Во-первых, не существует "автоматизированной" системы защиты вашего браузера при выполнении потенциально опасных действий, кроме механизмов, с которыми вы уже знакомы. Если бы такая система существовала, она через некоторое время могла бы быть использована, и тогда мы вернулись бы к тому, с чего начали. Итак, вы видите, куда это идет. Это игра типа «точка-контрапункт», в которой системы безопасности пытаются защитить компьютер от вредоносных программ, а авторы вредоносных программ становятся все умнее с каждым днем.
Самая важная вещь, которую люди должны осознать, это то, что самая большая уязвимость в любой компьютерной системе - это пользователь. В случае вашего отца, вполне возможно , что он мог бы стать жертвой проезжавшим мимо загрузки, но это гораздо более вероятно , что он был просто обманут в скачивании самого вируса. Найти и использовать уязвимости в программном обеспечении сложно. Лгать людям намного проще и эффективнее с точки зрения автора вредоносных программ.
Есть только две вещи, которые являются проверенными мерами для защиты вашего компьютера от вирусов:
- Держите все программное обеспечение обновленным и обновленным.
- Держите себя образованным и будьте умнее, чем вредоносные программы.
Просто нет замены этим двум вещам. Если вы отстаете в любом из них, тогда действительно не имеет значения, какая у вас защита от вредоносных программ.
Теперь, чтобы ответить на ваши вопросы конкретно:
- Если в этом "усиленном браузере" у меня есть пустой белый список javascript, то действительно ли Noscript успешно блокирует все угрозы, связанные с Javascript?
Абсолютно так и есть. Если у вас нет белого домена, то клиентские javascripts из этого домена не запускаются, точка. Имейте в виду, однако, что NoScript не запускается отдельно для каждой вкладки. Если вы внесете белый список в домен, то javascripts из этого домена будет работать на всех ваших вкладках.
- Какие форматы изображений абсолютно невозможно использовать? Я видел уязвимость WMF, поэтому WMF не входит в этот белый список, но какие форматы изображений?
Это сложный вопрос; технически все они есть, и ни один из них не является. Каждый медиаформат (аудио, видео и изображения) содержит метаданные. Метаданные должны быть для встраивания информации о файле в самом файле (пример: данные EXIF в .jpg
или .tif
файл, или информация альбома / исполнителя / трека в .mp3
«s ID3 тега). Только колоссальный идиот может написать средство просмотра / воспроизведения мультимедиа, которое может выполнять метаданные, как если бы это был программный код. Этот идиот, как выясняется, является Microsoft, и этому нет абсолютно никакого оправдания. Я не знаю, о чем они думали (возможно, это как-то связано с DRM-дерьмом), но Microsoft создала этот эксплойт в первую очередь в темное время, когда они буквально думали, что могут "владеть" Интернетом. Я не знаю, что вам здесь сказать, кроме как придерживаться программного обеспечения с открытым исходным кодом, которое не делает глупостей, таких как выполнение потока данных.
- Исходя из (2), существует ли способ (в Firefox или другом браузере) разрешать выборку и отображение только тех изображений, которые занесены в белый список?
Нет. Все распространенные форматы изображений (.jpg, .gif и .png) являются "уязвимыми" в соответствии с объяснением, приведенным выше. Опять же, Firefox или Chromium должны спасти вас здесь (лично я не доверяю IE или Chrome). Другие форматы, такие как .pdf, Flash, Silverlight, Java и т.д. Являются проприетарными и определенно уязвимы, поскольку они имеют закрытый исходный код, и вам приходится полагаться на Adobe, Oracle и Microsoft для исправления обнаруженных в них эксплойтов. Для этого вы можете просто отключить плагин (-ы), которые включают эти функции, или использовать блокировщик, который заставляет вас прыгать через обруч, чтобы отобразить их содержимое.
- Является ли запуск браузера на виртуальной машине окончательным ответом? Существуют ли какие-либо известные случаи «массового рынка» вредоносных программ (то есть за пределами лабораторных тестов безопасности), которые могут взломать VMWare или подобное программное обеспечение для виртуализации и заразить хост-компьютер?
Это не "окончательный" ответ, но это гораздо более безопасный способ поиска супер-параноика. ВМ - это песочница, из которой очень мало процессов могут выйти. Единственными двумя векторами атак являются сетевые эксплойты (те, которые ищут другие компьютеры в вашей сети) и атаки на программное обеспечение самой виртуальной машины. И то, и другое можно смягчить, используя функцию "Режим изоляции", которая есть во всех продуктах VM. Также используйте снимок известной чистой конфигурации. Если вы заражаете виртуальную машину вирусом, все, что вам нужно сделать, - это восстановить снимок, чтобы избавиться от него. Обратите внимание, что вам придется время от времени обновлять снимок при установке обновлений / исправлений.
- Наконец, есть ли браузер, специально разработанный для того, чтобы быть настолько минимальным и защищенным, что он просто не может загружать что-либо, что может работать как вредоносное ПО?
Вы не думаете, что это сделает просмотр веб-страниц полезным занятием. Lynx - это популярный текстовый браузер. Он не поддерживает изображения или плагины любого рода. К сожалению, это приемлемая альтернатива, если вы устраиваете вечеринки, как будто это 1989 год. Вы также можете использовать дистрибутив Linux Live, полностью работающий с CD или USB-накопителем. Есть много там. Но вам придется перезагружать компьютер каждый раз, когда вы захотите зайти в Интернет. На самом деле, нет практического ответа на этот вопрос.
На моем персональном компьютере я запускаю Firefox с 5 отдельными презервативами, обернутыми вокруг него. NoScript, Ghostery, AdBlock Plus, BetterPrivacy и саморазрушающиеся файлы cookie. Я также настроил кучу настроек конфиденциальности. Использование такого количества уровней безопасности и поддержание белых списков для всего является проблемой. Я делаю это потому, что я зарабатываю на жизнь в кибербезопасности, и всю мою жизнь я живу в образной шляпе из алюминиевой фольги, которую я ношу везде, куда бы я ни шел. Но я бы никогда не навязал такую конфигурацию неискушенному пользователю, как твой отец. Если вы точно не знаете, что делаете, эти плагины практически не позволяют использовать Интернет в худшем случае, и не лучше, чем незащищенный браузер в лучшем случае.