IRCAR201404211
تاريخ: 29/01/93
در سري مقالات مروري بر امنيت مرورگرهاي وب، امنيت كنوني مرورگرهاي وب، روند تغييرات آن ها در طول چند سال گذشته، برخي فاكتورهاي مبتني بر امنيت كه هنگام انتخاب مرورگر بايد مد نظر قرار داد و چگونگي پيكربندي مرورگرها براي داشتن امنيت بيشتر توضيح داده مي شود.
مقدمه
در بسياري سازمان ها، مرورگر وب يكي از پر استفاده ترين برنامه هاي كاربردي اينترنت مي باشد اما برخي از كاربران و ادمين ها مرورگرهاي خود را بنا به اطلاعات قديمي انتخاب مي كنند. اما حتي اگر شما مرورگري با بهترين و بيشترين ويژگي هاي امنيتي را انتخاب نماييد، بدان معني نيست كه در برابر تهديدات ايمن هستيد. اين ويژگي ها بايد به درستي پيكربندي شوند و با اين وجود آسيب پذيري هاي زيادي در مرورگرها قرار دارد.
اولويت هاي امنيتي
به طور كلي مرورگرهاي وب اغلب يك برنامه مصرفي مي باشند. البته آن ها يك ابزار كسب و كار مهم نيز به حساب مي آيند. هم چنين يكي از رايج ترين بردارهاي حمله محسوب مي شوند. مرورگرهاي وب، شبكه و كاربران شما را در معرض خطر قرار مي دهند زيرا به سايت هاي بيشماري در سراسر جهان متصل مي شوند و اين احتمال وجود دارد كه هر كدام از آن ها (عمدا يا سهوا) حاوي بدافزار باشد. مرورگرها كدهاي جاوا اسكريپت، كنترل هاي ActiveX، فلش، Silverlight و كدهاي ديگر را اجرا مي كنند. آن ها رمزهاي عبور را براي دسترسي به وب سايت هاي حساس انتقال مي دهند (در برخي موارد اين رمزها را ذخيره مي كنند). مرورگرها ممكن است اطلاعاتي از قبيل آدرس، شماره تلفن، اطلاعات كارت هاي اعتباري و بانكي را براي پر شدن خودكار فرم ها ذخيره نمايند.
مرورگرهاي وب داراي بخش هاي نرم افزاري پيچيده اي است. در قسمتي از آن افزونه هاي متعدد (پلاگين ها يا توسعه) كه توسط شركت هاي ثالث طراحي شده است اجرا مي گردد. اين افزونه ها تا حد زيادي عملكرد مرورگر را توسعه مي دهند اما در عين حال خطر وجود آسيب پذيري را افزايش داده و اين فرصت را براي مهاجمان بوجود مي آورند تا از اين آسيب پذيري ها سوء استفاه نمايند.
خبر خوب آن است كه تمامي مرورگرهاي وب محبوب شامل گوگل كروم، فايرفاكس، IE، اپرا و سافاري به طور قابل ملاحظه اي نسبت به پنج سال گذشته امن تر شده اند. تمامي توليدكنندگان مرورگر وب زمان و انرژي زيادي را صرف مي كنند تا بتوانند در نسخه هاي جديد مرورگر خود، مكانيزم هاي امنيتي جديدي را قرار دهند.
جالب توجه است كه يك نظرسنجي كه اخيرا توسط شركت Sophos انجام شده است نشان مي دهد كه موزيلا فايرفاكس با كسب 50 درصد از آراء شركت كنندگان در اين نظرسنجي، مورد اعتمادترين مرورگر مي باشد. پس از آن گوگل كروم با 27 درصد قرار دارد. IE با 8 درصد در رتبه سوم جاي گرفته است و مرورگرهاي سافاري، اپرا و Chromium با كسب به ترتيب 8، 7 و 5 درصد از آراء در رتبه هاي بعدي قرار گرفتند.
اما مرورگري كه مردم بيشترين اعتماد را نسبت به آن دارند لزوما قابل اطمينان ترين مرورگر نيست. مطالعات متعددي توسط سازمان هاي مختلف انجام شده است تا امنيت مرورگرهاي محبوب را مقايسه كنند و در اين ميان نتايج متفاوتي حاصل شده است. Larry Seltzer بر روي وب سايت ZDNet اعلام كرد كه بر اساس نظرسنجي ها، آخرين نسخه IE بسيار امن مي باشد و شايد در حال حاضر امن ترين مرورگر باشد.در وبلاگ Sophos آمده است كه كروم مي تواند امن ترين مرورگر وب باشد. در نهايت در گزارش InfoSecurity كه در ژوئيه سال 2013 منتشر شده است در واقع هيچ برنده اي در رقابت بين مرورگرها وجود ندارد. برخي مرورگرها در يك مورد مانند حفاظت كاربران در برابر حملات سرقت هويت خوب عمل مي كنند و برخي ديگر در موارد ديگري بهتر عمل مي كنند.
نتيجه آن كه، بدون در نظر گرفتن آن كه كدام مرورگر را انتخاب مي كنيد، دنياي پهناور وب خطراتي خواهد داشت. مي توان با پيكربندي مناسب مرورگر انتخابي و با عادت كردن به روش هاي گشت و گذار امن در وب، برخي از اين خطرات را كاهش داد. در حال حاضر قصد داريم به بررسي دقيق تر هر يك از مرورگرهايي كه در بالا ذكر شد و موارد امنيتي كه در پياده سازي هر يك لحاظ شده است، بپرداريم. درنهايت به پيكربندي مناسب براي هر مرورگر مي پردازيم.
موارد مشترك در امنيت مرورگرها
مهم نيست كه كدام مرورگر(ها) در سازمان شما استفاده مي شود، بايد بدانيد كه اولين قدم امنيتي براي استفاده از هر مرورگر، استفاده از آخرين نسخه آن است. زيرا آخرين نسخه مرورگرها شامل بيشترين مكانيزم هاي امنيتي نسبت به نسخه هاي قبلي مي باشد. توليدكنندگان از خطاهاي گذشته درس مي گيرند و آسيب پذيري هاي شناخته شده در نسخه هاي جديد اصلاح مي شوند.
با اين حال، نسخه هاي جديد هر مرورگر در زمان هاي متفاوتي منتشر مي شود. شايد به دليل تعداد بالاي سيستم هايي كه بايد اصلاحيه بر روي آن ها اعمال شود، به روز نگه داشتن مرورگرها كار آساني نباشد. حتي با فعال كردن به روز رساني خودكار، در برخي از موارد اصلاحيه ها به درستي نصب نشوند. اگر به كاربران اين اجازه داده شود تا برنامه ها را دانلود و نصب نمايند ( ايده خوبي نيست ولي در برخي شرايط ضروري است)، برخي از آن ها ممكن است چندين مرورگر را بر روي سيستم خود نصب نمايند.
و البته با روند BYOD، بسيار سخت تر است تا برنامه هاي موجود بر روي لب تاپ ها و تبلت هاي كاربران را كنترل كرد. اما اگر يكي از اين دستگاه ها آلوده باشد با اتصال به شبكه سازمان، مي تواند ساير دستگاه هاي شبكه را در معرض خطر قرار دهد. بسيار مهم است تا از ابزارهاي نرم افزاري و سيستم هاي مديريتي استفاده نماييد تا به شما اطلاع دهند كه بر روي هر ماشين چه برنامه هايي و با چه نسخه اي نصب شده است. هم چنين مهم است تا در محيط هايي كه از BYOD استفاده مي شود خط مشي هايي در نظر گرفته شود تا كاربران مجبور باشند سيستم هاي خود را به روز نگه دارند و هم چنين الزام شود كه اين كاربران بر روي دستگاه هاي خود ضد بدافزارهاي مناسب نصب كنند و از آن استفاده نمايند.
مشكل بعدي آن است كه تنها مرورگرهاي وب نيستند كه مي توانند مورد سوء استفاده قرار بگيرند. توليدكنندگان مرورگر APIهايي را منتشر مي كنند تا به شركت هاي ثالث اجازه دهند براي عملكرد بهتر مرورگر مانند توانايي نشان دادن فايل هاي PDF از طريق پلاگين Adobe Reader، افزونه هايي را ايجاد نمايند. خبر بد آن است كه تمامي اين پلاگين ها و افزونه ها داراي آسيب پذيري هاي بالقوه اي هستند. بدين معنا كه به روز رساني مرورگر به تنهايي كافي نيست، بايد اطمينان حاصل شود كه تمامي افزونه ها و پلاگين ها به روز مي باشند.
توليدكنندگان مرورگرهاي وب هميشه نگران امنيت مرورگر مي باشند اما آن ها مرورگرهاي خود را با توجه به درخواست كاربران خود طراحي مي كنند. در برخي از موارد اين دو با هم در تضاد مي باشند. اغلب كاربران نهايي بيشتر از امنيت، به عملكرد و ويژگي هاي مرورگر اهميت مي دهند. آن ها دوست دارند مرورگر به آن ها اين امكان را بدهد تا كارهايي را كه مي خواهند بر روي وب انجام دهند و اغلب دوست ندارند براي انجام اين كارها از موانع امنيتي عبور نمايند. بنابراين حتي زماني كه مرورگر قادر است تا امنيت بالايي را فراهم نمايد، اين مكانيزم هاي امنيتي ممكن است به طور پيش فرض غيرفعال باشند.
مكانيزم هاي امنيتي از قبيل رمزگذاري مي تواند كارايي را كند نمايد. مسدود نمودن محتوي خطرناك وب از قبيل جاوا اسكريپت يا كنترل هاي ActiveX مي تواند باعث شود تا بعضي از صفحات به درستي كار نكنند. استفاده از "ليست سفيد" به منظور دسترسي به سايت هايي كه امن مي باشند، مي تواند از رفتن كاربران به سايت هاي امن ديگر كه در ليست سفيد قرار ندارند جلوگيري كند. توليدكنندگان مرورگر نمي خواهند با الزامات امنيتي، كاربران خود را به سمت مرورگرهاي ديگر هدايت كنند بنابراين ممكن است در هر يك از اين مرورگرها ويژگي هاي امنيتي بالايي وجود داشته باشد اما اين ويژگي ها غيرفعال مي باشند.
در حال حاضر بسياري از مرورگرها از برخي روش هاي sandboxing يا جداسازي استفاده مي كنند تا مواردي كه در يك تب مرورگر باز مي شود، تب هاي ديگر را تحت تاثير قرار ندهد و هم چنين صفحات وب را به گونه اي محدود نمايد تا سيستم عامل را تحت تاثير قرار ندهند. به جاي آن كه مانند مرورگرهاي قديمي تمامي تب هاي مرورگر در يك فرآيند اجرا شوند، هر تب مرورگر در فرآيند جداگانه خودش اجرا مي شود. به همين دليل اگر نگاهي به Task Manager بياندازيد، چندين نمونه از برنامه مرورگر را مشاهده مي كنيد.
اگر كاربران مي خواهند به منظور انجام آسان كارهاي خود، پيكربندي مرورگر يا پلاگين هاي آن ها از امنيت كمتري برخوردار باشد، يك پيشنهاد آن است كه حداقل براي تراكنش اطلاعات حساس مانند تراكنش هاي مالي يا تراكنش هايي كه بايد اطلاعات شخصي يا اطلاعات محرمانه شركت را جا به جا كند از مرورگر ديگري (مرورگري كه امنيت بالايي دارد) استفاده نمايند. مرورگري كه براي تراكنش هاي حساس استفاده مي شود نبايد هيچ نوع پلاگيني داشته باشد و يا تمامي پلاگين هاي آن غيرفعال باشد و تمامي تنظيمات مرورگر بايد در بالاترين سطح امنيتي قرار داشته باشند. حتي براي امنيت بيشتر مي توان اين مرورگر را در يك ماشين مجازي بر روي سيستم عامل كه تنها به اين كار اختصاص داده شده است، اجرا كنيد.
مسئله ديگر آن است كه مرورگر ها چگونه اطلاعاتي از قبيل رمز عبور يا اطلاعات شخصي مانند شماره كارت اعتباري را ذخيره مي كنند. برخي از مرورگرها ممكن است برخي از اطلاعات را در يك پايگاه داده رمز نشده بر روي رايانه ذخيره كنند. در اين روش اطلاعات ذخيره شده مي تواند به طور بالقوه توسط يك شخص غيرمجاز مورد دسترسي قرار گيرد.
در بخش دوم از اين سري مقالات، ويژگي هاي امنيتي مرورگر IE توضيح داده خواهد شد.
- 8