Který internetový prohlížeč je nejbezpečnější?

Software | 31.03.09

V poslední době se množí útoky na počítače, přičemž není tajemstvím, že drtivá většina z nich prochází bezpečnostními dírami internetových prohlížečů. Jak jsou na tom vlastně jednotlivé browsery z hlediska zabezpečení?





Který internetový prohlížeč je nejbezpečnější?

 

Bezpečnost je ve světě současného internetu naprosto zásadním tématem, kterému se ale bohužel často nedostává adekvátního prostoru. Nejrůznějších útoků i na soukromé počítače přitom neustále rostoucím tempem přibývá. Ty nejnebezpečnější škodlivé kódy mají navíc ve zvyku se do počítačů dostávat přes bezpečnostní díry v internetových prohlížečích. Podívejme se na to, jak jsou na tom v současnosti nejrozšířenější browsery a jak můžete co nejbezpečněji surfovat.

"Ruce pryč od Internet Exploreru" - tato věta zazněla od oficiálních orgánů zabývajících se internetovou kriminalitou v prosinci loňského roku. Kvůli nalezené díře v tomto prohlížeči byl totiž počítačový systém extrémně jednoduše napadnutelný a bylo toho také tisíckrát využito nekalými živly na internetu. Na vině byla bezpečnostní díra jménem MS08-078. První oficiální varování zaznělo 10. prosince, insideři o díře ale věděli již od října. Teprve 17. prosince vydal Microsoft záplatu, která díru zalepila.

 

Bylo by však chybné domnívat se, že přechodem třeba k Mozilla Firefox vyřešíte všechny své problémy. Ani uživatelé Firefoxu totiž nejsou zcela na té nejbezpečnější straně. Ve stejné době, kdy trvala hrozba pro Internet Explorer, se na internetových vlnách proháněl trojan, jenž se tvářil jako plug-in pro Firefox. Kdo skočil na špek a „plug-in" si nainstaloval, dal jeho tvůrcům v podstatě k dispozici celý svůj počítač, včetně přístupových dat k internetbankingu. Navíc také Firefox odhalil slabinu v Javascript enginu, která byla podobná té v Internet Explorer. Ovšem rozdíl oproti browseru Microsoftu spočíval v tom, že slabiny nestihly využít žádné weby provozované či nakažené internetovými kriminálníky.

Nejnebezpečnější díry

Nejvíce nebezpečí představují bezpečnostní díry, které se hodí pro takzvané „Drive-by-Download" útoky. Podobnou dírou trpěl právě Internet Explorer, jak bylo popsáno výše. V takovém případě stačí, aby oběť přišla na nakaženou či zmanipulovanou webovou stránku. Vir je pak automaticky převeden na počítač a aktivován. Kdo nemá aktualizovaný antivir, nebude nic tušit a ani antivirový software nákaze často nezabrání. Není třeba ani klikat na podezřelé soubory, stačí jen ona osudná návštěva. Potom už váš počítač náleží hackerovi či programátorovi viru. Díky tomu může na vaše PC dostávat další programy a viry, krást data, případně rovnou něco smazat.

Je jasné, že tyto bezpečností problémy jsou pro programátory a šiřitele virů těmi nejzajímavějšími. Jiné díry totiž pro kriminálníky přocházejí v potaz jen tehdy, když se jimi dají zcizit velmi hodnotná data, tedy nejrůznější log-iny do internetového bankovnictví apod. Může jít například o takzvanou „In-Phishing" metodu, kdy se na webové stránce otevře nějaké „pop-up" okno a žádá vás o příslušné přístupové kódy.

 

Škodliviny se do vašeho počítače dostanou především těmito cestami:

Browser-engine: Samotný kód internetového prohlížeče zpracovává chybně zmanipulované webové stránky. V důsledku toho dochází k průniku viru na počítač, a to prakticky neviditelnému.

Plug-iny: Zejména v oblasti velmi frekventovaných rozšíření, jako je například Adobe (PDF nebo Flash) či Quicktime hledají útočníci stále nové díry, které by jim posloužily jako kanály pro distribuci virů. Obvykle je tu ale nutná nějaká akce uživatele - například klik na podezřelý link ke zmanipulovanému PDF.

Javascript: Tento skriptovací jazyk byl původně vyvinut pro internetový prohlížeč Netscape, ovšem v současnosti už je standardizován a využíván prakticky každým internetovým prohlížečem. Hackerské metody pro Javascript mohou být nebezpečné hned pro několik browserů najednou. Na druhou stranu ale nemusí.

Samozřejmě existují i další slabiny internetových prohlížečů. Ovšem ty už je poměrně komplikované využít, a jakmile tyto vyžadují určitou spolupráci i od uživatele-oběti, stávají se málo zajímavými. Potom si totiž útočníci mohou odpustit cestu přes chyby internetových prohlížečů a využijí jiných triků k tomu, abyste jim klikli na virus.

Napadnutelné browsery

Kolik a jaké druhy bezpečnostních děr se v internetových prohlížečích, můžeme najít od řady různých pramenů. Podívali jsme se na zprávy bezpečnostních specialistů společnosti Secunia (www.secunia.com), stejně tak jako na oznámení Bugtraq (www.securityfocus.com). Nahlédli jsme také do testu bezpečnostního vědce Roberta Chapina, který zkoumal spolehlivost manažerů hesel v browserech. Samozřejmě jsme analýze podrobili i údaje samotných výrobců internetových prohlížečů, kteří jejich informace obvykle zveřejňují spolu s hotovými updaty.

 

 

Hodnocení

Abychom mohli ohodnotit, jak je ten který internetový prohlížeč bezpečný, jsou nutné tři body. Zaprvé, kolik bezpečnostních děr existuje, zadruhé, jak jsou "velké" a zatřetí, jak dlouho to trvá, než jsou zalepeny. Pro bezpečnost uživatele je však rozhodující další faktor - totiž četnost, s jakou útočníci nabídnuté díry využijí. Má-li prohlížeč masivní bezpečnostní chybu, ale žádný programátor škodlivého kódu toho nevyužije, nestane se dotyčnému vůbec nic. To sice vypovídá o kvalitě softwaru jen marginálně či dokonce vůbec, ale je to cenná rada pro uživatele v otázce bezpečnosti. Ohodnocení je tedy čiste pragmatickým úkonem.

Rozšíření:

Jak moc je ten který prohlížeč napadán, záleží silně na jeho rozšíření a známosti. Samozřejmě, tím nejrozšířenějším je Internet Explorer. Ve většině studií se jeho podíl na trhu odhaduje na cca 70 procent -  ovšem s rychle padající tendencí. Firefox si přijde na zhruba 20 procent - naopak se stoupající tendencí. Internetový prohlížeč Safari od Apple inklinuje zhruba k deseti procentům, zatímco Opera leží u nějakých dvou procent. Ještě o fous níže bychom našli Google Chrome, který má ale značný potenciál do budoucna.

 

Bezpečnostní doporučení

 

Opera


Pokud vám na bezpečnosti při surfování opravdu záleží a považujete ji za nejdůležitější aspekt, potom byste měli vsadit na Operu. Není to sice nutně internetový prohlížeč s nejmenším počtem nejméně dramatických chyb, ale kvůli relativně malému rozšíření nemají obvykle programátoři virů zájem dělat pro něj specifické škůdce. Jistě, garanci bezpečnosti nemáte ani tady, ale hlavně uživatelé Windows by se tu měli přinejmenším porozhlédnout.

 

 

Google Chrome


Zatím nízká uživatelská čísla vykazuje také Google Chrome. Proto i pro něj hackeři jen minimálně upravují své viry. Ovšem potenciál tohoto prohlížeče je značný a dá se očekávat, že jeho podíl na trhu rychle poroste. S tím se samozřejmě zvýší i zájem internetových kriminálníků. Nehledě na to, že Chrome je pod drobnohledem řady bezpečnostních odborníků, kteří chyby rychle najdou a zveřejní, ovšem Googlu nějakou dobu trvá, než vyvine záplatu. Přesto je ale Chrome stále relativně bezpečným browserem.

 

Safari


Tento prohlížeč od Apple nainstalovaný na Windows by podle výše nastíněných pravidel neměl vykazovat příliš mnoho chyb, protože je tu málo rozšířený. Ovšem v roce 2008 tomu bylo přesně naopak. Instalace Safari na Windows otevřela velké bezpečnostní díry. Ty sice nebyly kdovíjak využívány, to by se ale časem mohlo změnit. Je totiž nejisté, zda byly všechny odstraněny.

 

 

Firefox


Firefox platil dlouhou dobu za velmi bezpečný nástroj prohlížení internetu. Ostatně právě bezpečnost řada uživatelů vyzdvihovala jako velkou výhodu oproti Internet Exploreru. Ovšem v tomto případě platí, že se Firefox stal obětí svého úspěchu. Útočníci na něj v současnosti cílí v podstatě stejnou měrou jako na Internet Explorer. Z hlediska bezpečnosti už se tak tento prohlížeč dá doporučit jen omezeně.

 

Internet Explorer 7


Internet Explorer je od své sedmé verze lepší, než jaká je jeho pověst. Ovšem je díky své rozšířenosti vystaven tak velkému náporu útoků, že je velmi problematické všem se ubránit. Pokud vám jde tedy především o bezpečnost a nejste na využívání Internet Exploreru odkázání, doporučujeme využít některou z alternativ. Tou by ale mohl být i Internet Explorer 8, na němž si dal Microsoft při vývoji hodně záležet. Až čas ale ukáže, zda skutečně výrazněji zlepšil bezpečnost.

 

Závěr

Výběr internetového prohlížeče není dobré podceňovat. Jak už bylo řečeno, tvůrci virů využívají zejména lhostejnosti uživatelů k udržování základních bezpečnostních kritérií. Pokud pracujete s citlivými či zneužitelnými daty prostřednictvím léta neaktualizovaného prohlížeče, zaděláváte si na velké problémy. Netvrdíme, že musí přijít, ale pravděpodobnost, že se s nimi setkáte, se stále zvětšuje.














Komentáře