Исследователи разработали новую систему компьютерной безопасности для защиты от вредоносного Javascript

Специалисты по компьютерной безопасности создали систему, призванную защитить приватность пользователей и одновременно быть полезной для веб-разработчиков, которые смогут писать веб-приложения, собирающие данные с нескольких сайтов одновременно. Система, получившая название COWL (аббревиатура от Confinement with Origin Web Labels), совместима с браузерами Mozilla Firefox и Google Chrome и может предотвращать кражу информации при помощи зловредного кода, спрятанного на загружаемых веб-страницах.

Команда, разработавшая COWL, включает специалистов из Google, Технического университета Чалмерса, Mozilla Research, Университетского колледжа Лондона и Инженерной школы Стэнфордского университета. Ученые ожидают, что COWL будет активно использоваться веб-разработчиками.

Ученые подробно рассказывают о COWL в научной работе, которая будет официально представлена на 11-м симпозиуме по разработке и реализации операционных систем USENIX, который стартует сегодня, 6 октября, в Брумфильде, штат Колорадо. Подробнее о системе можно узнать на ее сайте.

Тестирование системы в Chrome и Firefox продемонстрировало, что COWL защищает информацию пользователя от зловредных программ, не замедляя время загрузки страниц из интернета. С 15 октября систему можно будет скачать и использовать бесплатно.

Сейчас приватности пользователей интернета может угрожать вредоносный код Javascript, который может быть спрятан на самых безобидно выглядящих сайтах. Создатели сайта могли вставить в него уже готовый код, не зная, что в нем содержатся вирусы. С помощью такого кода злоумышленники могут получить доступ к конфиденциальной информации как в той же, так и в других вкладках браузера.

При разработке современного веб-сайта разработчики часто включают в него уже готовый код Javascript, написанный третьими лицами или непонятного происхождения. Как сообщается в исследовании, 59% из миллиона самых популярных сайтов и 77% из 10 тыс. самых популярных сайтов включают код Javascript, написанный третьими лицами. Ученые отмечают, что подобное использование Javascript опасно, ведь несмотря на то, что такой код может делать то, что требуется разработчикам, он может попутно выполнять и некоторые нежелательные действия.

По словам одного из соавторов исследования, профессора Брэда Кэрба из Университетского колледжа Лондона, COWL удается достичь сразу двух целей — защитить приватность пользователя и дать разработчикам приложений новые возможности. «Достичь обеих этих целей, которые во многих системах являются противоположностями, — одна из главных задач исследований безопасности компьютерных систем», — говорит Кэрб.

«Новая система обеспечивает свойство, известное как «удержание» еще с 1970-х годов, но трудно достижимое в реальных приложениях, таких как веб-браузеры. COWL «удерживает» программы Javascript, выполняемые в браузере, в рамках отдельных вкладок. Если программа Javascript, встроенная в один веб-сайт, считывает информацию, предоставляемую другим сайтом, COWL разрешает данным считываться, но после этого запрещает принимающему данные приложению передавать их третьим лицам. В результате сайт, который делится данными, сохраняет контроль над ними даже после обмена информацией с браузером», — поясняет Кэрб.

Многие продвинутые пользователи уже сейчас используют такие меры безопасности, как шифрование и менеджер паролей, отмечает руководитель технического и маркетингового сопровождения продуктов компании ESET Russia Алексей Оськин.

«Разработчики нового приложения нашли очень удачный подход к позиционированию своего продукта. Они уцепились за модную и долгоиграющую тему конфиденциальности в интернете. Но набор технологий, задействованных в этом хорошем начинании, не новый», — констатирует он.

Технология COWL призвана улучшить ситуацию с приватностью данных, пересылаемых между различными веб-приложениями или частями одного приложения, которая в настоящее время частично регулируется Same Origin Policy (SOP) и Cross-Origin Resource Sharing (CORS), говорит антивирусный эксперт Лаборатории Касперского Владимир Кусков. COWL подразумевает принудительное управление доступом (MAC) на основе назначения меток, привилегий и специального механизма коммуникации, позволяя веб-приложениям получать конфиденциальные данные, но не позволяя при этом отправлять их за пределы браузера, поясняет он.

Однако, несмотря на все достоинства разработанной учеными системы, она не сможет решить многих проблем кибербезопасности.

«Это действительно поможет улучшить ситуацию, однако не спасет от вредоносного ПО, уже находящегося на машине пользователя и имеющего возможность внедриться в процесс браузера, — предупреждает Кусков. — Также авторы COWL признают, что остается возможность утечки данных через скрытые каналы». Кроме того, сами исследователи отмечают, что применение этой технологии подстегнет авторов вредоносного ПО обращать больше внимания на поиск и использование таких скрытых каналов, рассуждает эксперт.