Google запропонувала технологію ізоляції сайтів користувачам мобільного браузера Chrome для Android. А ізоляція сайтів для настільних систем тепер дозволяє захистити користувачів від більшої кількості типів експлойтів.
Коли користувач Chrome для Android відкриє сайт, який буде запитувати введення пароля, браузер буде ізолювати цей сайт від інших вкладок і запустить його в окремому процесі, щоб запобігти атакам типу Spectre.
Більш того, функція ізоляції сайтів, яка стала доступна користувачам браузера Chrome для настільних систем в липні 2018, тепер буде працювати в Windows, Mac, Linux і Chrome OS і запропонує захист від більшого числа атак, а не тільки від початкових вразливостей Meltdown і Spectre. Про це пише ZDnet.
Ізоляція сайтів – функція безпеки Chrome, призначена для ізоляції веб-сайтів один від одного. Це потрібно для того, щоб шкідливий код, запущений на одному сайті, не міг вкрасти дані з інших сайтів і відкритих вкладок.
Ізоляція сайтів організовує додатковий рівень захисту поряд з Same Origin Policy (SOP), функцією, яка блокує доступ сайтів до даних один одного. Google розробив технологію ізоляції сайтів, тому що помилки браузера дозволяли обходити захисні механізми SOP і красти призначені для користувача дані, збережені в браузері іншими веб-ресурсами.
Інженери Chrome розпочали створення функції ізоляції сайтів у 2017 році. Публічне розгортання стартувало в травні 2018 року, але проходило поетапно. Вже до липня 2018 більше 99% користувачів Chrome отримали цю функцію.
Впровадження нової функції було дуже актуальним через виявлення в сучасних процесорах уразливостей спекулятивного виконання побічного каналу типу Meltdown і Spectre. Уразливості були виявлені на початку 2018 року і дозволяли зловмисниками долати архітектурні бар’єри між додатками для крадіжки даних із Chrome.
Хоча ізоляція сайтів ніколи не призначалася для виправлення помилок процесора, вона насправді вирішувала багато проблем безпеки. Саме з цієї причини Google вирішив впровадити цю функцію не дивлячись на те, що компанії довелося відхилитися від початкової концепції.
Інженерні команди Google продовжували працювати над ізоляцією сайтів після липня 2018 року. 17 жовтня компанія Google оголосила про дві основні розробки, а також про майбутні плани з розвитку цього механізму безпеки.
Ізоляція сайтів доступна деяким користувачам Android
Одна з цих розробок пов’язана з доступністю ізоляції сайтів користувачам Android-пристроїв.
Google розповів, що ізоляція сайтів ввімкнена для 99% користувачів Chrome для Android, пристрої яких мають ОЗП об’ємом 2 Гб або більше.
Коли користувач відвідуватиме сайт, на якому можна ввести пароль, Chrome розмістить цей сеанс в окремому процесі, щоб захистити сайт і дані користувачів від шкідливого коду, розміщеного на інших сайтах і експлуатує уразливість типу Spectre.
Ізоляція сайтів була додана в Chrome для Android 77 , випущеному в вересні. Якщо Ви перейшли на нову версію, а Ваш смартфон має більш 2 гігабайт оперативної пам’яті, то Ви отримали нову функцію.
Google попереджає, що використання функції ізоляції сайту призведе до збільшення використання ОЗП на 3-5%.
Якщо Ваш пристрій має менший обсяг пам’яті, або Ви хочете використовувати ізоляцію сайтів абсолютно на всіх сайтах, то відкрийте сторінку chrome://flags/#enable-site-per-process і встановіть значення Enabled для параметра Strict Site Isolation. Google заявляє, що в цьому випадку Ви можете зіткнутися з ще більшим навантаженням на ОЗП.
Розширений захист для настільних систем
Друга велика розробка пов’язана з поліпшенням технології ізоляції сайтів для десктопної платформи. Google повідомляє, що, починаючи з Chrome 77, ізоляція сайтів для настільних систем дозволяє захистити користувачів від більшої кількості типів експлойтів, ніж первісна версія технології.
Інженери Google розповіли, що початковий запуск був спрямований на запобігання атак типу Spectre, які могли перехоплювати дані з процесу рендеринга.
Тепер ізоляція сайтів може обробляти навіть серйозні атаки, коли процес рендеринга повністю скомпрометований через помилки безпеки, наприклад при пошкодженні пам’яті або у випадку з логічними помилками універсального міжсайтового скриптинга (Universal Cross-Site Scripting, UXSS).
Помилки пам’яті і уразливості UXSS активно експлуатувалися в минулому. Зловмисники розміщували шкідливий код на сайтах, що використовують ці типи уразливостей. Коли користувач звертався до шкідливого сайту, спрацьовував код експлойта і витягувалися дані з інших сайтів, які були збережені в Chrome.
Тепер, завдяки посиленню ізоляції сайтів, Google стверджує, що дані види атак будуть безуспішними, тому що дані кожного сайту, в тому числі файли cookie і паролі, заблоковані і переміщені в окремий процес Chrome.
Помилки пам’яті і UXSS, які використовувалися для обходу SOP, більше неефективні. Якщо хакери захочуть вкрасти дані браузера, їм знадобляться експлойти, які можуть вийти за межі пісочниці Chrome і перейти до іншого системного процесу.
Крім того, ізоляція сайту тепер запобігає доступ до більшої кількості типів даних, а не тільки до паролів і файлів cookie.
Google обіцяє захистити від шкідливого коду за допомогою ізоляції сайтів наступні категорії призначених для користувача даних:
- Аутентифікація: доступ до файлів cookie і збереженим паролів може отримати тільки процес, закріплений за відповідним сайтом.
- Мережеві дані: ізоляція сайтів використовує технологію Cross-Origin Read Blocking для запобігання доступу зовнішніх процесів до конфіденційних типів ресурсів (наприклад, HTML, XML, JSON, PDF). Захист ефективна, навіть якщо процес намагається обдурити мережевий стек Chrome щодо свого джерела. Ресурси, з заголовком Cross-Origin-Resource-Policy, також захищені.
- Збережені дані і дозволу. Процеси рендеринга можуть отримувати доступ до збережених даних (наприклад, до localStorage) або до дозволами (наприклад, до мікрофона) тільки відповідного сайту.
- Обмін повідомленнями між джерелами: процес браузера Chrome може перевірити джерело походження повідомлень postMessage і BroadcastChannel, запобігаючи спробі спотворити ці дані процесом рендеринга.
Google ще багато чого може поліпшити в технології ізоляції сайтів, щоб досягти повноцінної ізоляції на всіх рівнях кодової бази Chrome. В ідеальному сценарії кожен сайт повинен працювати в своєму власному процесі і може отримати доступ тільки до своїх даних.
Реалізувати в Chrome таке поки неможливо і через внутрішню архітектури браузера. У майбутньому все може змінитися.
Google поділився своїми планами з розвитку функції ізоляції сайтів:
- Адаптація захистів під Chrome для Android. Потрібна додаткова робота для опрацювання випадків, коли ізольовані тільки певні сайти.
- Посилення CSRF захисту. Заголовки запитів Sec-Fetch-Site і Origin можуть додатково перевірятися, щоб запобігти їх підбір скомпрометованими процесами рендеринга.
- Захист більшої кількості типів даних. Google досліджує, як захистити додаткові типи даних за допомогою блокування читання з різних джерел.
- Позбавлення від винятків. Інженери працюють над усуненням випадків, коли засоби захисту можуть не спрацювати. Наприклад, деякі розширення досі підтримують широкий міжсайтовий доступ із скриптів сайту. З авторами розширень ведеться робота, щоб знизити кількість уразливих користувачів Chrome з 14% до 2%, а також вирішити інші проблеми безпеки розширень. Крім того, ізоляція сайту не застосовується до технології Flash, яка в цей час вимкнена за замовчуванням.
Нагадаємо, ботнет 10-річної давнини Phorpiex знов активізувався. На цей раз ботнет, який в даний час контролює понад 450 000 комп’ютерів у всьому світі, нещодавно змінив тактику з зараження комп’ютерів програмами-вимагачами або майнерами криптовалют, на їх використання для розсилки електронних листів з вимогами шантажу мільйонам невинних людей.
Також кіберзлочинці, які займаються зламом корпоративних мереж, спочатку зламують мережі великих компаній, а потім здають в оренду або продають доступ до них іншим злочинним угрупуванням. Вони пропонують свої послуги у Даркнеті та через захищені месенджери, а згодом співпрацюють з операторами програм-шифрувальників.
Зверніть увагу, що фальшиву версію браузера Tor, який кіберзлочинці використовують для викрадення криптовалюти Bitcoin у покупців Даркнет-ринків та шпигування за користувачами, виявили фахівці з кібербезпеки компанії ESET. Загальна сума отриманих коштів на всі три гаманці становила 4.8 Bitcoin, що відповідає приблизно 40 тисячам доларам США.
Окрім цього, голосових помічників можуть використовувати зловмисники, щоб підслуховувати розмови або обманом дізнаватися у користувачів конфіденційну інформацію. Дослідники розповіли про ряд проблем в Alexa і Google Home, які розробники Google не можуть усунути вже кілька місяців. Загрозу становлять шкідливі програми, розроблені третіми особами.
Згідно похмурого, але не занадто надуманого сценарію, хакер може атакувати антену 5G, відправивши шкідливі сигнали мільйонам підключених до неї пристроїв. Це призведе до колапсу в роботі транспортної системи та енергосистеми і паралізує міста. Коли уряди все більшої кількості країн розмірковують про ризики роботи із закордонними постачальниками мереж 5G, всі погляди прикуті до Швейцарії, яка однією з перших прийняла на озброєння цю технологію.
