Od czterech dni niemieckie MSW zaleca rezygnację z Internet Explorera, dzisiaj podobny komunikat wydały instytucje rządowe we Francji.
Nie dziwi mnie zatroskanie bezpieczeństwem obywateli, gdyż luka w Internet Explorerze jest poważna, jest atakowana co najmniej od dwóch tygodni we wszystkich wersjach IE na rynku, wliczając w pełni zaktualizowany system Windows 7 z IE8.
Microsoft w swoim zaleceniu uważa, że ataki wykorzystujące tę lukę są ograniczone co do skali i kierowane przeciw konkretnym celom. Tymczasem raporty z „zaprzyjaźnionych” korporacyjnych IPSów dowodzą czegoś innego – w tej chwili jest to jedna z powszechnie wykorzystywanych luk w bezpieczeństwie, bo:
- Przeglądarka nie została załatana,
- Minie sporo dni, nim ludzie ją zaktualizują po wydaniu łaty,
- Kod eksploita jest powszechnie znany i skuteczny.
IE był i JEST niebezpieczną przeglądarką. Nowe wersję są nieco lepsze, ale nadal wiele z luk umożliwia przejęcie kontroli nad komputerem (czytaj: włamanie bez konieczności „pomocy” ze strony użytkownika i zainstalowanie dowolnego oprogramowania tą drogą).
Dlatego ja też dołączam się do apelu i zalecam:
Nie używajcie Internet Explorera.
Oni zalecają, by nie używać do czasu załatania luki. Ja zalecam, by nie używać go w ogóle, jeśli nie jest to konieczne. Są przecież Opera i Chrome, jest niszowy K-meleon, jest bardzo popularny Firefox.
Statystyki Secunii wyglądają następująco:
Dla IE (stan na dzień 19 stycznia 2010 godzina 10:00, aktualne są tutaj)
Dla Firefoksa (stan na dzień 19 stycznia 2010 godzina 10:01, aktualne są tutaj)
Nie wolno ich jednak wykorzystywać do porównywania bezpieczeństwa obu produktów.
Moje prywatne spostrzeżenie dotyczące obu przeglądarek wskazuje na znacznie krótszy czas od zgłoszenia luki do aktualizacji Firefoksa – przeważnie jest on liczony w dniach. W przypadku IE czas ten jest liczony w tygodniach, a nawet miesiącach.
Nieprawdą jest stwierdzenie, że Firefox sam w sobie zapewni bezpieczeństwo. Jest to aplikacja, która także może zawierać błędy. Niemniej czas od zgłoszenia do aktualizacji jest bardzo krótki, społeczność open source podchodzi do tego bardzo poważnie. Po prostu ryzyko naruszenia bezpieczeństwa jest mniejsze. Można je dodatkowo zmniejszyć umiejętnie stosując dodatek NoScript. Wymaga to pewnej wiedzy i nawyków, ale przynosi wymierne efekty.
Firefox nie jest niszowy – w niektórych krajach Europy, takich jak Polska, jedna wersja Firefoksa miewa większą popularność niż wszystkie wydania Internet Explorera razem wzięte.
Nieprawdą jest zarzut, że Firefox nie nadaje się do korporacji – wszystko jest kwestią wiedzy i chęci działu IT. Firefoksem można centralnie zarządzać za pomocą Active Directory. Jak widać po blogach , admini są zainteresowani takimi rozwiązaniami, co dowodzi, że w korporacjach także zaczyna się odwrót od przestarzałego i niebezpiecznego dinozaura, który nie trzyma nawet własnych standardów, a co dopiero webowych.
Apele, dotyczące aktualizacji systemów są bardzo ważne, ale niewiele się zdadzą, gdy producent nie dostarcza łat. Ponadto ludzie nie biorą takich apeli na poważnie.
Może trzeba z nimi rozmawiać w ten sposób?
UWAGA ADMINI!
Konkurencja jest korzystnym zjawiskiem. Firma Microsoft doceniła powagę sprawy i postanowiła wydać łatę do IE poza zwykłym cyklem. Chwała im za to. Należy to czym prędzej załatać, nawet jeśli korzysta się z innej przeglądarki, gdyż biblioteki IE są używane w różnych programach. Na szczęście z różnymi opcjami bezpieczeństwa, ale ryzyko zawsze istnieje. Jest to bardzo pilna łata i radzę ją czym prędzej przetestować i zaaplikować, gdy tylko się pojawi. Nad zmianą przeglądarki z IE warto się zastanowić i tak.
#1 by pb2004 on 19 stycznia 2010 - 16:43
Quote
Dwie uwagi:
1. Zamiast porównywać ilość niezałatanych luk, która nie mówi nic o ich szkodliwości (niezałatane są tylko luki nieszkodliwe i praktycznie nieeksploitowalne nie licząc tej najnowszej) warto porównać ich zagrożenie. W Firefoksie 83% dziur ma oznaczenie highly critical, w IE8 63%(dane za secunia).
2. Eksploit działa na razie tylko w IE6 i po modyfikacji w IE7 z wyłączonym DEP.
3. Co do noscript, nie jest to rozwiązanie dla statystycznego użytkownika.
#2 by karzeł reakcji on 19 stycznia 2010 - 17:54
Quote
Tak offtopic odnośnie wyglądu prawej kolumny. Wygląda inaczej niż na stronie z templatką, czyż nie ? Miałem podobny problem, ale w komentarzach do szablonu znalazłem potrzebne info: http://digitalnature.ro/projects/arclite/comment-page-50/#comment-5622 . Po zmianie widgety umieszczone w sidebarze będą miały prawidłowy DOM, a dzięki temu odpowiedni wygląd.
#3 by marcinm on 19 stycznia 2010 - 23:23
Quote
@Karzeł – dziękuję, zgłoszę adminom zarządzającym WordPressem. Chociaż ten wygląd mi się podoba.
#4 by marcinm on 19 stycznia 2010 - 23:26
Quote
Co do liczb w 1. punkcie to ok. Ale WSZYSTKIE luki Firefoksa zostały załatane szybko. Najdłuższa luka w IE7 ma 180 dni, jeśli dobrze pamiętam. Secunia zaleca wprowadzenie współczynnika korygującego czas od zgłoszenia luki do wydania łaty. Tutaj środowisko open source _w_najważniejszych_projektach_ jest o wiele szybsze od Adobe czy Microsoftu. Poza tym luki Firefoksa dotyczą WSZYSTKICH PLATFORM, w tym także Linuksa. Luka w Linuksie (mały udział na rynku desktopów) nie jest eksploitowalna gdy FF odpali się w środowisku Windows (niemal 50% rynku wszystkich przeglądarek w Polsce to FF na Win). Sprawa jest względna. Statystyki IPSów mówią wyraźnie, że 99% eksploitów to ataki na IE lub wtyczki, takie jak Flash czy PDF. Pomimo wysokiego udziału FF.
Punkt drugi – otóż nie. Demonstracja minimalnie zmodyfikowanego kodu pokazała, że zagrożona jest także instalka cytuję: “fully patched Win7 w/IE8 in default install”. Dostałem tę informację dzisiaj, ze względu na ochronę informacji nie mogę podać szczegółów, techniki ataku, ani żadnych innych detali. Z tego co wiem, DEP załatwia część sprawy, bo w IE7 przy tej konstrukcji eksploita uniemożliwia uruchomienie kodu. Po zmodyfikowaniu kodu, nawet to jest do obejścia, nie mogę jeszcze napisać jak. Nie jest to proste, ale jest możliwe, według autorów działa w 2/3 typowych domowych instalek Win7. Proof of concept JUŻ JEST, będzie załatane w najbliższej paczce łat. CTO jednej z firm od bezpieczeństwa powiedział mi nieoficjalnie, że ten kod złapano “in the wild”. Jest to jedna z najpoważniejszych wpadek bezpieczeństwa w historii Internet Explorera.
Co do punktu trzeciego dotyczącego NoScript – jeśli administrator przygotuje odpowiedni template domen dla tego dodatku i wdroży za pomocą Active Directory lub skryptów PowerShella dla userów – jest to już do przyjęcia. Jeden z Czytelników dostarczył mi informację na temat takiej instalacji, gdy załatwię wszystkie formalności, będzie opis wdrożenia.
To jest tylko kwestia wiedzy adminów, niczego więcej. Możliwości centralizowania Firefoksa i jego dodatków są od dawna.
#5 by pb2004 on 20 stycznia 2010 - 13:41
Quote
Nie wszystkie znane luki w Firefoksie są łatane szybko. Co gorsza nie są to luki typu low jak w przypadku znanych niezałatanych w IE8: http://www.zerodayinitiative.com/advisories/upcoming
Jedna już ponad 100 dni i druga prawie 40.
Co do wieloplatformowości większość luk jeśli jest we wspólnym kodzie (bo o takim przypadku mowa) to jest wieloplatformowa. Tylko exploit musi w większości przypadków być pisany pod konkretną platformę.
Co do działającego exploita pod ie8 na Win7 dopóki nie będą mogły być podane szczegóły trudno dyskutować. Nie zdziwiłbym się jednak gdyby do ominięcia DEP i ASLR znowu została wykorzystana np. java i/lub heap spraying.
Co do stwierdzenia o jednej z najpotężniejszych wpadek bezpieczeństwa to jest względne i mam wrażenie że wynika z antymicrosoftowego nastawienia. Firefox także niedawno miał kłopoty z wykorzystaniem zwolnionego wskaźnika co skutkowało możliwością uruchomienia kodu gdy użytkownik wszedłby na stronę z eksploitem. I luka ta była naprawiana ponad 40 dni:
http://www.zerodayinitiative.com/advisories/ZDI-09-065/ Jedyna różnica to, że info o luce w jednym przypadku zostało wykorzystane, a w drugim sprzedane ZDI, które to poinformowało producenta. Tak więc obiektywnie patrząc nie ma tutaj żadnej przewagi w bezpieczeństwie u żadnej ze stron.
Co do noscript – zgoda, tylko że zrobienie takiego szablonu nie zawsze jest możliwe, no chyba że użytkownik ma sztywno określoną listę domen, na które ma prawo wejść.
#6 by marcinm on 20 stycznia 2010 - 21:30
Quote
Nie, to nie wynika z antymicrosoftowego nastawienia, wynika stąd, że zdarzało mi się analizować logi z IPSów. W firmie, w której do przeglądania Internetu korzystano z Firefoksa z odpowiednimi dodatkami, ilość alarmów była o trzy rzędy wielkości niższa niż tam, gdzie trzymano się IE. To samo jest prawdą także dzisiaj, mimo wysokiego udziału FF. Dlaczego? Bo dobrze skonfigurowany FF posiada narzędzia do domyślnego blokowania wtyczek, dopóki user ich nie kliknie, by wyświetlić. Dlaczego jest to dobry pomysł? Bo odcina automatyczne instalacje drive-by robione za pomocą flaszek. Zrobienie tego samego za pomocą IE wcale nie jest proste.
Według mnie właśnie lista dozwolonych stron z JS i wtyczkami per domena jest dobrym narzędziem. To się da zrobić i niektóre firmy to robią – chwała im za to. W FF jest to prostsze.
Co do wykorzystania informacji o luce w IE – wiedziałem o jej istnieniu jeszcze ZANIM cokolwiek opublikowano, właśnie z raportów IPSów. Ta dziura ziała, dwa tygodnie były słane bardzo konkretne eksploity, zanim ktokolwiek podniósł alarm. Gdyby Chińczycy nie zaatakowali Google, z tej dziury korzystałyby chyba tylko moduły instalujące Sinowala, Zeusa czy prozaiczne Limbo. Dlaczego ktoś musiał nadepnąć na odcisk Google, by dało się ogłosić, że użytkownicy IE są poważnie zagrożeni?
Przykro to mówić, ale nieoficjalnie statystyki omawiane na konferencji RSA w Londynie pokazywały ponad wszelką wątpliwość, że 97% komputerów z Zeusem na pokładzie wykorzystywało IE do przeglądania Internetu. Byłem, rozmawiałem z ludźmi, nieoficjalnie, bo piętro niżej promowano IE8 w kolorowych folderach, reklamując, że moduł antyphishingowy jest debest. Na tej samej konferencji pokazywano jak z zerowymi uprawnieniami wrzucić spyware do jądra Windows 7 64 bit (proszę to skojarzyć z dwiema dziurami w IE, więcej naprawdę nic nie mogę powiedzieć).
Ileś procent (30? nie pamiętam dokładnie) zarażonych Zeusem lapków to komputery firmowe, gdzie działają antywirusy, IPSy itp itd. To jaka jest naprawdę skuteczność tych narzędzi? Oto jest pytanie.
Poza tym jest to faktem – do IE są znane i powszechnie publikowane eksploity, które DZIAŁAJĄ. Na FF chwilowo nie ma, przynajmniej nic takiego nie pokazują żadne „zaprzyjaźnione” IPSy, takich firm jak właśnie Tipping Point czy IBM. Nie liczę tutaj dziurawych wtyczek typu Flash, jedynie sama przeglądarka.
Z jednym się zgadzam – IE8 jest znacznie lepszym produktem pod względem bezpieczeństwa niż IE6 czy 7. Nadal jednak jest to druga liga. Gdy chodzi o zgodność ze standardami, to jest to okręgówka. IE trzeba zostawić wyłącznie do tych firmowych aplikacji, które nie chcą działać z niczym sensownym.
Szkoda cykli CPU – nie używajcie Internet Explorera do przeglądania Internetu. Aby obejrzeć różnicę, wystarczy odpalić Google Wave. Widać wtedy sprinterów (Chrome), średnio szybkich biegaczy (Firefox) oraz żółwi w zbiorniku z melasą (IE7 i 8). Dla systemu Windows jest wiele lepszych przeglądarek. Firefox jest jedyną z nich, która posiada sensowny mechanizm centralnego zarządzania w firmie a do tego nie jest jeszcze atakowana – dlatego polecam właśnie ją.
#7 by pb2004 on 21 stycznia 2010 - 11:47
Quote
„Nie, to nie wynika z antymicrosoftowego nastawienia, wynika stąd, że
zdarzało mi się analizować logi z IPSów. W firmie, w której do
przeglądania Internetu korzystano z Firefoksa z odpowiednimi dodatkami,
ilość alarmów była o trzy rzędy wielkości niższa niż tam, gdzie
trzymano się IE.”
Trudno się dziwić gdy porównujemy IE na domyślnych ustawieniach ze
ztuningowanym Firefoksem.
„Według mnie właśnie lista dozwolonych stron z JS i wtyczkami per
domena jest dobrym narzędziem. To się da zrobić i niektóre firmy to
robią – chwała im za to. W FF jest to prostsze.”
W IE także przecież można także odpowiednio poustawiać
zabezpieczenia dla każdej strefy i stworzyć listę zaufanych domen z
dozwolonymi pluginami activex i skryptami. Jeśli taka lista może
powstać dla dodatku noscript to może powstać także dla wbudowanej od
zawsze funkcji IE.
„Co do wykorzystania informacji o luce w IE – wiedziałem o jej
istnieniu jeszcze ZANIM cokolwiek opublikowano, właśnie z raportów
IPSów. Ta dziura ziała, dwa tygodnie były słane bardzo konkretne
eksploity, zanim ktokolwiek podniósł alarm. Gdyby Chińczycy nie
zaatakowali Google, z tej dziury korzystałyby chyba tylko moduły
instalujące Sinowala, Zeusa czy prozaiczne Limbo. Dlaczego ktoś
musiał nadepnąć na odcisk Google, by dało się ogłosić, że
użytkownicy IE są poważnie zagrożeni? Przykro to mówić, ale
nieoficjalnie statystyki omawiane na konferencji RSA w Londynie
pokazywały ponad wszelką wątpliwość, że 97% komputerów z Zeusem
na pokładzie wykorzystywało IE do przeglądania Internetu.”
Ależ ja nie zaprzeczam że IE6 i Windows Xp na obecne czasy są słabo
zabezpieczone na domyślnych ustawieniach.
„Na tej samej konferencji pokazywano jak z zerowymi uprawnieniami
wrzucić spyware do jądra Windows 7 64 bit (proszę to skojarzyć z
dwiema dziurami w IE, więcej naprawdę nic nie mogę powiedzieć).”
O którym konkretnie wystąpieniu mowa?
„Poza tym jest to faktem – do IE są znane i powszechnie publikowane
eksploity, które DZIAŁAJĄ. Na FF chwilowo nie ma, przynajmniej nic
takiego nie pokazują żadne “zaprzyjaźnione” IPSy, takich firm jak
właśnie Tipping Point czy IBM. Nie liczę tutaj dziurawych wtyczek
typu Flash, jedynie sama przeglądarka.”
Po prostu celem ataków obecnie jest głównie IE6. Pod tą
przeglądarkę są pisane eksploity bo to jest obecnie najłatwiejsze.
Ostatnie Pwn2Own pokazało jednak że napisanie exploita na Firefoksa
także nie jest żadnym problemem.
„Z jednym się zgadzam – IE8 jest znacznie lepszym produktem pod
względem bezpieczeństwa niż IE6 czy 7. Nadal jednak jest to druga
liga.”
Powyższe nie ma niestety żadnego podparcia w faktach:
Google Chrome: sandbox, mic, dep, aslr
IE8: mic, dep, aslr
Firefox: dep, aslr
Powyższe porównanie pokazuje dobitnie kto jest najniższą ligą pod względem
stosowanych zabezpieczeń.
„Szkoda cykli CPU – nie używajcie Internet Explorera do przeglądania
Internetu. Aby obejrzeć różnicę, wystarczy odpalić Google Wave.
Widać wtedy sprinterów (Chrome), średnio szybkich biegaczy (Firefox)
oraz żółwi w zbiorniku z melasą (IE7 i 8). Dla systemu Windows jest
wiele lepszych przeglądarek.”
Ależ tutaj zgoda. Pod względem obsługi standardów będących w fazie
working draft IE8 wypada najgorzej.
„posiada sensowny mechanizm centralnego zarządzania w firmie”
A tu już nie ma zgody. Brak instalatora msi co utrudnia aktualizację i
brak obsługi szablonów administracyjnych powodują że jeszcze przed
Firefoksem długa droga do sensownego mechanizmu zarządzania w firmie.
#8 by marcinm on 21 stycznia 2010 - 20:05
Quote
Po kolei:
1) porównujemy stuningowane IE z tuningowanym FF. Nie dopuszczałem pozostawienia IE na defaulcie, za to były minusowe wyniki na audycie,
2) lista owszem jest, ale nie daje możliwości ustawień warunkowych, czyli czegoś, co jest szczególnie mocną stroną dodatków – domyślnie blokujemy Flash, ale użytkownik moze wyświetlić go wtedy, gdy jest to np element nawigacyjny strony. Tego IE nie potrafi, bo musielibyśmy dać userowi uprawnienia do zmiany wpisów w strefach bezpieczeństwa.
3) ataki są kierowane głównie na IE6/7. Gdy przeglądałem raporty z kilku urządzeń, podział eksploitów jest mniej więcej pół na pół – w obu przypadkach odsiewam ataki via flash – to inna klasa. Mniej więcej 10% liczebnie ataków powiodłoby się w IE8 na defaulcie. Kiedyś robiłem tenst na wirtualkach z użyciem paczek kodu zebranych przez „żniwiarkę” malware’u. Teraz porównujemy TYLKO przeglądarki bez wtyczek takich jak Flash.
4) mowa o wystąpieniu dwóch Szwedów z TrueSec, tekst został opublikowany w CW 40-41 (http://www.securitystandard.pl/news/351667/Dwa.ruchy.i.jestesmy.w.Windows.7.html). Informacji o statystykach botnetów dostarczał m.in. Uri Rivner, podobne statystyki co do działania malware’u dostałem również od Raimunda Genesa z Trend Micro. Jeszcze nie mogę powiedzieć w jaki sposób obchodzą DEP, ale to jest możliwe w Win7 64bit. To dowodzi, że zabezpieczenia Windows 7/ 2008Server R2 nie zostały załatane od listopada ub.r.!
Wersje 32 bitowe były atakowane inaczej, z użyciem elewacji przywilejów jednego ze składników – błąd pochodzi jeszcze z NT3.51, był łatany w NT4.0 SP4 (bezskutecznie), kolejne próby robiono w Windows 2000, luka występuje do dziś. Mechanizm ataku jest nieco skomplikowany, ale kod eksploita jest już znany „in the wild”. Instaluje Zeusa lub któreś z drive-by w rodzaju Rewardnet.
5) zgoda, że eksploity na FF są w zasięgu cyberprzestępców. Tak samo, jak w przypadku Chrome. Ale NIE MA ich „in the wild”, pomimo, że w Europie FF wygrywa z IE w wielu krajach. Technologia ataków na IE jest dopracowana od lat i każda z luk jest wykorzystywana komercyjnie przez co najmniej miesiąc zanim ktokolwiek podejmuje działania. FF NIE jest eksponowany na atak. Przynajmniej na razie, dlatego warto z tego skorzystać. Krajobraz się na pewno zmieni, ale nie nastąpi to natychmiast.
Po stronie dziur w IE należy dodać ActiveX. Jakikolwiek poważniejszy błąd w którejkolwiek zainstalowanej kontrolce z lokalnego systemu wykłada cały mechanizm, jeśli tylko cokolwiek z ActiveX jest włączone. Opera, FF, Chrome czy K-meleon NIE obsługują ActiveX. I to jest ich wielki plus.
6) Być może nie ma w technologii, ale ma w statystyce korporacyjnych IPSów z górnej półki, których logi dane mi było przeglądać. NA RAZIE FF nie jest atakowany. A IE jest i będzie, I JESZCZE nie został załatany.
7) IE od dawna wypada najgorzej w dziedzinie standardów, zarówno opublikowanych, jak i draft. Proszę porozmawiać z dowolnym webmasterem na temat obchodzenia błędów renderowania stron w IE. I hacków, by z jakąkolwiek wydajnością to pracowało. Mam konkretny feedback na ten temat od czytelników. Gdy do tego dodać ogólną wydajność, to widać, że jest to najwolniejsza przeglądarka na rynku, gdy strona silnie wykorzystuje JavaScript (a takie są dzisiejsze strony). Przy aplikacjach takich jak ZOHO Writer, różnica jest kilkunastokrotna na korzyść FF, nie mówiąc o Chrome.
8 ) W samym wpisie podałem gotowe rozwiązanie jednej firmy, na rynku jest kilkanaście takich ofert. SĄ DOSTĘPNE PACZKI MSI NA ŻYCZENIE z predefiniowanymi dodatkami NA ŻYCZENIE, są dostępne szablony administracyjne oraz skrypty POWERSHELL. To działa od DWÓCH LAT w tej czy innej formie. Jest to usługa komercyjna, ale są także takie rozwiązania za darmo. Proszę zadać sobie odrobinę trudu i czytać wpis. OSOBIŚCIE w ten sposób instalowałem FF, z dodatkami, z predefiniowanym zachowaniem NoScripta na dość dużej ilości maszyn za pomocą Active Directory oraz Novell ZENWorks. Włącznie ze masowym sprawdzaniem wersji i ustawień za pomocą narzędzi odpytań wbudowanych w coś co się zowie McAfee ePolicy Orchestrator, gdy jeszcze nie było PowerShella w Windows.
#9 by Ister on 21 stycznia 2010 - 22:57
Quote
Dłuższy czas pracowałam jako webmaster (od jakiegoś czasu ktoś inny zajmuje się tą niewdzięczną robotą). Trzymam kciuki za tym, żeby wreszcie IE straciło monopol na rynku i żeby można było przestać się z nim liczyć, bo smutna prawda jest taka, że IE blokuje postęp technologii. Weźmy np CSS3, które jest już prawidłowo interpretowane w większości przeglądarek (w mniejszym lub większym stopniu) mógłby bardzo ułatwić życie koderom i projektantom. Niestety, polityka Microsoftu jest taka, że mają w głębokim poważaniu standardy, wystarczy spojrzeć na to, że ACID 2 przeszła dopiero wersja 8 IE a z ACID 3 to sobie chyba i 10 nie poradzi, IE 8 przechodzi 20 testów, IE 9 całe 32. Dla porównania – Safari i Opera miesiąc po wydaniu testu ACID 3 przechodziły go w 100% (wersje robocze), Chrome dociągnęło też szybciutko, niestety, FF przechodzi „jedynie” 93 testy, a w wersji 3.7a1 – 96. Jak to się przekłada na codzienne życie biednego webmastera? Ano tak, że np świetny format PNG obsługujący półprzezroczystość, w IE6 trzeba było hakować za pomocą JS, dopiero wersja 7 dała sobie z tym radę. Taki mały przykładzik, ale niestety, doprowadzenie strony do stanu używalności pod przeglądarkami microsoftu zawsze wymagało albo haków, albo rezygnacji ze standardów i eleganckich rozwiązań (np rezygnacja z rozwiązania jakiegoś zagadnienia jedynie za pomocą styli CSS na rzecz skryptu JS). Dodam tylko, ze komercyjne strony są tak przygotowywane, żeby dobrze wyglądały nawet w IE 6 (ze względu na nadal spory udział tej przeglądarki na rynku) co wymaga chwilami ogromnych nakładów pracy i tak naprawdę jest istną katorgą.
Dlatego ja może będę miała troszkę inny apel – Nie używajcie IE, ale jeśli już KONIECZNIE musicie, proszę, wręcz błagam, używajcie najnowszej wersji, to nie boli.
P.S. A tak poza tym – jak można przeglądać strony pod IE7 i wyższe i nie dostać oczopierdolca od aliasowanych czcionek? Zazwyczaj po kilku minutach mam już problemy z ostrością widzenia. Ale ja dziwna jestem, okulary noszę…
#10 by pb2004 on 22 stycznia 2010 - 19:45
Quote
„1) porównujemy stuningowane IE z tuningowanym FF. Nie dopuszczałem
pozostawienia IE na defaulcie, za to były minusowe wyniki na audycie,”
Jeśli przez stunigowanie Firefoksa jest rozumiany dodatek noscript to
jedyne obiektywne porównanie jest wtedy gdy strefa internet w IE jest
ustawiona na High.
„2) lista owszem jest, ale nie daje możliwości ustawień warunkowych,
czyli czegoś, co jest szczególnie mocną stroną dodatków –
domyślnie blokujemy Flash, ale użytkownik moze wyświetlić go wtedy,
gdy jest to np element nawigacyjny strony.”
Jeśli to jest strona niezaufana i mimo to użytkownik ma decydować o
włączeniu obiektu flash lub skryptu to gdzie tu dodatkowa ochrona?
Przecież na takie zabezpieczenie wystarczy prosta socjotechnika. Jeśli
zaś strona jest zaufana to tym bardziej nie ma powodu aby obiekty
flash/skrypty na niej były wyłączone.
„3) ataki są kierowane głównie na IE6/7.”
To jest przecież oczywiste. Są to dwie najsłabiej zabezpieczone
przeglądarki, które są dość popularne i zainstalowane najczęściej
na Windowsie XP co jest ich dodatkowym atutem.
„4) mowa o wystąpieniu dwóch Szwedów z TrueSec, tekst został
opublikowany w CW 40-41
(http://www.securitystandard.pl/news/351667/Dwa.ruchy.i.jestesmy.w.Windo
ws.7.html). Jeszcze nie mogę powiedzieć w jaki sposób obchodzą DEP,
ale to jest możliwe w Win7 64bit.”
No cóż. Trzeba czekać na publiczny white paper.
„był łatany w NT4.0 SP4 (bezskutecznie),”
Jest ta próba wymieniona na liście poprawek tego SP?
„5) zgoda, że eksploity na FF są w zasięgu cyberprzestępców. Tak
samo, jak w przypadku Chrome. Ale NIE MA ich “in the wild”, pomimo,
że w Europie FF wygrywa z IE w wielu krajach. Technologia ataków na IE
jest dopracowana od lat i każda z luk jest wykorzystywana komercyjnie
przez co najmniej miesiąc zanim ktokolwiek podejmuje działania.”
Jest dopracowana dla IE6 i być może IE7 pod XP. Jednak nie dla IE8 pod
Windowsami 6.X. Co zresztą pokazały ostatnie wydarzenia. W praktyce
został wykorzystany exploit dla IE6 na XP. Później już gdy poprzedni
exploit był znany powstał dla IE7 i dopiero na końcu omijający DEP i
działający w 1% (Win 6.X) przypadków tylko w obrębie Protected Mode
exploit dla IE8. Tylko ten dla IE6 był „in the wild”.
„Po stronie dziur w IE należy dodać ActiveX. Jakikolwiek poważniejszy
błąd w którejkolwiek zainstalowanej kontrolce z lokalnego systemu
wykłada cały mechanizm, jeśli tylko cokolwiek z ActiveX jest
włączone.”
Musi być jeszcze ta kontrolka oznaczona jako do użycia w
przeglądarce(scripting safe) i użytkownik musi zaakceptować jej
start.
6) Być może nie ma w technologii, ale ma w statystyce korporacyjnych
IPSów z górnej półki, których logi dane mi było przeglądać. NA
RAZIE FF nie jest atakowany. A IE jest i będzie,
IE6/7 zgoda. IE8 vs Firefox na Viście/Win7 to się dopiero okaże.
„7) IE od dawna wypada najgorzej w dziedzinie standardów, zarówno
opublikowanych, jak i draft.”
I właśnie dlatego jeśli już zachęcać do Firefoksa to z tej
pozycji, nie z łatwo falsyfikowalnych twierdzeń o lepszych
zabezpieczeniach.
„8 ) W samym wpisie podałem gotowe rozwiązanie jednej firmy, na rynku
jest kilkanaście takich ofert.”
Wszystkie rozwiązania są 3rd party, a ja miałem na myśli
rozwiązania producenta oprogramowania.
#11 by marcinm on 23 stycznia 2010 - 13:06
Quote
Zacznę od końca – już sam system operacyjny Microsoft Windows nie może działać bez rozwiązań 3rd party w postaci oprogramowania antywirusowego z HIPSem i porządnej zapory i innych, wspomnianych na końcu (to, co dostarcza Microsoft nadaje się jedynie do wymiany, chłopaki jeszcze muszą parę lat popracować nad technologią ochrony własnego systemu przed śmieciami). Także użycie 3rd party nie zmienia faktu, że Firefoksem DA SIĘ zarządzać centralnie i można zrobić to sprawnie. To nie jest dla mnie argument, technologia jest dostępna i dobrze udokumentowana.
Chociaż firmy bronią się rękami i nogami przed Windows Vista i 7, mam statystyki z IPSów w firmach, które jednak mają IE8. Wygląda to nieszczególnie. Nie mam zgody na publikację, ale przejrzałem bardzo rozległe raporty i wiem o atakach na IE8. Są.
Raporty, które dostaję od specjalistów od bezpieczeństwa, pokazują ponad wszelką wątpliwość, że malware doskonale działa w Windows 7, znacznie lepiej, niż inne programy, także Microsoftu. To samo dotyczy eksploitowania dziur w kontrolkach ActiveX najnowszej wersji IE. Są. Dlatego trzeba całkowicie wyłączyć obsługę ActiveX by móc chociaż próbować zbliżyć się do bezpieczeństwa Firefoksa.
Co do domyślnego blokowania obiektów z zaufanych stron – a czy Pan wie jak zazwyczaj robi się przejęcie strony i gdzie umieszcza się skrypt drive-by download? Z której domeny on działa? Przypadek strony firmy Honda? Rings the bells? Wiem, socjotechniką można załatwić wiele, ale wprowadzając rozsądne blokowanie obiektów zmniejszamy ryzyko biznesowe spowodowane przeglądaniem Internetu.
Zgadzam się, że aby IE mógł chociaż próbować zbliżyć się do bezpieczeństwa poprawnie skonfigurowanego FF, należałoby w nim całkowicie wyłączyć JavaScript i całą aktywną zawartość – ale wtedy IE nie nadaje się w ogóle do przeglądania Internetu. Zresztą i tak się ledwo nadaje (patrz – powolność i niezgodność ze standardami, ale to nie jest przedmiotem sporu), może nie sprawia to żadnej różnicy?
Dlaczego wyłączać JS w IE?
Cytuję mojego kolegę, specjalistę do spraw bezpieczeństwa aplikacji: „Jest dziura w JS IE (local execute) wynikająca z błędnych założeń konstrukcyjnych, jest na to pełno eksploitów. W IE7 wprowadzili no admin, wiec execute się robi z lokalnego użytkownika. Niby lepiej, ale to jest złe podejście i stąd cała kupa błędów. W FF czy Chrome cały motor JS został przepisany od nowa, by działał poprawnie. W IE wyszli z założenia – rzeczywiście mamy słaby motor, dziurawy jak ser szwajcarski, więc odbierzemy mu dużo uprawnień i być może będzie dobrze. Przez to dzisiaj można wywalić IE8 za pomocą odpowiedniego skryptu JS albo pracować w obrębie procesu. W FF/Chrome oba motory zostały przepisane pod kątem bezpieczeństwa”. Koniec cytatu.
Jak dla mnie IE7 to nadal badziewie, które nie nadaje się do niczego, co ma chociaż w założeniach spełniać podstawowe warunki bezpieczeństwa. Wykazywanie bezpieczeństwa IE8 jest niepoważne, bo ten produkt jeszcze nie został porządnie przetestowany, zatem najpoważniejsze błędy jeszcze nie wyszły publicznie. Raporty z firmowych HIPSów pokazują, że SĄ JUŻ wykorzystywane eksploity, które radzą sobie z IE8 on Win7 fully patched. Nie zawsze wiem JAK oni to robią (chociaż trochę wiem), nie wnikam w to, nie jestem hackerem ani testerem bezpieczeństwa. Wiem jedno – w badanej organizacji przeinstalowano 12 komputerów zarażonych Zeusem. Mimo wykorzystywania kompletu zabezpieczeń, analiza powłamaniowa pokazała, że wykorzystano dziurę w IE. Żeby było śmieszniej – nie tę najgłośniejszą ze słynnym wskaźnikiem. Po reinstalce wdrożono FF i dostrojono go do standardów polityki bezpieczeństwa w korporacji. IE zablokowano całkowicie. Ilość alarmów zmalała prawie do zera, funkcjonalność przeglądania Internetu jest na takim samym poziomie.
Podtrzymuję apel by nie używać IE. W tej chwili FF zapewnia dużo lepsze bezpieczeństwo. Zapewne pojawią się eksploity także na FF, ale zrobienie wielu ataków będzie trudniejsze. Na razie FF nie jest masowo atakowany, w przeciwieństwie do dziurawego IE.
System Windows może być bezpieczny po uzupełnieniu produktami 3rd party, są nimi: antywirus z HIPSem, zapora sieciowa, przeglądarka internetowa, moduł ochrony przed obcymi nośnikami USB, moduł ochrony przed wyciekiem informacji (DLP), pełnodyskowe szyfrowanie nośników i dysków lokalnych z korporacyjnym zarządzaniem, klient IPSec VPN, opcjonalnie dwuskładnikowe uwierzytelnienie.
Windows ma dobry model bezpieczeństwa ale fatalną jego implementację, spowodowaną zapewne pośpiechem i czynnikami marketingowymi. Wiele założeń jest bardzo dobrych, ale szwankuje wykonanie.
Nie jestem wrogiem Microsoftu, jestem wrogiem rozwiązań, które są defective by design. Takim produktem jest między innymi Internet Explorer. Pocieszę Pana – nie jest to jedyny taki produkt.
#12 by marcinm on 23 stycznia 2010 - 22:53
Quote
Mała aktualizacja – twórcy świetnego narzędzia Core Impact ponownie wzięli na tapetę świeżo załatane IE (przypomnijmy, oprócz jednej dziury ze wskaźnikiem załatano kilka innych, mniej krytycznych). Na wyniki nie trzeba było długo czekać – po załataniu jednej z dziur, w kolejce jest następnych pięć jeszcze nieoficjalnych. Umożliwiają one w pewnych warunkach zdalne przejęcie kontroli nad systemem czyli są co najmniej Critical. Nowe sygnaturki IPSów pokazują kolejną dziurę, tym razem z aktywnym eksploitem.
To gdzie jest to bezpieczeństwo Internet Explorera? Nie widzę go jakoś w praktyce.
#13 by pb2004 on 28 stycznia 2010 - 18:49
Quote
Na koniec dyskusji. Nie było moim celem przekonywanie do używania IE8. Każdy ma prawo używać przeglądarki według własnego wyboru. Moim celem było tylko zwrócenie uwagi że twierdzenie że produkt X zapewnia bezpieczeństwo i zachęcanie na przejście na produkt X tylko na podstawie tego że produkt X nie jest obecnie celem ataków to kiepska podstawa i do tego będąca wielkim uproszczeniem. Tworzy tylko mylne przeświadczenie o całkowitym bezpieczeństwie bo nie jest się celem ataku. Poza tym inna sprawa to czy dany exploit zadziała a to już zależu od także systemu i zabezpieczeń przeglądarki. W przypadku Chrome i IE8 na Windowsach 6.X i sprzęcie z obsługą sprzętowego DEP nawet gdy exploit zadziała to musi pokonać dodatkowe bariery. Dlatego też zanim ktoś zmieni przeglądarkę należy dla obiektywności przekazu zaznaczyć że inne przeglądarki także posiadają równie groźne dziury.