margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Nejméně zranitelný prohlížeč je Chrome

Pavel Houser , 15. prosinec 2011 09:07 3 komentářů
Bezpečnostní přehled: Nejméně zranitelný prohlížeč je Chrome

Chrome má být nejbezpečnějším webovým browserem, Internet Explorer na druhém místě porazil Firefox. Probíhají útoky proti zero day zranitelnosti Adobe Readeru verze 9. Jak budou vypadat triky podvodníků ve světě HTML 5? Následuje pravidelný čtvrteční bezpečnostní přehled.

Společnost Accuvant provedla další srovnání bezpečnosti 3 nejpoužívanějších webových prohlížečů. Výsledek: Vyhrál Chrome, druhý byl Internet Explorer, nejhůře dopadl Firefox. Hodnocení začalo předpokladem, že chyby typu přetečení zásobníku jsou v jakémkoliv komplexnějším softwaru nevyhnutelné. Analýza se nesoustředí např. na počty zjištěných bezpečnostních děr a dobu do vydání oprav, ale testovala prostě výchozí nastavení prohlížečů proti široké množině exploitů a dalších typů útoku. Firefox vyšel z hodnocení na posledním místě především proto, že nenabízí sandbox. Uživatelé Firefoxu (na Windows – všechny tři prohlížeče se zkoušely pouze ve verzi pro Windows 7) jsou pak méně chráněni proti chybám při zpracování JavaScriptu, grafických formátů atd.

Analýza byla objednána Googlem, Accuvant však dodává, že volba metriky je jejich vlastní. Fakt je, že Chrome se nikdy nepodařilo kompromitovat na pravidelné hackerské soutěži CanSecWest skupiny Pwn2Own (mimochodem, na studii se podílel také Charlie Miller, jinak známý především svými odhaleními bezpečnostních mezer v produktech Apple na CanSecWest/Pwn2Own). Odstup mezi Chrome a Internet Explorerem je podobně výrazný jako mezi IE a Firefoxem. Chrome vyhrál nad IE údajně především kvůli lepšímu sandboxu. U Chrome nemají např. procesy v rámci prohlížeče vůbec přístup k souborovému systému vyjma velmi omezené sady adresářů, u Internet Exploreru je tomu naopak. Sandbox v Chrome má být také lepší z hlediska kontroly vzniku síťových socketů (samostatná komunikace procesů s internetovými servery).

Johnathan Nightingale, ředitel vývoje Firefoxu v Mozille uvedl, že zabezpečení mají za prioritu. Sandox je sice důležitý, ale není třeba mu přisuzovat takovou váhu, jako činila studie. Firefox se naopak může podle Nightingala pochlubit třeba kvalitní ochranou pomocí znáhodnění adresního prostoru.

Analýza Accuvant vyhodnotila Chrome jako nejlepší i kvůli tomu, co všechno prohlížeč dovolí doplňkům. Podvodníci nemusí cílit přímo na chybu prohlížeče, ale mohou se svým obětem snažit podstrčit i nějaký plug-in malwarové povahy. Doplňky pro MSIE mohou na rozdíl od Chrome vytvářet vlastní procesy a mají přístup ke schránce OS (možnost přenosu dat mezi aplikacemi).

Symantec Duqu Diagram
Symantec Duqu Diagram
Firefox pak mělo k poslednímu místu odsoudit i to, že nepodporuje Just In Time (JIT) hardening, tedy prevenci před útoky pomocí javascriptového kódu.

Zdroj: The Register, ZDNet

Celá studie

Koncem října malware DuQu začal mizet z infikovaných počítačů, jeho tvůrci se po sobě zřejmě snaží zamést stopy. Objeví se DuQu ještě někdy a splnil cíle svých tvůrců?

Zdroj: Strategy Page

Jaké budou hlavní metody útoků v prostředí HTML 5? Pro útočníky je důležité např. to, že zatímco HTML 5 nabízí podobnou funkčnost jako Adobe Flash, Java Flex nebo MS SilverLight, nejedná se o doplněk; výrobci prohlížečů proto nijak nebudou omezovat funkčnost. Na druhé straně ale samotný prohlížeč bude na rozdíl od doplňků po objevení nějaké bezpečnostní zranitelnosti zase obvykle rychle aktualizován... Změní se způsob útoků iFrame, XSS i clickjacking a triky s přesměrováním, jako nová metoda se může objevit tzv. WebSQL.

Zdroj: HelpNet

Podvodníci kopírují na mobilních platformách triky, které si již vyzkoušeli ve světě PC. Prodávají aplikaci SMS Privato Spy a deklarují, že tento nástroj umožňuje špehovat chytré telefony a například sledovat obsah obrazovky v reálném čase, sledovat výpisy volání, data z GPS nebo aktivovat mikrofon pro odposlouchávání uživatelů. Cena 50-125 dolarů. Aplikace ale ve skutečnosti neexistuje a kdo si ji chce koupit (málokdy asi s čistými úmysly), nedostane za své peníze vůbec nic.

Zdroj: Symantec

Další studie se pokouší vyhodnotit nárůst malwaru pro Android – tentokrát od společnosti Fortinet. Za rok 2011 vychází vzestup 90 % (počítáno jako počet zaznamenaných vzorků, nikoliv infikovaných zařízení nebo škod způsobených uživatelům). Zajímavé je toto číslo v relativním srovnání – pro Apple iOS je odpovídající nárůst 25 %. Fortinet jako hlavní příčinu rozdílu uvádí, že Android získal na trhu smartphonů podíl již přes 50 %. Svoji roli má ale hrát i otevřenost této platformy, do distribučního řetězce Applu je mnohem těžší cokoliv podstrčit. Malware pro iOS se tak prakticky omezuje na telefony odblokované pomocí jailbreakingu.

Fortinet jmenuje i první větší botnety ovládající telefony s Androidem: Geinimi a DroidKungFu.

Zdroj: CNet, Fortinet

Microsoft vydal beta verzi svého nástroje Windows Defender Offline. Má fungovat i v počítačích, které jsou malwarem natolik zaplácané, že už se nedokáží ani připojit k Internetu (nebo malware selektivně blokuje přístup k webům, které nabízejí ochranu). To není úplně zanedbatelná funkčnost: v dnešní době bezpečnostních řešení na bázi cloudů je dobré nezapomínat ani na to, že existuje také režim off-line. Program se spouští z USB/Flash nebo CD/DVD ještě před samotným systémem. Zdroj: BetaNews.com, The Register

Adobe vydala varování týkající se zranitelnosti Readeru pro Windows. Proti Readeru 9.4.6 již byly údajně zaznamenány útoky. Technické podrobnosti zveřejněny nebyly, výsledkem může být pád aplikace, ale potenciálně i plné ovládnutí systému útočníkem.

V tuto chvíli by již podle slibu Adobe měla být k dispozici mimořádná záplata. Nejnovější Reader X sice příslušnou chybu obsahuje také, ale další ochranné prostředky by měly jejímu zneužití bránit; mimořádná záplata se proto v tomto případě nekoná.

Adobe obecně uvádí, že opravu pro Reader 9 vydala tak rychle proto, aby se ve firmách instalovala ještě před vánočními svátky. Společnost ale opakuje, že nejbezpečnějším řešením je upgrade na Reader X.

Zdroj: ZDNet

Společnost VeriSign, známá certifikační autorita, uzavřela interní vyšetřování bezpečnostního incidentu ze září. „Comodohacker“, člověk, kteří již dříve narušil systémy certifikačních autorit Comodo a DigiNotar, se tehdy proboural do webového serveru VeriSign. Závěr: samotný systém vydávání certifikátů ale kompromitován nebyl.

Zdroj: ZDNet


Komentáře

Petr Maleček #1
Petr Maleček 15. prosinec 2011 09:40

Nemůžu se dočíst jedné poměrně důležité informace a to - jakých verzí prohlížečů se tento test týká ? Dost pochybuji, že bude stejná "děravost" nebo "bezpečnost" shodná u starého FF 2.0 a současné 9.0 beta. Stejně tak třeba IE6 vs IE9.

Bez těchto informací mi přijde článek dosti prázdný a nic neříkající. To je asi jako když řeknu, že ve spolehlivosti vozů vyhrává Honda, na druhém místě BMW a jako třetí Renault. Konkrétně vlastně nic. Nic ve zlém.

Joelp #2
Joelp 15. prosinec 2011 11:40

Celé je to jen opsané z jiného zdroje. Původcem "měření" je Google a celé je to prostě ohlé tak, aby jim to vyšlo :)

Zajímavé ale je, že dokonce na lupě jim to nikde "nežere" :) Čekal jsem nějaký flame, ale nic :) ( http://www.lupa.cz/zpravicky/nejvice-bezpecne-je-chrome-nejmene-firefox-tvrdi-accuvant/ )

Karel Wolf 15. prosinec 2011 14:20

Ano, studie je skutecne sponzorovana Googlem, na tom neni zase tak nic prekvapiveho, zvlastni ale je, ze v tom 139 strankovem reportu skutecne spousta dat k metodice chybi: http://www.accuvant.com/sites/default/files/images/webbrowserresearch_v1_0.pdf

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

22. 02. IT mezi paragrafy
20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
RSS 

Zprávičky

Blokování nelegálního hazardu na internetu není protiústavní

Pavel Houser , 22. únor 2017 13:22

Plénum Ústavního soudu zamítlo návrh skupiny 21 senátorů Senátu Parlamentu České republiky na zruš...

Více 0 komentářů

Amazon otevře v Polsku své páté logistické centrum

ČTK , 22. únor 2017 13:03

Česká pobočka firmy uvedla, že letos nabere v Dobrovízi u Prahy a ve své pražské kanceláři 1000 stál...

Více 0 komentářů

SpaceX a Boeing se možná zpozdí s dopravou lidí na ISS

ČTK , 22. únor 2017 09:30

Společnosti SpaceX a Boeing se možná zpozdí s nasazením svých lodí pro dopravu posádek na Mezinárodn...

Více 0 komentářů

Starší zprávičky

Verizon koupí aktivity Yahoo za sníženou cenu 4,48 miliardy USD

ČTK , 21. únor 2017 16:05

Americký telekomunikační operátor Verizon Communications se dohodl na nových podmínkách převzetí zák...

Více 0 komentářů

Jen desetina SMB firem těží z digitální transformace

ITBiz.cz , 21. únor 2017 09:00

Studie IDC a SAP ukázala, že čtyři z pěti SMB firem vidí v digitální transformaci značné výhody včet...

Více 0 komentářů

Trump si nechal registrovat tisíce internetových domén

ČTK , 21. únor 2017 08:30

Málokterá veřejná osoba je tak aktivní ve skupování internetových domén jako americký prezident Dona...

Více 4 komentářů

Mall Group ovládla internetový obchod s elektrem CZC.cz

ČTK , 20. únor 2017 16:39

Skupina Mall Group se stala jediným vlastníkem e-shopu CZC.cz. Od zakladatele obchodu Josefa Matějky...

Více 2 komentářů

AbcPráce