Technologie i narzędzia zwiększające bezpieczeństwo w sieci
#1
Pisaliśmy już o trochę o

[Aby zobaczyć linki, zarejestruj się tutaj]

, ale temat został zaledwie poruszony i wiele brakuje mu do "wyczerpania". Dawno niczego nie napisałem, więc z przyjemnością zajmę się wstępem do zagadnień dotyczących rozwiązań, które niekoniecznie są nam bliskie, a czasami nawet nie wiemy, że z nich korzystamy. Chyba bezapelacyjnie można zgodzić się ze stwierdzeniem, że przeglądarki internetowe z oprogramowania służącego do wyświetlania niegdyś statycznych treści stron www, wyrosły na potężne, wielofunkcyjne narzędzia służące praktycznie każdemu - od momentu sfinalizowania połączenia sieciowego na dowolnym urządzeniu.

[Aby zobaczyć linki, zarejestruj się tutaj]


Ewolucja systemów operacyjnych oraz przeglądarek internetowych
Każdego dnia z globalnej sieci Internet korzystają miliony użytkowników na całym świecie. Według statystyk, w roku 2010 na terenie samej Polski było 22 450 600 aktywnychużytkowników Internetu. W roku 2012 liczba ta zwiększyła się do 24 940 902 , stawiając tym samym Polskę w pierwszej dziesiątce państw objętych statystykami wykorzystywanymi przez Internet World Stats. Niezależnie od tego, czy z Internetu korzysta się w celach osobistych, rozrywkowych, edukacyjnych, czy zarobkowych, za każdym razem użytkownicy sieci narażeni są na ataki złośliwego oprogramowania, które mogą prowadzić do strat moralnych, finansowych oraz destabilizacji pracy systemu informatycznego. Jak wynika z raportu (2014) opracowanego przez firmę Secunia, producenci systemów operacyjnych, oprogramowania zabezpieczającego, a przede wszystkim - producenci przeglądarek internetowych - dokładają wszelkich starań, aby zwiększyć bezpieczeństwo wymienianych w sieci informacji. W roku 2013 odnotowano o 166 mniej luk bezpieczeństwa (vulnerabilities) względem roku 2012, gdzie było ich aż 893 (łącznie w pięciu najpopularniejszych przeglądarkach: Chrome, Firefox, Internet Explorer, Opera, Safari). Większa część luk oznaczona była jako krytyczna (ang. Highly Critical).

Najpopularniejszym systemem operacyjnym dla urządzeń mobilnych jest niewątpliwie Android. Takiego samego zdania jest również Departament Bezpieczeństwa Narodowego oraz Departament Sprawiedliwości USA. Według raportu datowanego na 23 lipca 2012 roku, który jest wynikiem działań obu powyższych departamentów wynika, że 79% wszystkich zagrożeń dla mobilnych systemów operacyjnych stanowiło malware przygotowane dla urządzeń pracujących pod kontrolą systemu Android. Najpopularniejszym systemem operacyjnym dla komputerów klasy PC jest Microsoft Windows i nie trudno jest więc domyślić się, że większość najbardziej znanego złośliwego oprogramowania jest tworzona, aby na system ten oddziaływać. Podobna sytuacja dotyczy aktualnie przeglądarek internetowych - stanowią one najpopularniejszy i najwygodniejszy sposób korzystania z udogodnień oferowanych przez usługi internetowe. Poza pierwotną funkcją, czyli przeglądaniem zasobów Internetu, są również potężnymi narzędziami pozwalającymi użytkownikowi nie tylko na sprawdzanie skrzynki poczty elektronicznej, logowanie się do portali społecznościowych, kont bankowości internetowej, czy też odczytywanie firmowych i osobistych informacji zapisanych w plikach o zróżnicowanych rozszerzeniach. Wraz ze zwiększeniem różnorodności formatów plików, przeglądarki przeszły niemałą ewolucję. Producenci tacy jak Google Inc., Opera Software ASA, czy fundacja Mozilla w celu zaspokojenia oczekiwań użytkowników, musieli dodać do kodu swoich flagowych produktów funkcje umożliwiające m.in. odtwarzanie filmów i animacji Flash, odczytywanie plików PDF na poziomie przeglądarki (bez instalacji dodatkowych czytników); klienta poczty elektronicznej, obsługę przeglądania sieci w trybie prywatnym, menedżery haseł, możliwość eksportu i importu profilu, tudzież historii przeglądania i zakładek oraz zgodność z modelem dystrybucji oprogramowania takim jak SaaS (Software as a Service). Część z owych dodatków rozszerzających funkcjonalność przeglądarek została stworzona bezpośrednio przez producentów wtyczek takich jak Adobe Flash, Apple Quicktime, czy Microsoft Silverligh, a gotowe do scalenia z przeglądarką wtyczki można bez problemu znaleźć w oficjalnych sklepach produktów dla danych przeglądarek, np.:

Mozilla Firefox - Dodatki :

[Aby zobaczyć linki, zarejestruj się tutaj]

Google Chrome – Chrome Web Store:

[Aby zobaczyć linki, zarejestruj się tutaj]


Rozwój dodatków najlepiej było widać w przypadku przeglądarki Firefox. Była to pierwsza na rynku przeglądarka, która dawała możliwość instalowania setek, a następnie tysięcy dodatków usprawniających pracę i dodających efektów rozrywce w Internecie. Aktualnie również Google Chrome oraz Opera oferują własne, oficjalne sklepy umożliwiające rozszerzenie możliwości przeglądarek za pomocą rozwiązań firm trzecich oraz produktów własnych. Każda z wymienionych wyżej dodatkowych funkcjonalności może mieć bezpośredni wpływ na bezpieczeństwo danych prywatnych, czy firmowych oraz ogólne bezpieczeństwo systemu, w którym dana przeglądarka pracuje.

Postawienie przeglądarki internetowej na tle systemu operacyjnego nie jest przypadkowe i nieprzemyślane chociażby ze względu na koncepcję wykorzystania przeglądarki, jako głównego i jedynego menedżera plików w systemie operacyjnym Chrome OS.

[Aby zobaczyć linki, zarejestruj się tutaj]

Udział systemów operacyjnych klasy desktop w rynku - sierpień 2014

Architektura Google Chrome OS opiera się na jądrze Linux. W grudniu 2010 roku udział Linuksa w rynku systemów operacyjnych klasy desktop wynosił około 1%. Końcem kolejnego roku udział ten zwiększył się do 1,41%, a końcem 2012 roku spadł do około 1,19%. Przy podsumowaniu roku 2013, udział Linuksa w runku wynosił 1.73% i do sierpnia 2014 roku nie przekroczył wartości 1.74% . Na tej podstawie można wnioskować, że projekt – co widać po małej popularności – nie należy do wybitnie udanych, ale może być to związane z wieloma różnymi czynnikami, takimi jak kontrakty z producentami sprzętu, czy krótkim cyklem życia urządzeń typu netbook, dla których to właśnie Chrome OS był dedykowany.W 2014 roku Google przedłużyło czas wsparcia swojego systemu z 4 do 5 lati zaoferowało Pakiet Szkolny, przez co wyraźnie chce zwiększyć popularność przeglądarkowego systemu operacyjnego nawet w instytucjach państwowych.Z tego z kolei wynika, że potęga przeglądarki internetowej wyraźnie wykracza poza wyświetlanie statycznych oraz dynamicznych stron www. Podobnym - bo również opartym na architekturze jądra Linux – projektem jest Firefox OS (rozwijany przez Mozilla Corporation). Wyżej wymienione systemy różnią się jednak pod względem sprzętu, na jakim docelowo każdy z nich jest instalowany. O ile w przypadku Chrome OS są to netbooki oraz notebooki, to Firefox OS dedykowany jest urządzeniom typu smartfon. System rozwijany przez zespół firmy Mozilla nie odbiega możliwościami od najpopularniejszych na rynku graczy, jakimi są Android oraz iOS , oferując poza podstawowymi funkcjonalnościami możliwość tworzenia i edytowania albumów zdjęć, odtwarzanie muzyki, korzystanie z map (GPS), czy kupowanie aplikacji w sklepie Firefox Marketplace . Przy wszystkich, szerokich możliwościach systemu operacyjnego, Mozilla oficjalnie chwali swój produkt i reklamuje go, jako system pozwalający ograniczyć śledzenie użytkownika podczas korzystania z Internetu. Pomocna w tym celu ma być rozwijana przez organizację i zaimplementowana do systemu Firefox OS, funkcja prywatności - Do Not Track. Ponadto system oferuje elastyczne metody zarządzania hasłami, historią, ciasteczkami, czy prywatnymi danymi , a sama funkcja Nie Śledź polega na informowaniu odwiedzanych witryn, że internauta nie zgadza się na wykonywanie skryptów śledzących jego aktywność na stronie, na której aktualnie się znajduje.Wszystkie wymienione wcześniej funkcjonalności systemu Mozilli działają w oparciu o kod HTML 5 oraz JavaScript, a interfejs użytkownika Firefox OS jest wyświetlany przy pomocy silnika Gecko , który de facto jest domyślnym, rozwijanym przez fundację Mozilla silnikiem pracującym w desktopowej wersji przeglądarki Firefox.

Kolejne silne powiązanie przeglądarki internetowej z systemem operacyjnym to podatność na rodzaje nadużyć, które są zróżnicowane w zależności od wykorzystywanych systemów operacyjnych. W przypadkuWindows, do dyspozycji mamy wachlarz oprogramowania zabezpieczającego firm trzecich, a ilość modułów i technologii skanujących ruch sieciowy oraz zapisy i odczyty plików jest ogromna w porównaniu do systemów operacyjnych opartych o jądro Linux, na których ww. programów zabezpieczającego nie instaluje się praktycznie wcale. Biorąc pod uwagę powyższy fakt oraz specyficznie różną od systemu Windows budowę jądra Linux, można założyć, że zabezpieczenie przed nadużyciami nieznacznie się wyrównuje – w systemach Microsoft do dyspozycji pozostaje zewnętrzne, rozbudowane i stosunkowo skuteczne oprogramowanie zabezpieczające (Bitdefender - 99,8%, Avira - 99,7%, ESET - 99,2% wykrywalności złośliwego oprogramowania), ale za to podatność samego systemu na ataki malware jest o wiele większa niż w przypadku Linuksa. Z kolei w drugim systemie operacyjnym nie ma tak obszernych możliwości wykorzystania skanerów i modułów zabezpieczających firm trzecich, co znacznie wpływa na bezpieczeństwo podczas serfowania w sieci Internet. Brak skanerów ruchu www, które dostępne są w oprogramowaniu przeznaczonym dla systemów Windows, skutkowałby wysokim prawdopodobieństwem występowania ataków phishingowych oraz wykradających z przeglądarek poufne dane (w tym hasła do logowania w serwisach internetowych). Odpowiedzią na przedstawiony wyżej problem jest rozbudowanie przeglądarek o funkcje izolacji procesów i wykorzystanie piaskownicy (wirtualizacji pamięci operacyjnej i zasobów dyskowych). Funkcje te zostaną omówione w dalszej części pracy.

Relacja przeglądarki z systemem, na którym pracuje, jest również widoczna od strony architektury oprogramowania. Dynamiczna ewolucja systemów operacyjnych opartych o 64-bitową architekturę, pociągnęła za sobą możliwość rozwoju przeglądarek internetowych o rozwiązania niedostępne dla platform 32-bitowych. Nie była to konieczność z punktu widzenia użyteczności, ponieważ oprogramowanie 32-bitowe bez problemu działa w systemach 64-bitowych, lecz zmiana architektury przeglądarek zaowocowała pozytywnymi efektami w zakresie szybkości, bezpieczeństwa oraz stabilności działania. Wprowadzenie do przeglądarki Google Chrome architektury x64 pozwoliło deweloperom skorzystać z możliwości najnowszych procesorów oraz optymalizacji na poziomie kompilatorów, a to z kolei przyczyniło się do zwiększenia wydajności przeglądarki o średnio 25% (szczególnie w aspekcie szybkości przetwarzania multimediów), względem przeglądarki zaprojektowanej w 32-bitowej architekturze. W kwestii bezpieczeństwa Chrome może skorzystać z mechanizmów zabezpieczeń systemów 64-bitowych – w szczególności Windows 8 – gdzie ma możliwość wykorzystania rozszerzonej entropii funkcji ASLR.Badania deweloperów i analityków pracujących dla Google wykazały, że stabilność przeglądarki skrojonej na miarę 64-bitowego systemu Windows jest znacznie większa. Podczas testów oprogramowania dostępnego w kanałach aktualizacji Dev i Canary odnotowano o połowę mniej awarii, niż podczas testów przeglądarki w wersji x86.

Zagrożenia bezpieczeństwa przeglądarek – oprogramowanie firm trzecich
W podsumowaniu roku Kaspersky Security Bulletin 2013 wyraźnie widać, że technologia Java w roku 2013 stanowiła podłoże dla największej ilości wykrytych i zablokowanych przez oprogramowanie firmy Kaspersky incydentów bezpieczeństwa. Kołowy wykres aplikacji wrażliwych na ataki uwzględnia exploity stosowane przez cyberprzestępców w atakach internetowych oraz kompromitowaniu oprogramowania zainstalowanego na komputerach klasy PC i urządzeniach mobilnych.

[Aby zobaczyć linki, zarejestruj się tutaj]

Dystrybucja exploitów wykorzystywanych w cyberatakach ze względu na rodzaj atakowanych aplikacji

90,52% wszystkich odnotowanych prób użycia exploitów dla aplikacji zainstalowanych na urządzeniach użytkowników dotyczyło środowiska Java i wykonywane były one przez Internet – tak samo jak ataki za pośrednictwem stron www. Według Kaspersky Security Bulletin, ataków przeprowadzanych od strony sieci w roku 2013 było więcej o ponad milion, względem roku 2012, a najbardziej aktywnymi obiektami, które brały udział w atakach były szkodliwe linki (ang. Malicious URL). Adresy i odnośniki w formie widocznej (reklama) lub ukrytej (przeźroczysta ramka www) mogą znajdować się w sieci na stronach spreparowanych w celu infekowania komputerów, a także na stronach względnie zaufanych, które zostały zainfekowane.

Z badań Kaspersky Lab wynika również, że podatność przeglądarek na ataki, nie zależy jedynie od producenta przeglądarki, ani od tego która przeglądarka jest w danej chwili najpopularniejsza na rynku. Każda z aplikacji służących do przeglądania zasobów Internetu korzysta z takich samych standardów oraz technologii (np. Java, Silverlight, Flash, JavaScript), które mają zapewnić wygodne korzystanie z różnego rodzaju usług sieciowych. Technologie te niestety nie są doskonałe i bardzo często stanowią niemałe pole do popisu dla cyberprzestępców tworzących złośliwe oprogramowanie.

Przeglądarki internetowe - pierwsza linia obrony przed złośliwym oprogramowaniem
Internet, poza miejscem wymiany informacji - bo tak można nazwać każde działanie użytkownika w sieci – jest również olbrzymim narzędziem wykorzystywanym do dystrybucji złośliwego oprogramowania. Najczęstszymi drogami infekcji systemów informatycznych są media zewnętrzne oraz świadome lub nieświadome pobranie złośliwego kodu na dysk lub do pamięci operacyjnej komputera za pomocą przeglądarki internetowej. Pierwsza metoda infekowania systemów operacyjnych na szeroką skalę polega na trywialnej modyfikacji znajdującego się na kluczu USB pliku autorun.inf. Zmiana zawartości pliku może ograniczać się jedynie do zdefiniowania ścieżki dla domyślnie uruchamianego pliku wykonywalnego, dzięki któremu złośliwy kod dostaje się do pamięci operacyjnej, lokalnej przestrzeni dyskowej oraz rejestru systemowego. O ile szybko powstały programy umożliwiające blokowanie pliku autorun.inf (pisałem o tym również w temacie o

[Aby zobaczyć linki, zarejestruj się tutaj]

), a także możliwość zaszczepienia i zabezpieczenia pamięci USB przed kolejnymi niepożądanymi zmianami, to problem ataków z użyciem przeglądarki wydaje się być dużo bardziej skomplikowanym i wymaga szerszego opisu w co najmniej materii phishingu, czy bankowości elektronicznej.

Producenci oprogramowania zabezpieczającego (anti-virus, anti-malware) zdają sobie sprawę jak ważna jest ich specjalistyczna ingerencja w zabezpieczenie portów USB oraz w ochronę przeglądarek internetowych. Dowodem tego (poza funkcjami umożliwiającymi blokowanie autostartu nośników wymiennych; skanowaniem każdego podłączonego do komputera klucza USB oraz stworzeniem modułów antywirusowych skanujących ruch http) stało się udostępnienie zarówno darmowych, niezależnych dodatków do przeglądarek (McAfee SiteAdvisor, Bitdefender TraficLight, Avira Browser Safety), jak i zintegrowanie tychże z programami antywirusowymi oraz pakietami Internet Security. Zadaniem dodatków zwiększających bezpieczeństwo podczas przeglądania sieci jest filtrowanie i wykrywanie stron określonych jako przypuszczalnie groźne lub niebezpieczne dla prywatności użytkownika (np. phishing, potencjalnie niechciane aplikacje, złośliwe skrypty, nieoczekiwane przekierowania); ochrona przed ogółem złośliwego oprogramowania rozprzestrzeniającego się w sieci Internet pod postacią fałszywych reklam, czy ukrytych elementów stron internetowych.

Deweloperzy i specjaliści odpowiedzialni za prawidłowy rozwój przeglądarek internetowych oraz stałe podnoszenie oferowanego przez nie poziomu bezpieczeństwa również mają świadomość, jak ważny jest wkład dynamicznie zmieniających się technologii w produkty przeznaczone praktycznie każdemu użytkownikowi Internetu. Dowodzi temu szybki i sprawny rozwój funkcji i metod zwiększania bezpieczeństwa oprogramowania oraz prywatnych danych internautów.

Wybrane technologie zwiększające bezpieczeństwo przeglądarek
Spośród wielu technologii oraz zaimplementowanych w przeglądarki narzędzi ograniczających możliwości wykorzystania luk bezpieczeństwa, przedstawione zostały wybrane, których wpływ na codzienną pracę z siecią Internet jest najlepiej widoczny. Dotyczą one m.in. ochrony przed pobraniem złośliwego kodu do pamięci komputera i ograniczają możliwość celowego przekierowania ruchu sieciowego na zainfekowane witryny internetowe.

Granica między Internetem a komputerem - izolacja danych (sandboxing) i wieloprocesowość
Pobieranie i uruchamianie malware z poziomu przeglądarki internetowej może być kontrolowane na różnych poziomach modelu ochrony w systemie Microsoft Windows – skanowanie antywirusowe za pomocą sygnatur wirusów, przy wykorzystaniu technik heurystycznych, monitorowania behawioralnego, czy izolowania plików przeglądarki oraz pobieranych danych w tak zwanej piaskownicy (sandbox). Przez dosyć długi okres czasu (w przypadku oprogramowania Firefox od 2001 aż do roku 2010 - wersja 3.6.4- niepełna izolacja) rozwiązania te wymagały instalacji w systemie oprogramowania firm trzecich. O ile aktualnie można zapewnić przeglądarce skanowanie w poszukiwaniu złośliwego oprogramowania i izolację danych przez dodatkowe programy, tak sama technologia sandboxingu zapewnionego przez producenta przeglądarki stała się bardziej popularna w roku 2010. Właśnie wtedy Google Inc. wydało odsłonę przeglądarki Chrome, w której wtyczka Flash była automatycznie izolowana, co pozwalało zwiększyć bezpieczeństwo i ograniczyć ilość ataków oraz nadużyć powodowanych lukami w oprogramowaniu Adobe.

Kluczem do zapewnienia bezpieczeństwa oprogramowania takiego jak przeglądarka internetowa jest zrozumienie wszystkich jej zachowań i okoliczności, w których się znajduje. Z programistycznego punktu widzenia – biorąc pod uwagę ilość i rozległość kodu – zrozumienie skomplikowanych operacji i zachowań przeglądarki jest prawie niemożliwe. Celem implementacji piaskownicy na poziomie przeglądarki jest potwierdzenie tego, co określony fragment kodu może, a czego nie może zmienić w systemie, bez względu na pracę, jaką użytkownik wykonuje z programem. Sandboxing wykorzystuje możliwości zabezpieczeń wbudowanych w system operacyjny (Windows), aby zezwalać na uruchomienie kodu, który nie jest w stanie dokonać trwałych, szkodliwych zmian w systemie oraz informacjach w nim gromadzonych- kod uruchamiany w piaskownicy nie ma możliwości zapisywania i modyfikowania plików na koncie użytkownika. Dodatkowym ograniczeniem nakładanym na efekt procesu renderowania stron internetowych jest uniemożliwienie kradzieży oraz odczytu danych znajdujących się na dysku twardym. Jedynie procesy komunikujące się wewnątrz piaskownicy mają do siebie pełny dostęp.

Obsługa przeglądarek w wielu procesach ma również ścisły związek z izolacją wykonywanego kodu, więc uwidacznia się szczególnie w materii bezpieczeństwa, stabilności oraz szybkości pracy programu. Możliwość uruchamiania przeglądarki z wieloma procesami w pamięci rzutuje na lepsze korzystanie z wydajnych, wielordzeniowych procesorów, co z kolei wpływa na płynność działania i responsywność (szybkość reakcji interfejsu na żądania użytkownika) aplikacji. W przypadku wystąpienia jakiegokolwiek błędu lub w ramach reakcji na potencjalne zagrożenie, przeglądarka ma możliwość zakończenia jedynie procesu odpowiedzialnego za renderowanie strony sprawiającej jakiekolwiek problemy, bez naruszenia całej uruchomionej sesji przeglądarki - innych otwartych kart.

Zwiększenie bezpieczeństwa w kwestii izolowania danych może być wyraźnie odczuwalne nie tylko dla osób przeglądających sieć, ale również dla deweloperów, którzy jej zawartość tworzą. Przykładem zastosowania sandboxingu przy projektowaniu stron internetowych jest HTML5 Sandbox. Serwowanie na stronach internetowych elementów firm trzecich (banery, reklamy, odnośniki, widżety, itp.) jest bardzo popularną praktyką, ale naraża internautów na przypadkowo lub celowo "wstrzyknięte" do kodu zagrożenia, ciągnące za sobą możliwość niepożądanego ujawnienia informacji osobowych. Umieszczenie odnośnika do kodu firm trzecich w elemencie sandbox-iframe pozwala na zablokowanie wybranych funkcji kodu, takich jak np. instalowanie dodatków, wykonywanie skryptów, czy otwieranie okienek pop-up:

Cytat:<iframe src=”niezaufana.html” sandbox></iframe>

HTML5 Sandbox jest elastyczny pod względem wyboru blokowanych zachowań kodu. Jeśli umieszczenie obiektów w piaskownicy wpływa na ich pożądane działanie, deweloper może sprecyzować jakie zachowania mogą być dozwolone:

Cytat:<iframe src=”niezaufana.html” sandbox=”allow-scripts”></iframe>

Biorąc pod uwagę ilość elementów, z których tworzone są nowoczesne witryny internetowe, zabezpieczenie zawartości strony jest niemałym wyzwaniem dla projektantów i deweloperów. Rozwiązania takie jak izolowanie kodu są pomocne już w fazie tworzenia zawartości sieci, a nie tylko w czasie jej odczytu. Podział głównego procesu przeglądarki na podprocesy - piaskownice - zapobiega przedostawaniu się złośliwego kodu poza objęty restrykcją proces. Izolacja procesu karty przeglądarki teoretycznie gwarantuje, że kod wykonywany w jego ramach nie będzie miał wpływu na system operacyjny oraz pozostałe karty, mogące przechowywać dane poufne (np. sesję logowania do bankowych serwisów transakcyjnych).

Rozszerzony tryb chroniony
Przeglądarka Internet Explorer w wersji 7 posiadała funkcjonalność, która zapobiegała instalowaniu złośliwego oprogramowania, czy modyfikowaniu ustawień systemu operacyjnego przy użyciu złośliwego kodu (najczęściej exploitów). Ta dodatkowa warstwa ochrony blokowała dostęp do stref systemu, z których przeglądarka nie musiała korzystać do prawidłowego działania (np. zapis w folderze Moje dokumenty). Funkcjonalność zwana Rozszerzonym trybem chronionym została wprowadzona do przeglądarki Internet Explorer 10 w systemie Windows 8, a jej możliwości są widoczne tylko i wyłącznie w 64-bitowej architekturze systemu. W przypadku IE 10 dla Windows 7, funkcja rozszerzonej warstwy ochronnej ograniczona jest do uruchamiania 64-bitowych procesów przeglądarki, lecz w przypadku systemu oznaczonego numerem 8/8.1, Rozszerzony tryb chroniony dostarcza dodatkową funkcję zabezpieczającą, którą jest umiejscawianie poszczególnych procesów w piaskownicy (sandboxed) i uruchamianie ich w systemie izolowania zwanym AppContainer. Rozwiązanie wprowadzone wraz systemem Windows 8 oferuje o wiele bardziej dokładną ochronę uprawnień aplikacji i blokuje możliwość zapisu oraz odczytu z większości stref systemu operacyjnego. Rozszerzony tryb chroniony pozwala na uruchomienie w przeglądarce jedynie dodatków, które są z nim kompatybilne. Dodatki niekompatybilne nie mogą zostać włączone, a w celu ich uruchomienia należy wyłączyć Rozszerzony tryb chroniony, co z kolei zwiększa ryzyko uruchomienia złośliwego kodu z poziomu przeglądarki. Przedstawiona technologia nie pozwala na uzyskanie dostępu do wrażliwych danych potencjalnemu atakującemu.

Google Safe Browsing API i Content-Agnostic Malware Protection (CAMP)
Safe Browsing jest rozwijaną przez Google usługą, która pozwala przeglądarce (klientowi) na porównywanie adresów URL ze stale rosnącą bazą witryn wyłudzających dane oraz witryn zawierających malware. Interfejs programowania aplikacji oferowany przez Google umożliwia deweloperom, osobom odpowiedzialnym za utrzymanie stron internetowych, a także wszystkim użytkownikom wyświetlenie ostrzeżenia przed kliknięciem na link, który może prowadzić do zainfekowanych stron internetowych oraz pozwala zapobiegać publikacjom odnośników do witryn znanych jako niezaufane lub wyłudzające dane.Rozwiązanie nie jest jednak efektywne w przypadku, kiedy domeny dystrybuujące złośliwe oprogramowanie zmieniają się w sposób dynamiczny. Rozwiązanie ostatniego problemu znaleziono w rozszerzonym systemie ochrony, którego Safe Browsing jest częścią.

Pierwotne metody wykrywania złośliwego oprogramowania lub zainfekowanych domen internetowych nie wystarczają do zabezpieczenia danych użytkownika i uniknięcia infekcji. Do metod badania kodu przed wykonaniem go w przeglądarce można zaliczyć detekcję bazującą na zawartości witryny/pliku (ang. content-base detection) oraz wykorzystanie czarnych list (ang. blacklisting). Obie metody mają podstawowe wady – w pierwszym przypadku może być to zmiana kodu binarnego w złośliwym oprogramowaniu (może być ona wykonywana przez człowieka, bądź maszynowo – samoczynna mutacja programu w celu uniknięcia wykrycia dyskryminatorów). W przypadku korzystania z czarnych list, wystarczy, że osoby przeprowadzające ataki sieciowe zmieniają hostingi na takie, których nie ma w bazie danych. Bazowanie na białych listach (ang. whitelisting) jest z kolei czasochłonne i kosztowne w zasoby – zaufane oprogramowanie ewoluuje bardzo dynamicznie; sumy kontrolne wykorzystywanych bibliotek programistycznych i plików wykonywalnych zmieniają się z każdym buildem oprogramowania (najmniejszą zmianą numeracji wersji aplikacji), więc prowadzenie i rozszerzanie białych list wymagałoby niezwykle obszernej i ciągle powiększającej się bazy informacji. W praktyce bardzo ważnym jest stosowanie białych list, ale są one często ograniczane do jedynie najpopularniejszych plików i programów dostarczanych wraz z systemem operacyjnym. Uzupełnienie luki między whitelistingiem i blacklistingiem w kwestii wykrywania złośliwego oprogramowania w Internecie stało się więc kolejnym sporym wyzwaniem dla deweloperów.

W celu rozwiązania problemów w detekcji sieciowego malware powstał system CAMP: Content-Agnostic Malware Protection. System bazuje na reputacji oprogramowania, jest zintegrowany z przeglądarkami takimi jak Internet Explorer (SmartScreen – technologia bazująca na CAMP; rozwijana przez Microsoft) oraz Google Chrome i działa zarówno lokalnie (client component), jak i polegając na określonej reputacji znajdującej się po stronie głównych serwerów (server component) dla danej instancji CAMP. Komponent lokalny, pracujący po stronie użytkownika końcowego, porównuje sumy kontrolne pobieranych obiektów z czarną oraz białą listą. Jeśli system nie znajdzie odpowiednika badanego obiektu w bazach, to poszczególne cechy binarne pobieranego pliku zostają wysyłane na serwery CAMP, gdzie następuje ich analiza. Wiadomością zwrotną dla użytkownika może być odpowiednio dopasowany do sytuacji komunikat z ostrzeżeniem dotyczącym pochodzenia lub zachowania kodu obiektu oraz metryka, która została skonstruowana w wyniku analizy pliku po wysłaniu go na serwery przez inny komponent kliencki w sieci Internet. Poniższy diagram ilustruje model komunikacji głównych elementów infrastruktury CAMP.

[Aby zobaczyć linki, zarejestruj się tutaj]

Diagram obrazujący komunikację klienta z serwerową strukturą przetwarzania danych

Operacje wykonywane przez przeglądarkę przed wysłaniem jakichkolwiek danych na serwery określające reputację obiektu, to między innymi sprawdzenie adresu witryny, na której obiekt się znajduje lub znajdował. W przypadku przeglądarki Chrome jest to komunikacja z Safe Browsing API – listą witryn znanych jako niebezpieczne. Jeśli wyniki porównania znajduje się na czarnej liście, przeglądarka może wyświetlić ostrzeżenie o zagrożeniu bez komunikacji z bazą danych CAMP. Analogicznie, jeśli obiekt/adres znajduje się na białej liście, przeglądarka rozpoczyna pobieranie danych bez komunikacji z systemem reputacji po stronie serwera. Google informuje , że jedynie około 30% wszystkich decyzji CAMP wspomaganych jest przez serwery gromadzące informacje o reputacji danych plików. To z kolei zmniejsza ruch w sieci do koniecznego minimum, nie obciążając infrastruktury systemu CAMP oraz łącza klienta.

Jedną z ważniejszych przesłanek, którą kierowali się twórcy systemu, jest wpływ na prywatność użytkownika i informacje z nim związane. Do infrastruktury przetwarzającej informacje o pobieranych plikach docierają jedynie wyodrębnione z nich cechy. Mogą być to informacje takie jak: źródłowy URL lub adres IP korespondujący z serwerem pobierania, wszystkie adresy IP powiązane lub aktywne w momencie rozpoczęcia pobierania pliku, przekierowania http, a nawet dołączone do plików certyfikaty cyfrowe. Do serwerów CAMP nie są wysyłane ani informacje o użytkowniku, ani badany plik. Ilość cech zgromadzonych przy konkretnym zapytaniu wpływa na zwrócony przez serwer wynik. Komunikat zwrotny może przyjmować trzy dwie formy:

1. Plik nieznany – jeśli baza reputacji nie posiada wystarczająco dużo informacji, aby sklasyfikować obiekt;
2. Plik niebezpieczny – jeśli CAMP jednoznacznie uzna kod za złośliwy.

W przypadku kiedy badany obiekt nie wykazuje podejrzanych aktywności, pobieranie następuje bez dodatkowych monitów oraz komunikatów.
Siłą systemu Content-Agnostic Malware Protection jest ilość użytkowników przeglądarki Chrome – według informacji opublikowanej przez Google, jest to około 200 milionów unikalnych klientówwysyłających informacje o plikach na serwery przetwarzania CAMP. O metody gromadzenia i klasyfikacji danych według przedstawionego systemu, opiera się również rozwiązanie stworzone przez Microsoft i wdrożone w przeglądarce Internet Explorer – SmartScreen.

Filtr SmartScreen i Strefy zabezpieczeń
Funkcja SmartScreen jest częścią przeglądarki Internet Explorer. Pozwala ona chronić użytkownika i jego dane przed witrynami wyłudzającymi informacje oraz przed pobraniem lub uruchomieniem złośliwego kodu w systemie Windows. Pierwszym ze sposobów chronienia komputera wykorzystywanym przez technologię SmartScreen jest analiza stron internetowych celem określenia, czy zawierają one jakiekolwiek charakterystyczne na podejrzanych witryn elementy. Jeśli dyskryminatory znalezione na stronie zostaną ocenione jako niebezpieczne lub potencjalnie niebezpieczne, filtr zwróci użytkownikowi komunikat dotyczący zagrożenia i pozostawi możliwość podjęcia decyzji związanej z dalszym przetwarzaniem kodu strony. SmartScreen (podobnie jak Safe Browsing) porównuje również odwiedzane strony z adresami znajdującymi się w dynamicznie rozszerzającej się bazie witryn, które wyłudzają informacje lub stanowią zagrożenie dla użytkownika (ang. blacklist). W przypadku dopasowania odwiedzanej witryny do witryny z listy niebezpiecznych stron w bazie danych, funkcja blokuje dostęp do strony odpowiednio o tym informując. Poza korzystaniem z list witryn niebezpiecznych, tudzież niezaufanych, SmartScreen korzysta również z bazy danych plików zaufanych, które są znane użytkownikom programu Internet Explorer. Pozwala to skrócić czas skanowania pobieranych plików w poszukiwaniu wirusów, a w przypadku próby pobrania programu, który nie jest popularny, nie dysponuje zaufanymi podpisami cyfrowymi i nie figuruje na liście plików zaufanych, Internet Explorer wyświetli ostrzeżenie. Monit ten nie oznacza, że odwiedzana witryna (na której znajduje się oczekiwany plik) lub pobierany program zawiera złośliwy kod, a daje jedynie sygnał, że pobranie i instalacja powinny odbyć się tylko i wyłącznie, jeśli użytkownik ufa wydawcy oprogramowania. Filtr SmartScreen daje również możliwość sprawdzenia strony www na żądanie użytkownika. Aby tego dokonać należy w programie Internet Explorer wybrać przycisk odpowiadający za wyświetlenie opcji ustawień, a następnie przejść do sekcji Bezpieczeństwo i wybrać Sprawdź tę witrynę sieci Web.

[Aby zobaczyć linki, zarejestruj się tutaj]

Ręczne sprawdzanie witryny sieci Web przez filtr SmartScreen

Jak widać na powyższym wycinku interfejsu programu Internet Explorer, użytkownik ma również możliwość zaraportowania strony internetowej, którą uważa za podejrzaną, zainfekowaną lub, na której znalazł formularze związane z wyłudzaniem danych od użytkowników sieci Internet. Filtr SmartScreen występuje w systemie Windows (8/8.1) w dwóch instancjach – w przeglądarce internetowej oraz jako integralna część systemu operacyjnego (SmartScreen na pulpicie Windows). Filtry nie są od siebie zależne, więc można je dowolnie włączać lub wyłączać, lecz ich wyłączenie jest wysoce niezalecane. Poniżej komunikat informujący o wykryciu przez SmartScreen niebezpiecznego pliku podczas próby pobrania go na dysk twardy:

[Aby zobaczyć linki, zarejestruj się tutaj]

Monit o wykryciu niebezpieczeństwa podczas pobierania pliku (SmartScreen)

Pierwotnie funkcja SmartScreen była statyczna – opierała się na reputacji witryn internetowych (URL Reputation Service), lecz wraz z dziewiątą wersją przeglądarki Internet Explorer, SmartScreen został rozszerzony o możliwość oceniania aplikacji (Application Reputation Service).

[Aby zobaczyć linki, zarejestruj się tutaj]

Komunikacja przeglądarki z usługami reputacyjnymi - opracowanie własne na podstawie: IEBlog - SmartScreen Application Reputation in IE9

Zadaniem funkcji AppRep jest ochrona użytkownika przed zagrożeniami inżynierii społecznej (ang. socially engineered malware attacks).

Odrębną funkcją przeglądarki rozwijanej przez Microsoft są Strefy Zabezpieczeń, których działanie polega na dopasowaniu określonych witryn do jednej z czterech dostępnych, odgórnie skonfigurowanych stref zabezpieczeń:

Internet: strefa stosowana domyślnie dla wszystkich uruchamianych stron sieci Web, zdefiniowana na poziom Średnio-wysoki. Tylko witryny umieszczone w innych strefach zabezpieczeń, nie są uruchamiane w strefie Internet.
Lokalny intranet: strefa stosowana w środowiskach sieci korporacyjnej oraz dla zawartości
w niej przechowywanej. Poziom zabezpieczeń, ze względu na potencjalne bezpieczeństwo danych w zamkniętej sieci firmowej, ustawiony jest na Średni.
Zaufane witryny: strefa przeznacza dla witryn, których pochodzenie i zawartość jest sprawdzona, wiarygodna
i zaufana. Do strefy tej można przypisać witryny, które nie zagrażają danym i nie wpływają negatywnie na stan systemu operacyjnego.
Witryny z ograniczeniami: ostatnia, oferująca domyślnie najbardziej obostrzone reguły dotyczące bezpieczeństwa strefa. Przeznaczona jest dla witryn potencjalnie niebezpiecznych, niepewnych lub mogących mieć wpływ na prywatność danych bądź stan systemu operacyjnego.

Poniższy zrzut ekranu przedstawia okno Opcji internetowych programu Internet Explorer wraz z zakładką Zabezpieczenia, w której użytkownik ma możliwość wybrania oraz spersonalizowania stref bezpieczeństwa odpowiadających warunkom ich użytkowania.

[Aby zobaczyć linki, zarejestruj się tutaj]

Strefy zabezpieczeń w programie Internet Explorer 11

Każda ze stref cechuje się innym poziomem zabezpieczeń dla uruchamianej w niej zawartości, lecz nie znaczy to, że nie można indywidualnie dopasować oczekiwanej funkcjonalności stron internetowych do sprecyzowanych potrzeb. Aby dostosować specyficzne opcje związane z bezpieczeństwem uruchamianego w przeglądarce kodu, należy skorzystać z opcji Poziom niestandardowy, gdzie określa się szczegółowe zachowanie czynności i obiektów takich jak między innymi: biblioteki i aplikacje .NET Framework, dokumenty XPS, kontrolki ActiveX i wykonywanie ich skryptów, pobieranie plików, wykonywanie skryptów aktywnych, a nawet automatyczne logowanie użytkownika. Ustawienia zabezpieczeń dla aplikacji i obiektów uruchamianych w strefie witryn z ograniczeniami są domyślnie bardzo restrykcyjne. Nie pozwalają m. in. na uruchamianie kontrolek ActiveX, wyświetlanie wideo, wykonywanie skryptów apletów języka Java, a nawet blokują programowy dostęp do systemowego schowka.

[Aby zobaczyć linki, zarejestruj się tutaj]

Poziomy zabezpieczeń - poziom niestandardowy, definiowanie funkcjonalności strefy

Zmienianie ustawień zabezpieczeń pozwala dostosować metody, przy pomocy których przeglądarka Internet Explorer chroni komputer przed wpływem szkodliwych treści i złośliwego kodu. Zabezpieczenie to jest oparte o restrykcje – rodzaj zawartości, która ma być blokowana w określonej grupie witryn.

Spam i Phishing jako Socially Engineered Malware (SEM)
Inżynieria społeczna jest techniką pozwalającą cyberprzestępcom uzyskać zdalny dostęp do komputera lub systemu informatycznego ofiary. Może ona polegać na nieautoryzowanym umieszczeniu w danym systemie złośliwego oprogramowania lub na nakłonieniu użytkownika do udostępniania poufnych danych, takich jak ID, hasło, numer karty kredytowej. Do techniki tej zalicza się przede wszystkim spam oraz Phishing, ale może być ona wykorzystywana również offline – z użyciem telefonu.Socjotechnika w IT jest szczególnie niebezpieczna dla organizacji, gdzie wszelkie informacje wewnętrzne traktowane są jako aktywa danej firmy. Wyciek poufnych danych pomoże pociągać za sobą negatywne skutki nie tylko dla pracowników odpowiedzialnych za naruszenie integralności informacji, ale także dla całej organizacji.

Istnieje wiele nielegalnych metod pozyskiwania poufnych danych, takich jak numery kart kredytowych, loginy i hasła/kody umożliwiające dostęp do kont bankowych, czy po prostu identyfikatory i hasła do różnego rodzaju serwisów internetowych. Jednym z najpowszechniejszych sposobów wyłudzania informacji w sieci jest phishing. Nazwa tego przyjętego w informatyce określenia pochodzi od angielskiego słowa fishing, które oznacza łowienie ryb. Najprostszym przykładem zastosowania phishingu jest przedstawienie się za osobę, która powinna lub może mieć dostęp do danych wrażliwych dotyczących danego internauty. Z technicznego punktu widzenia, najbardziej trywialne nadużycia mogą być realizowane jedynie za pomocą skrzynki pocztowej, czy telefonu, ale nie oznacza to, że cyberprzestępcy nie posługują się bardziej wyrafinowanymi narzędziami. Większość ataków polega na przekierowaniu użytkownika na witrynę internetową, która jest imitacją właściwej strony. Do przeprowadzania ataków wykorzystywana jest również wiedza programistyczna (stworzenie strony, napisanie odpowiednich skryptów) oraz znajomość działania sieci komputerowych (przekierowania, monitorowanie aktywności).

Naruszenie integralności systemu informatycznego przez wykorzystanie ataków typu Phishing, wynika z niewiedzy użytkowników danego serwisu. Cechami charakterystycznymi, które mogłyby wskazywać na nadużycie są na przykład:
  • długie i skomplikowane adresy www, które nie są stosowane podczas logowania do oficjalnych i wiarygodnych serwisów internetowych,
  • brak połączenia szyfrowanego (SSL/TLS),
  • adres IP umieszczone w linku,
  • błędy stylistyczne/ortograficzne w tekście umieszczonym na stronie, powstałe w wyniku tłumaczenia maszynowego.
Po stronie dostawcy określonej usługi leży obowiązek kształtowania świadomości użytkowników (klientów) na przykład poprzez mailowe informowanie o praktykach stosowanych w celu wyłudzenia danych i przypomnienie, że usługodawca nigdy nie prosi o podanie danych wrażliwych. Czynności te powinny widocznie minimalizować skutki przestępczości internetowej. Zapraszam do zapoznania się z tematem dotyczącym bankowości elektronicznej, bezpieczeństwa transakcji oraz zagrożeń:

[Aby zobaczyć linki, zarejestruj się tutaj]

.

Przed czym się bronimy? Śledzenie użytkownika sieci Internet i metody zapobiegawcze
Inwigilujące użytkownika dodatki do przeglądarek z uwzględnieniem SpaceKito
Oprogramowanie adware mocno ewoluowało od czasów, kiedy wystarczyło skorzystać z opcji „odinstaluj program” przy odpowiedniej pozycji na liście zainstalowanych aplikacji. Obecnie usunięcie obiektów adware wiąże się z wieloma komplikacjami. Projektanci złośliwego kodu blokują możliwość łatwego pozbycia się modułów śledzących z systemu, a użytkownicy, którzy zostali ofiarami ataków, muszą zwracać się o poradę do specjalistycznych serwisów internetowych. Wraz z nadchodzącą ze strony specjalistów pomocą, deweloperzy malware znajdują coraz nowsze techniki umieszczania w komputerach użytkowników narzędzi śledzących, których zadaniem jest gromadzenie prywatnych danych i wysyłanie ich na odpowiednio przygotowane do tego celu serwery. Kolejna grupa deweloperów zajmuje się przetwarzaniem otrzymanych danych i wykorzystywaniem ich w celu personalizowania reklam oraz maili zawierających złośliwy kod. Przykładem narzędzia wysyłającego do sieci znaczną ilość danych z zarażonych komputerów jest oprogramowanie SpaceKito, które w przeciągu 3 miesięcy zainfekowało niemalże 2 miliony komputerów.

Wyspecjalizowany adware w pierwszej kolejności modyfikuje zawartość rejestru systemowego, dodając do niego klucz pozwalający na uruchamianie złośliwego kodu jako usługi. Skutkiem tego działania jest brak możliwości usunięcia oprogramowania przed zamknięciem wszystkich procesów załadowanych do pamięci operacyjnej. Zmiany od strony systemu plików widoczne są w folderze aplikacji: %APPDATA%, gdzie aplikacja dodaje foldery o nazwach takich jak: okitspace, BaseFlash, czy ReWinUp. SpaceKito figuruje ponadto na liście dodatków w przeglądarkach internetowych, ale jego poprawne usunięcie nie może być wykonywane z poziomu danej przeglądarki. Aby skasować dodatek należy usunąć go z folderu dodatków, który znajduje się w określonej dla każdej przeglądarki lokalizacji. Dla oprogramowania Firefox będzie to:

Cytat:c:\Users\user\AppData\Mozilla\Firefox\Profiles\user_name.default\extensions\[email protected]

Dopiero po usunięciu obiektów z tych trzech lokalizacji, można uznać, że złośliwy, śledzący dodatek nie jest już aktywny w systemie operacyjnym i nie wysyła prywatnych danych na zewnętrzne serwery.

Niektóre przeglądarki posiadają możliwość blokowania dodatków/pomocników firm zewnętrznych (Browser Helper Object) przez ręczne wyłączenie uruchamiania aplikacji dodatkowych takich jak toolbary, BHO, asystent wyszukiwania, itp. Aby wyłączyć w/w obiekty w przeglądarce Internet Explorer, należy zmodyfikować zaawansowane ustawienia przeglądarki (Opcje internetowe > Zaawansowane), dezaktywując pole „Włącz rozszerzenia przeglądarki innych firm”. Za aktywacje i blokowanie dodatków w systemie Windows 7 odpowiedzialny jest klucz rejestru o nazwie Enable Browser Extensions w gałęzi:

Cytat:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Jako, iż BHO są składnikami modelu Component Object Model, uruchamiane są w kontekście pamięci programu nadrzędnego (przeglądarki) i mogą wykonywać dowolne operacje w obrębie dostępnych okien i załadowanych modułów. Dodatki Browser Helper Object mogą być instalowane w sposób niewidoczny dla użytkownika lub podczas zaakceptowania umowy licencyjnej programu, który dodatki te instaluje. Obiekty BHO jako biblioteki DLL mogą posiadać takie same prawa i możliwości, jak inne programy (również malware) , więc ich blokowanie pozytywnie wpływa na poziom bezpieczeństwa podczas przeglądania Internetu.

Większość internautów korzysta z rozszerzeń przeglądarki, aby ułatwić sobie pracę w Internecie. Przykładami udogodnień oferowanych przez zewnętrzne oprogramowanie dołączane do przeglądarki jest na przykład tłumaczenie tekstu, wspomaganie w wyszukiwaniu oczekiwanych informacji, czy robienie zakupów w sieci. Baza dodatków do samej przeglądarki Firefiox liczy ponad 4 miliardy pobranych przez użytkowników rozszerzeń , lecz przy tak ogromnej ilości, bardzo ciężko zachować porządek i każdy z możliwych dodatków sprawdzić pod względem działania i uprawnień. W roku 2014 bardzo często praktyką stało się tworzenie dodatków, które wyświetlają niechciane reklamy. Cechą wspólną dla tej grupy przeglądarkowych rozszerzeń jest przede wszystkim to, że nie da się ich usunąć z systemu klasyczną metodą – z poziomu przeglądarki. Jak wynika z badań prowadzonych przez firmę Avira za pomocą sygnatury Adware/Browsefox.Gen zawartej w wersji silnika oprogramowania oznaczonego numerem 8.3.24.22, złośliwe dodatki są do siebie podobne pod względem zarówno wizualnym, jak i budowy. Nie posiadają one również oficjalnych stron twórców, ani danych kontaktowych do deweloperów, a najczęstszą drogą instalacji jest dołączenie ich do innych darmowych programów pobieranych z Internetu. Poza stworzeniem lokalizacji, w której przechowywane są pliki wykonywalne złośliwego oprogramowania, szkodnik tworzy również dodatkowe klucze w rejestrze systemu Windows. Poniżej przedstawione zostały obszary systemu, które są modyfikowane przez szkodnika.

Katalogi i pliki:
  • %Program Files%\%directory name%
  • %TEMPDIR%\%directory name%
  • %APPDATA%\%directory name%
Gałęzie rejestru:
  • HKLM\SOFTWARE\%directory name%
  • HKLM\Software\\Microsoft\Windows\CurrentVersion\Uninstall\%directory name%
Wiele dodatków ma również możliwość rejestrowania się jako Browser Helper Object, przez co automatycznie, każdorazowo ładowane są do pamięci komputera.Mimo tego, że BrowserFox.Gen nie uchodzi za oprogramowanie bardzo niebezpieczne, a potencjał dystrybucji kodu jest niski, możliwości adware nie kończą się na wyświetlaniu reklam – działanie szkodników może zostać poszerzone o przekierowywanie połączeń na strony, które dystrybuują innego rodzaju malware.

Targetowanie behawioralne i ochrona przed śledzeniem
Behawioralne kierowanie przekazywanymi w sieci treściami reklamowymi (ang. behavioral advertising) polega na wyświetlaniu reklam grupie użytkowników, którzy zostali wydzieleni jako odbiorcy na podstawie ich zachowania w Internecie. Pojedynczy internauta może być rozpoznawany na podstawie informacji zawartych w plikach cookie, a nawet unikatowego adresu IP, za pomocą którego łączy się z Internetem. Mianem zachowania określa się aktywność użytkownika polegającą na zainteresowaniu ściśle określoną tematyką. Dla zobrazowania przykładu: jeśli użytkownik interesuje się sprzętem komputerowym i od bliżej nieokreślonego czasu, ale regularnie odwiedza serwisy w poszukiwaniu dysków SSD (solid state drive), to istnieje bardzo duże prawdopodobieństwo, że stanie się odbiorcą reklam sklepów internetowych oferujących sprzęt IT (m.in. dyski SSD). Emitowanie reklam w sposób behawioralny może wykorzystywać podejście ROS (ang. Run-on-site) lub ROC (ang. Run-on-category). W przypadku pierwszego rodzaju emisji, najważniejszym jest maksymalizacja zasięgu treści – bez względu na tematykę serwisu, w którym reklama się znajduje. W przypadku emisji ROC, reklamy o określonej treści znajdują się na stronach tematycznych (według wcześniej przytoczonego przypadku – na stronach sklepów zajmujących się sprzedażą sprzętu komputerowego). Reklamowanie treści metodą behawioralną polega więc na dostosowaniu treści do przewidzianych oczekiwań danej grupy użytkowników i umożliwia reklamodawcom zainteresowanie potencjalnych klientów reklamami, które nie muszą wiązać się z tematyką odwiedzanej strony. Tworzenie profilu odbiorcy reklamy przy wykorzystaniu zaawansowanych technik archiwizowania i przewidywania aktywności umożliwia przekazanie jednemu użytkownikowi (lub jednej grupie użytkowników) zróżnicowanych tematycznie treści, z uwzględnieniem etapu decyzyjnego, na którym internauta się znajduje.

Microsoft w przeglądarce Internet Explorer nie uwzględnił możliwości instalacji zewnętrznych dodatków blokujących reklamy i skrypty śledzące, ale w zamian za to, pozwala użytkownikowi na skorzystanie ze specjalnie w tym celu przygotowanych list ochrony przed śledzeniem. Aby rozszerzyć funkcje prywatności podczas przeglądania zasobów Internetu, należy skorzystać z Galerii Internet Explorer dostępnej pod adresem

[Aby zobaczyć linki, zarejestruj się tutaj]

, a następnie przejść do sekcji „Listy ochrony przed śledzeniem”. W zależności od regionu, lista może się różnić ilością wpisów, ale w przypadku polskiej wersji strony, znaleźć można tam listy takie jak EasyList, PrivacyChoice, TRUSTe oraz listę zbudowaną na podstawie filtrów Adblock Plus. Wszystkie dodane do przeglądarki listy ochrony przed śledzeniem, dostępne są dla użytkownika z poziomu zarządzania dodatkami przeglądarki w sekcji Ochrona przed śledzeniem.

[Aby zobaczyć linki, zarejestruj się tutaj]


Blokowanie skryptów i reklam – Ghostery, Adblock
Ghostery w formie dodatku do przeglądarki (Chrome, Firefox, Opera, Safari) jest usługą dostarczaną przez Ghostery Inc., a jego działanie polega na przedstawianiu użytkownikowi z iloma elementami ma niebezpośrednią styczność podczas serfowania po stronach internetowych. Dodatek uwydatnia i wizualizuje niedostępne dla użytkownika podczas normalnej aktywności (bez dodatku) elementy witryn i pozwala wybrać, które z nich mogą gromadzić jakiekolwiek dane i informacje dotyczące aktywności w sieci (np. tematyka klikanych reklam).

Twórcy programu kierują się ideą podejmowania przez internautów świadomych decyzji, tak, aby mogli oni kontrolować udostępniane w sieci dane, a dodatek może działać w różnych konfiguracjach na różnych stronach internetowych, a usuwanie (blokowanie) skryptów śledzących i powiązań aktywności internauty z gromadzonymi statystykami, przyspiesza ładowanie się witryn.Znacznie bardziej szczegółowo można scharakteryzować popularne rozszerzenie przeznaczone do blokowania reklam – Adblock Plus.

Dodatek Adblock Plus, którego rozwojem zajmuje się firma Eyeo GmbH, umożliwia więcej niż tylko blokowanie reklam w postaci banerów flash, wyskakujących okienek (pop-ups) oraz reklam wyświetlanych przed odtworzeniem materiału filmowego w serwisach takich jak YouTube. Program może automatycznie blokować domeny, które zostały sklasyfikowane jako niebezpieczne lub zawierające złośliwe oprogramowanie w różnorodnej formie (wirusy, konie trojańskie, robaki sieciowe oraz spyware/adware). Ponadto możliwe jest również usunięcie interfejsów związanych z mediami społecznościowymi – usunięcie
z wyświetlanych stron skryptów odpowiedzialnych za przyciski „Lubię to!”, które śledzą poczynania użytkownika na stronie źródłowej. Trzecią i ostatnią funkcjonalnością dodatku Adblock jest możliwość zablokowania skryptów śledzących udostępniających profil użytkownika firmom trzecim.

Duże zainteresowanie dodatkiem Adblock można było zauważyć już w początkowej fazie jego istnienia. Dotychczas, według statystyk fundacji Mozilla, dodatek pobrano niemalże 263 mln. razy.Duża popularność wyraźnie odbiła się na firmach, których zarabianie na wyświetlaniu reklam było niemałym lub nawet głównym źródłem dochodów. Według autorów projektu, to użytkownicy powinni decydować w jaki sposób działać ma ogólnodostępny Internet, a większość reklam to niskiej jakości banery, które stają się mocno irytujące i dokuczliwe. Eyeo dało firmom tworzącym reklamy umieszczane na stronach internetowych szanse na „poprawę jakości Internetu” dzięki zastosowaniu przedsięwzięcia Better Ads. Deweloperzy pracujący nad rozwojem Adblock wierzą, że reklamy nie muszą „atakować” użytkowników.

Cytat:Uważamy, że reklamy internetowe mogą być lepsze. Inicjatywa „Akceptowalne reklamy” ma na celu pozytywny wpływ na ogół reklam w sieci, dając użytkownikom możliwość łatwego blokowania niepożądanych elementów, a tym samym zachęcając reklamodawców do tworzenia lepszych reklam

Sporym echem w Internecie odbiły się pogłoski o kupowaniu „białych list” przez firmy, które na wyświetlanych reklamach zarabiają (temat poruszany również na naszym forum:

[Aby zobaczyć linki, zarejestruj się tutaj]

). Opiekunowie projektu Adblock faktycznie z własnej inicjatywy proponują reklamodawcom odblokowanie określonego rodzaju reklam po stronie dodatku (dopisanie ich na białą listę), a rzecznik Eyeo potwierdził, że takie praktyki mają miejsce, ale tylko w określonych przypadkach, gdzie zobowiązania leżą po obu stronach – Eyeo oraz konkretnej firmy, której reklamy muszą spełniać pewne kryteria dopuszczalności. Proponowanie whitelistingu jest więc ściśle związane z inicjatywą Acceptable Ads i zachęca reklamodawców do większego wkładu w projektowanie banerów reklamowych na stronach www , które nie będą negatywnie wpływały na odczucia internautów podczas serfowania w sieci.

Adblock Plus nie jest jednak pozbawiony wad. Zapotrzebowanie dodatku na pamięć operacyjną (nieraz) minimum dwukrotnie przekracza zapotrzebowanie na pamięć przeglądarki bez zainstalowanego dodatku.

[Aby zobaczyć linki, zarejestruj się tutaj]

Proces firefox.exe - wykorzystanie pamięci operacyjnej (bez ABP)

[Aby zobaczyć linki, zarejestruj się tutaj]

Proces firefox.exe - wykorzystanie pamięci operacyjnej (z ABP)

[Aby zobaczyć linki, zarejestruj się tutaj]

Proces firefox.exe - wykorzystanie pamięci operacyjnej (5 aktywnych kart)

Podsumowanie
Nieraz w świecie dynamicznie rozwijających się technologii IT popełniane są błędy. Błędy, które mimo upływu czasu, nie mogą już zostać kompleksowo wyeliminowane. Bardzo oryginalnym przykładem takowego błędu mogłoby być zaprojektowanie reklam w formie wyskakujących okienek pop-up. Ethan Zuckerman w 2014 roku oficjalnie przeprosił użytkowników Internetu za to, co stworzył w latach 90 – kod, który w nowym okienku wyświetla określone treści reklamowe. Aktualnie, po upływie dwudziestu lat od zapoczątkowania kontrowersyjnego niegdyś modelu reklamy, Ethan Zuckerman uważa, że internetowy biznes w formie nachalnych treści czyni więcej złego niż dobrego. Okienka pop-up są również wykorzystywane do dystrybucji złośliwego oprogramowania przez odnośniki lub ukryte elementy.

Mam nadzieję, ze temat obejmuje kilka podstawowych zagadnień, o których warto wiedzieć. Jeśli macie jakiekolwiek sugestie, tudzież znaleźliście błędy w moim tekście - zapraszam do kontaktu kanałem prywatnym.

Żaden fragment tekstu publikacji nie może być powielany oraz rozpowszechniany w żadnej formie i w żaden sposób bez uprzedniego zezwolenia autora.

Źródła:
1. Secunia Vulnerability Reviev 2014: Key figures and facts from a global IT-Security perspective
2. (U//FOUO) ThreatstoMobileDevicesUsingtheAndroidOperating System
3. Mozilla Support (Firefox): Co to jest plugin-container?
4. Chrome OS End of Life Policy
5. Chrome Apps for your classroom
6. Firexox OS FAQ – Prywatność i bezpieczeństwo
7. Mozilla Support – Firefox OS: Ograniczenie śledzenia
8. MDN Mozilla Developer Network – Firefox OS architecture: Gecko
9. AV Comparatives: Whole Product dynamic „Real-World” Protection Test March-June 2014
10. Microsoft Security Research and Defense Blog: Software defense: mitigating common exploitation
11. Will Harris: Try out the new 64-bit Windows Canary and Dev channels
12. Kaspersky Lab global Research and Analysis Team: Kaspersky Security Bulletin 2013
13. Wikipedia, Wolna Encyklopedia – Firefox: Historia zamian
14. The Chromium Projects – Design Documents: Sandbox
15. The Chromium Projects – Design Documents: Sandbox FAQ
16. Internet Explorer 9 features: Tab isolation and recovery
17. IEBlog: Defense in Depth: Locking Down Mash-Ups with HTML5 Sandbox
18. Przedstawiamy przeglądarkę Google Chrome: Bezpieczeństwo
19. Internet Explorer Dev Center: Enhanced Protected Mode on desktop IE
20. MSDN: Enhanced Protected Mode problems with Internet Explorer
21. Google Developers - Safe Browsing API: What is Safe Browsing?
22. M. Abu Rajab, L. Ballard, N. Lutz, P. Mavrommatis, N. Provos: CAMP: Content-Agnostic Malware Protection
23. SmartScreen Filter: Frequently asked questions
24. IEBlog: SmartScreen® Application Reputation in IE9
25. Microsoft Windows Pomoc: Zmienianie ustawień zabezpieczeń programu Internet Explorer
26. Microsoft Windows Pomoc: Zmienianie ustawień zabezpieczeń i prywatności dotyczących programu Internet Explorer
27. Microsoft Safety and Security Center: What is social engineering?
28. Alexander Vukcevic: SPACEKITO, a new type of “adware protection”
29. Pomoc Techniczna Microsoft: Jak wyłączyć obiekty typu tool band i Pomocnik przeglądarki innych firm
30. Słownik securelist.pl: Browser Helper Object
31. Avira Blog - Sven Carlsen: Browsers Extensions that nobody wants… but a lot of people have!
32. Avira – Get Help: Virus ADWARE/BrowserFox.GEN – Full Description
33. T. Frontczak: Marketing internetowy w wyszukiwarkach
34. Ghostery – Jak to działa? Stwórz podstawy dla informacji
35. Adblock Plus – Features
36. EYEO - What we are working on: Better Ads
37. Dziennik Internautów Biznes i Prawo (di.com.pl): Twórcy Adblock Plus proponują serwisom odblokowanie reklam za pieniądze? Jak to jest?
40. Ethan Zuckerman: The Internet’s Original Sin
Odpowiedz
#2
Szacunek Mateuszu - że chciało Ci się tyle " drukować " Grin
Odpowiedz
#3
Kolejny świetny kawałek tekstu...merytorycznie, ładnie i kompleksowo Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Na potrzeby kolejnego wpisu dodałem przed podsumowaniem informacje o tym, że Adblock lubi RAM. Kolejny temat będzie - mam nadzieję - niemałą niespodzianką Smile
SpyShelter Firewall
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości