WEB BROWSER SECURITY. Indra Priyandono

+

WEB BROWSER SECURITY Indra Priyandono

+

+

Why Secure Your Web Browser? n 

web browser seperti Internet Explorer, Mozilla Firefox, dan Apple Safari, telah diinstal pada hampir semua komputer.

n 

Web browser telah banyak digunakan dan begitu sering, sangat penting untuk mengkonfigurasi keamananya.

n 

Seringkali, web browser yang preinstalled dengan sistem operasi tidak diatur dalam konfigurasi default yang aman.

n 

Web browser yang tidak aman dapat menyebabkan masalah pada pada komputer Anda. n 

Spyware

+

n 

Ancaman yang meningkat dari serangan perangkat lunak yang memanfaatkan browser web yang rentan.

n 

Tren dimana kerentanan perangkat lunak baru dieksploitasi dan diarahkan pada web browser melalui penggunaan situs web dikompromikan jahat atau berbahaya.

Masalah ini diperparah oleh sejumlah faktor, termasuk yang berikut:

+

Faktor yang memperburuk keadaan n 

Banyak pengguna memiliki kecenderungan untuk mengklik link tanpa mempertimbangkan resiko dari tindakan mereka.

n 

Alamat halaman web dapat disamarkan atau membawa Anda ke sebuah situs yang tak terduga.

n 

Banyak web browser dikonfigurasi untuk menyediakan fungsionalitas yang meningkat dengan penurunan keamanan.

n 

Kerentanan keamanan baru, mungkin telah ditemukan karena perangkat lunak dikonfigurasi dan dikemas oleh produsen.

n 

Sistem komputer dan paket perangkat lunak dapat dibundel dengan perangkat lunak tambahan, yang meningkatkan jumlah kerentanan yang mungkin akan diserang.

+

n 

Perangkat lunak pihak ketiga mungkin tidak memiliki mekanisme untuk menerima pembaruan keamanan.

n 

Banyak situs web menharuskan pengguna mengaktifkan fitur tertentu atau menginstal perangkat lunak lebih, hal iini akan meningkatkan kerentanan.

n 

Banyak pengguna tidak tahu cara mengkonfigurasi kemanan browser web mereka.

n 

Banyak pengguna tidak bersedia untuk mengaktifkan atau menonaktifkan fungsi yang dibutuhkan untuk mengamankan browser web mereka

+

Akibatnya, mengeksploitasi kerentanan di web browser telah menjadi cara yang populer bagi penyerang untuk membahayakan sistem komputer.

+

Fitur Web Browser dan Risiko n 

Hal ini penting untuk memahami fungsi dan fitur dari browser web yang Anda gunakan .

n 

Mengaktifkan beberapa fitur web browser dapat menurunkan keamanan.

n 

Seringkali , vendor akan mengaktifkan fitur secara default untuk meningkatkan pengalaman komputasi , tetapi fitur ini mungkin akan meningkatkan risiko pada komputer

+

n 

Penyerang fokus pada pemanfaatan sistem client-side (komputer Anda) melalui berbagai kerentanan

n 

Mereka menggunakan kerentanan ini untuk mengambil alih komputer Anda n 

mencuri informasi Anda menghancurkan file Anda

n 

menggunakan komputer Anda untuk menyerang komputer lain.

n 

+

n 

Sebuah cara murah penyerang melakukan ini adalah dengan memanfaatkan kerentanan pada web browser

n 

Seorang penyerang dapat membuat halaman web yang berbahaya yang akan menginstal perangkat lunak Trojan atau spyware yang akan mencuri informasi Anda

+

Beberapa fitur web browser tertentu dan risiko Memahami perbedaan perbedaan fitur yang akan membantu Anda memahami bagaimana mereka mempengaruhi fungsi web browser Anda dan keamanan komputer Anda. n ActiveX  n Java/Java

applets

n Plug-ins n Cookies n JavaScripts n VBScript

+

ActiveX  n 

ActiveX adalah teknologi yang digunakan oleh Microsoft Internet Explorer pada sistem Microsoft Windows.

n 

ActiveX memungkinkan aplikasi atau bagian dari aplikasi yang akan digunakan oleh browser web.

n 

Sebuah halaman web dapat menggunakan komponen ActiveX yang mungkin sudah berada pada sistem Windows, atau situs dapat memberikan komponen sebagai objek download.

n 

Hal ini memberikan fungsi tambahan untuk web browsing tradisional, tetapi juga dapat memperkenalkan kerentanan lebih parah jika tidak diterapkan dengan benar.

+

n 

Kontrol ActiveX berbasis pada teknologi ActiveX ini dan digunakan oleh pengembang Web untuk membuat komponen ActiveX yang digunakan untuk memasukkan berbagai interaksi di halaman web Internet Explorer.

n 

Misalnya, dengan menggunakan kontrol ActiveX, Anda dapat memasukkan fungsi-fungsi yang memungkinkan Anda untuk memutar musik online, menampilkan animasi, dan membuka dokumen PDF dan Word.

n 

Setiap kali Anda men-download dan memasang sebuah kontrol ActiveX pada komputer Anda, kontrol Anda memiliki hak pada sistem anda sama dengan hak-hak yang dimiliki oleh user yang sedang login

+

+

Java/Java applets n 

Java adalah bahasa pemrograman berorientasi objek yang dapat digunakan untuk mengembangkan konten aktif untuk situs web.

n 

Sebuah Java Virtual Machine, atau JVM, digunakan untuk mengeksekusi kode Java, atau "applet," yang disediakan oleh situs web.

n 

Beberapa sistem operasi datang dengan JVM, sementara yang lainnya memerlukan JVM untuk diinstal sebelum Java dapat digunakan. Java applet sistem operasi independen.

+

n 

Java applet biasanya mengeksekusi dalam "sandbox" di mana interaksi dengan seluruh sistem terbatas.

n 

Namun, berbagai implementasi dari JVM mengandung kerentanan yang memungkinkan sebuah applet untuk memotong pembatasan ini.

n 

Signed applet Java juga dapat memotong pembatasan sandbox, tetapi mereka umumnya meminta pengguna sebelum mereka dapat mengeksekusi.

n 

http://www.kb.cert.org/vuls/byid?searchview&query=java.

+

+

Plugins n 

Plug-in adalah aplikasi yang dimaksudkan untuk digunakan dalam browser web.

n 

Netscape telah mengembangkan standar NPAPI untuk mengembangkan plug-in, tetapi standar ini digunakan oleh beberapa browser web, termasuk Mozilla Firefox dan Safari.

n 

Plug-in mirip dengan kontrol ActiveX tetapi tidak dapat dijalankan di luar browser web.

n 

Adobe Flash adalah contoh aplikasi yang tersedia sebagai plug-in.

+

n 

Plug-in dapat mengandung kelemahan pemrograman seperti buffer overflows, atau mereka mungkin mengandung cacat desain seperti pelanggaran cross-domain, yang muncul ketika kebijakan same origin tidak diikuti

+

Cookies n 

Cookie adalah file yang ditempatkan pada sistem anda untuk menyimpan data untuk situs web tertentu.

n 

Cookie dapat berisi informasi bahwa situs web ini dirancang untuk menempatkan di dalamnya.

n 

Cookie mungkin berisi informasi tentang situs yang Anda kunjungi, atau bahkan mungkin berisi mandat untuk mengakses situs.

n 

Cookie dirancang untuk dapat dibaca hanya oleh situs web yang dibuat cookie.

n 

Session cookies dihapus ketika browser ditutup, dan persistent cookies akan tetap pada komputer sampai tanggal kadaluarsa yang ditentukan tercapai.

+

n 

Cookie dapat digunakan untuk secara unik mengidentifikasi pengunjung dari sebuah situs web, yang beberapa orang menganggap pelanggaran privasi.

n 

Jika sebuah situs web menggunakan cookie untuk otentikasi, maka penyerang mungkin dapat memperoleh akses yang tidak sah ke situs tersebut dengan mendapatkan cookie.

n 

Cookie tetap menimbulkan risiko lebih tinggi daripada session cookies karena mereka tetap pada komputer untuk waktu yang lama.

+

Javascripts n 

JavaScript, juga dikenal sebagai ECMAScript, adalah bahasa scripting yang digunakan untuk membuat situs web lebih interaktif.

n 

Ada spesifikasi dalam standar JavaScript yang membatasi fitur tertentu seperti mengakses file lokal.

+

VBScripts n 

VBScript adalah bahasa scripting lain yang unik untuk Microsoft Windows Internet Explorer.

n 

VBScript serupa dengan JavaScript, tetapi tidak seperti yang banyak digunakan dalam situs web karena kompatibilitas terbatas dengan browser lainnya.

+

Kerentanan akibat scripting Kemampuan untuk menjalankan bahasa scripting seperti JavaScript atau VBScript memungkinkan penulis halaman web untuk menambahkan sejumlah besar fitur dan interaktivitas ke halaman web. Namun, kemampuan yang sama ini dapat disalahgunakan oleh penyerang. Konfigurasi default browser web untuk dukungan scripting tersebut, dapat menimbulkan beberapa kerentanan, seperti berikut: n Cross-Site

Scripting 

n Cross-Zone n Detection

and Cross-Domain Vulnerabilities

evasion

+

Cross-Site Scripting  n 

Cross-Site Scripting, sering disebut sebagai XSS, adalah kerentanan dalam situs web yang memungkinkan penyerang untuk memanfaatkan hubungan kepercayaan yang Anda miliki dengan situs tersebut.

n 

Teknik yang digunakan ntuk menambahkan script pada sebuah website yang akan dieksekusi oleh user lain pada browser user lain tersebut.

.

+

n 

XSS Attack merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs.

n 

Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat membypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

+

Cross-Zone/Cross-Domain Vulnerabilities n 

Kebanyakan web browser menggunakan model keamanan untuk mencegah skrip dalam sebuah situs web dari mengakses data dalam domain yang berbeda

n 

Kerentanan yang melanggar model keamanan ini dapat digunakan untuk melakukan tindakan bahwa situs tidak bisa peform di bawah kondisi normal.

n 

dampaknya bisa identik dengan cross-site scripting. Namun, jika kerentanan memberikan cara untuk penyerang acces zona mesin lokal atau kawasan lindung lainnya, penyerang mungkin dapat mengeksekusi perintah sewenang-wenang pada sistem vulnerabie.

+

n 

Cross-zone scripting adalah mengeksploitasi browser dengan mengambil keuntungan dari kerentanan dalam solusi keamanan berbasis zona.

n 

Serangan itu memungkinkan konten (script) di zona privileged untuk dijalankan dengan hak akses dari zona unprivileged - yaitu eskalasi privilege dalam client (web browser) mengeksekusi script.

+

Kerentanan bisa saja terjadi karena: n 

bug pada browser web yang memungkinkan konten (skrip) dalam satu zona yang akan dijalankan dengan hak akses dari zona privileged yang lebih tinggi.

n 

kesalahan konfigurasi browser web; situs yang tidak aman yang tercantum dalam zona privileged.

n 

cross-site scripting kerentanan dalam zona istimewa

http://en.wikipedia.org/wiki/Cross-zone_scripting

+

Detection evasion n 

Anti-virus, Intrusion Detection System (IDS), dan Intrusion Prevention Systems (IPS) umumnya bekerja dengan mencari pola-pola tertentu dalam konten. Jika pola “known Bad“ terdeteksi, maka tindakan yang tepat dapat dilakukan untuk melindungi pengguna.

n 

Tetapi karena sifat dinamis dari bahasa pemrograman, scripting pada halaman web dapat digunakan untuk menghindarinya

+

Cara mengamankan Web Browser Anda n 

Selalu Update

n 

Aktifkan update otomatis untuk browser Anda

n 

Block pop-ups, plug-ins dan phishing sites

n 

Set browser Anda tidak menyimpan password. Jika Anda menyimpan password di browser Anda, gunakan password master yang kuat.

n 

Disable third-party cookies

+

n 

Install, jalankan antivirus and malware scan

n 

Double-check setiap extension dan add-on

n 

Eliminate annoying homepage atau search redirects

n 

Install hanya Trusted Programs

n 

Gunakan Private-Browsing Features jika perlu

+

IE (Internet Explorer) n 

Selain mendukung Java, scripting dan bentuk lain dari konten aktif, Internet Explorer mengimplementasikan teknologi ActiveX. Sementara aplikasi apapun berpotensi rentan terhadap serangan, adalah mungkin untuk mengurangi sejumlah kerentanan serius dengan menggunakan browser web yang tidak mendukung kontrol ActiveX. Namun, dengan menggunakan browser alternatif dapat mempengaruhi fungsi dari beberapa situs yang memerlukan penggunaan kontrol ActiveX. Perhatikan bahwa menggunakan web browser yang berbeda tidak akan menghapus IE, atau komponen Windows lainnya dari sistem.

+

n 

Berikut adalah langkah-langkah untuk menonaktifkan berbagai fitur di Internet Explorer 7. Perhatikan bahwa pilihan menu dapat bervariasi antara versi IE, sehingga Anda harus menyesuaikan langkah-langkah di bawah ini yang sesuai. Dalam hal untuk mengubah pengaturan Internet Explorer, pilih Tools kemudian Internet Options

+

Mozilla Firefox Mozilla Firefox mendukung banyak fitur fitur yang sama seperti Internet Explorer, dengan pengecualian ActiveX dan model Zona Keamanan. Mozilla Firefox memang memiliki dukungan yang mendasari kebijakan dikonfigurasi keamanan (CAPS), yang mirip dengan model Zona Keamanan Internet Explorer, namun tidak ada antarmuka pengguna grafis untuk menetapkan pilihan ini. Kami merekomendasikan melihat dalam Bantuan, Untuk menu Pengguna Internet Explorer untuk membantu pengguna memahami bagaimana terminologi berbeda antara dua aplikasi

+

Apple Safari web browser Safari yang mendukung banyak fitur yang sama seperti Mozilla Firefox. Berikut ini adalah beberapa langkah untuk menonaktifkan berbagai fitur di Safari pada Mac OS X. Pilihan untuk Safari untuk Microsoft Windows mungkin sedikit berbeda. Perlu diketahui juga bahwa beberapa pilihan menu dapat berubah dari waktu ke waktu, dan Anda harus menyesuaikan langkah-langkah di bawah ini yang sesuai.

+

Other Browsers n 

Opera - http://www.opera.com/support/tutorials/security

n 

Mozilla SeaMonkey - http://www.mozilla.org/projects/seamonkey

n 

Konqueror - http://www.konqueror.org

n 

Netscape - http://browser.netscape.com

+

SELESAI