Browser-(Un)Sicherheit Ein buntes Programm

Sven Türpe Browser-(Un)Sicherheit Ein buntes Programm Rheinlandtreffen 2009

http://testlab.sit.fraunhofer.de

Tolle Sachen: Sicherheit als Klassifikationsproblem What is the shape of your security policy? Security as a classification problem (NSPW 09)

Was ist eigentlich ein Browser? Fenster ins Netz Tür zum PC Universeller Client Auch für lokale Anwendungen (IE) Datenspeicher Brigitte Zypries Kommunikationsendpunkt Foto: Alexander Klink

Bild: http://www.sysadminday.com/

Bedrohungen PC Firewall

Welcher Browser ist der sicherste? Keiner.

Konfigurationskonzepte Globale Einstellungen mit Sitespezifischer Modifikation (z.b. Firefox) Zonen (IE) Erweiterungen (Firefox, Safari, IE) Zentrales Management? IE: Group Policies Andere:???

Firefox Sicherheitsoptionen Fragt Google (IE: Microsoft) lokaler Speicher Diebstahl, Trojaner, Forensik Sinnlos. User ignorieren Warnungen.

Safari, Firefox, Chrome, Internet Explorer Safe Browsing und Phishing-Filter Ziel: Schutz vor bekannten bösartigen Websites Implementierung Regelmäßiger Download einer Blacklist Zusätzlich Prüfung einzelner URLs Was erfährt Google / Microsoft?

Firefox Datenschutzoptionen Session Management Tracking Einstellungen lokaler Speicher Diebstahl, Trojaner, Forensik CSS History Hack

Safari DOM Storage

Firefox Grundlegende Einstellungen Phishing Ohne Belästigung geht nichts. z.b. Cross-Site Scripting Signierte ohne geht Applets fast nichts dürfen alles! Alles verbieten: Manipulation von Fenstern Zugriff auf Kontextmenü, Statuszeile

SSL-Zertifikate: Trauen Sie AC Camerfirma SA CIF A82743287?

Internet Explorer Sicherheitszonen Restriktiv konfigurieren Problem: Blacklist

Internet Explorer Sicherheitszonen Mehr erlauben Sicherheitsfunktionen abschalten (bei Bedarf) Funktionen mit Datenübermittlung abschalten

Internet Explorer Sicherheitszonen Mobile Geräte?

Internet Explorer Sicherheitszonen?

Internet Explorer ActiveX

Internet Explorer 8 InPrivate (»Pornomodus«)

Internet Explorer 8 XSS-Filter

Firefox NoScript Firefox-Erweiterung Ausführungskontrolle für aktive Inhalte JavaScript, Flash, Java, Silverlight Whitelist Probleme Administration Erweiterungen als Angriffsvektor

Ein Browser kommt selten allein

»Prioritäten? Obwohl Kriminelle fast nur noch Lücken im Adobe Reader, QuickTime, Adobe Flash und Microsoft Office ausnutzen, um Windows-PCs zu infizieren, verstreicht bis zum Installieren von Sicherheits-Updates doppelt so viel Zeit wie für das Schließen von Lücken in den Betriebssystemen.«http://www.heise.de/newsticker/Unternehmen-setzen-bei-Sicherheits-Updates-die-Prioritaeten-falsch--/meldung/145379

Sicherer Browser? 60 50 40 30 20 # NVD- Einträge 10 0 Flash IE Java Quelle: http://nvd.nist.gov/ Zeitraum: 2008-01-01 bis 2009-05-20

z.b. Flash Player Updates mms.cfg Flash-Cookies Global Settings Panel?

z.b. Java Updates Signierte Applets?

Radikallösung ReCoBs Browser wegsperren Arbeitsplätze Server Quelle: Common Criteria Protection Profile for Remote-Controlled Browsers Systems (ReCoBS) BSI-PP-0040, Version 1.0

Fazit Viele Rädchen, wenig Wirkung Viele Einzelprobleme Wichtig: Updates + Konfiguration für alle Programme mit Netzkontakt Geschmackssache: Privacy-Einstellungen Hohe Sicherheit == hoher Aufwand

Ausblick Stand: Windows XP mit aktuellen Browsern Lösungsansätze: Betriebssystem! Feingranulare Zugriffskontrolle Browserarchitektur! auch innerhalb der Anwendung

Literatur Browser Security Handbook, http://code.google.com/p/browsersec/wiki/main Sichere Nutzung von Web-Angeboten (BSI), https://www.bsi.bund.de/cln_174/contentbsi/themen/sinet/www/webclient/dokumente/isi-web-client-doc.html Chrome mit Kratzern: Google's Webbrowser und der Datenschutz, http://testlab.sit.fraunhofer.de//downloads/publications/dud2009.pdf Browser security: lessons from Google Chrome, http://cacm.acm.org/magazines/2009/8/34494-browser-security/fulltext Wie ist der Google-Chrome-Browser einzuschätzen? http://info.fraunhofer.de/service/it-sicherheit/faqs/index.jsp#25.%20wie%20ist%20der%20google-chrome- Browser%20einzusch%C3%A4tzen? Einschätzung zum Geheimnis- und Datenschutz bei der Verwendung von Google Chrome, http://info.fraunhofer.de/fhg/images/20081113_sitwaldeck_stellungnahmegooglechrome_tcm100-107390.pdf Chrome verkleidet sich als Internet Explorer, http://www.heise.de/newsticker/chrome-verkleidet-sich-als-internet-explorer--/meldung/145750 Adobe Flash Player Administration Guide for Flash Player 10, http://www.adobe.com/devnet/flashplayer/articles/flash_player_admin_guide.html Remote-Controlled Browsers System (ReCoBS), https://www.bsi.bund.de/de/themen/internetsicherheit/gefaehrdungen/aktiveinhalte/schutzmoeglichkeiten/schutzmoeglichke iten_node.html Unternehmen setzen bei Sicherheits-Updates die Prioritäten falsch, http://www.heise.de/newsticker/unternehmen-setzen-bei-sicherheits-updates-die-prioritaeten-falsch--/meldung/145379

Fraunhofer SIT Testlabor IT-Sicherheit Sven Türpe +49 6151 869-238 sven.tuerpe@sit.fraunhofer.de http://testlab.sit.fraunhofer.de http://www.cased.de http://erichsieht.wordpress.com