просматриваемого узла. Выделение строки включено всегда и отключить эту функцию нельзя.
Защищенный режим Internet Explorer
Данный режим доступен на компьютерах под управлением Windows 7 и Windows Vista. Защищенный режим реализует дополнительные меры защиты, разрешая приложению доступ только к определенным участкам файловой системы и реестра. Кроме того, этот режим не дает вредоносному программному обеспечению перехватить управление обозревателем и выполнить код с повышенными привилегиями.
В этом режиме Internet Explorer 8 работает с усеченным набором прав, что позволяет предотвратить изменение пользовательских и системных файлов и параметров без явного согласия пользователя.
По умолчанию данный режим включен для всех пользователей, кроме встроенной учетной записи «Администратор». Соответственно, если вам необходимо отключить данный режим, требуется запустить Internet Explorer 8 с помощью команды контекстного меню «Запуск от имени администратора».
Явное согласие на запуск элементов ActiveX
Перед использованием нового элемента ActiveX, Internet Explorer сообщает об этом пользователю на панели информации. Далее пользователь может разрешить либо запретить доступ к каждому отдельному ActiveX. Данным режимом можно управлять с помощью групповой политики, описание дано в таблице 4.
Просмотр в режиме InPrivate
Данный режим предназначен прежде всего для сохранения конфиденциальности просмотра и позволяет запретить Internet Explorer 8 сохранение истории, файлов cookie и прочих данных. При использовании этого режима:
- отключаются модули поддержки обозревателя (BHO) и панели инструментов;
- не сохраняются новые файлы cookie;
- если сайт пытается создать сохраняемый файл cookie, то обозреватель преобразует его в сеансовый и удаляет по завершении сеанса;
- ранее сохраненные файлы cookie не считываются и не отправляются серверу;
- новая функция хранилища DOM ведет себя аналогично;
- в историю обзора не добавляются новые записи;
- вновь созданные временные файлы Интернета удаляются после закрытия окна просмотра InPrivate;
- не сохраняются данные форм;
- не сохраняются пароли;
- не сохраняются адреса, введенные в адресной строке;
- • не сохраняются запросы, введенные в поле поиска.
Просмотр InPrivate можно сделать режимом по умолчанию, если в командную строку запуска обозревателя добавить флаг -private, например:
"C:Program FilesInternet Exploreriexplore.exe" –private Фильтрация InPrivate
Данная функция предоставляет пользователю дополнительные средства контроля сторонних узлов, которым он согласен передавать данные о своем поведении в Интернете.
Пользователи часто не осознают, что фрагменты содержимого, некоторые изображения, рекламные объявления и аналитические данные предоставляются сторонними узлами и что эти узлы имеют возможность отслеживать поведение отдельного пользователя на различных сайтах. Фильтрации InPrivate дает пользователю дополнительные средства контроля над тем, какую именно информацию сторонние сайты смогут использовать для отслеживания его поведения в сети.
Отключение автоматического заполнения форм
Данная функция предназначена для автоматического запоминания введенных в форму данных. Однако стоит учесть, что автоматически заполненные данные могут принести пользу не только вам, но и злоумышленнику, ведь компьютеру абсолютно все равно, какие данные вы храните. Номер телефона или номер кредитной карты, например. Параметры этой функции задаются в диалоговом окне «Настройка автозаполнения», для открытия которого нужно нажать кнопку «Параметры» в области «Автозаполнение» на вкладке «Содержание» в окне «Свойства обозревателя».
Посмотреть и настроить этот параметр можно в папке редактора объектов групповой политики «Конфигурация пользователя»
«Административные шаблоны»«Компоненты Windows»Internet Explorer. Описание параметров дано в таблице 5.
DEP(Data Execution Protection/NX)
DEP (Data Execution Protection/NX) — технология, запрещающая выполнение кода из областей памяти, содержащих неисполняемые данные, то есть помеченных как «неисполняемые». Таким образом, при попытке использовать переполнение буфера для запуска вредоносного кода программа, содержащая подобную уязвимость, будет закрыта.
Случайное распределение адресного пространства
Данная технология Address Space Layout Randomization перемещает бинарный образ исполняемого кода в случайную область памяти (при этом поддерживается до 255 различных адресов), что значительно снижает возможность проведения некоторых атак со стороны злоумышленников.
Как включить защищенный режим в IE 8?
В IE8 предусмотрен защищенный режим, который позволяет защитить браузер, уменьшив число адресов, доступных для записи в реестре и файловой системе. Если вы, зайдя от имени администратора, включите защищенный режим, то, работая с учетной записью обычного пользователя, не сможете данный режим отключить. При этом браузер не записывает информацию в реестр Windows.
Также можно включить этот режим с помощью следующего параметра реестра
[HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionInternet SettingsZones3] "2500"=dword:00000003,
где значение 3 — включить, а значение 0 — отключить.
Заключение
Конечно, в одной статье невозможно рассмотреть все параметры безопасности такого программного продукта, как Internet Explorer 8, однако, надеюсь, данная статья послужит отправной точкой в знакомстве с системой защиты этого браузера и хоть немного поможет вам в этом нелегком, но увлекательном деле обеспечения безопасности компьютерных систем.
Владимир Безмалый (vladb@windowslive.com) — специалист по обеспечению безопасности, имеет звания MVP Consumer Security, Microsoft Security Trusted Advisоr