Il browser, al giorno d’oggi, deve essere la prima barriera contro gli attacchi informatici. Il software che si utilizza quotidianamente per “navigare” in Rete è diventato, col trascorrere del tempo e con l’evolversi del web, un oggetto sempre più complesso chiamato a supportare numerosi standard, molteplici formati, un numero elevatissimo di specifiche ed una pletora di contenuti tra loro completamente diversi.
Un software così complesso qual è il browser deve erigere una muraglia tra tutto ciò che è presente nelle pagine web ed il sottostante sistema operativo. Un browser che utilizza in modo efficace le moderne tecniche di “sandboxing” si rivela certamente molto più robusto e, quindi, più indicato per una navigazione in Rete sicura.
Nella loro lunga e dettagliata analisi, gli esperti di Accuvant hanno voluto tracciare un identikit dei tre browser web al momento più utilizzati al mondo: Microsoft Internet Explorer, Mozilla Firefox e Google Chrome evidenziandone punti di forza e debolezze per ciò che riguarda l’argomento sicurezza.
“Abbiamo scoperto che Google Chrome effettua il miglior lavoro in termini di sandboxing“, ha dichiarato Chris Valasek, uno degli esperti di Accuvant che vede tra le sue fila anche Charlie Miller, noto ricercatore di sicurezza che spesso ha messo in crisi le misure di sicurezza adottate sui device di Apple (ved. questi nostri articoli). Secondo gli autori dell’indagine – alla quale ha contribuito anche lo stesso Miller – Chrome avrebbe bloccato qualunque tentativo di fuoriuscita dal “recinto” perpetrato dal parte di codice dannoso inserito all’interno delle pagine web. Al secondo posto, Internet Explorer mentre molto più distaccato appare Firefox che ancora non utilizza, purtroppo, alcun meccanismo di sandboxing. Secondo Valasek, l’ultima versione del browser Microsoft si colloca al secondo posto, non lontano dalla vetta, perché il sistema di sandboxing funziona bene seppur un codice maligno possa avere una maggior libertà d’azione rispetto a Chrome.
Il profilo utilizzato per congegnare la sandbox di Chrome prevede che i processi del browser possano accedere al contenuto di un ristrettissimo numero di cartelle preservando così il resto del sistema operativo ed i file personali dell’utente. A qualunque elemento caricato dai processi di Chrome viene altresì impedita la creazione di qualunque genere di network socket con lo scopo di comunicare direttamente, attraverso la rete Internet, con i vari server. Secondo i ricercatori di Accuvant, di contro, Internet Explorer sarebbe autorizzato all’accesso in lettura su molte aree del sistema ed impone poche limitazioni sulla creazione dei network socket. Ciò significa che un aggressore che riuscisse a far leva su una vulnerabilità insita del prodotto di Microsoft, avrebbe la vita più facile per accedere ai contatti, ai documenti ed agli altri dati conservati sul sistema della vittima.
L’argomento sandbox è stato più volte oggetto di analisi da parte dei ricercatori di sicurezza: già a suo tempo avevamo pubblicato una comparativa tra i principali browser presenti sul mercato. “Le sandbox consentono di alzare notevolmente il livello di sicurezza“, aveva fatto presente il noto ricercatore Dino Dai Zovi, “tanto che gli aggressori debbono orientarsi verso altre tipologie di attacco quali, ad esempio, la distribuzione di falsi programmi antivirus (rogue antivirus; ved. questa pagina e quest’articolo)”.
Secondo Accuvant, inoltre, Chrome si comporterebbe meglio degli altri due rivali nel mettere dei paletti alla libertà d’azione dei plugin installati. Come noto, infatti, tali componenti ampliano le funzionalità del browser web: un aggressore che riuscisse a sfruttare una lacuna di un plugin oppure un malintenzionato che persuadesse l’utente ad installare un addon dannoso avrebbe ben poche possibilità per provocare danni.
Anche sul piano dell’esecuzione di codice JIT (just-in-time), Chrome avrebbe evidenziato un migliore comportamento: i criminali informatici hanno spesso utilizzato tecniche JIT per convertire codice JavaScript in codice macchina capace di dribblare le funzionalità di protezione del sistema quali ASLR.
Il report elaborato da Accuvant, va ben evidenziato, è stato commissionato da Google: gli autori dello studio, tuttavia, tendono a rimarcare come sia stata loro concessa massima autonomia nella definizione dei parametri e della metrica da usare. Affinché il materiale utilizzato per condurre le prove possa essere attentamente esaminato, gli esperti di Accuvant hanno rilasciato circa 20 MB di dati che includono informazioni sulle metodologie usate e gli strumenti software adoperati.
Facendo riferimento a questa pagina, tutti gli interessati possono scaricare l’indagine di Accuvant in formato PDF (102 pagine complessive) insieme con le applicazioni usate per condurre i test e trarre le varie conclusioni.