Vi som arbetar med it-säkerhet stirrar oss lätt blinda på hur vi ska stå emot de riktigt stora attackerna, eller de mest avancerade spionprogrammen. Men det spelar ingen roll hur mycket vi än tätar och säkrar vår it-miljö om klientsäkerheten äventyras av faktorer vi själva har svårt att styra över. Det här gäller i extra hög grad för det verktyg dina användare absolut inte klarar sig utan: webbläsaren.

Stora belöningar åt hackare

Det verkar inte spela någon roll hur många nya versioner med nya säkerhetsfunktioner som rullas ut. År efter år bevisar hackare att det går att knäcka alla webbläsare på marknaden genom relativt enkla manövrar.
Allt fler tävlingar anordnas där den som hittar allvarliga brister i webbläsare belönas med femsiffriga dollarbelopp.

Tidigare i år anordnades tävlingen Pwn2own under säkerhetskonferensen Cansecwest. Forskare visade under tävlingen att de funnit flera nolldagarssårbarheter i Google Chrome, Microsoft Internet Explorer, Apple Safari, Mozilla Firefox samt i Adobe Flash Player. Sårbarheterna gjorde det möjligt att fjärrköra kod på värdmaskinerna.

Den totala prissumman som delades ut under tävlingen var 850 000 dollar, ett nytt rekord. Alla sårbarheter som demonstrerades delades med de berörda företagen.

Många tjänster går genom webbläsaren

Hur kan det vara så enkelt att knäcka säkerheten i webbläsare?
– I och med att många webbläsare är programmerade i C++ så finns det utrymme för så kallade buffer overflows. Webbläsaren är ju ett trevligt mål att ge sig på. En angripare som tagit kontroll över webbläsaren ges kontroll över det mesta användaren har för sig. Många tjänster levereras ju dessutom nuförtiden genom webbläsaren, säger it-säkerhetsexperten Mikael Simovits.
Han menar att sårbarheter i webbläsare kan få mycket allvarliga konsekvenser.

Mikael Simovits
Mikael Simovits

– Användaren är ju bakom en brandvägg då webbläsaren kontrolleras, och det är ju också så att alla människor med en dator har minst en webbläsare. En upptäckt brist påverkar därför ett jättestort antal människor, vilket gör att webbläsaren blir ett stort saftigt köttben att hugga tag i för angripare.

Var fjärde attack mot webbläsaren

En färsk rapport från säkerhetsleverantören F-Secure pekar på att mer än var fjärde attack riktas direkt mot användarnas webbläsare. Samma rapport visar dessutom att svenskars webbläsare är de mest attackerade i världen – av alla attacker mot webbläsare som F-Secure upptäckt det senaste halvåret skedde 18 procent i Sverige.

– Jag tror att det kan vara så enkelt att vi i Sverige ligger långt fram när det gäller att testa nya tjänster på nätet. Precis som vi för många it-företag är en spännande testmarknad så har vi av samma anledning blivit intressanta för attacker, säger Johan Jarl, säkerhetsexpert på F-Secure. Han anser att statistiken är mycket oroande.

– Vi i Sverige är vana vid att kunna sköta mycket på nätet, allt från banktjänster till shopping och kontakter med myndigheter. Tyvärr utnyttjas detta av cyberkriminella.

 
Den primära ingången för skadlig kod

Varför är just webbläsare så utsatta för attacker?
– När det gäller webbläsarnas säkerhet är det som du säger tyvärr så att det är den primära vägen in för skadlig kod – i och för sig sker det oftast via till exempel Java eller Flash, säger Johan Jarl.

Johan Jarl
Johan Jarl

– För oss som användare handlar det om en avvägning mellan att ha en webbläsare som klarar av alla funktioner på alla sajter, vilket kräver insticksprogram, och att ha en säker läsare. I det valet väljer många dessvärre funktion före säkerhet.

Vad kan man göra för att webbläsare ska bli så säkra som möjligt?

– Lösningen är att kombinera ett säkerhetspaket som är bra på att hantera säkerhetsproblem proaktivt med ett automatiskt sätt att patcha alla plugins och programvarorna i datorn. Då har man löst en stor del av problemet, säger Johan Jarl.

Tänker du på säkerheten när du väljer webbläsare?
Det är inte längre tillåtet att rösta.

Fakta

”Svenskars webbläsare mest attackerade”:
http://techworld.idg.se/2.2524/1.549856
”Alla webbläsare hackade”:
http://techworld.idg.se/2.2524/1.551885/
MRG Effitas stora test av säkerhetspakets förmåga att upptäcka och stoppa sårbarheter (pdf):
tinytw.se/sectest