Selaimet ovat tietoturvan heikkoja lenkkejä, varsinkin Flash-sisällön yhteydessä.
Yleisimmät, Microsoft Internet Explorer, Edge ja Mozilla Firefox, sisältävät haavoittuvuuksia. Näitä korjataan aktiivisesti, mutta uusia löydetään jatkuvasti lisää.
Windows 10 Edge on kehityksensä alkupäässä, joten se sisältänee runsaasti tietoturva-aukkoja. Edge on kiinteä osa Windows 10 järjestelmää, ja jotkut pitävät sitä yksityisyyden kannalta ongelmallisena. Microsoftilla kun on tapana kerätä käyttäjistään dataa.
Nollapäivähaavoittuvuus (zero-day, 0-day vulnerability) on ohjelmiston tietoturvaaukko, joka on haittaohjelman tekijän tiedossa. Haavoittuvuus ei kuitenkaan ole tietoturvayhtiöiden eikä ohjelmistovalmistajan tiedossa. Nollapäivähyökkäys (0-day exploit) on toimenpide, jolla edellä mainittua hyödynnetään tunkeutumiseen tietokoneelle.
Joskus löydetään jopa vuosia vanhoja 0-päivähaavoittuvuuksia, jotka toimivat edelleen, ja joita kehittyneet haittaohjelmat käyttävät. Mitä vähemmän kohteita on, sitä vaikeammin haavoittuvuuksia huomataan. Valtiolliset toimijat ovat etulyöntiasemassa, mikäli haavoittuvuus pysyy salassa muilta ”tavallisilta” virusvalmistajilta.
Nollapäivähaavoittuvuuksien etsiminen on työlästä, kallista ja ammattitaitoa vaativaa. Maailmalla on lukuisia vapaaehtoisia ryhmiä, jotka etsivät näitä ja kertovat löydöistään luottamuksellisesti ohjelmistovalmistajille. Näin ohjelmistovalmistajat voivat rauhassa tehdä korjaukset ja julkaista päivitykset. Nollapäivähaavoittuvuudet ovat kuitenkin erittäin arvokkaita, alalle onkin syntynyt yrityksiä, jotka etsivät haavoittuvuuksia ja myyvät niitä kovalla hinnalla – ostajina ovat tietysti valtiolliset toimijat poliisiviranomaisista sotilastiedusteluun asti. Haavoittuvuuksien ’vähittäiskauppiaina’ toimivat viranomaisviruksia valmistavat yritykset.
FinFisher/Finspy ja Hacking Team RCS troijalaiset käyttävät 0-päivähaavoittuvuuksia, samoin NSA:n ja Venäjän valtiolliset vakoilutyökalut. Edellä mainituille haavoittuvuuksia myi aikaisemmin mm. julkisuudessa ryvettynyt ranskalainen Vupen. Vupen pyrki kiillottamaan imagoaan osallistumalla 0-day-haavoittuvuuksien etsintäkisoihin, ja antamalla niitä ilmaiseksi Microsoftille ja Mozillalle. Tehokkaimmat haavoittuvuudet myytiin kuitenkin virusten tekijöille.
Vupen lopetti toimintansa 2015, ja ilmestyi uudella nimellä: Zerodium. Yritys maksaa parhaimmillaan puoli miljoonaa dollaria Apple iOS:n 0-day aukosta. Zerodiumin asiakkaita ovat valtiot, tiedusteluorganisaatiot ja laillisia viruksia tuottavat yritykset. Exodus Intelligence oli puolestaan lähteenä v. 2016 Windows Tor-selaimen haavoittuvuudelle, jolla käyttäjän todellinen ip-osoite siirrettiin hyökkääjän palvelimelle. Yhtiö myi haavoittuvuuden valtiollisille toimijoille.
Nollapäivähaavoittuvuuksille on olemassa kauppapaikkoja myös rikollisten piirissä. Suurimmat rahat liikkuvat kuitenkin viranomaispiireissä.
Seuraavassa kuvassa 0-day-haavoittuvuuksia välittävä Netragard neuvottelee Hacking Teamin kanssa Internet Explorer-haavoittuvuuden hinnasta, kyseessä yli 100 000 dollarin arvoinen kauppa. Hacking Team myy haavoittuvuuden edelleen asiakkaalleen:
1-päivähaavoittuvuus on astetta tehottomampi edelliseen verrattuna. Kun esimerkiksi selainvalmistaja julkaisee tietoturvapäivityksen, tietyt ryhmät alkavat selvittää julkisen informaation ja selaimen koodin avulla päivityksen syynä ollutta haavoittuvuutta, joka on usein 0-day. Jos haavoittuvuus onnistutaan selvittämään, on haittaohjelmavalmistajalla useiden kuukausien aikaikkuna sen hyödyntämiseen – ihmiset kun eivät päivitä ohjelmistojaan!
Yleisimmät asennuskanavat haittaohjelmille selaimien kautta ovat Flash-haavoittuvuudet ja JavaScript -haavoittuvuudet.
Haittaohjelmien asennusreittien minimoimiseksi:
- Älä koskaan lataa Flash-päivityksiä siksi, että luotettava www-sivu ehdottaa päivitystä. Päivitykset ladataan vain selaimen lisäosien hallinnan tai ohjauspaneelin kautta (Firefox:ssa Työkalut -> Lisäosat -> Tarkista ovatko liitännäiset ajan tasalla)
- Pidä liitännäiset ajan tasalla – selaimen hallinnan tai hallintapaneelin kautta
- Älä koskaan asenna selainlisäosia TOR-selaimeen. Älä edes harkitse asentavasi niitä.
- Asenna Anti-Exploit työkalu, ja aseta se valvomaan www-selaintasi
- Pidä selaimesi ajan tasalla. Versioita julkaistaan, koska vanhoista on löytynyt aukkoja
- Jos selain varoittaa ”Untrusted connection” tai ”Certificate not trusted”, se todella tarkoittaa epäluotettavaa yhteyttä. Älä jatka. Kokeile myöhemmin tai eri internetliittymästä. Tämä on erityisen vakava varoitus, jos edellisen kerran sivua käyttäessäsi kaikki oli normaalia. Nämä varoitukset liittyvät mm. man-in-the-middle vakoiluhyökkäyksiin.
- Asenna NoScript -lisäosa Firefoxiin XSS-hyökkäysten suodattamiseksi
- Asenna AdBlock Plus -mainostenestäjä Firefoxiin
Mikäli yllä mainittu ”Untrusted connection”-varoitus ei katoa, tee google-hakuja ja selvitä, miksi juuri kyseisen sivuston sertifikaatti on muuttunut epäluotettavaksi.
Firefox liitännäiset (Plugin) ovat yleisemminkin haavoittuvia. Normaaliin selailuun riittävät kuvassa näkyvät Flash, Quicktime ja Silverlight. Näistäkin kaksi jälkimmäistä kannattaa asettaa Ask to Activate-tilaan. Ylimääräiset kannattaa poistaa tai vähintään estää (disable). Silverlight:ia ja QuickTime:a käyttävät jotkin verkkosivut. Firefoxissa on sisäänrakennettu PDF-selain, joten pdf-lisäosat ovat turhia.
Lisäosia (Extensions) tulisi asentaa vain tarpeeseen. Lisäosat voivat välittää tietoa selailusta.
Internet Exlorer ja Firefox ovat samantasoisia turvallisuudeltaan, mutta IE yksityisyyden ongelma on vahva sidonnaisuus käyttöjärjestelmään. Selain kommunikoi ja tallentaa tietoa Windowsin kanssa yhdessä. Tämä luo haasteita puhdistusohjelmille, jotka yrittävät pyyhkiä selaimen jättämiä historiatietoja koneelta. Historiatietoja tallennetaan aktiivisesti esimerkiksi Volume Shadow Copy osiolle kovalevyllä.
Mikäli Internet Explorerin käyttöön ei ole erityistä syytä, sen voin poistaa Control Panel -> Uninstall Program kohdasta. Selaimen asennuksen poistaminen ei poista kovalevylle kirjoitettuja selaushistoriatietoja.
Windows 10 Edge selaimen poistaminen on hankalaa, koska se on osa käyttöjärjestelmää.
Windows 7/8/10 yksityisyyden suoja 