Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Pancerny Firefox
Mozilla Firefox jest od dłuższego czasu najpopularniejszą przeglądarką internetową w Polsce. Dzięki odpowiedniej konfiguracji, nasze okno na wirtualny świat uodpornimy na większość internetowych zagrożeń. Dziś podpowiadamy więc, w jaki sposób możemy uczynić z naszego Firefoksa twierdzę (niemal) nie do zdobycia.
Firefox posiada szereg podstawowych oraz zaawansowanych funkcji i ustawień, bezpośrednio wpływających na nasze bezpieczeństwo oraz odporność na typowe ataki. Poniżej omówię kilka najważniejszych z nich oraz podpowiem, w jaki sposób możemy zautomatyzować kontrolę zgodności poszczególnych ustawień z pożądanym wzorcem.
Instaluj automatycznie aktualizacje
Lokalizacja: Narzędzia/Opcje/Zaawansowane/Aktualizacja lub about:config/ app.update.auto
Opcja ta powinna być włączona, dzięki czemu tak szybko, jak to tylko możliwe trafią do nas wszystkie nowe poprawki bezpieczeństwa. Uchroni nas to przed większością ataków na przeglądarkę wykorzystujących znane podatności.
- findstr /isl „app.update.auto” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
- grep -i „app.update.auto” ~/.mozilla/firefox/*/*prefs.js
Wartość oczekiwana: brak wyniku.
Automatyczne powiadamianie o przestarzałych wtyczkach
Lokalizacja: about:config/plugins.update.notifyUser
Warto włączyć tę opcję, dzięki czemu podczas uruchamiania przeglądarki zostanie wykonane automatyczne sprawdzenie aktualności wszystkich wtyczek. Dzięki temu będziemy mogli jak najszybciej zainstalować dostępne aktualizacje, co może nas uchronić przed większością ataków na znane luki występujące w popularnych wtyczkach.
- findstr /isl „plugins.update.notifyUser” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
- grep -i „plugins.update.notifyUser” ~/.mozilla/firefox/*/*prefs.js
Wartość oczekiwana: user_pref(„plugins.update.notifyUser”, true);
Click-to-Play
Lokalizacja: about:config/plugins.click_to_play
Po włączeniu tej opcji, działanie wszystkich wtyczek zostanie zablokowane. Uruchomianie poszczególnych treści jest możliwe poprzez kliknięcie w zablokowany obszar. Możliwe jest również dodawanie całych witryn do wykluczeń – wystarczy tylko kliknąć na niebieski klocek po lewej stronie paska adresowego.
Większość złośliwych stron internetowych próbuje zainfekować nasze systemy za pośrednictwem popularnych wtyczek w przeglądarkach internetowych, takich jak Java, czy też Flash. Całkowita rezygnacja z wtyczek może oznaczać brak dostępu do wielu treści, dlatego lepszym rozwiązaniem może być właśnie skorzystanie z funkcji Click-to-Play.
Jeśli tylko w rozsądny sposób będziemy zarządzać wyjątkami, zachowując dostęp do interesujących nas treści możemy znacząco podnieść odporność naszego systemu na ataki typu drive-by download i to również te wykorzystujące luki zero-day!
- findstr /isl „plugins.click_to_play” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
- grep -i „plugins.click_to_play” ~/.mozilla/firefox/*/*prefs.js
Wartość oczekiwana: user_pref(„plugins.click_to_play”, true);
Blokuj nieszyfrowaną zawartość aktywną na stronach z HTTPS
Lokalizacja: about:config/security.mixed_content.block_active_content
Włączenie tej opcji ustrzeże nas przed ładowaniem zawartości aktywnej (skrypty, zawartość z wtyczek, itp.) pochodzącej z niezaufanego i niezweryfikowanego źródła na stronach korzystających z bezpiecznego połączenia HTTPS. Warto w tym miejscu dodać, że w przyszłych wersjach Firefoksa planuje się domyślne włączenie tejże opcji.
- findstr /isl „security.mixed_content.block_active_content” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
- grep -i „security.mixed_content.block_active_content” ~/.mozilla/firefox/*/*prefs.js
Wartość oczekiwana: user_pref(„security.mixed_content.block_active_content”, true);
Włącz protokół OCSP
Lokalizacja: Narzędzia/Opcje/Zaawansowane/Szyfrowanie/Weryfikacja/Używaj protokołu weryfikacji stanu certyfikatu (OCSP) do potwierdzenia wiarygodności certyfikatów lub about:config/ security.OCSP.enabled
Korzystanie z usługi OCSP jest praktyczniejszą i bardziej bezpieczną formą weryfikacji ważności certyfikatów niż tradycyjne przeszukiwanie list unieważnionych certyfikatów CRL (ang. Certificate Revocation List).
- findstr /isl „security.OCSP.enabled” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
- grep -i „security.OCSP.enabled” ~/.mozilla/firefox/*/*prefs.js
Wartość oczekiwana: brak wyniku.
[Aktualizacja]
Dodatkowo warto również rozważyć włączenie opcji Narzędzia/Opcje/Zaawansowane/Szyfrowanie/Weryfikacja/Jeśli nie uda się połączyć z serwerem OCSP, traktuj certyfikat jako niewiarygodny (about:config/security.OCSP.require).
Skanuj pobrane pliki z użyciem programu antywirusowego
Lokalizacja: about:config/browser.download.manager.scanWhenDone
Włączenie tej opcji zapewni natychmiastowe skanowanie pobranych plików z wykorzystaniem systemowego programu antywirusowego.
- findstr /isl „browser.download.manager.scanWhenDone” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
- grep -i „browser.download.manager.scanWhenDone” ~/.mozilla/firefox/*/*prefs.js
Wartość oczekiwana: brak wyniku.
Włącz ostrzeganie o fałszywych witrynach internetowych
Lokalizacja: Narzędzia/Opcje/Bezpieczeństwo/Blokuj witryny zgłoszone jako próby oszustwa internetowego lub about:config/browser.safebrowsing.enabled
Włączenie tej opcji pozwoli nam na skorzystanie z dobrodziejstw Google Safe Browsing w zakresie ostrzegania o fałszywych witrynach, czyli np. takich, jak te stosowane w atakach phishingowych.
- findstr /isl „browser.safebrowsing.enabled” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
- grep -i „browser.safebrowsing.enabled” ~/.mozilla/firefox/*/*prefs.js
Wartość oczekiwana: brak wyniku.
Włącz ostrzeganie o złośliwych witrynach internetowych
Lokalizacja: Narzędzia/Opcje/Bezpieczeństwo/Blokuj witryny zgłoszone jako stwarzające zagrożenie lub about:config/browser.safebrowsing.malware.enabled
Włączenie tej opcji pozwoli nam na skorzystanie z dobrodziejstw usługi Google Safe Browsing w zakresie ostrzegania o złośliwych witrynach, czyli np. takich, które zawierają wszelkiego rodzaju malware.
- findstr /isl „browser.safebrowsing.malware.enabled” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
- grep -i „browser.safebrowsing.malware.enabled” ~/.mozilla/firefox/*/*prefs.js
Wartość oczekiwana: brak wyniku.
Wyłącz automatyczne instalowanie dodatków.
Lokalizacja: Narzędzia/Opcje/Bezpieczeństwo/Ostrzegaj, jeśli witryny próbują instalować dodatki lub about:config/ xpinstall.whitelist.required
Dodatki to rozszerzenia instalowane zazwyczaj w celu uzyskania nowej funkcjonalności. W przypadku zainstalowania złośliwych dodatków, bezpieczeństwo całego naszego systemu może zostać zagrożone, dlatego też należy włączyć powyższą opcję ostrzegania o próbach automatycznej instalacji rozszerzeń.
- findstr /isl „xpinstall.whitelist.required” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
- grep -i „xpinstall.whitelist.required” ~/.mozilla/firefox/*/*prefs.js
Wartość oczekiwana: brak wyniku.
Nie korzystaj z zapisywania poświadczeń, ani Firefox Sync
Lokalizacja: Narzędzia/Opcje/Bezpieczeństwo/Pamiętaj hasła do witryn lub about:config/ signon.rememberSignons
Firefox jest wyposażony w funkcję zapamiętywania i przechowywania poświadczeń. Znacznie zwiększa to ryzyko wycieku naszych haseł, gdy potencjalny intruz chociaż chwilowo uzyska dostęp do naszego systemu. Przechowywanie haseł bezpośrednio w przeglądarce nie jest dobrym pomysłem i warto wyłączyć wspominaną opcję.
- findstr /isl „signon.rememberSignons” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
- grep -i „signon.rememberSignons” ~/.mozilla/firefox/*/*prefs.js
Wartość oczekiwana: brak wyniku.
Jeśli chcemy uniknąć wysyłania jakichkolwiek danych (w szczególności zapisanych w przeglądarce haseł) wprost na serwery Mozilli, nie należy oczywiście również korzystać z funkcji Firefox Sync.
Na koniec kilka dodatkowych uwag. Wszystkie powyższe opcje konfiguracyjne weryfikowałem w Firefoksie w wersji 20.0.1. W poszczególnych wersjach przeglądarki wartości domyślne, a nawet nazwy i występowanie poszczególnych opcji może ulegać zmianom. Również ścieżki użyte w komendach weryfikacyjnych mogą nie odzwierciedlać wszystkich możliwych przypadków. W razie potrzeby należy je zmodyfikować zgodnie z własnym stanem faktycznym.
Oczywiście omówione powyżej opcje konfiguracyjne nie wyczerpują tematu. Jeśli więc uważacie, że jakieś inne ustawienia Firefoksa przy tej okazji również powinny zostać wspomniane, zachęcam do dyskusji oraz dzielenia się wszelkimi doświadczeniami.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Czesc. Fajna stronka. Apropos tekstu i OCSP. Czy autor probowal kiedys wlaczyc te opcje i korzystac z internetu przez przegladarke? Wyglada na to, ze nie;-) Twierdze tak dlatego, ze 99% CA pomimo tego, iz wystawia certyfikaty z wypelnionym polem OCSP wskazujacym na serwer HTTP(S) CA do weryfikacji certyfikatow, to niestety usluga ta jest praktycznie niedostepna bo nie obslugiwana przez serwery CA. ZTCW wynika to z faktu, ze wydajnosciowo by sobie nie poradzily, a przynajmniej koszty aby obsluzyc ruch sa dla CA zaporowe oraz usluga ta stanowi atrakcyjny wektor ataku na CA. Z ciekawostek – nawet google nie dziala, jesli zaznaczy sie opcje „when an OCSP connection with server fails, treat certificate as invalid”. Tak wiec w praktyce OCSP po prostu – nie dziala.
@f,
Tak próbowałem, tak właściwie, to ta opcja jest włączona domyślnie :). Również po włączeniu security.OCSP.require nie widzę żadnych problemów w korzystaniu z poszczególnych witryn, chyba, że Firefox jakoś mnie oszukuje? Dodałem również aktualizację w sekcji o OCSP.
Nie ważne, że nie działa :) zawsze można na dzielni się chwalić, że się ma załączoną :P
I to wszystko w piaskownicy : ]
Bardzo ciekawa publikacja.
A ja polecałbym operę, większość (jak nie wszystkie) te opcje są ustawione jako domyślne.
Google Safe Browsing jest narzędziem służącym Google także do blokowania dostępu do witryn bezpiecznych, ale z jakiś powodów dla niego niewygodnych. Np. w pewnym momencie nie mogłem się dostać do popularnego forum, ponieważ oferowano w nim linki do ściągania filmów. Przypominam, że w prawie polskim jest to dozwolone.
Brakuje wielu istotnych opisów zwiększania zabezpiczania Firefox. Nawet słowem nie ma o blokowaniu JavaScript czy dodatkach jak HTTPS Everywhere i innych. Alternatywy Firefox’a z domyślnie zmaksymalizowanym bezpieczeństwem jak LibreWolf też nie opisano a szkoda.
Tutaj ciekawie opisano co nie co w kwestii Firefox
https://www.privacytools.io/
https://prism-break.org/