Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Відчуття безпеки робить людину необережною Олександр Дюма (батько) Інтернет в Україні

Відчуття безпеки робить людину необережною Олександр Дюма (батько) Інтернет в Україні




Сторінка3/5
Дата конвертації10.03.2017
Розмір0.71 Mb.
1   2   3   4   5

Фільтрація ActiveX

Internet Explorer 9 в своєму складі містить фільтр ActiveX-об'єктів, розміщених на сторінках сайтів. Зокрема, за допомогою ActiveX-об'єктів на сторінки впроваджуються flash-та інші відеоролики, інші складні за будовою об'єкти. Оскільки досить часто в додатках, які використовують ActiveX для впровадження власних об'єктів на сторінках веб-сайтів, виявляються уразливості, розробники IE9 вирішили перекрити цей канал, популярний серед зловмисників, за допомогою фільтра ActiveX. За замовчуванням він відключений, але якщо його включити, то жоден ActiveX-об'єкт на веб-сторінках працювати не буде, поки користувач в явному вигляді його не дозволить:



Дозволити використання ActiveX-об'єктів на конкретній сторінці можна, натиснувши на синє перекреслений коло, яке присутнє в повідомленні, що з'явилося, про те, що частина контенту сайту відфільтрована, натиснувши на кнопку «Відключити фільтрацію ActiveX». При цьому браузер запам'ятає, що для цього сайту використання ActiveX дозволене. Аналогічним чином можна і виключити файл зі списку довірених для обговорюваного фільтра.

Internet Explorer 9 відфільтрував ActiveX:

internet explorer 9: новые возможности безопасности

Видалити список сайтів, для яких включена фільтрація, можна, вибравши в налаштуваннях браузера пункт Безпека - Очистити журнал браузера і вибравши прапорець «Дані фільтрації ActiveX і захисту від стеження».

Видалення списку сайтів, довірених для відображення ActiveX:

internet explorer 9: новые возможности безопасности

Наскільки можна бачити, фільтр ActiveX знаходиться в зародковому стані, на початку свого розвитку. Зокрема, для кожного сайту можемо або заборонити відображення всіх ActiveX-об'єктів, або дозволити - IE9 пропонує нам налаштувати параметри фільтрації для відображуваного сайту, але на ділі можемо лише включити для нього фільтр або вимкнути. Вибірково дозволити або заборонити певний тип ActiveX-об'єктів користувач не зможе, так само як і немає повноцінного редактора списку довірених сайтів. Якщо ми захочемо видалити який-небудь сайт зі списку довірених для даного фільтра, то ми повинні або зайти на нього і тим же способом, як і включали до списку, видалити сайт зі списку довірених, або ж повністю очистити список довірених сайтів. В останньому випадку ми повинні будемо також видалити і дані, які використовуються захистом від стеження, про яку мова піде нижче.

Додавання - бінарна арифметична операція, суть якої полягає в об'єднанні математичних об'єктів.

При цьому фільтр ActiveX, як здається, передчасно, розробниками IE9 називається більш загальним рішенням, ніж такі плагіни як Flashblock (для Mozilla Firefox) або ClickToFlash (для Safari).

Цілком ймовірно, що даний фільтр буде розвиватися в наступних версіях браузера.



Закріплені сайти

Для користувачів Windows 7 розробники IE9 приготували ще один сюрприз під назвою «закріплені сайти» (pinned sites), який повинен зробити інтернет-життя користувачів значно безпечнішим. Щоб створити і використовувати закріплений сайт, користувачеві Windows 7 досить відкрити його у браузері, потім перетягнути вкладку, яка відповідає сайту, на Панель завдань.



При цьому на значку кнопки, що з'явиться в Панелі завдань, буде відображено логотип відповідного сайту, а не логотип Internet Explorer.

Які ж переваги дає користувачеві IE9 використання закріплених сайтів? Розробники виділяють цілих п'ять:

1. Коли сайт винесений на Панель завдань у вигляді окремої кнопки, користувач може запускати його безпосередньо з цієї кнопки. Таким чином, можна уникнути переходу на такі сайти за посиланнями з фішингових листів, метою яких є відправити користувача на підроблений сайт, схожий лише зовні на той сайт, на який звик заходити користувач. Також запуск з окремою кнопки виключає ймовірність зробити помилку при наборі адреси сайту в адресному рядку браузера і також потрапити на шкідливий сайт - зловмисники часто реєструють домени, які з написання відповідають друкарським помилкам, які найчастіше зустрічаються при наборі адрес відомих сайтів.

Ймові́рність (лат. probabilitas, англ. probability) - числова характеристика можливості того, що випадкова подія відбудеться в умовах, які можуть бути відтворені необмежену кількість разів. Імовірність є основним поняттям розділу математики, що називається теорія імовірностей.
Посилання (англ. reference), також поклик - посилання у паперових і електронних документах - уривок, витяг з якого-небудь твору, на який посилаються у викладі, з точною назвою джерела й вказівкою на відповідну сторінку.
Друка́рство - принцип одержання відбитків письмових знаків за допомогою тиснення. Отримані таким чином роботи можна використовувати у великих кількостях - що і стало суттю друкарства. До цього винаходу, на створення та відтворенням рукописних документів і книг мали монополію лише невелика кількість фахівців (особливо освічені ченці монастирях).

2. Закріплені сайти відкриваються в окремій сесії браузера. Це означає, що ймовірність атаки знижується за рахунок того, що куки, активні в основному вікні браузера, недоступні в сесії, яка створена для закріпленого сайту.

3. Закріплені сайти відкриваються без будь-яких тулбаров і доповнень, а також без BHO (Browser Helper Object, DLL-бібліотеки, що створюються для розширення функціональності браузера). Чим менше запущеного коду, - кажуть розробники IE9, - тим менша ймовірність, що користувач стане метою атаки.

4. Закріплені сайти дозволяють уникнути зайвих редиректів між незахищеним протоколом HTTP і захищеним протоколом HTTPS. Зокрема, коли користувач набирає адресу сайту вручну, то спочатку сайт відкривається через протокол HTTP, і лише потім відбувається редирект на протокол HTTPS. Ця особливість може збільшити ймовірність атаки. При запуску ж закріпленого сайту з'єднання може відразу проводитися через протокол HTTPS.

5. Використання закріплених сайтів також знижує ймовірність атаки «людина посередині» (man-in-the-middle). Якщо будуть виявлені які-небудь проблеми з сертифікатом, наприклад, він буде підмінений, то з'єднання відразу перерветься з висновком відповідного повідомлення.

Якщо закріплений сайт підписаний сертифікатом класу Extended Validation Certificate (до видачі сайтам таких сертифікатів пред'являються підвищені вимоги), то адресний рядок IE9 буде виділений зеленим кольором.

Виділення зеленим кольором адресного рядка на прикладі сайту «Ощадбанк ОнЛ@йн»:



internet explorer 9: новые возможности безопасности

Розробники Internet Explorer настійно рекомендують користувачам 9-ої версії не нехтувати можливостями закріплених сайтів та використовувати цей функціонал для відвідування найбільш важливих для них сайтів, і, судячи з усього, це не позбавлено сенсу.



Захист від стеження (Tracking Protection)

Все частіше в ЗМІ публікуються матеріали про те, що рекламодавці, які публікують свою рекламу на сайтах, або ж автори популярних програм для соцмереж в прихованому режимі збирають інформацію про відвідувачів сайтів. На підставі поведінки користувача на тому чи іншому сайті, частоти відвідування цих сайтів та іншої непрямої інформації можна складати профілі середньостатистичного користувача того чи іншого сайту, користувача того чи іншого додатка в соцмережах.

Поведі́нка - родовий термін, який охоплює різні реакції живого організму чи групи організмів.
Далі, ця інформація може використовуватися відділами маркетингу деяких компаній, яким продається дана інформація, для своєї успішної діяльності. І це в кращому випадку. У най найгіршому варіанті такі відомості можуть використовуватися для відточування методів соціальної інженерії і при розробці різних шкідливих схем.
Інжене́рія (від лат. ingenium - здібність, винахідливість; син. - інжиніринг, рідше вживають «інженерна справа», ще рідше «інженерство») - галузь людської інтелектуальної діяльності по застосуванню досягнень науки до вирішення конкретних проблем людства.

Цілком зрозуміло небажання багатьох інтернет-користувачів надавати подібну інформацію третім особам, і розробники Internet Explorer приділяють цій проблемі достатньо серйозну увагу. В IE9 запропонований досить гнучкий підхід, що дозволяє користувачеві як самостійно створювати список серверів, на які не будуть відправлятися дані про відвідування, так і використовувати ті списки серверів, які пропонують деякі довірені постачальники.

Постачальник або вендор (англ. Vendor) - будь-яка юридична (організація, підприємство, установа) або фізична особа, що поставляють товари або послуги замовникам. Постачальник здійснює підприємницьку діяльність відповідно до умов укладеного договору поставки, який є одним з видів договору купівлі-продажу.
При цьому компанія Microsoft не створює і не підтримує такі списки, пропонуючи складати їх незалежним ентузіастам.

Сторінка, на якій можна вибрати списки серверів, що здійснюють спостереження за діями користувачів, від різних виробників:



Як мінус існуючої реалізації системи Tracking Protection відзначається невелика кількість серверів, присутніх у пропонованих ентузіастами списках, і не часте їх оновлення. Правда, це може компенсуватися можливістю користувача створювати власний список серверів, які збирають дані про користувачів, і блокувати передачу даних цими каналами.

Розглянемо цю можливість на прикладі ігрового сайту ag.ru. Власний список захисту від стеження можна подивитися, вибравши в налаштуваннях IE9 пункт Безпека - Захист від стеження. При цьому можна помітити, що система захисту від стеження була віднесена до надбудов Internet Explorer.

Якщо в даному вікні вибрати рядок «Ваш налаштований список» і клацнути на посиланні «Параметри для цього списку ...», то буде виведено вікно «Настроєний список захисту від стеження», де буде видно, що на активному сайті ag.ru «розвернувся» складальник інформації під назвою Google Analytics.

Google Analytics - зручний і багатофункціональний сервіс для аналізу інтернет-сайтів. Дозволяє веб-майстрам перевірити стан індексування та оптимізувати видимість своїх веб-сайтів.
Відповідно, ми можемо почати дії для того, щоб дані серверу Google Analytics надалі не відправлялися.


Ручне додавання сервера в список захисту від стеження:



internet explorer 9: новые возможности безопасности

Варто зауважити, що цей фільтр працює набагато гнучкіше, ніж фільтр ActiveX, дозволяючи переглядати популярні сайти, на яких рідко обходиться без таких систем збору інформації від користувачів. Тобто, користувач може продовжувати відвідувати ці сайти, але не боятися за те, що за ним пильно спостерігають.



Поліпшений захист пам'яті

На випадок, якщо користувач все таки клюнув на вудку зловмисників і став жертвою одного з методів соціальної інженерії, розробники Microsoft передбачили в IE9 кілька механізмом захисту "останнього рубежу".

В IE9 використовується технологія DEP (Data Execution Protection, запобігання виконання даних), що не дозволяє додаткам виконувати код з області пам'яті, яка призначена тільки для даних і дозволяє запобігти деякі типи атак, що реалізуються за допомогою переповнення буфера (buffer overflow).

Так само, як і раніше, використовується технологія ASLR, яка дозволяє випадковим чином змінювати розташування в адресному просторі процесу важливих структур. Але, на відміну від IE8, в IE9 технологія ASLR використовується для кожної завантаженої DLL-бібліотеки окремо, що можна спостерігати за допомогою утиліти Process Explorer. Втім, в тому ж Process Explorer можна побачити, що й інші браузери, наприклад, Mozilla Firefox, використовують технологію ASLR аналогічним чином.

Використання технології ASLR для кожної завантаженої DLL в IE9:

internet explorer 9: новые возможности безопасности

Єдиною перепоною для ефективного захисту браузерів від атак за допомогою технології ASLR може служити той факт, що виробники надбудов і доповнень для браузерів не поспішають користуватися цією технологією в своїх продуктах, і атаки можуть теоретично відбуватися через відповідні аддони.

Тео́рія (від грец. θεωρία - розгляд, дослідження) - сукупність висновків, що відображає відносини і зв'язки між явищами реальності у вигляді інформаційноі моделі. Теорією стає гіпотеза, що має відтворюване підтвердження явищ та механізмів і дозволяє спостерігачу прогнозувати наслідки дій чи зміни стану об'єкта спостережень.

Також можна відзначити той факт, що IE9 був зібраний за допомогою нового компілятора Microsoft Visual C 2010 при використанні технології Enhanced GS, яка дозволяє припиняти випадки можливого переповнення буферів в автоматичному режимі. При використанні Enhanced GS, за запевненням Microsoft, при незначному впливі на продуктивність браузера значно підвищується рівень його захищеності.

Зміни в системі сповіщень

Будь-який новий функціонал, який стосується забезпечення безпеки, часто пов'язаний з організацією зворотного зв'язку з користувачем.

Організа́ція (від грец. ὄργανον - інструмент) - цільове об'єднання ресурсів для досягнення певної мети.
Якщо повідомлень про роботу тієї чи іншої програми буде занадто багато, користувачам це перестане подобатися, тому що зайва кількість повідомлень відволікає від роботи і змушує задуматися про ефективність захисного ПЗ, яке використовується. Тому дуже важливо при розробці захисного ПЗ (а інтернет-браузер є на сьогоднішній день одним з найбільш важливих контурів захисту системи від проникнення шкідливого коду та інших дій зловмисників) не забувати про ергономічність взаємодії з користувачем.
Ергономі́чність - це сукупність властивостей, які характеризують пристосованість конструкції товару до взаємодії зі споживачем (користувачем) з урахуванням фізико-біологічних особливостей людини.

Як запевняють розробники Internet Explorer, в версії 9 вони досягли балансу в системі оповіщення користувачів між такими крайнощами як «шумність» і «тиша». Для цього всі повідомлення Internet Explorer були спочатку поділені на 3 категорії:

- блокуючі повідомлення - повідомлення на які користувач повинен зреагувати негайно для того, щоб продовжити роботу з браузером;

- повідомлення-пропозиції - повідомлення, які пропонують користувачеві зробити які-небудь дії, але при цьому такі повідомлення не перешкоджають подальшому інтернет-серфінгу; до таких повідомлень, наприклад, відносяться пропозиції зберегти пароль для веб-сайту;

- повідомлення-підтвердження - повідомлення, які інформують користувача про щось, наприклад, це повідомлення про те, що історія відвідувань була успішно вилучена.

Після аналізу всіх повідомлень, які видає Internet Explorer, розробники видалили 23 повідомлення з групи блокуючих повідомлень. Деякі з таких повідомлень було видалено зовсім, а деякі перенесені в інші групи. Наприклад, питання про те, чи потрібно зберегти пароль для сайту, не блокує в IE9 можливість подальшого перегляду сайту без відповіді на це питання.

Всі подібні рішення повинні сприяти більш зручному використанню захисних механізмів Internet Explorer, які раніше своїми повідомленнями викликали у користувачів роздратування.

Роздратування - неприємний психічний стан, що характеризується такими ефектами, як дратівливість та відволікання від свого свідомого мислення. Це може призвести до таких емоцій, як розчарування та гнів.



Приватний інтернет-серфінг

З попередньої, восьмий, версії браузера в IE існує популярний останнім часом режим приватного інтернет-серфінгу InPrivate. Якщо браузер працює в цьому режимі, то інформація про відвідані веб-сторінках не зберігається в журналі IE, також не зберігаються тимчасові файли, дані веб-форм, паролі до сайтів та куки. При цьому для режиму InPrivate запускається окрема сесія браузера, ізольована від інших сесій.

Перейти в режим InPrivate можна кількома способами:


  • на панелі браузера натиснути кнопку «Безпека» і клацнути в меню «Перегляд InPrivate»;

  • відкрити нову вкладку і клацнути «Переглянути в режимі InPrivate»;

  • в Windows 7 клацнути правою кнопкою миші на значку IE в панелі завдань і вибрати режим зі списку переходів;

  • натиснути комбінацію клавіш Ctrl  Shift P.

Нарешті, можна ввести about:inprivate в адресному рядку, як показано:

http://isearch.kiev.ua/images/stories/ie/il9.jpg

Дивно, але при такій різноманітності способів запуску режиму InPrivate, їм нехтують не лише домашні користувачі, а й фахівці.

На додаток, можна нагадати, що в Adobe Flash, починаючи з версії 10.1, вбудована підтримка приватних режимів відразу для декількох браузерів, в т.ч. підтримка режиму InPrivate в Internet Explorer. Зокрема, при використанні актуальних версій плагіна Adobe Flash в режимі InPrivate не зберігаються так звані «флеш-куки» - такі об'єкти видаляються при виході з приватного режиму перегляду сайтів.

Фільтр запуску міжсайтових сценаріїв

XSS-атаки є широко використовуваним інструментом для зловмисників. XSS-вразливості, які виявляються і експлуатуються зловмисниками на безлічі сайтів, дозволяють контролювати обмін інформацією між користувачем і веб-сайтом, або веб-додатком, якому користувачі довіряють.

Контроль (фр. contrôle, от contrerôle - подвійний список): Перевірка, облік, спостереження за чим-небудь. Установи, особи, що перевіряють діяльність будь-якої іншої організації або відповідальної особи, звітність тощо.
Комуніка́ція (від лат. communicatio - єдність, передача, з'єднання, повідомлення, пов'язаного з дієсловом лат. communico - роблю спільним, повідомляю, з'єдную, похідним від лат. communis - спільний) - це процес обміну інформацією (фактами, ідеями, поглядами, емоціями тощо) між двома або більше особами, спілкування за допомогою вербальних і невербальних засобів із метою передавання та одержання інформації.
Міжсайтові сценарії дозволяють організувати такі атаки як:

• крадіжка куків, включаючи крадіжку куків сесій (дозволяють зламувати аккаунти користувача);

• відстежувати рядки, які жертва вводить з клавіатури на веб-сайті або у веб-додатку;

Клавіату́ра (англ. keyboard) - сукупність розміщених у певному порядку клавіш пристрою, що використовується для введення і редагування даних, а також керування виконанням окремих операцій.

• здійснювати дії на сайтах від імені користувача-жертви. Наприклад, успішна атака на Gmail дозволила б зловмисникам читати пошту користувача та пересилати її, а також додавати нові події в календар.

Фільтр запуску міжсайтових сценаріїв в Internet Explorer на льоту аналізує код сторінок, які завантажуються, визначає підозрілі скрипти, які можуть використовуватися для XSS-атак, і припиняє виконання таких скриптів. При цьому користувачеві не видається жодних питань - IE9 просто блокує запуск скриптів і виводить повідомлення про те, що код сторінки було змінено для того, щоб попередити скоєння атаки з використанням міжсайтових сценаріїв. У разі, якщо через даний фільтр який-небудь сайт відображається некоректно, розробники браузера рекомендують звертатися до веб-майстра сайту.

В цілому IE9 пропонує користувачеві досить потужні технології забезпечення безпеки роботи в Інтернеті, хоча можна відзначити і певні мінуси [6]:

Плюси:

• фільтр завантажуваних додатків SmartScreen Application Reputation;

• фільтр ActiveX;

• захист від стеження;

• функція «Закріплені сайти»;

• наявність приватного режиму інтернет-серфінгу (Private Mode);

• наявність фільтра запуску міжсайтових сценаріїв;

• позитивні зміни у системі сповіщень.



Мінуси:

• недостатня гнучкість фільтра ActiveX;

відсутність власних засобів обмеження показу реклами та обмеження запуску скриптів.

Театральна лабораторія «ВідСутність» - зразковий художній колектив заснований в 2010 році за ініціативи Юрія Паскара в місті Рівне. Діє на базі Рівненського міського Палацу дітей та молоді.



Інструменти налаштування Internet Explorer 9

Коли Ви намагаєтеся налаштувати веб-браузер Internet Explorer 9 від Microsoft, то Ви обмежені варіантами конфігурації в, так званих, Internet Options браузера.

Ці варіанти насправді не сильно змінилися з моменту випуску Internet Explorer 6. Користувачам, які хотіли б налаштовувати і модифіковані інші елементи браузера, доводиться покладатися на твіки реєстру, групових політик і сторонніх утиліт.

Нещодавно випущена нова версія одного з таких інструментів сторонніх виробників [7]. Tweak IE9 було розроблено спеціально для браузера Internet Explorer 9. Портативна програма перевіряє, чи встановлений Internet Explorer 9 в системі. Якщо так, то відображається стартова кнопка для запуску програми:


http://isearch.kiev.ua/images/stories/tweak-ie9.png
Програма відображає всі доступні параметри налаштування в головному інтерфейсі. Твіки розділені на кольорові секції. Зміни доступні, наприклад, для інтерфейсу користувача Internet Explorer, завантаження файлів і безпеки.
Інтерфе́йс користувача́ (англ. user interface, UI, дружній інтерфейс) - засіб зручної взаємодії користувача з інформаційною системою. Сукупність засобів для обробки та відображення інформації, максимально пристосованих для зручності користувача; у графічних системах інтерфейс користувача реалізовується багатовіконним режимом, змінами кольору, розміру, видимості (прозорість, напівпрозорість, невидимість) вікон, їхнім розташуванням, сортуванням елементів вікон, гнучкими налаштовуваннями як самих вікон, так і окремих їхніх елементів (файли, папки, ярлики, шрифти тощо), доступністю багатокористувацьких налаштувань.

Ось список можливих параметрів конфігурації:



Інтерфейс користувача:

  • Включити зверху рядок меню

  • Рядок меню завжди видно

  • Включити смужку посилань

  • Включити групи вкладок

  • Маленькі іконки на панелі інструментів

  • Включити 3D-окантування

  • Показувати рядок стану

  • Включити панель команд

  • Використання технології ClearType

  • Максимум рядків на новій вкладці

Запуск:

  • Стартувати IE9 на повний екран

  • Зробити налаштовуваною домашню сторінку

Завантаження:

  • Налаштувати максимальну кількість завантажень

  • Виконати перевірку підпису EXE файла

  • Повідомляти, коли завантаження завершена

  • Змінити каталог завантаження

Постачальник пошуку:

  • Управління постачальниками пошуку

  • Постачальник пошуку за замовчуванням


Безпека:

  • Фільтрація ActiveX

  • Фільтри винятків ActiveX

  • Управління налаштуванням спливаючих вікон

  • Відстеження винятків списку захисту

Додаткові:

  • Налагодження обмеження на підключення

Спеціальні інструменти:

  • Додавання спеціальних ярликів IE9

  • Функція мета-тег генератора IE9

  • Зробити налаштовуваного постачальника пошуку

  • Видалити історію відвіданих сторінок

  • Відновлення IE9

Більшість варіантів конфігурації вмикається і вимикається одним натисканням на значок поруч з кожним налаштуванням. Після того, як Ви зробите всі зміни, треба натиснути на кнопку Tweak IE9, щоб застосувати зміни в веб-браузері. Якщо Ви хочете скасувати зміни, натисніть кнопку Restore IE9.

TweakIE9 сумісний з 32- і 64-розрядними версіями операційних систем

1   2   3   4   5



  • Захист від стеження (Tracking Protection)
  • Поліпшений захист памяті
  • Зміни в системі сповіщень
  • Приватний інтернет-серфінг
  • Фільтр запуску міжсайтових сценаріїв
  • Мінуси
  • Інструменти налаштування Internet Explorer 9
  • Запуск: Стартувати IE9 на повний екран Зробити налаштовуваною домашню сторінку Завантаження
  • Постачальник пошуку: Управління постачальниками пошуку Постачальник пошуку за замовчуванням Безпека
  • Додаткові: Налагодження обмеження на підключення Спеціальні і нструменти