Quali sono le “regole d’oro” per rendere il browser più sicuro?
Innanzi tutto è bene ricordare che porre attenzione sul tema della sicurezza del browser è molto importante perché il browser è uno dei strumenti che si utilizza di più per scambiare informazioni in Rete ed è quindi spesso, proprio per il suo ruolo, uno degli oggetti più frequentemente presi di mira di chi sviluppa malware.
Il browser, poi, è un programma che sta divenendo sempre più versatile: supporta molteplici tecnologie e deve essere capace di eseguire vere e proprie “applicazioni web”.
La cosiddetta superficie d’attacco, rispetto a qualche anno fa, si è quindi ampliata enormemente perché sono svariate le tipologie di contenuti che il browser deve oggi gestire.
Se poi si aggiunge che molti utenti sono soliti installare decine di estensioni accessorie, la cosiddetta superficie d’attacco tende ad ampliarsi sempre più. Vediamo quindi quali sono i passaggi e “i buoni comportamenti” che aiutano a rendere il browser più sicuro.
Qual è il browser più sicuro?
Alla domanda qual è il browser più sicuro è impossibile rispondere o comunque non è possibile offrire una risposta inconfutabile.
In ogni browser web vengono continuamente scoperte vulnerabilità più o meno gravi. L’importante, quindi, è che:
a) il produttore del browser provveda a risolvere rapidamente le vulnerabilità e quindi distribuisca tempestivamente aggiornamenti per il browser
b) l’utente si assicuri di installare sempre la più recente versione del browser preferito
Inoltre, anche se si decidesse, in Windows, di passare ad un browser alternativo ad Internet Explorer o ad Edge (in Windows 10), è sempre bene installare tutti gli aggiornamenti per i browser Microsoft (quindi sia Internet Explorer che Edge in Windows 10 ed Internet Explorer in tutte le precedenti versioni del sistema operativo).
Questo perché sia Internet Explorer che Edge usano un motore di rendering diverso dagli altri browser (Trident o MSHTML il primo, EdgeHTML il secondo) che, a sua volta, è legato a doppio filo con la shell di Windows: Perché installare gli aggiornamenti di Internet Explorer?.
Aggiornare Internet Explorer ed Edge, quindi, significa mettersi al riparo da problematiche di sicurezza che possono riverberarsi sul sistema operativo stesso.
Tutti i browser più recenti (compreso Internet Explorer e, soprattutto, Edge) sono divenuti molto più aderenti agli standard per il web.
Quando si sceglie un browser, quindi, è bene pensare anche ed in particolare all’aspetto della sicurezza.
Sandboxing
Un consiglio per la scelta del browser? Selezionare un browser web che poggi su solide funzionalità di sandboxing.
Gli esperti di sicurezza sono d’accordo sulla necessità, divenuta ormai sempre più pressante, che tutti i principali sviluppatori di browser dotino i loro software di “sandbox” in grado di offrire un’elevata barriera contro attacchi ed infezioni.
I vantaggi di questa soluzione, abbracciata fin dalla prima versione da parte di Google Chrome, ha evidenti vantaggi dal punto di vista della sicurezza e della stabilità dell’intero browser. Problemi ingenerati da una pagina o da un’applicazione non possono riflettersi sul browser in toto (provocando, ad esempio, crash dell’intera applicazione) mentre eventuale codici nocivi (a meno di vulnerabilità insite nella sandbox, che comunque vengono via a via risolte dagli sviluppatori) non possono provocare danni.
Fortunatamente, col trascorrere del tempo, l’utilizzo della sandbox è stato abbracciato anche dagli altri principali produttori.
Mozilla, ad esempio, ha recentemente introdotto le novità del progetto Electrolysis, sul quale gli sviluppatori lavoravano da tempo (e che, purtroppo, ha subìto tanti rinvii), nel browser Firefox: Firefox, un processo diverso per ogni scheda aperta.
Lo stesso Microsoft Edge di Windows 10 integra una sandbox molto più efficace rispetto alla cosiddetta protected mode di Internet Explorer.
In Internet Explorer 10 era stata introdotta la enhanced protected mode (EPM) costruita appoggiandosi alla sandbox usata da Windows 8 per le app.
EPM, tuttavia, si presentava come una funzionalità opzionale su desktop perché molte estensioni non risultavano compatibili.
Con la decisione di rivedere completamente il modello delle estensioni (Edge non supporta più gli add-on ActiveX e per un lungo periodo non ha permesso l’installazione di alcun componente aggiuntivo…), Microsoft ha potuto rendere gestibile all’interno della sandbox qualunque contenuto.
Sul versante sandboxing, quindi, tutte le più recenti versioni dei browser offrono un’adeguata protezione: Chrome, Firefox ed Edge.
Attenzione alle estensioni e ai plugin
In aggiunta rispetto all’utilizzo di un’eccellente sandbox, Google ha deciso di “tagliare la testa al toro” defenestrando i vecchi ed insicuri plugin NPAPI (Netscape Plugin Application Programming Interface).
NPAPI è l’architettura sulla quale si sono basati i plugin per il browser web fin dai tempi di Netscape 2.0, eccezion fatta per gli ActiveX di Microsoft (completamente disconosciuti con il rilascio di Edge in Windows 10, il browser successore dello storico Internet Explorer).
Google ha deciso già da tempo di abbandonare l’architettura NPAPI. Il pensionamento forzoso dei vecchi plugin è avvenuto dapprima in maniera parziale ed è poi divenuta definitiva con il rilascio della versione 45 di Chrome.
Plugin NPAPI come Java e Silverlight non sono più compatibili con Chrome e non possono essere eseguiti neppure in Edge (che solo di recente ha iniziato a supportare i componenti aggiuntivi).
Il consiglio è quello di usare un browser web che non supporta i plugin NPAPI: ci si scrolleranno di dosso, in un colpo solo, tutti i plugin che usano una tecnologia vecchia, largamente usata dai malintenzionati per sferrare attacchi.
La bontà della scelta di Chrome è stata confermata anche da Mozilla che ad aprile 2017 non dovrebbe più supportare i plugin NPAPI (Firefox non supporterà Flash e i plugin NPAPI).
Già da agosto 2016, poi, Firefox non carica più – automaticamente – i contenuti Flash che possono essere attivati dall’utente, su richiesta, con un semplice clic: Firefox bloccherà Flash a partire da agosto.
Suggeriamo anche la lettura dell’articolo Compatibilità Windows 10 con i vecchi programmi. Cosa c’è da sapere, appannaggio principalmente degli utenti di Windows 10 ma utile anche per gli altri, soprattutto per quanto riportato al paragrafo Aprire siti web che ospitano contenuti Java e Silverlight in Windows 10.
Flash continua ad essere caricato anche in Chrome ed Edge, browser che non supportano i plugin NPAPI, perché entrambi i prodotti usano una versione di Flash Player direttamente integrata (e non un componente esterno).
Come tutti i plugin, anche la versione di Flash Player integrata nel browser, è soggetto alla scoperta di vulnerabilità più o meno gravi.
Per non correre rischi, quindi, bisogna sempre accertarsi di utilizzare l’ultima versione del browser. Nel caso di Flash Player, però, il migliore consiglio consiste nel disattivare il plugin, riabilitandolo manualmente soltanto allorquando ve ne fosse effettivamente bisogno (a tal proposito, vedere Flash Player è da scaricare oppure va disinstallato?).
Di Flash Player non si sentirà la mancanza: anzi, disattivando il plugin o il componente integrato nel browser, i siti web risulteranno più “scattanti”, saranno caricati più velocemente e il browser occuperà un quantitativo di memoria RAM nettamente inferiore.
Per velocizzare Chrome, suggeriamo la lettura dell’articolo Trucchi Google Chrome, come usare al meglio il browser.
In Firefox, per accedere alla lista delle estensioni e dei plugin installati, basta digitare about:addons
nella barra degli indirizzi quindi cliccare su Estensioni e Plugin nella colonna di sinistra.
Nel pannello a destra, nel caso delle estensioni appariranno i pulsanti per l’attivazione, la disattivazione e la rimozione; nel caso dei plugin un menu a tendina che consente di scegliere se caricare sempre la tipologia di contenuti gestibile con un corrispondente plugin, se non effettuare mai il download oppure se caricarli solo su richiesta (Chiedi prima di attivare; corrisponde al famoso click-to-play).
Regole d’oro per un browser più sicuro
1) Assicurarsi di utilizzare sempre la versione più aggiornata del browser ed installare tempestivamente tutti i nuovi aggiornamenti.
2) Se sul proprio sistema, oltre ad Internet Explorer/Edge, sono installati altri browser, ricordarsi di mantenerli tutti aggiornati.
3) Scegliere un browser che integra un meccanismo di sandboxing.
4) Optare per un browser che blocca i plugin più vecchi (soprattutto NPAPI) e verifica la sicurezza di quelli installati.
5) Installare sempre un numero limitato di plugin ed estensioni ricordandosi che anche tali componenti, come il browser, devono essere mantenuti costantemente aggiornati. Disinstallare i plugin che non si utilizzano.
Per verificare la “bontà” dei plugin installati, è possibile seguire le indicazioni che avevamo fornito a suo tempo:
– Navigazione sicura e protezione del browser: controllare, aggiornare e rimuovere i plugin
– Rimuovere barre degli strumenti e plugin per i browser con Avast Browser Cleanup
6) Scaricare plugin ed estensioni per il browser solo ed esclusivamente dai siti web ufficiali.
È bene usare la massima cautela: aprire le porte ad un componente potenzialmente dannoso od irrispettoso della privacy dell’utente è più facile di quanto sembri.
Attenzione quindi anche all’installazione di componenti aggiuntivi che desiderano leggere la cronologia dei siti web visitati con il browser, interagire con le sue impostazioni o tenere traccia di tutte le pagine via a via raggiunte.
È bene anche controllare con particolare cura quali permessi vengono richiesti da ogni singola installazione al momento dell’installazione e della prima esecuzione.
Alcune estensioni, talvolta insospettabili, monitorano tutte le pagine web aperte dagli utenti nel browser, raccolgono i dati e spesso li rivendono a società terze.
Massima attenzione, quindi, ogniqualvolta un’estensione dovesse richiedere l’autorizzazione Leggere e modificare tutti i dati sui siti web visitati.
Ne abbiamo parlato nell’articolo Estensioni browser irrispettose della privacy: il caso WOT presentando il caso dell’estensione “spiona” WOT.
Il comportamento di WOT è stato ritenuto talmente “sopra le righe” che sia Mozilla che Google hanno deciso di rimuovere la popolare estensione dai rispettivi store online.
7) Attivare la funzionalità click-to-play per i plugin
Per questioni di sicurezza e per risparmiare lavoro inutile al processore (e, di conseguenza, batteria) riducendo i consumi energetici, un ottimo consiglio è quello di attivare il cosiddetto click-to-play nel browser.
Si tratta di una funzionalità, integrata nelle ultime versioni di Firefox e Chrome, che permette di caricare il contenuto elaborato da plugin esterni solo su specifica richiesta dell’utente.
Chrome e Firefox hanno abilitato di default la funzionalità click-to-play rendendo opzionale il caricamento, ad esempio, di creatività Flash non strettamente necessarie per il corretto funzionamento della pagina web.
Digitando chrome://settings/content
nella barra degli indirizzi di Chrome e portandosi in corrispondenza della sezione Plug-in, la voce Rileva ed esegui importanti contenuti plug-in risulterà infatti selezionata in maniera predefinita.
8) Utilizzare, se disponibile, la versione a 64 bit del browser (sempre che, ovviamente, si stia adoperando una versione a 64 bit di Windows)
Una delle protezioni offerte da Windows contro l’esecuzione di codice dannoso, ASLR (Address space layout randomization) funziona infatti molto meglio sui sistemi a 64 bit.
ASLR rappresenta una barriera di protezione nei confronti degli exploit modificando in maniera casuale la configurazione della memoria virtuale all’interno dei processi, bloccando l’esecuzione di codice proveniente da zone di memoria non specificatamente marcate come eseguibili e rendendo perciò molto difficile il lavoro ad eventuali codici dannosi.
Usando un sistema a 64 bit ed un browser a 64 bit, Windows ha a disposizione uno spazio di indirizzamento enormemente più ampio rispetto al caso 32 bit rendendo così ancora più difficile per un componente nocivo attaccare le aree di memoria contenenti i dati sensibili.
Chrome è disponibile sia nella versione a 32 bit che in quella a 64 bit. Per sapere se si sta utilizzando la versione a 32 o quella a 64 bit di Chrome, è sufficiente cliccare sul pulsante che permette di accedere al menu principale del browser (raffigura tre linee parallele, orizzontali) quindi cliccare su Guida e informazioni, Informazioni su Google Chrome.
Se, tra parentesi, accanto al numero di versione, è presente “64 bit” significa che si sta usando la versione a 64 bit del browser.
Nel caso in cui “64 bit” non apparisse, sulle versioni di Windows a 64 bit, suggeriamo di scaricare ed installare tale versione da questa pagina accertandosi che venga proposta la versione del browser a 64 bit.
Non serve disinstallare prima la versione a 32 bit eventualmente presente sul sistema in uso: Chrome a 64 bit provvederà ad aggiornarla ed a far proprie le sue impostazioni.
Se si usa un processore a 64 bit ed una versione di Windows a 64 bit, quindi, il consiglio è quello di scaricare la versione a 64 bit di Chrome perché così facendo si potrà contare non soltanto su un browser più sicuro ma anche decisamente più performante.
Da qualche mese a questa parte, è disponibile anche la versione a 64 bit di Firefox, prelevabile seguendo le indicazioni riportate nell’articolo Firefox 64 bit: come si installa, le differenze.
Per le attività che mettono sotto sforzo il processore (rendering di applicazioni web complesse, visualizzazione di video full-HD,…), la differenza tra un browser a 32 bit ed uno a 64 bit diventa evidente.
In Windows, per stabilire se si sta utilizzando un processore a 64 bit, è sufficiente accedere alla sezione Sistema del Pannello di controllo (in Windows 10 basta digitare Informazioni sul PC nella nuova casella di ricerca).
In corrispondenza della voce Sistema o Tipo sistema, indipendentemente dalla versione di Windows installata, la presenza dell’indicazione “64 bit” alla denominazione del sistema operativo, conferma che si può scaricare ed installare Chrome a 64 bit.
9) Utilizzare un software antiexploit
Software antiexploit come Microsoft EMET, Malwarebytes Anti-Exploit e HitmanPro.Alert with CryptoGuard aiutano a proteggere il browser da tipologie d’attacco più evolute obbligando il software ad utilizzare certe misure di sicurezza implementate a livello del sistema operativo.
Nell’articolo Proteggersi dai nuovi malware e dagli attacchi con Anti-Exploit abbiamo visto come rendere più sicuro il browser e difendersi dagli attacchi più avanzati usando appunto soluzioni software antiexploit.
Col termine “exploit” ci si definisce a quel particolare codice dannoso che – sfruttando una vulnerabilità software irrisolta (perché non sistemata installando gli ultimi aggiornamenti o perché non ancora sanata dal produttore dell’applicazione) – permette di effettuare operazioni potenzialmente dannose all’insaputa dell’utente, acquisire privilegi più elevati oppure provocare attacchi DoS (Denial of Service).
Gli exploit che si concentrano su falle “zero day” (problemi di sicurezza nuovi, non ancora risolti dagli sviluppatori) sono i più pericolosi perché prendono di mira falle di sicurezza che non sono immediatamente risolvibili dagli utenti attraverso l’installazione di patch risolutive.
I software antiexploit consentono di proteggersi proprio da questo tipo di minacce e rappresentano l’ultimo baluardo di difesa qualora, in questo caso, il browser non fosse stato puntualmente aggiornato.
L’antiexplot migliore in circolazione è senza dubbio HitmanPro.Alert che però è un’applicazione a pagamento: Proteggersi dai ransomware e dai malware ancora sconosciuti con HitmanPro.Alert.
Oltre a Malwarebytes Anti-Exploit (gratuito), un’altra alternativa a costo zero è rappresentata da EMET che, tuttavia, sarà definitivamente ritirato da Microsoft nel mese di luglio 2018: EMET, Microsoft dice addio al suo anti exploit.
Microsoft, che sta puntando tutto su Windows 10, sostiene che tutte le protezioni inserite in EMET sono state integrate nella più recente versione del sistema operativo, insieme con altre difese assenti nell’antiexploit dell’azienda di Redmond.