Доверенный серфинг Интернет

Наибольшей проблемой для сегодняшних компьютерных пользователей является безопасный web-серфинг. В связи с этим хотелось бы отметить инициативу компании Microsoft, выпустившую Internet Explorer 8.0, и стоит отметить, что в этой программе большое внимание уделено безопасному, я бы сказал более, доверенному серфингу.

С момента появления IE6 технические решения были сосредоточены на социальной инженерии, эксплойтах браузера и web-сервера, в то время как пользователи говорили о своих главных проблемах:

1. Защита от вторжения

2. Защита от вредоносного воздействия

3. Управление получаемой информацией

В связи с этим в IE 8.0 для решения проблемы создания доверенного общения в Интернет пользователю предоставляется возможность:

· Обезопасить себя от вторжения с помощью:

o Социальной инженерии и использования эксплойтов

o Незапрашиваемых соединений

· Защитить себя от потенциальных угроз:

o Эксплойты браузера и web-серверов

o Ложные web-сайты

o Вредоносное ПО

o Воровство тождества (identity)

o Сетевое мошенничество

· Обеспечить контроль над информацией:

o Выбор и контроль информации

o Удалить следу своего пребывания в Интернет

o Предоставить только ту информацию, которая реально необходима

Для решения поставленных задач в IE 8.0 компания Microsoft использовала следующие технологии:

· Защита от вторжения:

o Защита от спуфинга[1] доменных имен

o Блокирование всплывающих окон

o Увеличение удобства использования

· Защита от вредоносов (недоверенные сайты, вредоносный код, интернет-мошенничество, воровство персональных данных):

o Secure Development Lifecycle (обеспечение безопасности на протяжении всего цикла разработки);

o Усиленная проверка Extended Validation (EV) SSL сертификатов;

o SmartScreen® Filter;

o Подсвечивание имени домена;

o XSS Filter, DEP/NX

o Строгая изоляция выполнения элементов ActiveX.

· Управление информацией

o Дружественные примечания

o Поддержка управления cookies P3P

o Удаление истории браузера

o Режим серфинга InPrivate™

Новые технологии обеспечения безопасности Internet Explorer 8.0

Подсвечивание имени домена

При использовании IE8 во время перехода на выбранную страницу пользователи в строке адреса увидят выделенное черным цветом имя домена, в то время, как все другие символы будут подсвечены серым. Имя домена – основная часть адреса в сети, идентифицирующего истинный адрес страницы, в то время, как все другие символы будут подсвечены серым. Это позволяет более легко отличить законные адреса от мошеннических, использующих заведомо неправильную информацию (рис. 1).

image

Рисунок 1 Выделение имени домена

SmartScreen® Filter

Несмотря на то, что в IE7 уже использовался антифишинговый фильтр и это уменьшало вероятность стать жертвой Интернет-мошенников, IE8 усиливает защиту, объединяя антифишинговую защиту с защитой от вредоносного ПО с помощью SmartScreen® Filter. Это поможет пользователям не поддаться на уловки фишеров. Данный фильтр предупредит пользователя о том, что он находится на фишинговом сайте или сайте, распространяющем вредоносное ПО. Это позволит пользователям самим участвовать в улучшении Интернет-сети, сообщая информацию о потенциальных фишинг-сайтах или сайтах, распространяющих вредоносное ПО. Однако не стоит забывать о том, что у вас всегда есть возможность включить или выключить данный фильтр в любое время.

Проверка веб сайта вручную с помощью фильтра

Если функция автоматической проверки веб-узлов не выбрана, будет отображен значок антифишинга в строке состояния Internet Explorer. Для проверки веб-узла щелкните значок и выберите Проверить веб-узел. Кроме того, проверка веб-узлов в Internet Explorer может производится следующим образом.

1. Откройте Internet Explorer.

2. Перейдите на проверяемый веб-узел.

3. Нажмите кнопку Сервис, выберите пункт Фильтр фишинга и щелкните Проверить веб-узел. (рис.2)

image

Рисунок 2 Фильтр SmartScreen

Если же вы все же считаете этот сайт фишинговым или распространяющим вредоносное ПО, то вы можете отослать сведения об этом в корпорацию Microsoft вручную (рис.3).

image

Рисунок 3 Отправка сведений о фишинговом сайте

Вы можете отметить, что таким образом появляется лазейка для пользователей-злоумышленников, которые могут заявить о сайте для того, чтобы просто очернить его репутацию. Однако не все так легко.

Антифишинг блокирует только узлы, удостоверенные как поддельные рецензентами корпорации Майкрософт или сотрудниками сторонних поставщиков данных. Антифишинг также предлагает веб-систему отзывов и предложений, чтобы помочь пользователям и владельцам веб-узлов передавать отчеты об ошибках как можно быстрее.

Кроме того, необходимо отметить возможность блокирования загрузки вредоносного ПО с помощью SmartScreen® Filter (рис 4).

image

Рисунок 4 Попытка загрузки вредоносного ПО

image

Рисунок 5 Запрет загрузки вредоносного ПО с помощью SmartScreen® Filter

Фильтр SmartScreen® проверяет сайт загрузки с помощью базы данных известных злонамеренных вебсайтов.

Защита Памяти DEP/NX в Internet Explorer 8

В операционной системе Windows Vista Internet Explorer 7 содержит отключенную по умолчанию опцию “Enable memory protection to help mitigate online attacks”.Эта опция также носит название Data Execution Prevention (DEP) или No-Execute (NX).

Эта опция включена по умолчанию в Internet Explorer 8 при работе под управлением операционных систем Windows Server 2008 и Windows Vista SP1.

DEP/NX противодействует атакам, препятствуя коду работать в том разделе памяти, который не предназначен для выполнения программ. DEP/NX, объединенные с другими технологиями такими как Address Space Layout Randomization (ASLR), затрудняют атакующим производство определенных типов атак (типа переполнения буфера). Данный тип защиты относится и к Internet Explorer и к дополнительным модулям, которые подгружаются с помощью IE8.

Управление ActiveX

Надстройки, также называемые элементами управления ActiveX, расширениями обозревателя, вспомогательными объектами обозревателя или панелями инструментов, могут упростить работу с веб-узлом, отображая мультимедиа или интерактивное содержимое, например анимацию. Однако в результате действий некоторых надстроек компьютер может перестать отвечать на запросы или может отобразиться нежелательное содержимое, такое как всплывающие рекламные объявления.

Internet Explorer 8 предусматривает большие чем ранее возможности для управления элементами ActiveX, выполняющимися как на стороне пользователя так и на стороне сайта.

Tехнология ActiveX В расчёте на пользователя

В IE8 технология per-user ActiveX[2] позволяет обычным пользователям, работающим под управлением Windows Vista, устанавливать элементы управления ActiveX для работы под их учетной записью, не требуя при этом прав администратора. Это существенно упрощает понимание выгоды User Account Control, позволяя обычному пользователю использовать те ActiveX, которые постоянно нужны в работе. Вместе с тем стоит отметить, что так как установка осуществляется только для конкретной учетной записи, то вся система не может быть скомпрометирована, ведь управление соответствующим ActiveX установлено только под конкретной учетной записью. Это позволяет существенно снизить риски общей компрометации системы.

Так же как и в предыдущей версии IE7, при попытке установить ActiveX, пользователь увидит полосу с предупреждением, нажав на которую, пользователь сможет установить соответствующий элемент ActiveX или для всего компьютера или только для собственной учетной записи. При этом опции в меню будут изменяться в зависимости от текущих прав учетной записи пользователя.

Вместе с тем IE8 позволяет пользователю определить, может ли элемент управления ActiveX быть выполнен на сайте. Этот механизм унаследован от IE7. Проявляется в виде информационной полосы вверху страницы до того как соответствующий элемент ActiveX будет установлен.

В случае если пользователь попадает на страницу, содержащую элемент управления ActiveX, IE8 выполняет многочисленные проверки, включающие то,где разрешено выполнение ActiveXЕсли соответствующий элемент управления установлен но не разрешен к выполнению на определенном сайте, появится информационная полоса для подтверждения пользователем разрешения на выполнение на соответствующем сайте или на всех сайтах. ИТ-администраторы могут использовать групповые политики для предварительного разрешения установки соответствующего ActiveX.

Вместе с тем стоит понимать, что владельцы сайта могут препятствовать тому, чтобы элемент управления ActiveX работал в IE, устанавливая соответствующий бит таким образом, чтобы управление никогда не вызывало IE при настройках по умолчанию.

Вместе с тем, если у вас возникли подозрения, что надстройки обозревателя влияют на работу компьютера, может понадобиться отключение всех надстроек, чтобы увидеть, устранит ли это проблему.

Временное отключение всех надстроек

· Щелкните правой кнопкой мыши значок Internet Explorer на рабочем столе и выберите команду Запустить без надстроек.

· Если на рабочем столе нет значка Internet Explorer, нажмите кнопку Пуск, выберите пункт Все программы, выберите Стандартные, затем Служебные и выберите команду Internet Explorer (без надстроек) (рис.6).

image

Рисунок 6 Запуск IE8 без настроек

Если запуск без надстроек помог устранить проблему, можно воспользоваться функцией управления надстройками, чтобы полностью выключить все надстройки и включать их только при необходимости. Чтобы отключить одну надстройку, выполните шаги, описанные ниже.

Отключение надстроек в средстве управления надстройками

1. Щелкните, чтобы открыть Internet Explorer.

2. Нажмите кнопку Сервис и выберите Надстройки, а затем щелкните Включение и отключение надстроек.

3. В окне Показать выберите команду Надстройки, используемые Internet Explorer, чтобы отобразить все надстройки, установленные на компьютере.

4. Выберите надстройку, которую необходимо отключить, и установите переключатель в значение Отключить.

5. Повторите шаг 4 для каждой надстройки, которую требуется отключить. По окончании нажмите кнопку ОК (рис 7).

image

Рисунок 7 Управление надстройками

Фильтр IE 8 XSS  

XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») — тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве.

Условно XSS можно разделить на активные и пассивные:

· при активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта. Их также называют вторым типом XSS;

· пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется некое дополнительное действие, которое должен выполнить браузер жертвы (например клик по специально сформированной ссылке). Их также называют первым типом XSS.

Сейчас XSS составяют около 15% всех обнаруженных уязвимостей. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако, это мнение ошибочно: в некоторых случаях с помощью XSS удаётся получить идентификатор сессии администратора или организовать DDOS атаку.

Создание подобного сценария может способствовать таким атакам, как:

· Воровство cookie -файла, включая воровство cookies сеансов, которое может привести к подмене учетной записи

· Контроль нажатий клавиш при вводе информации на вебсайт / приложение

· Выполнение действий на вебсайте от имени пользователя. Например, атака XSS на Windows Live Mail могла бы дать возможность атакующему читать и отправить почтовые сообщения и т.д.

В то время как существует множество инструментальных средств для разработчиков, чтобы уменьших вероятность XSS-атак на их сайты / приложения, обычные пользователи при просмотре Интернет оставались беззащитными от атак XSS.

IE8 помогает уменьшить вероятность угрозы атак XSS, блокируя самую общую форму атаки XSS (названную reflection атаками). IE8 XSS Фильтр основывается на эвристическом анализе, уменьшая вероятность подобных атак.

Бесследный серфинг в Интернет

Все мы, вероятно, знаем, что при работе в сети достигнуть полной анонимности практически невозможно. В таком случае возникают вопросы:

· Как быть с безопасностью личных данных в Интернет?

· Как бороться с проблемой «стороннего контента», с помощью которого авторы сайта незаметно собирают информацию о посещаемых вами сайтах?

· Да и, в конце концов, как быть при работе в общедоступных Интернет-кафе?

И здесь на помощь вам так же сможет прийти IE8.

Для решения этих и других проблем в IE8 предусмотрены следующие технологии:

· InPrivate™ Browsing предназначена для контроля сохранения IE истории посещения веб-сайтов, cookie и другую информацию;

  • Delete Browsing History контролирует историю посещения веб-сайтов;
  • InPrivate™ Blocking информирует пользователя о содержании истории посещения и позволяет ее заблокировать;
  • InPrivate Subscriptions позволяет расширить возможности функции InPrivate Blocking путем подписки на целые списки веб-сайтов для разрешения/блокировки.

Рассмотрим внимательнее эти технологии.

InPrivate Browsing

Разговор об этой технологии хотелось бы начать с простого примера. Этим летом мы с семьей отдыхали на юге, в Крыму. Возить ноутбук с собой хлопотно, да и просто хотелось отдохнуть. Но рано или поздно, ИТшная природа берет свое и нужна почта. Так и случилось. И мы с сыном пошли в ближайшее Интернет-кафе. И вот что увидели. Я взял свою почту и за компьютер сел сын. И тут случилось самое интересное. При входе на сайт одной из социальных сетей (я не буду приводить ее название) он вошел под именем и паролем предыдущего пользователя. По окончании сеанса пользователь не вышел, а просто выключил компьютер. К чему это может привести – думаю объяснять не нужно? По привычке в конце сеанса я всегда удаляю историю посещений, cookies и т.д. Так вот, в Интернет-кафе эта процедура заняла минут 5. Вас не настораживает такая история? Часто ли вы сами удаляете свою историю посещений на общедоступных ПК? Не уверен!

А ведь каждый из нас заинтересован в соблюдении режима приватности, особенно если вдруг вы работаете не на своем личном ПК! Именно для решения подобных задач и предназначена функция InPrivate Browsing. Ведь в данном режиме IE не сохраняет историю посещения сайтов, cookies, временные файлы и иную личную информацию.

После того, как вы закончили свою работу, просто закройте окно, а об остальном позаботится IE.

image

Рисунок 8 Включить — отключить InPrivate

Просмотр InPrivate не позволяет Internet Explorer сохранять данные о сеансе обзора, включая файлы cookie, временные интернет-файлы, журнал и другие данные.

Блокировка InPrivate не позволяет посещаемым веб-узлам автоматически предоставлять другим веб-узлам общий доступ к сведениям о вашем посещении веб-узлов. В целях конфиденциальности некоторое содержимое веб-узлов может быть заблокировано.

При этом:

· Новые cookies не сохраняются

· Все новые cookies объявляются «сессионными»

· Существующие cookies все еще доступны

· Новые записи к историю посещения не добавляются

· По закрытии окна Private Browsing все временные файлы удаляются

· Данные форм не сохраняются

· Пароли не сохраняются

· Список адресов, введенных в адресную строку, не сохраняется

· Запросы, введенные в поле для поиска, не сохраняются

· Посещенные ссылки не подсвечиваются

При запуске режима Просмотр InPrivate, Internet Explorer открывает новое окно браузера. Защита, которую обеспечивает Просмотр InPrivate, в действительности работает лишь в течение времени, когда вы используете это окно.

Вы можете открыть большое количество вкладок, в этом окне, и все они будут защищены Просмотром InPrivate. Однако если Вы откроете другое окно браузера, то оно не будет защищено Просмотром InPrivate. Чтобы закончить ваш сеанс Просмотр InPrivate, закройте окно браузера.

В то время как вы занимаетесь серфингом используя Просмотр InPrivate, Internet Explorer хранит некоторую информацию — такую как cookies и временные интернет-файлы — так, чтобы страницы, посещаемые вами в течение этого сеанса, работали правильно. Однако, в конце сеанса Просмотра InPrivate, от этой информации отказываются. В следующей таблице описано, какая информация удаляется после Просмотра InPrivate, когда вы закрываете браузер:

Таблица 1

Информация Как на это влияет режим InPrivate Browsing
Cookies Загружаются и остаются в памяти для того чтобы страницы работали корректно, однако будут удалены после закрытия окна браузера.
Временные интернет-файлы Сохраняются на диске для того чтобы страницы работали корректно, однако будут удалены после закрытия окна браузера.
История посещенных страниц Эта информация не сохраняется.
Данные заполняемых форм и пароли Эта информация не сохраняется.
Кеш анти-фишинга Временная информация шифруется и сохраняется для того чтобы страницы работали корректно.
Автозаполнение строк адреса и поиска Эта информация не сохраняется.
Automatic Crash Restore (ACR) ACR может восстановить содержимое вкладки, если во время сессии вкладка была разрушена, но если было утеряно содержимое всего окна, данные удаляются и окно не восстанавливается.
Document Object Model (DOM) storage DOM storage это своего рода «super cookie» web разработчики могут использовать их для сохранения информации. Как и стандартные файлы cookies, они не сохраняются после закрытия окна

Для включения данного режима просмотра вы можете использовать:

· Нажмите кнопку Безопасность, затем выберите Просмотр InPrivate. (рис 9)

· Откройте новую вкладку, затем, на новой вкладке, выберите Просмотр InPrivate.

· Нажмите CTRL+SHIFT+P.

· В командной строке iexplore.exe –private

Как вы сами можете убедиться, никакие конфиденциальные данные не сохраняются на жестком диске. Именно эта возможность «бесследного» серфинга послужила основанием к появлению сленгового термина для этого режима «порно-режим», т.е. наиболее подходящий режим для посещения сайтов подобной тематики. Тем не менее, юным дарованиям, чья работа проходит под неусыпным оком «Родительского контроля» воспользоваться данным режимом не удастся. Если Родительский контроль включен, режим Просмотр InPrivate недоступен.

Delete Browser History

Возможность удаления одним щелчком мыши всех сохраненной информации была еще в IE7. Данный инструмент сегодня есть практически во всех веб-браузерах. Однако при этом есть одна небольшая проблема, которая может существенно испортить вам жизнь. Ведь далеко не всегда от вас требуется удалять всю информацию. В частности сookies, в частности, штука весьма удобная и полезная, поскольку большинство сайтов имеют функцию памяти, сохраняя cookie на жестком диске компьютера. Другие сайты, особенно связанные с финансами, хранят cookie на каждом из используемых вами компьютерах с целью избежать лишних действий при вводе информации личного характера.

В IE8 эта проблема решена за счет добавления опции, которая позволяет сохранять cookie-файлы и временные файлы с веб-сайтов, сохраненных в списке избранных ссылок. (рис.10)

image

Рисунок 9 Удаление истории обзора

Если же вам необходимо сохранять данные с некоторых часто посещаемых сайтов, просто добавьте их в Избранное и не забудьте отметить опцию Сохранить данные избранных веб-узлов.

Более того, вы можете удалять историю браузера при выходе.

image

Рисунок 10 Свойства обозревателя

InPrivate Blocking

Режим блокировки передачи личных данных. Данный режим доступен только при включенном режиме Просмотр InPrivate. Прежде чем говорить о данном режиме стоит пояснить, в каких случаях сведения о вашем веб-серфинге могут стать достоянием третьей стороны. В ряде случаев историю посещений веб-страниц можно получить с помощью файлов cookie, но чаще все обходится без них. На многих сайтах внедряются сценарии JavaScript для того чтобы узнать, откуда вы пришли на данный сайт. В принципе сегодня это общепринятая практика в веб-разработке, так как владельцы сайтов заинтересованы в посещениях, а следовательно, в размещении рекламы именно на тех ресурсах, которые посещают их посетители. Вместе с тем стоит понимать, что существует огромное количество компаний, продающих подобную статистику и этим сегодня пользуется много разработчиков веб-контента. Поэтому сбор информации о предпочтениях пользователей сегодня превратился в бизнес.

По умолчанию функция InPrivate Blocking мониторит посещаемые вами веб-сайты, однако автоматически не блокирует их. Вы можете блокировать любые веб-сайты, обнаруженные с помощью InPrivate Blocking вручную или в качестве альтернативного варианта – автоматически блокировать все обнаруженные сайты или выключить InPrivate Blocking. Для этого:

1. Нажмите кнопку Безопасность и затем InPrivate Blocking (рис.11)

image

Рисунок 11 Политика конфиденциальности веб-страницы

2. После этого выберите один из следующих параметров (рис 12):

a. Для автоматического блокирования веб-сайта выберите Блокировать автоматически

b. Для ручного блокирования веб-сайта выберите Блокировать вручную

c. Для отключения InPrivate Blocking, выберите Выключить InPrivate Blocking

image

Рисунок 12 Блокировка InPrivate

Фактически функция InPrivate Blocking помогает определить веб-сайты, собирающие данные о посещении различных веб-ресурсов и заблокировать распространение этой информации. Чрезвычайно важно, чтобы вы понимали, что InPrivate Blocking не блокирует веб-сайты, которые вы посещаете, а всего лишь препятствует сбору информации о вашем посещении. Тем не менее, стоит учесть, что при использовании этого режима возможны ситуации, в которых страницы посещенного вами сайта будут выглядеть иначе или на них не будут работать некоторые элементы.

InPrivate Subscriptions

Следует понимать, что далеко не все пользователи, которые захотят заботиться о защите своих персональных данных, захотят тратить свое время на изучение списка сайтов, собирающих данные об их веб-серфинге и принятие решений о блокировании тех или иных сайтов вручную. Для таких пользователей предусмотрена возможность подписки на частный список блокировки-разрешения таких сайтов с помощью функции InPrivate Subscriptions.

Подписаться можно просто щелкнув на ссылку Подписки на блокировки InPrivate (рис12).

По сути, список представляет собой ленту RSS, сформированную особым образом и содержащую регулярные выражения. С их помощью определяется, разрешается или запрещается тем или иным сайтам передача данных о посещении вами веб-страниц. Такие списки смогут создавать и обновлять все желающие, размещая их в сети. Безусловно, это удобная возможность, расширяющая арсенал защиты конфиденциальных данных. Однако важным моментом будет выбор надежного издателя списка.

Заключение

С появлением IE8 пользователи, надеюсь, получат большую уверенность в том, что данные на их компьютерах находятся под надежной защитой. Вместе с тем хотелось бы отметить необходимость самим пользователям понимать то, что ни одна технология в области безопасности не является панацеей и им самим нужно понимать, к чему могут привести те или иные действия.


[1] Вид хакерской атаки, заключающийся в использовании чужого IP-адреса с целью обмана системы безопасности. Метод, используемый в некоторых атаках. Состоит в проставлении в поле обратного (source) адреса IP-пакета неверного адреса. Применяется с целью сокрытия истинного адреса атакующего, с целью вызвать ответный пакет на нужный адрес и с иными целями

[2] Технология создания интерактивного веб-содержимого, например анимации, транзакций кредитных карт или математических операций с электронными таблицами.