Test Center-Handbuch zur Browsersicherheit

Der jüngste Out-of-Band-Notfall-Patch für Internet Explorer hat viele Experten, die jeden Browser außer IE als beste Sicherheitsabwehr empfehlen. Obwohl die Verwendung weniger häufig angegriffener Software eine gewisse Sicherheit bietet, ist eine bessere Frage, welche die sicherste Wahl unter den beliebtesten Browsern ist. Was sind die wichtigsten Sicherheitsfunktionen, nach denen in einem Browser gesucht werden muss, und welche Schwachstellen sind zu beachten?

Diese Überprüfung konzentriert sich auf die Sicherheitsfunktionen der folgenden Windows-basierten Internetbrowser: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera von Opera Software und Safari von Apple. Alle außer Chrome sind enthalten, da sie zu den beliebtesten Browsern mit langen Track Records und Millionen von Nutzern zählen. Google Chrome ist enthalten, da es über ein einzigartiges Sicherheitsmodell verfügt und die große Erwartung hat, den Marktanteil der anderen Browser erheblich zu steigern. In der Überprüfung wurden die neuesten öffentlich verfügbaren Versionen (einschließlich Beta-Versionen) verwendet. Jeder Browser wurde unter Windows XP Pro SP3 und Windows Vista Enterprise getestet.

[Weitere Informationen zur Browsersicherheit und zu den Sicherheitsüberprüfungen des Testcenters für Chrome, Firefox, Internet Explorer, Opera und Safari finden Sie im Sonderbericht. ]]

Der Zweck dieser Überprüfung bestand darin, die Sicherheitseignung jedes Browsers zu testen. Daher decken diese Überprüfungen im Allgemeinen keine neuen Funktionen ab, die nicht mit der Sicherheit zusammenhängen. Da sich diese Überprüfung auf das Testen der Sicherheit jedes einzelnen Browsers konzentrierte, wurden alle Browser nur mit den vom Hersteller installierten Standard-Add-Ons getestet. Obwohl NoScript ein beliebtes Firefox-Browser-Add-On ist, das häufig zur Verbesserung der Sicherheit installiert wird, wird es nicht standardmäßig installiert und nicht vom Hersteller erstellt, sodass es nicht in die Überprüfung einbezogen wurde.

Vollständige Offenlegung: Der Autor dieses Artikels ist Vollzeit bei Microsoft als Sicherheitsarchitekt beschäftigt. Er ist nicht an der Entwicklung oder Vermarktung von Internet Explorer beteiligt. Er verwendet täglich mehrere Browser auf mehreren Betriebssystemplattformen und hat mehrere Favoriten, einschließlich Browser, die in dieser Überprüfung nicht enthalten sind.

Einen sicheren Browser erstellen

Im Allgemeinen müssen Administratoren jeden mit dem Internet verbundenen Webbrowser als hohes Risiko betrachten. In Umgebungen mit sehr hoher Sicherheit dürfen Webbrowser nicht ausgeführt oder Inhalte aus dem Internet gerendert werden. Wenn Ihr Unternehmen jedoch im Internet surfen muss und einen Webbrowser mit einem akzeptablen Sicherheitsniveau sucht, lesen Sie weiter. Ein sicherer Browser muss mindestens die folgenden Merkmale aufweisen:

* Es wurde mit SDL-Techniken (Security Development Lifecycle) codiert.

* Es wurde Code-Überprüfung und Fuzzing unterzogen.

* Es trennt logisch Netzwerk- und lokale Sicherheitsdomänen.

* Es verhindert eine einfache böswillige Fernbedienung.

* Es verhindert böswillige Umleitung.

* Es hat sichere Standardeinstellungen.

* Der Benutzer kann das Herunterladen oder Ausführen von Dateien bestätigen.

* Es verhindert die Verschleierung von URLs.

* Es enthält Anti-Puffer-Überlauffunktionen.

* Es unterstützt gängige sichere Protokolle (SSL, TLS usw.) und Chiffren (3DES, AES, RSA usw.).

* Es patcht und aktualisiert sich automatisch (mit Zustimmung des Benutzers).

* Es hat einen Popup-Blocker.

* Es wird ein Anti-Phishing-Filter verwendet.

* Es verhindert den Missbrauch von Website-Cookies.

* Es verhindert einfaches URL-Spoofing.

* Es bietet Sicherheitszonen / Domänen, um Vertrauen und Funktionalität zu trennen.

* Es schützt die Anmeldeinformationen der Website des Benutzers während der Speicherung und Verwendung.

* Damit können Browser-Add-Ons einfach aktiviert und deaktiviert werden.

* Es verhindert die schelmische Verwendung von Fenstern.

* Es bietet Datenschutzkontrollen.

Ein weiterer guter Ort, um die detaillierten Grundlagen der Webbrowsersicherheit zu erlernen, ist Teil 2 des von Michal Zalewski gepflegten Handbuchs zur Browsersicherheit. Das Handbuch zur Browsersicherheit bietet eine hervorragende Einführung in viele der Sicherheitsrichtlinien hinter den Kulissen, die den meisten heutigen Browsern zugrunde liegen, und gibt an, welche Funktionen in verschiedenen Browsern unterstützt werden.

So messen Sie die Sicherheit eines Browsers

Sicherheitsmodell.Jeder Browser basiert auf der Stärke des vom Browserhersteller ausgewählten Sicherheitsmodells. Dieses Modell trennt die nicht vertrauenswürdige Netzwerkseite von den vertrauenswürdigeren Sicherheitszonen. Wenn Malware den Browser ausnutzen kann, wie leicht kann sie das gesamte System gefährden? Welche Abwehrmechanismen hat der Anbieter in den Browser aufgenommen?s zugrunde liegendes Design, um böswillige Verwendung zu verhindern? Wie wird eine böswillige Umleitung (wie domänenübergreifendes Cross-Site-Scripting und Frame-Diebstahl) verhindert? Ist der Speicher gegen böswillige Wiederverwendung gesichert und gelöscht? Bietet der Browser Endbenutzern mehrere Sicherheitsdomänen oder -zonen mit unterschiedlichen Funktionsstufen, in denen verschiedene Websites entsprechend ihrer Vertrauensstufe platziert werden können? Welche Endbenutzerschutzfunktionen wurden in den Browser integriert? Versucht der Browser, sich selbst zu aktualisieren? All diese und weitere Fragen bestimmen die Eignung des Sicherheitsmodells eines Browsers.

Wenn der Browser unter Windows ausgeführt wird, nutzt er Data Execution Prevention (DEP)? Verwendet es unter Windows Vista die Datei- und Registrierungsvirtualisierung, die obligatorischen Integritätskontrollen (siehe Seitenleiste) oder die Randomisierung des Adressraumlayouts? Diese Themen erfordern zu viel Platz, um in dieser Überprüfung angemessen diskutiert zu werden. Alle vier Mechanismen können es jedoch für Malware schwieriger machen, die Systemkontrolle zu erlangen.

Funktionsumfang und Komplexität. Mehr Funktionen und eine erhöhte Komplexität sind das Gegenteil von Computersicherheit. Zusätzliche Funktionen bedeuten, dass mehr Code verfügbar ist, der bei unerwarteten Interaktionen genutzt werden kann. Umgekehrt kann ein Browser mit einem minimalen Funktionsumfang möglicherweise keine beliebten Websites rendern, was den Benutzer dazu zwingt, einen anderen Browser zu verwenden oder potenziell unsichere Add-Ons zu installieren. Beliebte Add-Ons werden häufig von Malware-Autoren ausgenutzt.

Benutzerdefinierte Sicherheitszonen (auch als Sicherheitsdomänen bezeichnet) sind ebenfalls ein wichtiges Merkmal. Letztendlich bedeutet weniger Funktionalität eine bessere Sicherheit. Sicherheitszonen bieten eine Möglichkeit, verschiedene Websites als vertrauenswürdiger und daher für eine größere Funktionalität geeignet zu klassifizieren. Sie sollten in der Lage sein, den Websites Ihres Unternehmens wesentlich mehr zu vertrauen als einer Website mit Raubkopien oder einer kleinen Webseite, die von jemandem bereitgestellt wird, den Sie nicht kennen. In Sicherheitszonen können Sie verschiedene Sicherheitseinstellungen und -funktionen basierend auf dem Standort, der Domäne oder der IP-Adresse der Website festlegen.

Sicherheitsdomänen werden in jedem Computersicherheitsprodukt (Firewalls, IPS usw.) verwendet, um Sicherheitsgrenzen und Bereiche mit Standardvertrauen festzulegen. Eine Sicherheitszone in einem Browser erweitert dieses Modell. Browser ohne Sicherheitszonen empfehlen Ihnen, alle Websites mit demselben Vertrauensniveau zu behandeln sowie den Browser vor jedem Besuch neu zu konfigurieren oder einen anderen Browser für weniger vertrauenswürdige Websites zu verwenden.

Sicherheitsanfälligkeiten und Angriffe. Wie viele Sicherheitslücken wurden gefunden und öffentlich gegen das Browserprodukt gemeldet? Steigt oder sinkt die Anzahl der Sicherheitslücken, wenn der Anbieter seinen Browser patcht? Wie schwerwiegend waren die Sicherheitslücken? Ermöglichen sie vollständige Systemkompromisse oder Denial-of-Service? Wie viele Sicherheitslücken sind derzeit nicht gepatcht? Wie ist die Geschichte der Zero-Day-Angriffe gegen den Anbieter? Wie oft ist der Browser des Anbieters im Vergleich zum Produkt eines Mitbewerbers ausgerichtet?

Browser-Sicherheitstests. Wie hat sich der Browser gegen die im Handel erhältlichen Browser-Sicherheitstestsuiten geschlagen? In dieser Überprüfung haben alle Produkte die bekanntesten Browsersicherheitstests im Internet bestanden, sodass jedes Element Dutzenden von realen bösartigen Websites ausgesetzt war. Oft war das Ergebnis nicht schön. Ich habe häufige Browser-Abstürze, anstößige Inhalte und manchmal vollständige Systemneustarts erlebt.

Funktionen zur Verwaltung von Unternehmen. richtet sich an Administratoren und Techniker, die Aufgaben im gesamten Unternehmen ausführen müssen. Es ist im Allgemeinen einfach, einen bevorzugten individuellen Browser für den persönlichen Gebrauch zu sichern, dies erfordert jedoch für ein ganzes Unternehmen spezielle Tools. Wenn der Browser für den Unternehmensgebrauch ausgewählt wurde, wie einfach ist es, sichere Konfigurationen für jeden Benutzer zu installieren, festzulegen und zu verwalten?

Dies sind die allgemeinen Kategorien, die bei der Überprüfung der einzelnen Internetbrowser berücksichtigt wurden.

Wie ich getestet habe

Die internetbasierten Testsuiten enthielten mehrere Websites für Browsersicherheitstests, z. B. scanit und Jasons Toolbox. mehrere JavaScript-, Java- und Popupblocker-Testseiten; mehrere Cross-Site Scripting (XSS) -Test-Websites; und mehrere Browser-Datenschutz-Testseiten. Ich habe die Sicherheit der Kennwortbehandlung der Browser mithilfe der Password Manager Evaluator-Website und die Sicherheit der Cookie-Verarbeitung mithilfe der Cookie Forensics-Website der Gibson Research Corporation getestet. Ich habe Extended Validation-Zertifikate mithilfe von Links getestet, die auf der IIS7-Site bereitgestellt werden.

Ich habe auf Dutzenden von Websites gesurft, von denen bekannt ist, dass sie Live-Malware aus verschiedenen öffentlichen und privaten Malware-Site-Listen enthalten, einschließlich ShadowServer. Ich habe auch Dutzende bekannter Phishing-Websites besucht, mit freundlicher Genehmigung von PhishTank und ähnlichen Empfehlungsseiten. Ich habe Process Explorer verwendet, um lokale Prozesse und Ressourcen während der Installation und des laufenden Betriebs zu überwachen. Und ich habe den Netzwerkverkehr der Browser mit Microsoft Network Monitor oder Wireshark abgehört und die Ergebnisse auf Informationslecks untersucht.

Schließlich stützte ich mich bei diesen Bewertungen auch auf öffentliche Schwachstellentests, einschließlich Metasploit und milw0rm.com. Die Schwachstellenstatistiken wurden von Secunia.com oder CVE übernommen.

Darüber hinaus wurde jeder Browser über mehrere Wochen (oder länger) verwendet, um die allgemeine Verwendung, Patch-Intervalle und andere damit verbundene Funktionen zu testen.

Der sicherste Browser

Die allgemeine Schlussfolgerung dieser Überprüfung lautet daher, dass jeder vollständig gepatchte Browser relativ sicher verwendet werden kann. Sie können den Browser wechseln, aber Ihr Risiko ist bei allen gleich - nahezu Null -, wenn Ihr Browser, Ihr Betriebssystem sowie alle Add-Ons und Plug-Ins vollständig gepatcht sind.

Wenn ich jedoch vorgab, ein Endbenutzer zu sein, der dazu verleitet wurde, eine schädliche ausführbare Datei (z. B. ein gefälschtes Antivirenprogramm) auszuführen, erlaubte jeder Browser, dass das System infiziert und kompromittiert wurde. Endbenutzer, die unter Windows Vista ohne erhöhte Anmeldeinformationen ausgeführt werden, hätten das Auftreten der meisten Malware-Infektionen verhindert, aber selbst diese Benutzer wurden sofort ausgenutzt, wenn sie sich absichtlich erhöht haben, um das unerwünschte Programm zu installieren.

Tipps zur Browsersicherheit

* Melden Sie sich nicht als Administrator oder Root an, wenn Sie einen Internetbrowser ausführen (oder verwenden Sie UAC unter Windows Vista, SU unter Linux usw.).

* Stellen Sie sicher, dass der Browser, das Betriebssystem sowie alle Add-Ons und Plug-Ins vollständig gepatcht sind.

* Lassen Sie sich nicht dazu verleiten, bösartigen Code auszuführen.

* Wenn Sie beim Surfen auf einer Website unerwartet aufgefordert werden, Software von Drittanbietern zu installieren, öffnen Sie eine andere Registerkarte und laden Sie die angeforderte Software direkt von der Website des Softwareanbieters herunter.

* Achten Sie darauf, welche Add-Ons und Plug-Ins Sie verwenden. Viele sind nicht sicher, viele sind sehr unsicher und einige sind tatsächlich getarnte Malware.