В данной статье пойдет речь о том, как можно проверить безопасность своего браузера. Читатели узнают о различных способах слежки за их деятельностью в Интернете и мерах предотвращения подобной активности.
Введение
Почему пользователи часто видят рекламу, связанную с вещами, которые они купили, искали или хотели бы приобрести? Насколько опасно полное раскрытие личных данных? Как можно лучше защитить свою частную жизнь в Интернете?
Эта статья поможет читателям ответить на эти и другие вопросы и расскажет об эффективных способах защиты своей приватности в сети.
Важно отметить, что компании, которым принадлежат популярные браузеры, такие как Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, стараются максимально защитить пользователей и их личную информацию во время серфинга в Интернете. Данная статья поможет сделать активность в глобальной сети еще более защищенной, не забывая об усилиях, которые уже приложили разработчики при создании программ.
Интернет – это ворота в виртуальный мир, где есть торговля, бизнес, платформы для общения людей, находящихся в разных точках планеты. Глобальная сеть богата на возможности – отсюда и необходимость обезопасить себя (как и в реальном мире), поскольку не у всех в Интернете честные намерения.
Хоть на компьютере и может быть установлена антивирусная программа, которая блокирует различные виды вредоносной активности, сам браузер порой является уязвимым местом. Какие же опасности ждут пользователя в сети? Давайте узнаем.
Межсайтовый скриптинг (Cross-Site Scripting или XSS)
Межсайтовый скриптинг можно описать как внедрение вредоносного кода (обычно – JavaScript), целью которого является компрометация безопасности веб-приложения через клиент (в основном через браузер). Злоумышленники часто используют подобные атаки, чтобы найти слабые места в Content Security Policy (CSP) в некоторых веб-приложениях.
Существуют различные виды XSS. Давайте подробнее рассмотрим, что они собой представляют и как их используют хакеры.
Reflected XSS
Это очень распространенный тип XSS, необходимый для взаимодействия с клиентской частью приложения. Введенный код не сохраняется в базе данных, но ожидается, что он вызовет ответ со стороны клиента приложения. Эта атака будет выполнена успешно в случае, когда приложение принимает вводимые пользователем данные и возвращает их после некоторой обработки без сохранения в своей базе данных.
Распространенным примером является небольшой чат-форум, где сообщения не сохраняются в базе данных. В таких случаях приложение принимает входные данные пользователя и выводит их в виде HTML. Злоумышленник может использовать вредоносный скрипт, например, чтобы изменить дизайн или цвета, добавив CSS в теги.
Большая опасность грозит пользователям приложения, потому что скрипт, по сути, будет выполняться в их браузерах, что, в свою очередь, может привести к краже личной информации. Например, хакер сможет добраться до данных для автоматического заполнения форм, что хранятся в браузере. Многие пользователи считают эту функцию удобной, поскольку она экономит время. Среди информации для автозаполнения форм можно найти имя, фамилию, адрес, данные кредитной карты человека. Если хакер сможет успешно осуществить атаку Reflected XSS, он получит доступ ко всей личной информации пользователя.
DOM XSS
DOM (Document Object Model) – это программный интерфейс, который интерпретирует HTML (или XML), и определяет логическую структуру конкретной веб-страницы. Этот тип XSS использует веб-приложения с небезопасным встроенным кодом JavaScript. Атака нужна для непосредственного изменения DOM. В целом DOM XSS используется для изменения практически любой части веб-страницы, с которой взаимодействует пользователь, что в итоге может привести к фишингу.
Stored XSS
Это тип XSS, при котором вредоносный код не только отправляется обратно пользователю, но и хранится в базе данных веб-сервера, на котором размещено веб-приложение. Атака еще более опасна, поскольку может быть повторно использована для компрометации даже нескольких жертв. Уязвимость возникает в том случае, когда отправленные пользователями формы не проходят надлежащую проверку перед поступлением в базу данных.
Как правило, типы XSS можно комбинировать. Методы же, используемые при выполнении атаки, могут отличаться, но они всегда содержат некоторые общие черты.
Популярные браузеры, такие как Chrome и Edge, в качестве функции защиты разработали свои собственные протоколы безопасности клиентов, чтобы избежать XSS-атак. Они еще известны как X-XSS-Protection. В Chrome, например, есть XSS Auditor, который был представлен еще в 2010 году для обнаружения XSS-атак и остановки загрузки таких веб-страниц. Однако опция оказалась менее полезной, чем первоначально предполагалось, и позже была удалена. Это случилось после того, как разработчики выявили случаи ложного срабатывания во время загрузки безопасных веб-страниц.
Браузер Edge также имел фильтр XSS, который позже был удален. Разработчики Firefox и вовсе не собираются реализовывать опции X-XSS-Protection.
Сторонняя слежка (Third-party Tracking)
Еще одним важным моментом для обеспечения конфиденциальности в сети выступает контроль за сторонними файлами cookie. Файлы cookie, как правило, считаются полезными, поскольку используются веб-сайтами для идентификации уникальных пользователей и получения возможности соответствующим образом адаптировать пользовательский опыт. Так обстоят дела с сайтами электронной коммерции, где используются файлы cookie для сохранения сеанса покупок, а также товаров, которые пользователи добавили в корзину. Эти файлы cookie еще известны как cookies от первого лица (first-party).
Существует также несколько случаев использования second-party cookies, когда веб-сайты предлагают (или просто продают) свои файлы cookie другому сайту для показа рекламы пользователям. В этом случае файлы cookie могут рассматриваться как «second-party». Third-party cookies – это большие файлы cookie, которые используются для межсайтового отслеживания и ретаргетированной рекламы.
Это файлы cookie, размещаемые в браузерах пользователей без их ведома и согласия. Они нужны для получения информации об активности человека в сети (веб-сайты, которые он посещает; поисковые запросы, которые он совершает; интернет-провайдер, которым он пользуется). Можно также получить данные о характеристиках и даже заряде батареи ноутбука пользователя. Эта информация используется для создания профиля пользователя, чтобы в дальнейшем показывать ему целевую рекламу. Злоумышленники, которые крадут такого рода данные, обычно делают это с помощью интеллектуального анализа и могут продавать похищенную информацию крупным рекламным сетям.
В сентябре 2019 года Firefox объявил, что будет блокировать third-party cookies по умолчанию как в настольном, так и в мобильном браузере. Команда назвала это усиленной защитой от отслеживания, что отображается в адресной строке браузера значком щита.
Браузер Safari на устройствах Apple также блокирует сторонние файлы cookie для запрета отслеживания активности своих пользователей в Интернете.
В Chrome сторонние файлы cookie по умолчанию не блокируются. Чтобы включить эту функцию, нажмите на три вертикальные точки в правом верхнем углу – появится выпадающий список. Затем перейдите в «Настройки» и слева кликните на «Конфиденциальность и безопасность». Далее кликните на «Настройки сайтов» и найдите раздел «Файлы cookie и другие данные сайтов». Здесь выберите опцию «Блокировать сторонние файлы cookie».
Криптомайнеры
Некоторые веб-сайты содержат скрипты для криптомайнинга, созданные владельцем веб-сайта или добавленные третьими сторонами. Эти скрипты дают возможность хакерам использовать компьютерные ресурсы жертвы для майнинга криптовалют.
Подобная практика является дополнительным средством финансирования для интернет-площадок. Веб-сайты обычно оставляют сообщения для пользователей, чтобы они были в курсе их деятельности. Однако некоторые интернет-площадки используют компьютерные ресурсы посетителей без их ведома, что может привести к значительному ухудшению скорости работы ПК. Следовательно, очень важно, защитить себя от подобных действий.
Некоторые браузеры имеют встроенные утилиты для блокировки таких скриптов. Например, в Firefox есть специальная опция для блокировки криптомайнеров как на ПК, так и на мобильных устройствах (аналогично и в Opera). В Chrome и Safari для достижения той же цели необходимо установить расширения.
Цифровой отпечаток устройства
По данным Википедии, фингерпринт или отпечаток компьютера (браузера) – это информация, собранная об удалённом устройстве для дальнейшей идентификации. Сам же фингерпринтинг – это сбор этой информации. Отпечатки могут быть использованы полностью или частично для идентификации, даже когда cookie выключены.
Браузер пользователя может предоставить много информации об используемом устройстве. Здесь применяются различные эксплойты, в частности, используются теги html5 «<canvas>» для получения информации об устройстве, такой как объем памяти, время автономной работы, характеристики процессора. Фингерпринт также может раскрыть реальный IP-адрес пользователя и его геолокацию.
Некоторые пользователи склонны считать, что использование режима инкогнито в браузере защищает от фингерпринтинга, но это не так. Приватный режим, на самом деле, не является приватным – браузер всего лишь не сохраняет файлы cookie и историю посещенных страниц локально, однако эта информация все равно останется на посещенном веб-сайте. Следовательно, фингерпринтинг все еще возможен на таком устройстве.
Утечки данных WebRTC
WebRTC – это проект с открытым исходным кодом, предназначенный для организации передачи потоковых данных между браузерами. WebRTC стал прорывом в области коммуникации. Согласно сайту RTC, с помощью WebRTC пользователь может добавить в свое приложение возможности связи в реальном времени, работающие поверх открытого стандарта. Он поддерживает передачу видео, голоса и общих данных между одноранговыми узлами, что позволяет разработчикам создавать мощные решения для голосовой и видеосвязи.
Интересно, что в еще 2015 году пользователь GitHub («diafygi») впервые обнаружил уязвимость в WebRTC, что вела к раскрытию огромного количества информации о человеке, такой как локальный IP-адрес, общедоступный IP-адрес, мультимедийные возможности устройства (характеристики микрофона и камеры).
Уязвимость была обнаружена, когда diafygi отправил браузеру так называемые запросы STUN на раскрытие указанной выше информации. Он опубликовал результаты своей практики здесь.
С тех пор браузеры внедрили дополнительные функции безопасности для защиты от уязвимостей WebRTC. Однако с годами эксплойты становились все более опасными, и эта уязвимость сохраняется и по сей день. Выполнив простую проверку безопасности, пользователь сможет увидеть, сколько информации можно получить в результате утечки данных WebRTC.
В Chrome можно установить расширения, обеспечивающие защиту от утечки RTC. Аналогичная опция есть и в Firefox. В Safari есть возможность отключить WebRTC, однако это может повлиять на использование некоторых веб-приложений для общения в реальном времени.
Прокси-серверы для просмотра веб-страниц
Бесплатные прокси помогают повысить уровень конфиденциальности, перенаправляя веб-трафик пользователей через «анонимные» серверы. Однако эксперты в сфере ИБ не уверены в том, что это действительно помогает обеспечить приватность. Прокси-серверы могут защитить пользователя от «открытого» Интернета, но не от серверов, через которые проходит их интернет-трафик. Следовательно, использование вредоносного бесплатного веб-прокси, созданного для сбора пользовательских данных, может привести к утечке данных.
Как же проверить безопасность своего браузера?
Тестирование безопасности браузера поможет понять, какой объем данных при взломе получит злоумышленник и как можно предотвратить вредоносную атаку.
1. BrowserCheck
BrowserCheck от Qualys выполняет быструю проверку браузера на наличие отслеживающих файлов cookie и известных уязвимостей.
2. ESNI Checker
Cloudflare выполняет быструю проверку стека DNS и TLS браузера на наличие уязвимостей.
3. Privacy Analyzer
Privacy Analyzer сканирует браузер на наличие любых лазеек в безопасности, включая практики фингерпринтинга.
4. Panopticlick
Panopticlick предлагает проверить ПК на наличие сторонних файлов cookie для отслеживания, а также установить расширение для Chrome для защиты от любой слежки в сети.
5. Webkay
Webkay дает возможность просмотреть данные, которые хранит о пользователе его браузер.
6. Проверка SSL-клиента
Можно проверить свой браузер на уязвимости TLS здесь (от Qualys).
Всесторонняя проверка SSL в браузере доступна и на этом сайте (от How’s My SSL?). Он проверяет сжатие TLS, наборы шифров, поддержку сеансовых билетов.
7. AmIUnique
AmIUnique проверяет, был ли фингерпринт пользователя в какой-либо общедоступной коллекции фингерпринтов в мире.
Как усилить защиту браузера?
Нужно внимательно относиться к конфиденциальности и безопасности своей деятельности в Интернете. Следовательно, необходимо точно знать, какие настройки безопасности доступны в браузере. Каждый браузер имеет свои собственные настройки приватности, которые предоставляют пользователю контроль над тем, какой информацией он будет делиться с веб-сайтами. Давайте взглянем на список общих рекомендаций к настройке браузера:
- Отправка веб-сайтам запросов «Не отслеживать»
- Блокировка всех сторонних файлов cookie
- Отключение ActiveX и Flash
- Удаление всех ненужных плагинов и расширений
- Установка дополнений для обеспечения конфиденциальности
Автор переведенной статьи: Idris Lawal.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube | Пульс.
