امنیت مرورگرهای وب (بخش اول)

در بسیاری سازمان ها، مرورگر وب یکی از پر استفاده ترین برنامه های کاربردی اینترنت می باشد اما برخی از کاربران و ادمین ها مرورگرهای خود را بنا به اطلاعات قدیمی انتخاب می کنند. اما حتی اگر شما مرورگری با بهترین و بیشترین ویژگی های امنیتی را انتخاب نمایید، بدان معنی نیست که در برابر تهدیدات ایمن هستید. این ویژگی ها باید به درستی پیکربندی شوند و با این وجود آسیب پذیری های زیادی در مرورگرها قرار دارد.....

به طور کلی مرورگرهای وب اغلب یک برنامه مصرفی می باشند. البته آن ها یک ابزار کسب و کار مهم نیز به حساب می آیند. هم چنین یکی از رایج ترین بردارهای حمله محسوب می شوند. مرورگرهای وب، شبکه و کاربران شما را در معرض خطر قرار می دهند زیرا به سایت های بیشماری در سراسر جهان متصل می شوند و این احتمال وجود دارد که هر کدام از آن ها (عمدا یا سهوا) حاوی بدافزار باشد. مرورگرها کدهای جاوا اسکریپت، کنترل های ActiveX، فلش، Silverlight و کدهای دیگر را اجرا می کنند. آن ها رمزهای عبور را برای دسترسی به وب سایت های حساس انتقال می دهند (در برخی موارد این رمزها را ذخیره می کنند). مرورگرها ممکن است اطلاعاتی از قبیل آدرس، شماره تلفن، اطلاعات کارت های اعتباری و بانکی را برای پر شدن خودکار فرم ها ذخیره نمایند.

مرورگرهای وب دارای بخش های نرم افزاری پیچیده ای است. در قسمتی از آن افزونه های متعدد (پلاگین ها یا توسعه) که توسط شرکت های ثالث طراحی شده است اجرا می گردد. این افزونه ها تا حد زیادی عملکرد مرورگر را توسعه می دهند اما در عین حال خطر وجود آسیب پذیری را افزایش داده و این فرصت را برای مهاجمان بوجود می آورند تا از این آسیب پذیری ها سوء استفاه نمایند.

خبر خوب آن است که تمامی مرورگرهای وب محبوب شامل گوگل کروم، فایرفاکس، IE، اپرا و سافاری به طور قابل ملاحظه ای نسبت به پنج سال گذشته امن تر شده اند. تمامی تولیدکنندگان مرورگر وب زمان و انرژی زیادی را صرف می کنند تا بتوانند در نسخه های جدید مرورگر خود، مکانیزم های امنیتی جدیدی را قرار دهند.

جالب توجه است که یک نظرسنجی که اخیرا توسط شرکت Sophos انجام شده است نشان می دهد که موزیلا فایرفاکس با کسب 50 درصد از آراء شرکت کنندگان در این نظرسنجی، مورد اعتمادترین مرورگر می باشد. پس از آن گوگل کروم با 27 درصد قرار دارد. IE با 8 درصد در رتبه سوم جای گرفته است و مرورگرهای سافاری، اپرا و Chromium با کسب به ترتیب 8، 7 و 5 درصد از آراء در رتبه های بعدی قرار گرفتند.

اما مرورگری که مردم بیشترین اعتماد را نسبت به آن دارند لزوما قابل اطمینان ترین مرورگر نیست. مطالعات متعددی توسط سازمان های مختلف انجام شده است تا امنیت مرورگرهای محبوب را مقایسه کنند و در این میان نتایج متفاوتی حاصل شده است. Larry Seltzer بر روی وب سایت ZDNet اعلام کرد که بر اساس نظرسنجی ها، آخرین نسخه IE بسیار امن می باشد و شاید در حال حاضر امن ترین مرورگر باشد.در وبلاگ Sophos آمده است که کروم می تواند امن ترین مرورگر وب باشد. در نهایت در گزارش InfoSecurity که در ژوئیه سال 2013 منتشر شده است در واقع هیچ برنده ای در رقابت بین مرورگرها وجود ندارد. برخی مرورگرها در یک مورد مانند حفاظت کاربران در برابر حملات سرقت هویت خوب عمل می کنند و برخی دیگر در موارد دیگری بهتر عمل می کنند.

نتیجه آن که، بدون در نظر گرفتن آن که کدام مرورگر را انتخاب می کنید، دنیای پهناور وب خطراتی خواهد داشت. می توان با پیکربندی مناسب مرورگر انتخابی و با عادت کردن به روش های گشت و گذار امن در وب، برخی از این خطرات را کاهش داد. در حال حاضر قصد داریم به بررسی دقیق تر هر یک از مرورگرهایی که در بالا ذکر شد و موارد امنیتی که در پیاده سازی هر یک لحاظ شده است، بپرداریم. درنهایت به پیکربندی مناسب برای هر مرورگر می پردازیم.

مهم نیست که کدام مرورگر(ها) در سازمان شما استفاده می شود، باید بدانید که اولین قدم امنیتی برای استفاده از هر مرورگر، استفاده از آخرین نسخه آن است. زیرا آخرین نسخه مرورگرها شامل بیشترین مکانیزم های امنیتی نسبت به نسخه های قبلی می باشد. تولیدکنندگان از خطاهای گذشته درس می گیرند و آسیب پذیری های شناخته شده در نسخه های جدید اصلاح می شوند.

با این حال، نسخه های جدید هر مرورگر در زمان های متفاوتی منتشر می شود. شاید به دلیل تعداد بالای سیستم هایی که باید اصلاحیه بر روی آن ها اعمال شود، به روز نگه داشتن مرورگرها کار آسانی نباشد. حتی با فعال کردن به روز رسانی خودکار، در برخی از موارد اصلاحیه ها به درستی نصب نشوند. اگر به کاربران این اجازه داده شود تا برنامه ها را دانلود و نصب نمایند ( ایده خوبی نیست ولی در برخی شرایط ضروری است)، برخی از آن ها ممکن است چندین مرورگر را بر روی سیستم خود نصب نمایند.

و البته با روند BYOD، بسیار سخت تر است تا برنامه های موجود بر روی لب تاپ ها و تبلت های کاربران را کنترل کرد. اما اگر یکی از این دستگاه ها آلوده باشد با اتصال به شبکه سازمان، می تواند سایر دستگاه های شبکه را در معرض خطر قرار دهد. بسیار مهم است تا از ابزارهای نرم افزاری و سیستم های مدیریتی استفاده نمایید تا به شما اطلاع دهند که بر روی هر ماشین چه برنامه هایی و با چه نسخه ای نصب شده است. هم چنین مهم است تا در محیط هایی که از BYOD استفاده می شود خط مشی هایی در نظر گرفته شود تا کاربران مجبور باشند سیستم های خود را به روز نگه دارند و هم چنین الزام شود که این کاربران بر روی دستگاه های خود ضد بدافزارهای مناسب نصب کنند و از آن استفاده نمایند.

مشکل بعدی آن است که تنها مرورگرهای وب نیستند که می توانند مورد سوء استفاده قرار بگیرند. تولیدکنندگان مرورگر APIهایی را منتشر می کنند تا به شرکت های ثالث اجازه دهند برای عملکرد بهتر مرورگر مانند توانایی نشان دادن فایل های PDF از طریق پلاگین Adobe Reader، افزونه هایی را ایجاد نمایند. خبر بد آن است که تمامی این پلاگین ها و افزونه ها دارای آسیب پذیری های بالقوه ای هستند. بدین معنا که به روز رسانی مرورگر به تنهایی کافی نیست، باید اطمینان حاصل شود که تمامی افزونه ها و پلاگین ها به روز می باشند.

تولیدکنندگان مرورگرهای وب همیشه نگران امنیت مرورگر می باشند اما آن ها مرورگرهای خود را با توجه به درخواست کاربران خود طراحی می کنند. در برخی از موارد این دو با هم در تضاد می باشند. اغلب کاربران نهایی بیشتر از امنیت، به عملکرد و ویژگی های مرورگر اهمیت می دهند. آن ها دوست دارند مرورگر به آن ها این امکان را بدهد تا کارهایی را که می خواهند بر روی وب انجام دهند و اغلب دوست ندارند برای انجام این کارها از موانع امنیتی عبور نمایند. بنابراین حتی زمانی که مرورگر قادر است تا امنیت بالایی را فراهم نماید، این مکانیزم های امنیتی ممکن است به طور پیش فرض غیرفعال باشند.

مکانیزم های امنیتی از قبیل رمزگذاری می تواند کارایی را کند نماید. مسدود نمودن محتوی خطرناک وب از قبیل جاوا اسکریپت یا کنترل های ActiveX می تواند باعث شود تا بعضی از صفحات به درستی کار نکنند. استفاده از "لیست سفید" به منظور دسترسی به سایت هایی که امن می باشند، می تواند از رفتن کاربران به سایت های امن دیگر که در لیست سفید قرار ندارند جلوگیری کند. تولیدکنندگان مرورگر نمی خواهند با الزامات امنیتی، کاربران خود را به سمت مرورگرهای دیگر هدایت کنند بنابراین ممکن است در هر یک از این مرورگرها ویژگی های امنیتی بالایی وجود داشته باشد اما این ویژگی ها غیرفعال می باشند.

در حال حاضر بسیاری از مرورگرها از برخی روش های sandboxing یا جداسازی استفاده می کنند تا مواردی که در یک تب مرورگر باز می شود، تب های دیگر را تحت تاثیر قرار ندهد و هم چنین صفحات وب را به گونه ای محدود نماید تا سیستم عامل را تحت تاثیر قرار ندهند. به جای آن که مانند مرورگرهای قدیمی تمامی تب های مرورگر در یک فرآیند اجرا شوند، هر تب مرورگر در فرآیند جداگانه خودش اجرا می شود. به همین دلیل اگر نگاهی به Task Manager بیاندازید، چندین نمونه از برنامه مرورگر را مشاهده می کنید.

اگر کاربران می خواهند به منظور انجام آسان کارهای خود، پیکربندی مرورگر یا پلاگین های آن ها از امنیت کمتری برخوردار باشد، یک پیشنهاد آن است که حداقل برای تراکنش اطلاعات حساس مانند تراکنش های مالی یا تراکنش هایی که باید اطلاعات شخصی یا اطلاعات محرمانه شرکت را جا به جا کند از مرورگر دیگری (مرورگری که امنیت بالایی دارد) استفاده نمایند. مرورگری که برای تراکنش های حساس استفاده می شود نباید هیچ نوع پلاگینی داشته باشد و یا تمامی پلاگین های آن غیرفعال باشد و تمامی تنظیمات مرورگر باید در بالاترین سطح امنیتی قرار داشته باشند. حتی برای امنیت بیشتر می توان این مرورگر را در یک ماشین مجازی بر روی سیستم عامل که تنها به این کار اختصاص داده شده است، اجرا کنید.

مسئله دیگر آن است که مرورگر ها چگونه اطلاعاتی از قبیل رمز عبور یا اطلاعات شخصی مانند شماره کارت اعتباری را ذخیره می کنند. برخی از مرورگرها ممکن است برخی از اطلاعات را در یک پایگاه داده رمز نشده بر روی رایانه ذخیره کنند. در این روش اطلاعات ذخیره شده می تواند به طور بالقوه توسط یک شخص غیرمجاز مورد دسترسی قرار گیرد.

در بخش دوم از این سری مقالات، ویژگی های امنیتی مرورگر IE توضیح داده خواهد شد.

منبع:

فسا-پسا