مروری بر امنیت مرورگرهای وب (قسمت 1)

در سری مقالات مروری بر امنیت مرورگرهای وب، امنیت كنونی مرورگرهای وب، روند تغییرات آن ها در طول چند سال گذشته، برخی فاكتورهای مبتنی بر امنیت كه هنگام انتخاب مرورگر باید مد نظر قرار داد و چگونگی پیكربندی مرورگرها برای داشتن امنیت بیشتر توضیح داده می شود.

مقدمه

در بسیاری سازمان ها، مرورگر وب یكی از پر استفاده ترین برنامه های كاربردی اینترنت می باشد اما برخی از كاربران و ادمین ها مرورگرهای خود را بنا به اطلاعات قدیمی انتخاب می كنند. اما حتی اگر شما مرورگری با بهترین و بیشترین ویژگی های امنیتی را انتخاب نمایید، بدان معنی نیست كه در برابر تهدیدات ایمن هستید. این ویژگی ها باید به درستی پیكربندی شوند و با این وجود آسیب پذیری های زیادی در مرورگرها قرار دارد.

اولویت های امنیتی

به طور كلی مرورگرهای وب اغلب یك برنامه مصرفی می باشند. البته آن ها یك ابزار كسب و كار مهم نیز به حساب می آیند. هم چنین یكی از رایج ترین بردارهای حمله محسوب می شوند. مرورگرهای وب، شبكه و كاربران شما را در معرض خطر قرار می دهند زیرا به سایت های بیشماری در سراسر جهان متصل می شوند و این احتمال وجود دارد كه هر كدام از آن ها (عمدا یا سهوا) حاوی بدافزار باشد. مرورگرها كدهای جاوا اسكریپت، كنترل های ActiveX، فلش، Silverlight و كدهای دیگر را اجرا می كنند. آن ها رمزهای عبور را برای دسترسی به وب سایت های حساس انتقال می دهند (در برخی موارد این رمزها را ذخیره می كنند). مرورگرها ممكن است اطلاعاتی از قبیل آدرس، شماره تلفن، اطلاعات كارت های اعتباری و بانكی را برای پر شدن خودكار فرم ها ذخیره نمایند.

مرورگرهای وب دارای بخش های نرم افزاری پیچیده ای است. در قسمتی از آن افزونه های متعدد (پلاگین ها یا توسعه) كه توسط شركت های ثالث طراحی شده است اجرا می گردد. این افزونه ها تا حد زیادی عملكرد مرورگر را توسعه می دهند اما در عین حال خطر وجود آسیب پذیری را افزایش داده و این فرصت را برای مهاجمان بوجود می آورند تا از این آسیب پذیری ها سوء استفاه نمایند.

خبر خوب آن است كه تمامی مرورگرهای وب محبوب شامل گوگل كروم، فایرفاكس، IE، اپرا و سافاری به طور قابل ملاحظه ای نسبت به پنج سال گذشته امن تر شده اند. تمامی تولیدكنندگان مرورگر وب زمان و انرژی زیادی را صرف می كنند تا بتوانند در نسخه های جدید مرورگر خود، مكانیزم های امنیتی جدیدی را قرار دهند.

جالب توجه است كه یك نظرسنجی كه اخیرا توسط شركت Sophos انجام شده است نشان می دهد كه موزیلا فایرفاكس با كسب 50 درصد از آراء شركت كنندگان در این نظرسنجی، مورد اعتمادترین مرورگر می باشد. پس از آن گوگل كروم با 27 درصد قرار دارد. IE با 8 درصد در رتبه سوم جای گرفته است و مرورگرهای سافاری، اپرا و Chromium با كسب به ترتیب 8، 7 و 5 درصد از آراء در رتبه های بعدی قرار گرفتند.

اما مرورگری كه مردم بیشترین اعتماد را نسبت به آن دارند لزوما قابل اطمینان ترین مرورگر نیست. مطالعات متعددی توسط سازمان های مختلف انجام شده است تا امنیت مرورگرهای محبوب را مقایسه كنند و در این میان نتایج متفاوتی حاصل شده است. Larry Seltzer بر روی وب سایت ZDNet اعلام كرد كه بر اساس نظرسنجی ها، آخرین نسخه IE بسیار امن می باشد و شاید در حال حاضر امن ترین مرورگر باشد.در وبلاگ Sophos آمده است كه كروم می تواند امن ترین مرورگر وب باشد. در نهایت در گزارش InfoSecurity كه در ژوئیه سال 2013 منتشر شده است در واقع هیچ برنده ای در رقابت بین مرورگرها وجود ندارد. برخی مرورگرها در یك مورد مانند حفاظت كاربران در برابر حملات سرقت هویت خوب عمل می كنند و برخی دیگر در موارد دیگری بهتر عمل می كنند.

نتیجه آن كه، بدون در نظر گرفتن آن كه كدام مرورگر را انتخاب می كنید، دنیای پهناور وب خطراتی خواهد داشت. می توان با پیكربندی مناسب مرورگر انتخابی و با عادت كردن به روش های گشت و گذار امن در وب، برخی از این خطرات را كاهش داد. در حال حاضر قصدا داریم به بررسی دقیق تر هر یك از مرورگرهایی كه در بالا ذكر شد و موارد امنیتی كه در پیاده سازی هر یك لحاظ شده است، بپرداریم. درنهایت به پیكربندی مناسب برای هر مرورگر می پردازیم.

 
موارد مشترك در امنیت مرورگرها

مهم نیست كه كدام مرورگر(ها) در سازمان شما استفاده می شود، باید بدانید كه اولین قدم امنیتی برای استفاده از هر مرورگر، استفاده از آخرین نسخه آن است. زیرا آخرین نسخه مرورگرها شامل بیشترین مكانیزم های امنیتی نسبت به نسخه های قبلی می باشد. تولیدكنندگان از خطاهای گذشته درس می گیرند و آسیب پذیری های شناخته شده در نسخه های جدید اصلاح می شوند.

با این حال، نسخه های جدید هر مرورگر در زمان های متفاوتی منتشر می شود. شاید به دلیل تعداد بالای سیستم هایی كه باید اصلاحیه بر روی آن ها اعمال شود، به روز نگه داشتن مرورگرها كار آسانی نباشد. حتی با فعال كردن به روز رسانی خودكار، در برخی از موارد اصلاحیه ها به درستی نصب نشوند. اگر به كاربران این اجازه داده شود تا برنامه ها را دانلود و نصب نمایند ( ایده خوبی نیست ولی در برخی شرایط ضروری است)، برخی از آن ها ممكن است چندین مرورگر را بر روی سیستم خود نصب نمایند.

و البته با روند BYOD، بسیار سخت تر است تا برنامه های موجود بر روی لب تاپ ها و تبلت های كاربران را كنترل كرد. اما اگر یكی از این دستگاه ها آلوده باشد با اتصال به شبكه سازمان، می تواند سایر دستگاه های شبكه را دئر معرض خطر قرار دهد. بسیار مهم است تا از ابزارهای نرم افزاری و سیستم های مدیریتی استفاده نمایید تا به شما اطلاع دهند كه بر روی هر ماشین چه برنامه هایی و با چه نسخه ای نصب شده است. هم چنین مهم است تا در محیط هایی كه از BYOD استفاده می شود خط مشی هایی در نظر گرفته شود تا كاربران مجبور باشند سیستم های خود را به روز نگه دارند و هم چنین الزام شود كه این كاربران بر روی دستگاه های خود ضد بدافزارهای مناسب نصب كنند و از آن استفاده نمایند.

مشكل بعدی آن است كه تنها مرورگرهای وب نیستند كه می توانند مورد سوء استفاده قرار بگیرند. تولیدكنندگان مرورگر APIهایی را منتشر می كنند تا به شركت های ثالث اجازه دهند برای عملكرد بهتر مرورگر مانند توانایی نشان دادن فایل های PDF از طریق پلاگینAdobe Reader، افزونه هایی را ایجاد نمایند. خبر بد آن است كه تمامی این پلاگین ها و افزونه ها دارای آسیب پذیری های بالقوه ای هستند. بدین معنا كه به روز رسانی مرورگر به تنهایی كافی نیست، باید اطمینان حاصل شود كه تمامی افزونه ها و پلاگین ها به روز می باشند.

تولیدكنندگان مرورگرهای وب همیشه نگران امنیت مرورگر می باشند اما آن ها مرورگرهای خود را با توجه به درخواست كاربران خود طراحی می كنند. در برخی از موارد این دو با هم در تضاد می باشند. اغلب كاربران نهایی بیشتر از امنیت، به عملكرد و ویژگی های مرورگر اهمیت می دهند. آن ها دوست دارند مرورگر به آن ها این امكان را بدهد تا كارهایی را كه می خواهند بر روی وب انجام دهند و اغلب دوست ندارند برای انجام این كارها از موانع امنیتی عبور نمایند. بنابراین حتی زمانی كه مرورگر قادر است تا امنیت بالایی را فراهم نماید، این مكانیزم های امنیتی ممكن است به طور پیش فرض غیرفعال باشند.

مكانیزم های امنیتی از قبیل رمزگذاری می تواند كارایی را كند نماید. مسدود نمودن محتوی خطرناك وب از قبیل جاوا اسكریپت یا كنترل های ActiveX می تواند باعث شود تا بعضی از صفحات به درستی كار نكنند. استفاده از “لیست سفید” به منظور دسترسی به سایت هایی كه امن می باشند، می تواند از رفتن كاربران به سایت های امن دیگر كه در لیست سفید قرار ندارند جلوگیری كند. تولیدكنندگان مرورگر نمی خواهند با الزامات امنیتی، كاربران خود را به سمت مرورگرهای دیگر هدایت كنند بنابراین ممكن است در هر یك از این مرورگرها ویژگی های امنیتی بالایی وجود داشته باشد اما این ویژگی ها غیرفعال می باشند.

در حال حاضر بسیاری از مرورگرها از برخی روش های sandboxing یا جداسازی استفاده می كنند تا مواردی كه در یك تب مرورگر باز می شود، تب های دیگر را تحت تاثیر قرار ندهد و هم چنین صفحات وب را به گونه ای محدود نماید تا سیستم عامل را تحت تاثیر قرار ندهند. به جای آن كه مانند مرورگرهای قدیمی تمامی تب های مرورگر در یك فرآیند اجرا شوند، هر تب مرورگر در فرآیند جداگانه خودش اجرا می شود. به همین دلیل اگر نگاهی به Task Manager بیاندازید، چندین نمونه از برنامه مرورگر را مشاهده می كنید.

اگر كاربران می خواهند به منظور انجام آسان كارهای خود، پیكربندی مرورگر یا پلاگین های آن ها از امنیت كمتری برخوردار باشد، یك پیشنهاد آن است كه حداقل برای تراكنش اطلاعات حساس مانند تراكنش های مالی یا تراكنش هایی كه باید اطلاعات شخصی یا اطلاعات محرمانه شركت را جا به جا كند از مرورگر دیگری (مرورگری كه امنیت بالایی دارد) استفاده نمایند. مرورگری كه برای تراكنش های حساس استفاده می شود نباید هیچ نوع پلاگینی داشته باشد و یا تمامی پلاگین های آن غیرفعال باشد و تمامی تنظیمات مرورگر باید در بالاترین سطح امنیتی قرار داشته باشند. حتی برای امنیت بیشتر می توان این مرورگر را در یك ماشین مجازی بر روی سیستم عامل كه تنها به این كار اختصاص داده شده است، اجرا كنید.

مسئله دیگر آن است كه مرورگر ها چگونه اطلاعاتی از قبیل رمز عبور یا اطلاعات شخصی مانند شماره كارت اعتباری را ذخیره می كنند. برخی از مرورگرها ممكن است برخی از اطلاعات را در یك پایگاه داده رمز نشده بر روی رایانه ذخیره كنند. در این روش اطلاعات ذخیره شده می تواند به طور بالقوه توسط یك شخص غیرمجاز مورد دسترسی قرار گیرد.

در بخش دوم از این سری مقالات، ویژگی های امنیتی مرورگر IE توضیح داده خواهد شد.

 

منابع: 

http://www.certcc.ir