-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Pancerny Firefox

22 kwietnia 2013, 09:38 | Teksty | komentarzy 8

Mozilla Firefox jest od dłuższego czasu najpopularniejszą przeglądarką internetową w Polsce. Dzięki odpowiedniej konfiguracji, nasze okno na wirtualny świat uodpornimy na większość internetowych zagrożeń. Dziś podpowiadamy więc, w jaki sposób możemy uczynić z naszego Firefoksa twierdzę (niemal) nie do zdobycia.

Firefox posiada szereg podstawowych oraz zaawansowanych funkcji i ustawień, bezpośrednio wpływających na nasze bezpieczeństwo oraz odporność na typowe ataki. Poniżej omówię kilka najważniejszych z nich oraz podpowiem, w jaki sposób możemy zautomatyzować kontrolę zgodności poszczególnych ustawień z pożądanym wzorcem.

Instaluj automatycznie aktualizacje

Lokalizacja: Narzędzia/Opcje/Zaawansowane/Aktualizacja lub about:config/ app.update.auto

Opcja ta powinna być włączona, dzięki czemu tak szybko, jak to tylko możliwe trafią do nas wszystkie nowe poprawki bezpieczeństwa. Uchroni nas to przed większością ataków na przeglądarkę wykorzystujących znane podatności.

Weryfikacja jest możliwa z poziomu wiersza poleceń za pomocą następujących komend (kolejno dla systemów Windows oraz Linux):

  • findstr /isl „app.update.auto” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
  • grep -i „app.update.auto” ~/.mozilla/firefox/*/*prefs.js

Wartość oczekiwana: brak wyniku.

Automatyczne powiadamianie o przestarzałych wtyczkach

Lokalizacja: about:config/plugins.update.notifyUser

Warto włączyć tę opcję, dzięki czemu podczas uruchamiania przeglądarki zostanie wykonane automatyczne sprawdzenie aktualności wszystkich wtyczek. Dzięki temu będziemy mogli jak najszybciej zainstalować dostępne aktualizacje, co może nas uchronić przed większością ataków na znane luki występujące w popularnych wtyczkach.

Weryfikacja jest możliwa z poziomu wiersza poleceń za pomocą następujących komend (kolejno dla systemów Windows oraz Linux):

  • findstr /isl „plugins.update.notifyUser” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
  • grep -i „plugins.update.notifyUser” ~/.mozilla/firefox/*/*prefs.js

Wartość oczekiwana: user_pref(„plugins.update.notifyUser”, true);

Click-to-Play

Lokalizacja: about:config/plugins.click_to_play

Po włączeniu tej opcji, działanie wszystkich wtyczek zostanie zablokowane. Uruchomianie poszczególnych treści jest możliwe poprzez kliknięcie w zablokowany obszar. Możliwe jest również dodawanie całych witryn do wykluczeń – wystarczy tylko kliknąć na niebieski klocek po lewej stronie paska adresowego.

Większość złośliwych stron internetowych próbuje zainfekować nasze systemy za pośrednictwem popularnych wtyczek w przeglądarkach internetowych, takich jak Java, czy też Flash. Całkowita rezygnacja z wtyczek może oznaczać brak dostępu do wielu treści, dlatego lepszym rozwiązaniem może być właśnie skorzystanie z funkcji Click-to-Play.

Jeśli tylko w rozsądny sposób będziemy zarządzać wyjątkami, zachowując dostęp do interesujących nas treści możemy znacząco podnieść odporność naszego systemu na ataki typu drive-by download i to również te wykorzystujące luki zero-day!

Weryfikacja jest możliwa z poziomu wiersza poleceń za pomocą następujących komend (kolejno dla systemów Windows oraz Linux):

  • findstr /isl „plugins.click_to_play” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
  • grep -i „plugins.click_to_play” ~/.mozilla/firefox/*/*prefs.js

Wartość oczekiwana: user_pref(„plugins.click_to_play”, true);

Blokuj nieszyfrowaną zawartość aktywną na stronach z HTTPS

Lokalizacja: about:config/security.mixed_content.block_active_content

Włączenie tej opcji ustrzeże nas przed ładowaniem zawartości aktywnej (skrypty, zawartość z wtyczek, itp.) pochodzącej z niezaufanego i niezweryfikowanego źródła na stronach korzystających z bezpiecznego połączenia HTTPS. Warto w tym miejscu dodać, że w przyszłych wersjach Firefoksa planuje się domyślne włączenie tejże opcji.

Weryfikacja jest możliwa z poziomu wiersza poleceń za pomocą następujących komend (kolejno dla systemów Windows oraz Linux):

  • findstr /isl „security.mixed_content.block_active_content” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
  • grep -i „security.mixed_content.block_active_content” ~/.mozilla/firefox/*/*prefs.js

Wartość oczekiwana: user_pref(„security.mixed_content.block_active_content”, true);

Włącz protokół OCSP

Lokalizacja: Narzędzia/Opcje/Zaawansowane/Szyfrowanie/Weryfikacja/Używaj protokołu weryfikacji stanu certyfikatu (OCSP) do potwierdzenia wiarygodności certyfikatów lub about:config/ security.OCSP.enabled

Korzystanie z usługi OCSP jest praktyczniejszą i bardziej bezpieczną formą weryfikacji ważności certyfikatów niż tradycyjne przeszukiwanie list unieważnionych certyfikatów CRL (ang. Certificate Revocation List).

Weryfikacja jest możliwa z poziomu wiersza poleceń za pomocą następujących komend (kolejno dla systemów Windows oraz Linux):

  • findstr /isl „security.OCSP.enabled” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
  • grep -i „security.OCSP.enabled” ~/.mozilla/firefox/*/*prefs.js

Wartość oczekiwana: brak wyniku.

[Aktualizacja]

Dodatkowo warto również rozważyć włączenie opcji Narzędzia/Opcje/Zaawansowane/Szyfrowanie/Weryfikacja/Jeśli nie uda się połączyć z serwerem OCSP, traktuj certyfikat jako niewiarygodny (about:config/security.OCSP.require).

Skanuj pobrane pliki z użyciem programu antywirusowego

Lokalizacja: about:config/browser.download.manager.scanWhenDone

Włączenie tej opcji zapewni natychmiastowe skanowanie pobranych plików z wykorzystaniem systemowego programu antywirusowego.

Weryfikacja jest możliwa z poziomu wiersza poleceń za pomocą następujących komend (kolejno dla systemów Windows oraz Linux):

  • findstr /isl „browser.download.manager.scanWhenDone” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
  • grep -i „browser.download.manager.scanWhenDone” ~/.mozilla/firefox/*/*prefs.js

Wartość oczekiwana: brak wyniku.

Włącz ostrzeganie o fałszywych witrynach internetowych

Lokalizacja: Narzędzia/Opcje/Bezpieczeństwo/Blokuj witryny zgłoszone jako próby oszustwa internetowego lub about:config/browser.safebrowsing.enabled

Włączenie tej opcji pozwoli nam na skorzystanie z dobrodziejstw Google Safe Browsing w zakresie ostrzegania o fałszywych witrynach, czyli np. takich, jak te stosowane w atakach phishingowych.

Weryfikacja jest możliwa z poziomu wiersza poleceń za pomocą następujących komend (kolejno dla systemów Windows oraz Linux):

  • findstr /isl „browser.safebrowsing.enabled” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
  • grep -i „browser.safebrowsing.enabled” ~/.mozilla/firefox/*/*prefs.js

Wartość oczekiwana: brak wyniku.

Włącz ostrzeganie o złośliwych witrynach internetowych

Lokalizacja: Narzędzia/Opcje/Bezpieczeństwo/Blokuj witryny zgłoszone jako stwarzające zagrożenie lub about:config/browser.safebrowsing.malware.enabled

Włączenie tej opcji pozwoli nam na skorzystanie z dobrodziejstw usługi Google Safe Browsing w zakresie ostrzegania o złośliwych witrynach, czyli np. takich, które zawierają wszelkiego rodzaju malware.

Weryfikacja jest możliwa z poziomu wiersza poleceń za pomocą następujących komend (kolejno dla systemów Windows oraz Linux):

  • findstr /isl „browser.safebrowsing.malware.enabled” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
  • grep -i „browser.safebrowsing.malware.enabled” ~/.mozilla/firefox/*/*prefs.js

Wartość oczekiwana: brak wyniku.

Wyłącz automatyczne instalowanie dodatków.

Lokalizacja: Narzędzia/Opcje/Bezpieczeństwo/Ostrzegaj, jeśli witryny próbują instalować dodatki lub about:config/ xpinstall.whitelist.required

Dodatki to rozszerzenia instalowane zazwyczaj w celu uzyskania nowej funkcjonalności. W przypadku zainstalowania złośliwych dodatków, bezpieczeństwo całego naszego systemu może zostać zagrożone, dlatego też należy włączyć powyższą opcję ostrzegania o próbach automatycznej instalacji rozszerzeń.

Weryfikacja jest możliwa z poziomu wiersza poleceń za pomocą następujących komend (kolejno dla systemów Windows oraz Linux):

  • findstr /isl „xpinstall.whitelist.required” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
  • grep -i „xpinstall.whitelist.required” ~/.mozilla/firefox/*/*prefs.js

Wartość oczekiwana: brak wyniku.

Nie korzystaj z zapisywania poświadczeń, ani Firefox Sync

Lokalizacja: Narzędzia/Opcje/Bezpieczeństwo/Pamiętaj hasła do witryn lub about:config/ signon.rememberSignons

Firefox jest wyposażony w funkcję zapamiętywania i przechowywania poświadczeń. Znacznie zwiększa to ryzyko wycieku naszych haseł, gdy potencjalny intruz chociaż chwilowo uzyska dostęp do naszego systemu. Przechowywanie haseł bezpośrednio w przeglądarce nie jest dobrym pomysłem i warto wyłączyć wspominaną opcję.

Weryfikacja jest możliwa z poziomu wiersza poleceń za pomocą następujących komend (kolejno dla systemów Windows oraz Linux):

  • findstr /isl „signon.rememberSignons” „%APPDATA%\Mozilla\Firefox\Profiles\*prefs.js”
  • grep -i „signon.rememberSignons” ~/.mozilla/firefox/*/*prefs.js

Wartość oczekiwana: brak wyniku.

Jeśli chcemy uniknąć wysyłania jakichkolwiek danych (w szczególności zapisanych w przeglądarce haseł) wprost na serwery Mozilli, nie należy oczywiście również korzystać z funkcji Firefox Sync.

Na koniec kilka dodatkowych uwag. Wszystkie powyższe opcje konfiguracyjne weryfikowałem w Firefoksie w wersji 20.0.1. W poszczególnych wersjach przeglądarki wartości domyślne, a nawet nazwy i występowanie poszczególnych opcji może ulegać zmianom. Również ścieżki użyte w komendach weryfikacyjnych mogą nie odzwierciedlać wszystkich możliwych przypadków. W razie potrzeby należy je zmodyfikować zgodnie z własnym stanem faktycznym.

Oczywiście omówione powyżej opcje konfiguracyjne nie wyczerpują tematu. Jeśli więc uważacie, że jakieś inne ustawienia Firefoksa przy tej okazji również powinny zostać wspomniane, zachęcam do dyskusji oraz dzielenia się wszelkimi doświadczeniami.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. f

    Czesc. Fajna stronka. Apropos tekstu i OCSP. Czy autor probowal kiedys wlaczyc te opcje i korzystac z internetu przez przegladarke? Wyglada na to, ze nie;-) Twierdze tak dlatego, ze 99% CA pomimo tego, iz wystawia certyfikaty z wypelnionym polem OCSP wskazujacym na serwer HTTP(S) CA do weryfikacji certyfikatow, to niestety usluga ta jest praktycznie niedostepna bo nie obslugiwana przez serwery CA. ZTCW wynika to z faktu, ze wydajnosciowo by sobie nie poradzily, a przynajmniej koszty aby obsluzyc ruch sa dla CA zaporowe oraz usluga ta stanowi atrakcyjny wektor ataku na CA. Z ciekawostek – nawet google nie dziala, jesli zaznaczy sie opcje „when an OCSP connection with server fails, treat certificate as invalid”. Tak wiec w praktyce OCSP po prostu – nie dziala.

    Odpowiedz
    • @f,
      Tak próbowałem, tak właściwie, to ta opcja jest włączona domyślnie :). Również po włączeniu security.OCSP.require nie widzę żadnych problemów w korzystaniu z poszczególnych witryn, chyba, że Firefox jakoś mnie oszukuje? Dodałem również aktualizację w sekcji o OCSP.

      Odpowiedz
  2. Nie ważne, że nie działa :) zawsze można na dzielni się chwalić, że się ma załączoną :P

    Odpowiedz
  3. Damian

    I to wszystko w piaskownicy : ]

    Odpowiedz
  4. Marcin

    Bardzo ciekawa publikacja.

    Odpowiedz
  5. Paweł

    A ja polecałbym operę, większość (jak nie wszystkie) te opcje są ustawione jako domyślne.

    Odpowiedz
  6. Astur

    Google Safe Browsing jest narzędziem służącym Google także do blokowania dostępu do witryn bezpiecznych, ale z jakiś powodów dla niego niewygodnych. Np. w pewnym momencie nie mogłem się dostać do popularnego forum, ponieważ oferowano w nim linki do ściągania filmów. Przypominam, że w prawie polskim jest to dozwolone.

    Odpowiedz
  7. New

    Brakuje wielu istotnych opisów zwiększania zabezpiczania Firefox. Nawet słowem nie ma o blokowaniu JavaScript czy dodatkach jak HTTPS Everywhere i innych. Alternatywy Firefox’a z domyślnie zmaksymalizowanym bezpieczeństwem jak LibreWolf też nie opisano a szkoda.
    Tutaj ciekawie opisano co nie co w kwestii Firefox
    https://www.privacytools.io/
    https://prism-break.org/

    Odpowiedz

Odpowiedz na Damian