Bảo vệ trình duyệt Web bạn Bài viết giúp bạn cấu hình trình duyệt cách an toàn truy cập Internet Tài liệu viết cho người dùng máy tính nhà, sinh viên, nhân viên công ty nhỏ người có kết nối băng thơng rộng (cable modem, DSL, ADSL) hay dial-up, có hỗ trợ CNTT Tuy nhiên thông tin hỗ trợ cho người biết nhiều CNTT I, Tại phải bảo vệ trình duyệt bạn Ngày nay, trình duyệt Internet Explorer, Mozilla Firefox Safari,… cài đặt hầu hết máy tính Chính trình duyệt sử dụng cách thường xuyên nên vấn đề đảm bảo cho an tồn nhiệm vụ quan trọng Thơng thường, trình duyệt web kèm với hệ điều hành không thiết lập cấu hình mặc định an tồn Việc khơng bảo đảm trình duyệt bạn dẫn đến loạt vấn đề gây spyware xâm phạm để dành quyền điều khiển máy tính bạn Lý tưởng mà nói, người dùng máy tính nên đánh giá rủi ro từ phần mềm mà họ sử dụng Nhiều máy tính bán với phần mềm tải Dù cài đặt hãng sản xuất máy tính, hệ điều hành, nhà cung cấp dịch vụ Internet hay nơi mua lẻ bước việc truy cập máy tính bạn để tìm phần mềm cài đặt làm để chương trình tương tác với chương trình khác Tuy nhiên hầu hết người lại khơng thực mức phân tích Ngày số lượng công nhằm vào yếu điểm trình duyệt ngày nhiều người ta quan sát thấy xu hướng phần mềm bị cơng cách trực tiếp trình duyệt sử dụng trang web nguy hiểm Vấn đề đưa đánh giá theo sô vấn đề đây:  Các trình duyệt cấu hình để cung cấp nhiều chức với giảm tính bảo mật  Các lỗ hổng bảo mật phát phần mềm cấu hình đóng gói nhà sản xuất  Nhiều trang web yêu cầu người dùng kích hoạt đặc tính cài thêm nhiều phần mềm, làm cho máy tính bạn dễ gặp nhiều rủi ro  Nhiều người không hiểu làm để cấu hình trình duyệt web họ an tồn  Nhiều người khơng sẵn lịng để kích hoạt hay vơ hiệu hóa chức u cầu cho việc bảo mật trình duyệt  Nhiều người khơng hiểu máy tính họ bị nguy hiểm hay khơng  Nhiều người thất bại với máy tính bị làm hại Cuối cùng, việc khai thác lỗ hổng trình duyệt trở thành phổ biến kẻ cơng để làm hại máy tính bạn II, Tìm hiểu tính trình duyệt Hiểu chức đặc tính trình duyệt vấn đề hệ trọng Bằng việc kích hoạt vài đặc tính trình duyệt làm giảm độ bảo mật Cho ví dụ, tính phần mềm ActiveX có nhiều lỗ hổng ảnh hưởng lớn đến vấn đề bảo mật Nhiều trình duyệt cài đặt máy tính bạn Các ứng dụng phần mềm khác máy tính phần mềm gửi nhận email phần mềm đọc văn sử dụng trình duyệt khác mà khơng phải trình duyệt bạn thường dùng để truy cập web Cũng tương tự vậy, loại file cụ thể cấu hình để mở với trình duyệt khác Bằng việc sử dụng trình duyệt để truy cập vào trang web khơng có nghĩa ứng dụng lại tự động sử dụng trình duyệt Với lý này, quan trọng việc cấu hình an tồn trình duyệt cài đặt máy tính bạn Các trang web yêu cầu sử dụng trình duyệt hỗ trợ scripting hay thành phần Active JavaScript hay điều khiển ActiveX thân trang có lỗ hổng Các trang web coi sản phẩm mối quan hệ người dùng với sản phẩm, bạn liên hệ đến quản trị viên web yêu cầu trang nên phải thiết kế để không gây rủi ro cho máy tính Một vài tính thuộc tính số trình duyệt cụ thể miêu tả tài liệu Việc hiểu xem đặt tính giúp bạn biết cách chúng ảnh hưởng đến chức trình duyệt bảo mật máy tính bạn ActiveX kỹ thuật Microsoft Internet Explorer sử dụng Microsoft Windows ActiveX cho phép ứng dụng phần ứng dụng sử dụng trình duyệt web Một trang web sử dụng thành phần Nguồn: browserhelp.de ActiveX cư trú hệ thống Windows tải thành phần tùy trang web Điều cho phép mở rộng chức với trình duyệt truyền thống gây số lỗ hổng bảo mật không bổ sung vá cách kịp thời Java ngôn ngữ lập trình hướng đối tượng sử dụng để phát triển nội dung cho trang web Java Virtual Machine JVM sử dụng để thực thi mã Java “applet” cung cấp trang web JVM thiết kế để tách rời mã thực thi để khơng ảnh hưởng đến phần cịn lại hệ thống Một số hệ điều hành hỗ trợ JVM hệ điều hành khác yêu cầu JVM phải cài đặt trước sử dụng Java Java applet chạy hoàn toàn độc lập với hệ điều hành Active Content Plug-in dự định sử dụng trình duyệt Chúng giống điều khiển ActiveX khơng thể thực thi bên ngồi trình duyệt Macromedia Flash ví dụ Active Content cung cấp plug-in JavaScript ngơn ngữ kịch động tính sử dụng để phát triển nội dung cho trang Không Java, JavaScript ngôn ngữ thông dịch trực tiếp trình duyệt Có nhiều chi tiết chuẩn JavaScript hạn chế tính việc truy cập vào file cục VBScript ngôn ngữ lập trình kịch Microsoft Windows VBScript giống JavaScript khơng sử dụng rộng rãi trang giới hạn tương thích với trình duyệt khác khơng với Internet Explorer Cookie file văn đặt máy tính bạn để lưu liệu sử dụng trang web Một Cookie chứa thơng tin phụ thuộc vào mục đích thiết kế trang web Các Cookie gồm thơng tin trang mà bạn ghé thăm chí gồm khả để truy cập Chúng thiết kế để đọc trang web tạo chúng Security Zones Domain Model phương pháp Microsoft Windows sử dụng thiết kế để thiết lập nhiều lớp bảo mật cho hệ thống Trong mục đích sử dụng cho Internet Explorer cần thiết cho ứng dụng khác hệ thống sử dụng thành phần IE Bạn tìm hiểu thêm Security Zones, Domain Model làm để bảo vệ chúng trang web: http://www.microsoft.com/windows/ie/using/howto/security/setup.asp III, Các lỗ hổng kiểu công Các kẻ công khai thác hệ thống trình khách (trên máy tính bạn) thơng qua nhiều lỗ hổng khác Chúng dựa vào lỗ hổng để dành lấy quyền điều khiển máy tính bạn sau lấy cắp thơng tin, phá hoại file cơng vào máy tính khác Có cách khơng tốn nhiều cơng sức cho kẻ công nhằm tăng quyền điều khiển máy tính bạn khai thác lỗ hổng trình duyệt web Một kẻ cơng dễ dàng tạo trang web nguy hiểm sau cài đặt phần mềm Trojan hay spyware để lấy cắp thơng tin từ máy tính bạn Bạn xem nhiều thông tin chi tiết spyware địa http://www.uscert.gov/reading_room/spyware.pdf Nguy hiểm việc công vào lỗ hổng hệ thống, trang web độc hại làm tổn hại cho hệ thống cách thụ động trang viếng thăm trước Một tài liệu HTML nguy hiểm gây nguy hiểm cho nhiều nạn nhân Trong trường hợp này, hành động mở email hay gắn thêm file đính kèm làm tổn hại hệ thống Trong phần này, vài lỗ hổng chung trang web trình duyệt bị khai thác Chúng tơi khơng sâu vào chi tiết cụ thể cung cấp cho bạn liên kết tài liệu khác để giải thích kỹ cho bạn lỗ hổng A, Các điều khiển ActiveX ActiveX công nghệ gây nhiều lỗ hổng khác Một vấn đề việc sử dụng ActiveX trình duyệt làm tăng bề mặt công, “khả công” cho hệ thống Các lỗ hổng đối tượng ActiveX khai thác thơng qua Internet Explorer, chí đối tượng chưa thiết kế để sử dụng trình duyệt Năm 2000, CERT/CC giúp đỡ hội thảo để phân tích bảo mật ActiveX Các kết từ phân tích tham khảo đường dẫn http://www.cert.org/reports/activeX_report.pdf Nhiều lỗ hổng liên quan tới điều khiển ActiveX Kẻ công việc khai thác lỗ hổng tăng quyền điều khiển máy tính Bạn tìm trang lỗ hổng ActiveX đường dẫn sau http://search.uscert.gov/query.html?qt=activex http://search.cert.org/query.html?qt=activex B, Java Java ngơn ngữ lập trình hướng đối tượng phát triển Sun Microsystems Java applet hoàn toàn độc lập yêu cầu Java Virtual Machine (JVM) máy khách để thực thi Java applet thường thực thi bên “địa điểm” nơi mà tương tác với phần lại hệ thống giới hạn Mặc dù vậy, JVM lại chứa nhiều lỗ hổng cho phép applet vượt qua giới hạn Các Java applet chứng thực vượt qua nhiều giới hạn này, nhìn chung chúng nhắc nhở người dùng trước chúng thực thi Bạn tìm trang USCERT CERT/CC để xem thêm lỗ hổng theo đường dẫn http://search.us-cert.gov/query.html?qt=java http://search.cert.org/query.html?col=certadv&col=vulnotes&qt=java C, Cross-Site Scripting Cross Site Scripting cho phép kẻ công nhúng mã hiểm độc: Javascript, VBScript, ActiveX, HTML Flash vào trang động có tính dễ bị cơng để lừa người dung kích hoạt đoanj mã máy để thu thập liệu Các hacker luôn tiến hành thử nghiệm với kịch xảo trá kĩ thuật hacking để làm hại website ứng dụng web cuỗm kho báu vô chủ liệu dễ bị công bao gồm số credit card thơng tin cá nhân khác Cross Site Scripting (cịn gọi XSS CSS) tin tưởng ứng dụng thông dụng kĩ thuật gài bẫy hacker Nhìn chung, cross-site scripting địn bẩy cho tính chất dễ bị công mã ứng dụng web cho phép kẻ công gởi nội dung độc hại từ đối tượng người dùng lấy liệu nạn nhân D, Các lỗ hổng Cross-Zone Cross-Domain Hầu hết trình duyệt sử dụng mơ hình bảo mật để ngăn chặn việc truy cập dự liệu vào tên miền khác từ trang web Các mơ hình bảo mật chủ yếu dựa vào Netscape Same Origin Policy: http://www.mozilla.org/projects/security/components/same-origin.html Internet Explorer có biện pháp để phân chia vùng bảo mật này: http://msdn.microsoft.com/workshop/security/szone/overview/overview.asp Các lỗ hổng mơ hình bảo mật sử dụng để thực hành động khơng bình thường Sự ảnh hưởng giống lỗ hổng crosssite scripting Mặc dù vậy, lỗ hổng cho phép kẻ công đột nhập vào vùng cục hay vùng bảo vệ khác kẻ cơng thực lệnh tùy tiện hệ thống Bạn tìm thêm thông tin trang US-CERT CERT/CC theo địa sau: http://search.uscert.gov/query.html?qt=cross-domain http://search.cert.org/query.html?qt=cross-domain E, Các mối đe dọa từ kịch Script, thành phần Active HTML Nhiều trang chứa đoạn mã Script nguy hiểm, thành phần Active HTM Chúng cố gắng lừa gạt khách thăm cung cấp thông tin hay thực Kỹ thuật lừa đảo (Social Engineering: Là thuật ngữ bắt nguồn từ giới công nghệ thông tin, ám việc lừa người sử dụng máy tính Internet tiết lộ password để nhờ hacker giành quyền truy cập hệ thống Cách tiến hành phổ biến thủ đoạn liên hệ với nạn nhân thông qua việc chat e-mail, giả vờ nhân viên phụ trách an ninh hệ thống tiến hành kiểm tra yêu cầu người sử dụng khai báo mật để xác thực danh tính khơng bị đóng tài khoản) cho phép kẻ cơng tăng đặc quyền Trong hội đó, kẻ công dựa vào kỹ thuật lừa đảo để truy cập vào thơng tin nạn nhân Ngồi ra, lỗ hổng trình duyệt khai thác để tăng đặc quyền Dưới loạt danh sách lỗ hổng trình duyệt thơng qua sử dụng mã nguy hiểm Năm 2000, CERT/CC đưa loạt câu trả lời malicious scripting Bạn xem tham khảo địa http://www.cert.org/tech_tips/malicious_code_FAQ.html Và xem thêm vấn đề http://search.uscert.gov/query.html?qt=malicious+scripting+active+content http://search.cert.org/query.html?qt=malicious+scripting+active+content F, Lừa đảo kiểu giả mạo (Spoofing) Khi liên quan đến trình duyệt, việc giả mạo thuật ngữ sử dụng để mô tả phương pháp giả mạo giao diện trình duyệt Vấn đề gồm địa vị trí, trạng thái, móc khóa thành phần giao diện người dùng khác Các công đánh cắp thông tin thông tin thẻ tín dụng thường sử dụng vài form giả mạo để người dùng tin tưởng cung cấp thông tin cá nhân Nếu trình duyệt hổng với lỗi người dùng trở thành nạn nhân công giả mạo Đây phương thức công đơn giản hiệu bạn cẩn thận trước liên kết không tin cậy gửi tới bạn yêu cầu cập nhật thông tin tài khoản  ... I, Tại phải bảo vệ trình duyệt bạn Ngày nay, trình duyệt Internet Explorer, Mozilla Firefox Safari,… cài đặt hầu hết máy tính Chính trình duyệt sử dụng cách thường xun nên vấn đề đảm bảo cho an... đến vấn đề bảo mật Nhiều trình duyệt cài đặt máy tính bạn Các ứng dụng phần mềm khác máy tính phần mềm gửi nhận email phần mềm đọc văn sử dụng trình duyệt khác mà khơng phải trình duyệt bạn thường... kẻ công để làm hại máy tính bạn II, Tìm hiểu tính trình duyệt Hiểu chức đặc tính trình duyệt vấn đề hệ trọng Bằng việc kích hoạt vài đặc tính trình duyệt làm giảm độ bảo mật Cho ví dụ, tính phần