Gibt es einen minimalen Browser, der speziell dafür entwickelt wurde, Drive-by-Malware zu verhindern?

516
MrBrody

Nachdem der PC meines Vaters (mit Avast und Firefox für die automatische Aktualisierung im Hintergrund konfiguriert), höchstwahrscheinlich über einen Drive-by-Download, von einer Ransomware infiziert wurde, fragte ich mich, wie ich das in Zukunft sowohl für ihn als auch für ihn verhindern könnte für mich.

Ich verwende Firefox 47.0.1 unter Windows 7 x64.

Meine Frage ist also: Gibt es eine Möglichkeit, wenn Sie wissen, dass Sie einen potenziell gefährlichen Link besuchen, diesen Link in einem dedizierten "Malware-verhärteten" Minimalbrowser oder einer Version Ihres Browsers zu öffnen?

Ich kenne Noscript, dass ich alle Plugins deaktiviert habe und immer darum gebeten habe, die restlichen zu aktivieren, PDF im Browser zu deaktivieren und so weiter. Was ich möchte, ist eine zusätzliche Schutzschicht. Es gibt also fünf Punkte:

  1. Wenn ich in diesem "verhärteten Browser" eine leere JavaScript-Whitelist habe, blockiert Noscript wirklich alle durch Javascript verursachten Bedrohungen wirklich? dh wird verhindert, dass ein Skript tatsächlich aus dem Internet abgerufen und lokal zwischengespeichert wird, sodass nur die bloße HTML-Seite in Ihren Speicher geladen wird?

  2. Welche Formate sind unter allen Bildformaten absolut nicht zu nutzen? Ich habe die WMF-Schwachstelle gesehen, daher ist WMF nicht auf dieser Whitelist, aber welche Bildformate sind das?

  3. Gibt es auf Basis von (2) eine Möglichkeit (nur in Firefox oder einem anderen Browser), dass nur die weiß aufgelisteten Bildformate abgerufen und angezeigt werden?

  4. Ist die Ausführung des Browsers in einer virtuellen Maschine die ultimative Antwort? Gibt es bekannte Fälle von "Massenmarkt-Malware" (dh außerhalb von Sicherheitslabor-Tests ), die VMWare oder ähnliche Virtualisierungssoftware durchbrechen und den Host-PC infizieren könnten?

  5. Gibt es schließlich einen Browser, der speziell so minimal und ausgehärtet ist, dass er einfach nichts laden kann, das als Malware ausgeführt werden könnte? Ich verstehe, dass ein solcher Browser wahrscheinlich nur Text und Links und möglicherweise einige einfache Bilder anzeigt. das ist gut für mich. Ich möchte nur in der Lage sein, Textseiten mit korrekt positioniertem Text (dh zumindest ein Teil von CSS muss noch funktionieren) mit Links darin anzuzeigen und dennoch vor allem sicher zu sein, was er laden könnte. Ich kann auf Web 0.5 zurückgreifen, wenn es mir erlaubt, so sicher zu sein, wie eine Maschine mit Luftspalt vor Online-Bedrohungen ist ...

Vielen Dank!

1
Nein, da sich diese Schwachstellen Woche für Woche ändern, da sie in allen Browsern entdeckt werden. Es ist ein Katz und Maus Spiel. Es gibt keinen kugelsicheren Weg, um 100% sicher zu sein. Moab vor 8 Jahren 0
Chromium unter OpenBSD (mit W ^ X, Versprechen) ist wahrscheinlich die beste Wahl Neil McGuigan vor 8 Jahren 1
@MOAB Ich dachte, "beste Verteidigung ist nicht zu gebrauchen", wie Luftangriffe gegen Online-Angriffe. Wenn also so viele Dinge deaktiviert sind, der Rest aber regelmäßig gewartet wird, sollte er, wie sie es nennen, "die Angriffsfläche verringern". Daher Lynx in der Antwort von Wes Sayeed. MrBrody vor 8 Jahren 0
@NeilMcGuigan: yep du hast recht das scheint auch schwer zu brechen! Ich frage mich jedoch, welche von und (in beiden Fällen mit Noscript) stärker ist ... oder vielleicht eine VM, die OpenBSD in einer OpenBSD ausführt? :-) MrBrody vor 8 Jahren 0

1 Antwort auf die Frage

2
Wes Sayeed

Erstens gibt es kein "automatisiertes" System zur Absicherung Ihres Browsers, wenn Sie potenziell riskante Dinge tun, mit Ausnahme der Mechanismen, mit denen Sie bereits vertraut sind. Wenn ein solches System vorhanden wäre, würde es innerhalb einiger Zeit ausgenutzt werden, und dann wären wir wieder da, wo wir wieder angefangen hätten. Sie sehen also, wohin das führt. Es ist ein Punkt- / Kontrapunkt-Spiel, bei dem Sicherheitssysteme versuchen, Malware von Ihrem Computer fernzuhalten, und Malware-Entwickler von Tag zu Tag intelligenter werden.

Das Wichtigste, das die Menschen erkennen müssen, ist, dass der Benutzer den größten Nutzen aus einem Computersystem ziehen kann. In Ihres Vaters Fall ist es möglich, dass er vielleicht ein Opfer eines Drive-by - Download haben, aber es ist weit wahrscheinlicher, dass er einfach in das Herunterladen des Virus selbst betrogen wurde. Es ist schwierig, Softwareschwachstellen zu finden und auszunutzen. Menschen zu belügen ist aus Sicht des Malware-Autors wesentlich einfacher und effektiver.

Es gibt nur zwei Dinge, die sich bewährt haben, um Ihren Computer virenfrei zu halten:

  • Halten Sie Ihre Software auf dem neuesten Stand.
  • Halten Sie sich auf dem Laufenden und seien Sie klüger als die Malware.

Es gibt einfach keinen Ersatz für diese beiden Dinge. Wenn Sie in einem der Fälle hinterherhinken, spielt es keine Rolle, welchen Malware-Schutz Sie haben.


Um nun gezielt auf Ihre Fragen einzugehen:

  1. Wenn ich in diesem "verhärteten Browser" eine leere JavaScript-Whitelist habe, blockiert Noscript wirklich alle durch Javascript verursachten Bedrohungen wirklich?

Absolut tut es. Wenn Sie keine Domäne in die Whitelist aufgenommen haben, werden clientseitige Javascripts dieser Domäne nicht ausgeführt, Punkt. Beachten Sie jedoch, dass NoScript nicht auf Tab-Basis ausgeführt wird. Wenn Sie eine Domäne auf die Whitelist setzen, werden Javascripts dieser Domäne in allen Ihren Registerkarten ausgeführt.

  1. Welche Formate sind unter allen Bildformaten absolut nicht zu nutzen? Ich habe die WMF-Schwachstelle gesehen, daher ist WMF nicht auf dieser Whitelist, aber welche Bildformate sind das?

Dies ist eine schwierige Frage. technisch sind sie alle und keiner von ihnen. Jedes Medienformat (Audio, Video und Bilder) enthält Metadaten. Die Metadaten werden soll zum Einbetten von Informationen sein, um die Datei in die Datei selbst (Beispiel: EXIF - Daten in einem .jpgoder .tifDatei oder das Album / Künstler / Track - Informationen in einem .mp3‚s ID3 - Tag). Nur ein kolossaler Idiot würde einen Media Viewer / Player schreiben, der die Metadaten so ausführen kann, als wäre es Programmcode. Dieser Idiot ist, wie sich herausstellt, Microsoft, und es gibt absolut keine Entschuldigung dafür. Ich weiß nicht, was sie denken (hat wahrscheinlich etwas mit DRM-Mist zu tun), aber Microsoft hat es geschaffendas ausnutzen in einer dunklen Zeit, als sie buchstäblich glaubten, sie könnten das Internet "besitzen". Ich weiß nicht, was ich Ihnen hier sagen soll, außer mit Open-Source-Software zu bleiben, die keine dummen Dinge wie das Ausführen eines Datenstroms tut.

  1. Gibt es basierend auf (2) eine Möglichkeit (nur in Firefox oder einem anderen Browser), dass nur die weißen Bildformate abgerufen und angezeigt werden?

Nein. Alle gängigen Bildformate (.jpg, .gif und .png) sind gemäß der obigen Erklärung "anfällig". Wieder sollten Firefox oder Chromium Sie hier retten (ich persönlich vertraue IE oder Chrome nicht). Andere Formate wie .pdf, Flash, Silverlight, Java usw. sind urheberrechtlich geschützt. Sie sind definitiv anfällig, da sie Closed Source sind und Sie auf Adobe, Oracle und Microsoft zurückgreifen müssen, um die darin enthaltenen Exploits zu patchen. Für diese können Sie einfach die Plugins deaktivieren, die diese Funktionen aktivieren, oder einen Blocker verwenden, durch den Sie durch einen Rahmen springen, um ihren Inhalt anzuzeigen.

  1. Ist die Ausführung des Browsers in einer virtuellen Maschine die ultimative Antwort? Gibt es bekannte Fälle von "Massenmarkt-Malware" (dh außerhalb von Sicherheitstests), die VMWare oder ähnliche Virtualisierungssoftware durchbrechen und den Host-PC infizieren können?

Es ist nicht die "ultimative" Antwort, aber es ist eine viel sicherere Methode, um nach Überparanoiden zu suchen. Eine VM ist eine Sandbox, aus der nur wenige Prozesse entweichen können. Die einzigen zwei Angriffsvektoren sind netzbasierte Exploits (die nach anderen Computern in Ihrem Netzwerk suchen) und Angriffe auf die VM-Tools-Software. Beides kann durch die "Isolationsmodus" -Funktion aller VM-Produkte gemindert werden. Verwenden Sie auch eine Momentaufnahme einer bekannten sauberen Konfiguration. Wenn Sie die VM mit einem Virus infizieren, müssen Sie nur den Snapshot zurücksetzen, um ihn zu entfernen. Beachten Sie, dass Sie den Snapshot von Zeit zu Zeit aktualisieren müssen, wenn Sie Updates / Patches installieren.

  1. Gibt es schließlich einen Browser, der speziell so minimal und ausgehärtet ist, dass er einfach nichts laden kann, das als Malware ausgeführt werden könnte?

Keiner, wie Sie denken, macht das Surfen im Internet zu einer nützlichen Aktivität. Lynx ist ein beliebter Textbrowser. Es werden keinerlei Bilder oder Plugins unterstützt. Leider ist dies nur eine akzeptable Alternative, wenn Sie wie 1989 feiern. Sie können auch eine Linux Live-Distribution verwenden, die vollständig von einer CD oder einem USB-Flash-Laufwerk ausgeführt wird. Es gibt viele da draußen. Sie müssen Ihren Computer jedoch jedes Mal neu starten, wenn Sie im Internet surfen möchten. Auf diese Frage gibt es keine praktische Antwort.

Auf meinem PC verwalte ich Firefox mit 5 separaten Kondomen. NoScript, Ghostery, AdBlock Plus, BetterPrivacy und selbstzerstörerische Cookies. Ich habe auch eine Reihe von Datenschutzeinstellungen vorgenommen. Die Verwendung dieser vielen Sicherheitsschichten und das Verwalten von Whitelists für alles ist mühsam. Ich mache es, weil ich beruflich in der Cybersecurity arbeite und mein ganzes Leben unter einem figurativen Hut aus Aluminiumfolie gelebt wird, den ich überall trage. Aber ich würde niemals so einem anspruchslosen Benutzer wie Ihrem Vater eine solche Konfiguration aufzwingen. Wenn Sie nicht genau wissen, was Sie tun, machen diese Plugins die Verwendung des Internets im schlimmsten Fall praktisch unmöglich und bestenfalls nicht besser als ein ungeschützter Browser.

Vielen Dank für die Punkt-für-Punkt-Antwort. Im Falle meines Vaters, außer wenn die Malware vor der Aktivierung eine "Verzögerung" hatte oder die NTFS-Datei geändert oder die Firefox-Historie geändert hat (was nicht der Fall ist, da beide kohärent sind), erfolgte die Verschlüsselung zu einem Zeitpunkt, zu dem er die Verschlüsselung durchführte Ich habe Fußball (Spiele, die in seinem Land nicht übertragen werden) durch Sopcast beobachtet ... direkt nachdem er den Sopcast-Link auf einer Website gefunden hatte. Ich verstehe Ihren Standpunkt zu Noscript und anderen, die jeden Tag verwaltet werden müssen, ich musste es auch tun. Also kein Sopcast für ihn (schon gemacht) und Lynx / (FF + NS + gute VM) für mich! MrBrody vor 8 Jahren 0