MỤC LỤC LỜI MỞ ĐẦU Trong hệ thống ứng dụng web, trình duyệt web thành phần quan trọng, trình duyệt thay mặt người dùng gửi yêu cầu truy nhập đến máy chủ web, tải biểu diễn kết trả từ máy chủ cho người dùng Vì vậy, trình duyệt web sử dụng rộng rãi quan, tổ chức cá nhân Theo thống kê trang internetlivestats.com, số lượng website hoạt động mạng web toàn cầu 1,3 tỷ, tính đến cuối năm 2017 dự báo tiếp tục tăng nhanh năm tới Đi kèm với phổ biến tiện ích mà ứng dụng web nói chung trình duyệt Web nói riêng nguy an tồn dạng cơng vào trình duyệt web, website hệ thống kèm tăng trưởng mức đáng lo ngại Việc nghiên cứu mối đe dọa trình duyệt web giải pháp bảo mật trình duyệt web vơ cấp thiết tình hình Xuất phát từ lý trên, nhóm chọn đề tài “Giải pháp bảo mật trình duyệt web” làm đề tài tìm hiểu Ngồi phần mở đầu, kết luận, tìm hiểu nhóm gồm phần: Phần 1: Tổng quan trình duyệt Web Phần 2: Các vấn đề bảo mật trình duyệt Web Phần 3: Đánh giá độ bảo mật số trình duyệt thơng dụng Phần 4: Demo kiểu cơng cách phịng chống Phần 5: Giải pháp bảo đảm an tồn trình duyệt Web Phần 1: Tổng quan trình duyệt Web 1.1 Khái niệm trình duyệt Web – Trong hệ thống ứng dụng web, trình duyệt web thành phần quan trọng, trình duyệt thay mặt người dùng gửi yêu cầu truy nhập đến máy chủ web, tải biểu diễn kết trả từ máy chủ cho người dùng – Trình duyệt hỗ trợ hệ thống giao diện phức tạp, ngôn ngữ kịch JavaScript, mẫu định định dạng CSS trình cắm (plug-in) nhằm bổ sung tính cho trình duyệt 1.2 Cơng dụng trình duyệt Web – Trình duyệt web loại cơng cụ giúp gửi yêu cầu từ người dùng, nhận liệu từ mạng cuối hiển thị liệu hình máy tính người dùng – Như vậy, người dùng cung cấp cho trình duyệt web địa đó, phần mềm liên kết với server website, gửi yêu cầu truy cập người dùng Tiếp đó, sau server nhận phản hổi gửi lại liệu, trình duyệt đọc thông tin định dạng HTML hiển thị lên hình nội dung website – Để hỗ trợ trải nghiệm sử dụng internet người dùng tốt hơn, trình duyệt phát triển thêm tùy chỉnh để cá nhân hóa giao diện, lưu trữ địa duyệt web cung cấp thêm tiện ích 1.3 Các trình duyệt Web phổ biến 1.4 Kiến trúc trình duyệt Web - Trình duyệt thay mặt người dùng gửi yêu cầu truy nhập đến máy chủ web, tải biểu diễn kết trả từ máy chủ cho người dùng Trình duyệt hỗ trợ hệ thống giao diện phức tạp, ngôn ngữ kịch JavaScript, mẫu định định dạng CSS trình cắm (plug-in) nhằm bổ sung tính cho trình duyệt - Hình biểu diễn kiến trúc trình duyệt web Theo kiến trúc này, thành phần trình duyệt web gồm User Interface (Giao diện người dùng), Browser Engine (Mơ tơ trình duyệt), Redering Engine (Mơ tơ trình diễn), Networking (Giao tiếp mạng), JavaScript Interpreter (Bộ diễn dịch thực JavaScript), UI Backend (Giao diện người dùng phía sau) Data Persistence (Kho chứa liệu cho trình duyệt người dùng) - User Interface giao diện tương tác trình duyệt người dùng Thành phần thường gồm: Menu, Thanh địa (Address bar), Thanh công cụ (Home, Back, Forward, Refresh, Stop,…), Bookmarks Favourites (những trang định vị sử dụng thường xuyên) Tabs (với trình duyệt mới) - Browser Engine trung gian chuyển đầu vào từ User Interface đến Redering Engine Nó chịu trách nhiệm truy vấn xử lý Redering Engine theo đầu vào từ User Interface khác - Redering Engine chịu trách nhiệm hiển thị nội dung yêu cầu lên hình Trình tự hoạt động mơ đun gồm bước: (1) Phân tích cú pháp thẻ HTML, (2) Sử dụng thẻ định dạng (styles) để xây dựng trình diễn (3) Xây dựng đặt trình diễn - Networking mơ đun chịu trách nhiệm thực lời gọi dịch vụ mạng, gửi yêu cầu HTTP đến máy chủ web tiếp nhận phản hồi từ máy chủ web - JavaScript Interpreter chịu trách nhiệm diễn dịch thực mã JavaScript nhúng trang web - UI Backend mô đun có nhiệm vụ vẽ đối tượng trình duyệt cửa sổ, hộp combo, danh sách, - Data Persistence hỗ trợ chế lưu trữ localStorage, IndexedDB, WebSQL FileSystem Nó sở liệu nhỏ tạo ổ đĩa cục máy tính nơi trình duyệt cài đặt Nó quản lý liệu người dùng nhớ cache, cookie, dấu trang tùy chọn Phần 2: Các vấn đề bảo mật trình duyệt Web Có nhóm vấn đề liên quan đến bảo mật trình duyệt web, bao gồm: (1) phương thức cơng trình duyệt web, (2) mục đích cơng trình duyệt (3) tính cung cấp trình duyệt chứa đựng nhiều nguy bảo mật 2.1 Các phương thức cơng trình duyệt web • Hệ điều hành bị cơng mã độc đọc, sửa đổi khơng gian nhớ trình duyệt chế độ đặc quyền; • Hệ điều hành nhiễm mã độc chạy tiến trình mã độc đọc, sửa đổi khơng gian nhớ trình duyệt chế • • • • độ đặc quyền; Các thành phần trình duyệt bị cơng; Các trình cắm (plug-in/add-on) trình duyệt bị cơng; Giao tiếp mạng trình duyệt bị chặn bắt bên máy Cài đặt sử dụng công cụ: Clickjacking (nhấp chuột lừa đảo), Likejacking (like lừa đảo), • Cài đặt phần mềm quảng cáo, virus, phần mềm gián điệp trojan, • Tự động tải file thực thi: Các trang web độc tự động tải máy người dùng file thực thi dạng exe, msi bin Hãy từ chối không tải file hỏi Nếu người dùng lỡ tải file này, xóa chúng Các file mã độc dạng thực thi khơng bị kích hoạt người dùng mở chúng • Các đường link giả mạo: Các dịch vụ quảng cáo chứa mã độc thường có nút download giả mạo cố gắng bắt chước theo nút tải thực Rất có thể, người dùng click vào mẩu quảng cáo giả này, phần mềm độc hại từ tải máy • Thơng báo yêu cầu tải plugin để xem đoạn video: Các trang web chứa mã độc hiển thị thông báo cho biết người dùng cần plugin thời chưa cài đặt dạng codec cho phép đọc định dạng file Thực tế, người dùng cần số plugin định để đọc nội dung web phổ biến, ví dụ Netflix yêu cầu người dùng phải có plugin Silverlight Microsoft phát triển Tuy vậy, trang web lạ, tên tuổi ẩn giấu đoạn mã độc lớp vỏ plugin/codec Trong đó, trang web uy tín lại sử dụng plugin/codec phổ biến phát triển công ty lớn • Cảnh báo máy vi tính bị nhiễm virus bị lỗi: Thực tế, việc quét virus hay kiểm tra tình trạng máy vi tính qua web giải pháp tối ưu Bởi số quảng cáo lừa người dùng tải phần mềm sửa lỗi quét virus cho máy vi tính Chính phần mềm phần mềm chứa mã độc - Có nhiều mục đích cơng trình duyệt người dùng Các mục đích tiêu biểu bao gồm: • Hiển thị quảng cáo (pop-up); • Thu thập, đánh cắp thơng tin cá nhân; • Theo dõi, phân tích sử dụng web người dùng; 2.2 Các tính trình duyệt chứa đựng nhiều nguy bảo mật • Hỗ trợ ActiveX: Microsoft thiết kế chuẩn giao tiếp có tên gọi ActiveX cho phép Internet Explorer giao tiếp sử dụng liệu, dịch vụ từ phần mềm khác Khi sử dụng Internet Explorer, trang web u cầu người dùng cho phép kích hoạt tính ActiveX địa Một số u cầu ActiveX hồn tồn đáng tin cậy, ví dụ người dùng mở video dạng flash Internet Explorer, phần mềm Flash Player Adobe yêu cầu người dùng bật ActiveX Tuy vậy, ActiveX có mức độ nguy hiểm tiềm tàng khơng phần mềm độc lập Các trang web lừa đảo yêu cầu bật ActiveX để mở số nội dung định, thực tế chấp thuận trang web lây lan mã độc vào máy tính người dùng • Hỗ trợ Java: Nhiều trang web chạy ứng dụng hỗ trợ Java Đồng nghĩa kèm với mối hiểm họa từ lỗ hổng bảo mật Cách không lâu, 600.000 máy Mac bị nhiễm Trojan lỗ hổng bảo mật từ ứng dụng hỗ trợ Java, sau Oracle phải khắc phục vá lỗi • Hỗ trợ trình cắm (Plug-in/Add-on/Extension): Các trình cắm (plug-in/adon) mở rộng (extensions) trình duyệt mơ đun ngồi cài bổ sung vào trình duyệt để cung cấp thêm nhiều tính mới, tiện ích cho người dùng Một số trình cắm thơng dụng bao gồm: Adobe Flash Player, Adobe (Acrobat) Reader, Java plugin, ActiveX Các trình cắm mở rộng tiềm ẩn nhiều nguy an ninh cho trình duyệt trình cắm 10 Cách phòng chống: - Cài đặt extension Block site Google Chrome: Khi truy cập tới trang web có chứa mã độc Tiện ích mở rộng ngăn chặn không cho người dùng truy cập tới 17 4.2 Tấn công thông qua lỗ hổng bảo mật Google Chrome Phương thức công sử dụng lỗ hổng CVE-2019-5786 Google Chrome - Sử dụng metasploit framework Kali để công: 18 - Sau công thành cơng ta có tốn quyền thực thi lệnh máy đối phương như: tạo mới, sửa, xóa tệp tin; upload, download file; thực thi command line… Cách phòng chống: - Update Google Chrome lên phiên để cập nhật vá từ nhà phát hành trình duyệt 19 20 Phần 5: Giải pháp bảo đảm an tồn trình duyệt Web Trình duyệt web bị đặt cơng mạng Ngồi việc đơn giản lừa người dùng tải chạy phần mềm độc hại kẻ cơng chủ yếu nhắm vào lỗ hổng trình duyệt phần bổ trợ để xâm nhập vào máy tính Thơng qua mã độc cài cắm máy, kẻ công không phát động công mạng mà cịn ăn cắp thơng tin cá nhân, phá hoại liệu thực nhiều hành động nguy hiểm khác Để đảm bảo an toàn cho trình duyệt web, cần kết hợp việc đào tạo, nâng cao ý thức người dùng việc áp dụng biện pháp, hướng dẫn kỹ thuật Dưới góc độ kỹ thuật, biện pháp tăng cường an toàn cho trình duyệt web bao gồm: 5.1 Giải pháp bảo mật chung cho trình duyệt Web Ln cập nhật cho trình duyệt Sử dụng trình duyệt kích hoạt chế độ tự động cập nhật cho Ngừng sử dụng trình duyệt cũ Safari cho MacOS Internet Explorer cũ Windows Thay vào đó, sử dụng Google Chrome, Firefox để chúng tự động cập nhật người dùng cài Windows 10 dùng Microsoft Edge 21 Giữ cho phần bổ trợ cập nhật Bất kỳ phần bổ trợ mà người dùng cần nên tự động cập nhật Adobe Flash chẳng hạn Google Chrome Windows 10 tự động cập nhật Flash riêng với phiên Flash khác, người dùng phải cập nhật tự động cho Thiết lập an ninh bảo mật cho trình duyệt Sử dụng trình duyệt web 64 bit Các chương trình 64-bit thường bảo vệ tốt trước công mạng Giả sử người dùng cài Windows 64-bit người dùng nên sử dụng trình duyệt 64-bit Cách bố trí khơng gian địa ngẫu nhiên hiệu 22 với chương trình 64-bit Google Chrome có 32 lẫn 64-bit, kiểm tra xem người dùng dùng Nếu dùng 32-bit người dùng nên tải 64-bit dùng Bản 64-bit ổn định Firefox chưa có sẵn, người dùng sử dụng nhà phát triển Mozilar có kế hoạch phát triển 64-bit Firefox thông qua kênh ổn định Firefox 41 Chạy chương trình chống khai thác lỗ hổng bảo mật Các chương trình chống khai thác lỗ hổng bảo mật làm cho trình duyệt web người dùng cứng cáp trước cơng, thay dựa vào danh sách kiểu diệt virus phần mềm hành vi cụ thể, chương trình ngăn hành vi bất thường xảy Có lựa chọn cho người dùng Microsoft's Emet Malwarebytes AntiExploit Cả miễn phí Anti Exploit dễ sử dụng Người dùng sử dụng phần mềm diệt virus Bộ chương trình rà quét virus cần cấu hình làm việc chế độ bảo vệ theo thời gian thực cập nhật sở liệu mã độc thường xuyên để đảm bảo hiệu rà quét 23 Đăng ký tiện ích cảnh báo Đăng ký tiện ích cảnh báo từ nhà cung cấp dịch vụ, Google Alerts giúp người dùng nhận cảnh báo an ninh cần thiết có thay đổi, cập nhật quan trọng tài khoản họ, việc đổi mật khẩu, thay đổi thông tin cá nhân, truy nhập tài khoản từ thiết bị hay vị trí lạ Thận trọng sử dụng tiện ích mở rộng Các tiện ích trình duyệt thường dùng để tuỳ chỉnh trình duyệt trang web đồng thời, có tác hại định Những tiện ích giả mạo 24 chèn quảng cáo trang web người dùng truy cập theo dõi hoạt động trình duyệt người dùng Khi cài đặt trình cắm, cần biết rõ tính nguồn gốc, đồng thời, tránh cài đặt trình cắm lạ, khơng rõ nguồn gốc Cố gắng sử dụng tiện ích mở rộng tốt, giúp cho trình duyệt hoạt động tốt Bảo vệ phần mềm trình duyệt phần, điều quan trọng người dùng cần tránh trang web lừa đảo phần mềm "bẩn" Nhiều website cố gắng lừa người dùng tải chương trình rác thay cho phần mềm người dùng tìm, chí chương trình hợp lệ thường kèm loại "rác" tiềm ẩn nguy hiểm Cài đặt plug-in an ninh Không phải tất phần bổ trợ plug-in xấu, có nhiều phần bổ trợ chí cịn giúp tăng cường bảo mật cho trình duyệt Dưới ba phần mở rộng miễn phí nên sử dụng để giúp trình duyệt người dùng an tồn hơn: • HTTPS Everywhere: Phần bổ trợ The Electronic Frontier Foundation The Tor Project tạo ra, hoạt động Firefox, Chrome Opera HTTPS giao thức truyền thông đảm bảo an ninh mạng máy tính Giao thức an tồn nhiều so với giao thức HTTP truyền thống, sử dụng rộng rãi Chữ S HTTPS 25 viết tắt secure (an tồn) Nếu trang web người dùng truy cập chưa sử dụng HTTPS HTTPS Everywhere giải pháp tốt, mã hóa thơng tin giao tiếp người dùng trang web để chúng khơng bị kẻ tị mò đọc  Tải HTTPS Everywhere cho Chrome: https://chrome.google.com/webstore/detail/https everywhere/gcbommkclmclpchllfjekcdonpmejbdp Tải HTTPS Everywhere cho Firefox: https://addons.mozilla.org/vi/firefox/addon/https-everywhere/ • Web of Trust hay gọi WOT: Phần mở rộng có sẵn cho trình duyệt lớn, giúp người dùng xác định xem trang web có an tồn để duyệt hay khơng WOT hiển thị biểu tượng tín hiệu màu sắc bên cạnh URL liên kết, màu xanh nghĩa trang an toàn đáng tin cậy Màu vàng nhắc người dùng nên thận trọng với trang web màu đỏ nghĩa khơng an tồn, không nên truy cập Việc đánh giá trang web đáng tin cậy thực cộng đồng người dùng WOT khắp giới hỗ trợ bên thứ ba đáng tin cậy, 26 chẳng hạn thư viện trang web chứa mã độc hại làm 5.2 Giải pháp bảo mật chống lại số kiểu cơng trình duyệt Web Cấu hình cho trình duyệt chống lại công đánh cắp cookie Xem lại cài đặt bảo mật an ninh trình duyệt để chắn người dùng bảo vệ Ví dụ xem xem trình duyệt có chặn cookie bên thứ ba hay khơng Những cookie cho phép nhà quảng cáo theo dõi hoạt động trực tuyến người dùng 27 Hủy bỏ chạy Flash trang web để chống lại công thông qua ActiveX Một số yêu cầu ActiveX hoàn toàn đáng tin cậy, ví dụ người dùng chơi video dạng flash Internet Explorer, phần mềm Flash Player Adobe yêu cầu bạn bật ActiveX Tuy vậy, ActiveX có mức độ nguy hiểm tiềm tàng khơng phần mềm độc lập Các trang web lừa đảo yêu cầu bật ActiveX để mở số nội dung định, thực tế chấp thuận trang web lây lan mã độc vào máy tính người dùng Do ta cần thiết lập tắt Flash khởi chạy trình duyệt Kích hoạt Click to Play để phịng chống cơng thơng qua Plug-in Hãy kích hoạt tuỳ chọn Click to play trình duyệt người dùng, làm 28 trang web tải nhanh đồng thời tiết kiệm chu kỳ hoạt động CPU lượng pin Nó có tác dụng bảo vệ quan trọng Những kẻ công khai thác lỗ hổng phần bổ trợ chạy trình duyệt người dùng cho phép chúng tải cần thiết Gỡ bỏ phần bổ trợ không cần thiết tránh kẻ công sử dụng lỗ hổng bảo mật chúng Hãy gở bỏ phần bổ trợ mà người dùng cảm thấy không cần thiết, đơn cử Java, Silverlight, Flash Trường hợp xấu người dùng phải cài lại truy câp trang web trường hợp xảy 29 30 KẾT LUẬN Đánh giá độ bảo mật trình duyệt việc làm cần thiết nhằm định hướng cho người dùng lựa chọn sử dụng trình duyệt có tính độ an toàn phù hợp, để nhà phát triển trình duyệt web hồn thiện sản phẩm để đánh nguy bảo mật Bài tìm hiểu nhóm nêu lên nội dung trình duyệt web, kiến trúc trình duyệt web, vấn đề bảo mật giải pháp đảm bảo an tồn trình duyệt web Do hạn chế thời gian, trình độ nghiên cứu nhóm cịn hạn chế nên tìm hiểu khơng thể tránh khỏi có thiếu sót Chúng em mong muốn nhận ý kiến phản hồi góp ý cho thiếu sót để tìm hiểu chúng em hồn thiện 31 ... để đánh nguy bảo mật Bài tìm hiểu nhóm nêu lên nội dung trình duyệt web, kiến trúc trình duyệt web, vấn đề bảo mật giải pháp đảm bảo an tồn trình duyệt web Do hạn chế thời gian, trình độ nghiên... giá độ bảo mật số trình duyệt thơng dụng Phần 4: Demo kiểu cơng cách phịng chống Phần 5: Giải pháp bảo đảm an tồn trình duyệt Web Phần 1: Tổng quan trình duyệt Web 1.1 Khái niệm trình duyệt Web. .. đến bảo mật trình duyệt web, bao gồm: (1) phương thức cơng trình duyệt web, (2) mục đích cơng trình duyệt (3) tính cung cấp trình duyệt chứa đựng nhiều nguy bảo mật 2.1 Các phương thức cơng trình