Come posso proteggere il mio browser dall'essere compromesso?

3

Negli ambienti enterprise, ho trovato un grande vantaggio nell'utilizzo di binari white list, web security gateway e end-point AV per proteggere l'utente finale / sistema. Sfortunatamente, continuo a vedere i browser compromessi. Detto questo, con questo approccio a più livelli, l'uso tipico di un contagocce è impedito dall'esecuzione secondaria dall'elenco bianco binario. L'anti-virus è in genere in grado di raccogliere il contagocce pochi giorni dopo (una volta disponibile una firma) che giace dormiente sul disco. Funziona abbastanza bene, ma il browser viene ancora sfruttato. Nella mia esperienza, basarmi su patch, firme AV, reputazione IP, reputazione del dominio e HIPS mi hanno reso ancora vulnerabile. Sia invincea (www.invincea.com) che blade defender (www.blade-defender.org) mostrano una promessa, ma che altro c'è?

Con questo in mente, come si può impedire l'esecuzione del codice iniziale?

    
posta nPJrlpCZWK 01.01.2013 - 17:52
fonte

3 risposte

4

Esecuzione del codice? Lo dici come se fosse una brutta cosa:)

Il problema fondamentale con la sicurezza delle informazioni è che abbiamo costruito sistemi completi e computazionalmente completi di Turing che possono avere qualsiasi stato e quindi ci rendiamo conto che alcuni stati non sono desiderabili e non possiamo controllare il sistema per non entrare in quelli Uniti.

Il meglio che puoi fare è orientarsi sulla sicurezza e stratificare più controlli di sicurezza a partire dall'hardware al browser. Ma ricorda che esiste un compromesso tra sicurezza e usabilità.

Qubes è un sistema operativo open source progettato per fornire una strong sicurezza per il desktop computing. Si basa su un hypervisor bare-metal (Xen) sicuro e puoi usarlo per separare le tue zone di fiducia. L'esecuzione di codice in un ambiente sarebbe isolata e cancellata quando l'ambiente ritorna allo stato sicuro.

    
risposta data 02.01.2013 - 22:21
fonte
1

Un modo orribile, inefficiente e spiacevole, ma comunque efficace per mantenere il browser senza compromessi è di eseguirlo su un'architettura molto poco utilizzata. La maggior parte degli exploit là fuori sono per processori x86 e per ARM (per il raccolto attuale di smartphone e tablet). Acquista un sistema basato su PowerPC su eBay (alcune delle ultime ppc Mac hanno ancora un muscolo non trascurabile), installa un OS non troppo comune (es. non MacOS X; usa Linux , NetBSD ...), e lì te ne vai: una macchina web-in cui nessun aggressore si prenderà la briga di scrivere gli exploit. Non è nemmeno la sicurezza per oscurità, è un gradino sotto: sicurezza dalla pigrizia dell'attaccante . Eppure funziona!

Ovviamente, questo non ti aiuterà contro il tuo acerrimo nemico che ti sta seguendo, in particolare, e conosce i dettagli della tua architettura del computer meglio di te (per definizione). Ma manterrà il tasso di compromesso casuale molto basso.

( Attenzione: la navigazione sul Web con un'architettura simile può essere frustrante a volte. Nessun browser PowerPC attualmente ha un compilatore JavaScript JIT, quindi tutto ciò che è pesante su Javascript sarà lento. no Flash. Anche i video con una risoluzione decente potrebbero rivelarsi eccessivi per la vecchia CPU.)

A parte queste misure drastiche (che non sono del tutto una battuta: lo faccio a casa), non c'è miracolo. I browser Web sono tentativi umani, non sono più privi di bug di qualsiasi altro software. Utilizza le classiche misure di mitigazione:

  • Mantieni il browser aggiornato (le funzionalità di aggiornamento automatico di Chrome e Firefox vanno bene per questo).
  • Tenere fuori dalle parti meno affidabili del Web.
  • Usa il tuo cervello : le dita fanno clic, ma la mente dovrebbe essere responsabile.
  • Il sandboxing del browser all'interno di una macchina virtuale può essere d'aiuto come contenimento dei danni.

In definitiva, i browser Web si sono trasformati in sistemi operativi a pieno titolo che eseguono codice proveniente dall'esterno (codice JavaScript, principalmente), quindi sembra che la sicurezza del browser Web sia un progetto intrinsecamente destinato. Ma possiamo provare ...

    
risposta data 02.01.2013 - 22:52
fonte
1

Microsoft EMET ha dimostrato di prevenire alcune categorie di exploit. Il software che usiamo ha e avrà dei bug di sicurezza. Non c'è nulla di pratico che possiamo fare per impedirlo. Quello che possiamo fare è impedire che il software sfruttato infetti il resto del sistema. Contenimento. Questo può essere fatto con il software sandboxing come Invincea che hai collegato o Sandboxie (più popolare). Inoltre, Google Chrome ha una sandbox integrata e ha dimostrato di essere relativamente sicuro.

    
risposta data 02.01.2013 - 09:19
fonte

Leggi altre domande sui tag