Windows Vista & Bezbednost – IE 7

U ovom tekstu će, naravno, biti reči o novinama u oblasti bezbednosti. Znači, ne govorimo o tabbed browsing-u, izgledu browsera, podršci za AJAX, RSS ili CSS. Govorimo o bezbednosti. Od svih novina u toj oblasti, opisaću, po meni, dve najvažnije: Protected mode i Phishing Filter. Kompletan spisak novina vezanih za bezbednost mogu se naći na IE7 sajtu.

Protected Mode

Kada se Protected Mode uključi, IE7 procesu se automatski dodeljuje najniži nivo integriteta (smanjene privilegije na minimum), što podrazumeva da IE7 proces ne može menjati korisničke ili sistemske fajlove i postavke. Sva komunikacija između IE7 procesa i operativnog sistema se odvija preko broker procesa, koji igra ulogu medijatora. Protected Mode je dostupan samo u Windows Visti (nedostupan je na XP SP2), i uključen je po default-u za sve osim Trusted zone. Sledeća slika prikazuje kako se Protected Mode može uključiti i isključiti. Do dijaloga se dolazi preko Tools -> Internet Options -> Security -> Enable Protected Mode.

Da bi uopšte mogao da funkcioniše, Protected Mode se oslanja na tri tehnologije koje su dostupne u Windows Visti (zato i nije dostupan na starijim Windows platformama):

• MIC Mandatory Intergity Control primenjuje koncept poznat u teoriji kompjuterske bezbednosti kao Biba Integrity Model, koji se koncentriše na integritet sistema, za razliku od npr. Bell-LaPadula modela koji se koncentriše na tajnost podataka. Jedan od principa MIC-a je da objekti sa nižim nivoom integriteta (oni kojima se najmanje veruje) ne mogu pristupati objekatima kojima je dodeljen viši nivo integriteta (oni kojima se više veruje). U Windows Visti postoje tri nivoa integriteta: low, medium i high. Npr. običan korisnik dobija medium nivo, korisnički desktop takođe medium dok IE7 proces dobija low nivo, kao npr. i fajl koji je preko IE7 browsera skinut sa Interneta.
• UAC (User Account Control) tehnologija, o kojoj sam pisao u jednoj od prethodnih kolumni omogućava običnom korisniku sa standardnim privilegijama udoban rad u Windowsu i da smanjuje broj zadataka i aplikacija koji zahtevaju administratorske privilegije. Onoga trenutka kada se takav zadatak pojavi, korisniku će biti prikazan prozor sa dijalogom opisujući tačno koja aplikacija traži privilegije od njega i tražeći od korisnika da ukuca administratorsku lozinku (ukoliko je korisnik administrator, ne traži se lozinka, ali se ipak traži saglasnost), da bi se izvršila tzv. elevacija privilegija i na kraju izvršio zadatak koji zahteva administratorske privilegije.
• UIPI (User Interface Priviledge Isolation) praktično implementira MIC, tj. onemogućava da objekti sa nižim nivoom integriteta pristupaju objektima sa višim nivoom integriteta. Ovo je vrlo bitno, jer praktično ova tehnologija sprečava "tihu" elevaciju privilegija, bez znanja korisnika. Time se sprečavaju tzv. shatter napadi , koji su došli u žižu interesovanja 2002 godine, kada je Chris Paget objavio rad Exploiting Design Flaws in the Win32 API for priviledge escalation.

Kako se sve to uklapa u jednu celinu prikazano je na sledećoj slici:

IE7 sa uključenim Protected Mode-om ima pravo da čita i piše samo u specijalne foldere koje se nalaze unutar korisničkog profila, i na mom kompjuteru izgledaju ovako:

Cache: C:\Users\sasha\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low

Temp: C:\Users\sasha\AppData\Local\Temp\Low

Cookies: C:\Users\sasha\AppData\Roaming\Microsoft\Windows\Cookies\Low

History: C:\Users\sasha\AppData\Local\Microsoft\Windows\History\Low

Svakako ste primetili Compatibility Layer na slici i pitate se čemu služi. Ovaj sloj služi da zadrži kompatibilnost sa mnogobrojnim postojećim ekstenzijama, koje zahtevaju pristup objektima sa višim nivoom integriteta. Klasični primeri su ekstenzije koje upisuju podatke u korisnički profil, ili čak zahtevaju upis u Registry bazu. Takvi zahtevi se preusmeravaju na sledeće dve lokacije, kojima je takođe dodeljen low nivo integriteta, što je ustvari proces virtualizacije resursa već pomenut u tekstu o UAC tehnologiji:

Documents and Settings\%userprofile%\LocalSettings\TemporaryInternet Files\Virtualized HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\InternetRegistry

IE7 se praktično nalazi u kompletnoj izolaciji od "ostatka sveta". Normalno surfovanje Internetom se uvek dešava na low nivou integriteta. Ako je IE7 procesu potrebno da pristupi objektima sa medium ili high nivoom integriteta (npr. snimanje fajla skinutog sa Interneta koji ima low nivo integriteta na Desktop, koji ima medium nivo integriteta), to će se desiti samo uz pomoć medijatora. Preko UIPI mehanizma, a uz pomoć IEInstall.exe admin brokera pristupa se objektima sa high nivoom integriteta, dok se uz pomoć IEUser.exe user brokera pristupa objektima sa medium nivoom integriteta. Za pristup objektima sa višim nivoom integriteta potrebna je saglasnost korisnika, a to se dešava uz pomoć UAC tehnologije.

Protected Mode će najverovantije najviše biti izložen hakerskim napadima, jer će sada mnogi pokušati da zaobiđu ovaj mehanizam, i sa nivoa integriteta low pokušati da direktno pristupe medium nivou. Ovo je jedan od vrlo važnih ispita za Microsof SDLC pristup razvoju softvera.

Microsoft Phishing Filter

Phishing Filter pomaže da se prepoznaju lažni sajtovi i da se korisnik obavesti o mogućoj prevari. Phishing tehnika jeste aktivnost koja koristi social engineering. Najčešće se korisniku putem e-maila pošalje poruka u kojoj se pošiljalac lažno predstavlja kao neka osoba (ili firma) u koju korisnik ima poverenje sa molbom da se uradi određena aktivnost. Npr. dobijete poruku od vaše banke u kojoj se kaže da morate odmah kliknuti na link koji se nalazi u poruci i otići na sajt banke, gde vas čeka forma koja od vas traži da se ulogujete na sistem (znači traži vam se da upišete korisničko ime i lozinu). Međutim, sajt banke je lažan a vaši podaci (najčešće korisničko ime, lozinka i broj računa u banci) su poslati nekome ko je postavio tu zamku.

Najveći problem za krajnjeg korisnika je kako prepoznati da li je e-mail koji je poslat zaista došao od onoga ko ga je poslao (veoma je lako lažirati pošiljaoca e-mail poruke) i da li je sajt na koji link iz e-maila vodi zaista sajt o kome je reč u poruci. Phishing Filter implementiran u IE7 (i koliko sam ja upoznat u Microsoft Outlook 2007) je samo prvi korak u zaštiti od ovog problema. Filter kombinuje skeniranje na klijent strani sa opcionalnim online servisom na sledeće načine:

• Upoređuje se adresa Web sajta koju korisnik pokušava da poseti sa listom legitimnih sajtova koja je dostupna na korisnikovom kompjuteru
• Sajt koji korisnik pokušava da poseti se analizira i korisnik se upozorava ukoliko ciljni sajt ima karakteristike koje su uobičajene za phishing sajtove
• Ako se korisnik odluči za korišćenje online servisa, URL adresa ciljnog sajta se šalje online servisu koji je vlasništvo Microsofta. Online servis upoređuje URL sa listom poznatih phishing sajtova koja se osvežava nekoliko puta u toku jednog sata.

Ukoliko filter prepozna ciljni sajt kao sumnjiv, security status bar će promeniti boju u u žuto, signalizirajući korisniku da treba da obrati pažnju na taj sajt. Ako je sajt zaista phishing sajt (nalazi se u bazi poznatih phishing sajtova), IE7 security status bar se oboji u crveno, učitava se strana sa upozorenjem i korisniku se saopštava da je ciljni sajt lažan, ali mu se ipak ostavlja mogućnost da nastavi sa posetom tom sajtu. Primer jednog takvog slučaja prikazan je na sledećoj slici (phishing pokušaj datira od 21.11.2006):

Phishing problem je veoma kompleksan problem koji se, naravno, neće rešiti jednim filterom, ali ono što ovaj filter pokušava da promeni je ustvari način da se koriniku saopšti da je ciljni sajt sumnjiv ili lažan. Ovaj filter koristi vizuelne efekte da saopšti korisniku da nešto nije u redu (boja security status bara se menja u žuto ili crveno), a to je korak u dobrom pravcu: omogućiti user experience koji se lako razume i ostavlja mogućnost korisniku da donese razumnu odluku na osnovu informacija koje su mu ponuđene. Za one koje ova tematika interesuje, preporučujem istraživanje studenta sa Harvarda koji se zove Rachna Dhamija. U saradnji sa još nekim ljudima, Rachna je objavila rad Why Phishing Works, u kojem pokazuje da u više od 90% slučajeva dobri phishing sajtovi uspevaju da prevare krajnje korisnike i da postojeći mehanizmi ne daju rezultate (korisnici ne čitaju šta piše u status barovima i ne obraćaju pažnju na bezbedonosne indikatore, kao što je npr. SSL indikator). U jednom drugom radu The Battle Against Phishing: Dynamic Security Skins, Rachna predlaže jedno vrlo originalno rešenje, koje, između ostalog, koristi vizuelne efekte u komunikaciji sa krajnjim korisnikom.

Saša Vidanović radi kao Senior Consultant u kompaniji Microsoft Switzerland Ltd. Možete ga kontaktirati na e-mail adresu sasa.vidanovic@hotmail.com