Безопасен ли Internet Explorer по своей природе?

В свете недавних атак на Google и другие компании, для проведения которых использовались уязвимости обозревателя IE 6, кажется, что куда не поверни, все советуют избавиться от Internet Explorer. Ким Командо давала такой совет в прошлые выходные в своем шоу по радио, но такие советы исходят не только от ученых мужей. Как говорят последние отчеты, федеральное агентство Германии по безопасности информационных технологий и французская CERTA советовали гражданам ЕС избегать использования любых версий IE.

Общепризнанным фактом стало то, что браузер IE небезопасен по своей природе. Так ли это на самом деле? Действительно ли обозреватели Firefox, Chrome, Safari и/или Opera более безопасны? Следует ли вашей компании запрещать использование Internet Explorer? В этой статье мы не будем обращать внимания на сенсационные заголовки, а с головой погрузимся в факты о безопасности браузера и о том, поможет ли переход на другой обозреватель уберечься от атак.

Взлом Google

12 января компания Google на своем блоге опубликовала информацию о том, что в декабре она подверглась хакерской атаке. В посте говорилось, что более 20 других компаний также стати целью, а источник атаки находился в Китае.

Китайское правительство отвергло свою причастность к этим атакам.

В последующих отчетах говорилось о том, что для атак использовался троян под названием Hydraq. Этот троян был частью набора вредоносных кодов под названием Aurora. 14 января компания Microsoft выпустиларекомендации к безопасности 979352 после того, как было проведено расследование и принято решение о том, что вредоносный код использовал сценарий JavaScript для копирования, высвобождения и ссылки элемента Document Object Model; когда код атаки помещался в свободной ячейке памяти, его можно было выполнить.

Уязвимостью, которая использовалась хакерами для целевых атак, стала уязвимость HTML Object Memory Corruption, позволяющая взломщику удаленно выполнять произвольный код путем доступа к указателю ссылки, связанному с удаленным объектом. Хотя эта уязвимость существует в версиях IE 7 и 8, известные атаки проводились на IE 6. На самом деле, защищенный режим (Protected Mode IE) обозревателя IE 7 и 8, используемый на Windows Vista и Windows 7, значительно усложняет использование этой уязвимости. Дополнительная защита обеспечивается функцией предотвращения выполнения данных Data Execution Prevention (DEP). DEP включена по умолчанию в IE 8, но не в предыдущих версиях IE.

21 января обновление безопасности Microsoft Security Bulletin MS10-002, обозначенное как критические, было выпущено с накопительным пакетом обновления для Internet Explorer версий 5.01, 6, 7 и 8 под следующие ОС:

• Windows 2000 SP4
• Windows XP SP2 и SP3
• Windows XP Professional X64 SP2
• Windows Server 2003 SP2 (включая версии x64 и Itanium)
• Windows Vista, SP1 и SP2 (включая x64)
• Windows Server 2008 SP2 (32 и 64 bit версии, а также Itanium)
• Windows 7 (32 и 64 bit версий)
• Windows Server 2008 R2, x64 и Itanium

Установка Server Core для продукта Windows Server 2008 и 2008 R2 не подвергается этой уязвимости.

Это было внеочередное и срочное обновление, которое в ином случае вышло бы лишь 9 февраля. На самом деле, старший советник по безопасности в Sophos (которая критиковала Microsoft в прошлом) заявил, что реакция Microsoft на уязвимость IE была «необычайно быстрой», что противоречит расхожему мнению том, что пользователи должны полностью отказаться от IE. Дополнительную информацию смотрите здесь.

Последствия атаки на Google

Атаки, попавшие в заголовки прессы чувствовались как в политическом, так и технологическом секторе. Компания Google заявила, что они пересматривают свои отношения с Китаем и пригрозили свернуть свою деятельность на территории страны. Госсекретарь США Хилари Клинтон призвала представителей китайского правительства провести расследование по поводу этих атак и заявила, что компания Google должна отказаться от поддержки ‘цензуры по политическим мотивам’, которая практикуется в Китае. Президент Обама по сообщениям некоторых источников «обеспокоен» сложившейся ситуацией. Официальный представитель Китая заявил, что США выдвигает «необоснованные обвинения».

Тем временем в техническом секторе США и других странах основной протест был адресован не Китаю, а компании Microsoft. Изречение «Откажитесь от использования Internet Explorer» стало заклинанием, и даже US-CERT (Computer Emergency Readiness Team) рекомендовало отказаться от использования IE и перейти на более «безопасные» браузеры:

Рассмотрение корня проблемы

Хотя заголовки статей звучат так, словно все отказались от использования обозревателя IE, если взглянуть на проблему не с точки зрения заголовков, то можно увидеть несколько иную картину. Например, в заявлении правительства Германии была рекомендация не использовать IE, пока компанией Microsoft не будет выпущено исправление уязвимости Hydraq. Многие статьи опускали последнюю часть этой рекомендации, в результате чего могло показаться, что правительственное ведомство советовало пользователям навсегда отказаться от использования IE (для примера можно взять следующие источники здесь и здесь).

Статистика тоже может быть неправильной. Этот отчет от Secunia, выпущенный в феврале прошлого года, говорит о том, что в IE было обнаружено больше уязвимостей, чем в других обозревателях. Однако здесь не принимается во внимание и большая доля рынка (а, следовательно, и большая привлекательность для хакеров), которую занимает IE. К тому же этот отчет был сделан до официального выхода IE 8, в которой был добавлен ряд функций безопасности.

На самом ли деле IE по своей природе менее защищен, чем другие обозреватели?

Не оставляет сомнения тот факт, что разные версии Internet Explorer имеют уязвимости безопасности, которые могут использоваться взломщиками. Вопрос заключается в том, действительно ли другие веб браузеры более безопасны. Давайте посмотрим.

• В ноябре 2009 года Secunia выпущен бюллетень высокой степени критичности, в котором говорится, что уязвимости в веб браузере Apple Safari позволяют атакам обходить ограничения безопасности, раскрывать конфиденциальные данные и/или удаленно получать доступ к системе. Обновления безопасности для Safari были выпущены в феврале, мае, июне, июле и августе 2009 года. Некоторые из этих уязвимостей позволяют удаленно выполнять код.
• В сентябре 2009 года было выпущено десять исправлений безопасности для Firefox 3.5, и все кроме одного имели статус критических. На самом деле Mozilla обычно выпускает обновления безопасности каждые две-три недели. А в прошлом ноябре отчет об уязвимостях Cenzic обнаружил, что обозреватель Firefox является самым уязвимым веб браузером в большей степени в силу его архитектуры дополнительных модулей (т.н. плагинов). На долю Firefox приходится 44 процента всех уязвимостей веб браузеров.
• Уязвимость безопасности была обнаружена в обозревателе Chrome от компании Google через день после его выхода. С того времени было выпущено много обновлений безопасности. В прошлом августе сообщалось о многих недостатках в безопасности обозревателя Chrome, которые могли обеспечивать атаки выполнения кода. В ноябре 2009 было сообщено о том, что обозреватели Opera версии ниже 10.01 содержали многие уязвимости безопасности.

А как говорит представитель компании Sophos, Чет Вишневски (Chet Wisniewski), Firefox и другие «альтернативные» браузеры все чаще подвергаются атакам, в результате чего количество атак на эти браузеры приближается к количеству атак на IE. Доля обозревателя IE на рынке (чуть меньше 60% на декабрь 2009 года) делает его любимой мишенью для взломщиков. Если пользователи перестанут использовать IE и другие обозреватели станут более популярными, хакеры естественно будут концентрироваться на этих более популярных браузерах. И как заявилГрэм Клули (Graham Cluley) (еще один консультант Sophos) «У всех обозревателей есть свои недостатки в области безопасности».

Следует ли бороться или просто перейти на другой обозреватель?

При принятии решения о переходе на другой обозреватель необходимо руководствоваться фактами, а не слухами. Конечно, есть фактор «большей степени безопасности благодаря меньшей популярности», который свойственен обозревателям с небольшой долей на рынке, например Opera или Chrome (при 1,68% и 5,02% соответственно на декабрь 2009 года). Взломщики предпочитают тратить свое время на разработку средств атаки для более широко используемых программных продуктов, поскольку это быстрее и лучше окупается, так как затрагивает большее количество пользователей ‘ как террористы используют места наибольшего скопления людей в качестве своих мишеней, чтобы причинить вред большему количеству жертв. Однако такой способ защиты не является надежным в лучшем случае и будет утрачен, если большее количество пользователей перейдет на использование одного продукта, который в настоящее время менее популярен.

Из-за всей этой шумихи по поводу того, что обозреватель IE «опасен» и заявлений о том, что прочие обозреватели не имеют проблем с безопасностью, переход на использование других обозревателей может вызывать ложное ощущение защищенности. Если пользователи сочтут, что все, что им нужно для безопасности – это «правильный» браузер, они могут игнорировать необходимость установки обновлений или правильной настройки параметров, что сделает их еще более незащищенными, чем при использовании IE.

Смена браузеров может также потребовать времени, чтобы пользователи смогли освоить новые обозреватели. Еще одним моментом, который необходимо учесть при принятии решения, является то, что пользователям может потребоваться доступ к веб сайтам, для правильного отображения которых необходим IE, или использование пользовательских приложений, требующих IE.

Более безопасный веб серфинг с IE

Вместо перехода на новый браузер, лучшим вариантом может стать переход на другую «более новую и более безопасную» версию самого IE. IE 8 включает множество новых функций безопасности, включая фильтр SmartScreen, который блокирует нелегальные сайты, фильтр выполнения сценариев между сайтами для предотвращения XSS атак, предотвращение ‘clickjacking’ (использующее встроенный код для того, чтобы заставить пользователей перейти по ссылке, выполняющей скрытое действие), и функцию выделения домена, которая позволяет пользователям определять потенциальные фишинговые сайты.

Помимо обновления до самой новой версии IE вы можете предпринять следующие дополнительные шаги по обеспечению безопасности:

• Своевременно устанавливайте обновления безопасности. Большое количество успешных атак использует уязвимости, для которых уже выпущены обновления. Как говорится в отчете Verizon Business’s 2008 Data Breach Investigations Report «Для девяноста процентов известных уязвимостей, используемых атаками, исправления выпускались как минимум за шесть месяцев до взлома». Многие организации не применяют обновления вовремя из-за недостатка времени, недостатка знаний или страха того, что эти исправления приведут к проблемам надежности/стабильности.
• Настраивайте параметры браузера на максимальную безопасность. В IE, нажимаете Сервис | Свойства обозревателя | Безопасность, чтобы посмотреть настройки. В IE 7 и 8 убедитесь, что защищенный режим (Protected Mode) включен. В IE 8 функция DEP включена по умолчанию; вы можете включить ее в IE 7, отметив опцию ‘Включить защиту памяти для снижения риска атаки из Интернета’. Для наилучшей безопасности установите бегунок в закладке Безопасность (Security) в положение Высокий (High) для зоны Интернет (однако это может вызвать некорректную работу или отображение некоторых веб сайтов). В IE 8 убедитесь, что фильтр SmartScreen включен.
• Если вы все еще используете IE под Windows XP, входите в систему от имени учетной записи обычного пользователя, а не пользователя с правами администратора, это не позволит случайно загружать и устанавливать программы, а также не позволит вредоносному коду вносить изменения в параметры системы.
• Еще одним способом повышения уровня безопасности является запуск веб браузера на виртуальной машине, установленной на платформе VM, например Windows Virtual PC или VMWare Workstation. Таким образом, средства атаки на браузер повлияют только на виртуальную машину и не затронут вашу основную систему. Еще более надежным будет подключение виртуальной машины через демилитаризованную зону DMZ или другую сеть, которая изолирована от вашей сети предприятия.

Заключение

Веб браузеры по своей сути уязвимы для внешних атак, поскольку они представляют собой приложения, чаще все работающие в интернете. В отличие от веб браузеров прошлых лет, которые отображали только текст и графику, современные обозреватели представляют собой более сложные клиенты, выполняющие сценарии, Java, Flash, QuickTime, Silverlight, ActiveX элементы управления и прочий исполняемый код внутри браузера.

Первое место браузера Firefox по количеству уязвимостей, а также рост доли этого обозревателя на рынке (на сегодняшний день уже около 25%) демонстрирует, что когда обозреватель становится более популярным, он привлекает больше внимания хакеров и разработчиков вредоносного кода. Недавние советы по поводу того, что нужно использовать ‘что угодно кроме IE’ являются неверными, поскольку они заставляют пользователей верить в то, что прочие обозреватели безопасны, а массовый переход на Firefox или Chrome просто привлечет больше внимания хакеров к взлому этих обозревателей.

Лучшим способом защиты своей системы и сети от интернет атак является следование простым рекомендациям по обновлению, апгрейду и правильным настройкам параметров вашего браузера, независимо от того, каким обозревателем вы пользуетесь.