Hardening Firefox (Maak Firefox veilig)

Mozilla Firefox (verder simpelweg “Firefox” genoemd) is samen met Google Chrome een van de meest gebruikte browsers. Firefox is snel, overzichtelijk en biedt vele add-ons om de browser precies te laten doen wat je wilt. Mede door de vele mogelijkheden en beschikbare add-ons kunnen we Firefox erg goed beveiligen waardoor jij als gebruiker minder goed traceerbaar bent en beter beveiligd bent tegen malware en andere malafide praktijken.

Update Firefox

Needless to say… zorg er altijd voor dat je Firefox up-to-date is. Net zoals met alle software is het belangrijk om altijd up-to-date te blijven. Met het updaten worden verbeteringen en mogelijke expoits (zwakheden in de beveiliging) gedicht. Om Firefox handmatig te updaten klik je op het “menu icoon” aan de rechterzijde en vervolgens op het vraagtekentje aan de onderkant:

Vervolgens kies je voor “Over Firefox”

Het volgende scherm verschijnt. Firefox zal nu gaan updaten en de browser moet na het updaten altijd herstart worden.

Na het bijwerken wordt Firefox automatisch weer gestart. Omdat Firefox zichzelf ook automatisch bijwerkt wordt aangeraden om de browser regelmatig opnieuw op te starten zodat de updates ook doorgevoerd kunnen worden. Als de browser open blijft staan wordt deze niet bijgewerkt.

Add-ons

Er zijn duizenden Add-ons (ofwel plug-ins) beschikbaar voor Firefox. Met deze add-ons kunnen we de functies van de browser naar eigen inzicht aanpassen en uitbreiden. Zorg ervoor dat je alleen add-ons installeert van de officiële Mozilla Add-ons webpagina. Al deze add-ons zijn geverifieerd door het Mozilla team en veilig om te installeren. Add-ons van andere (third-party) websites kunnen mogelijk gevaarlijk zijn en je computer of privacy schaden. Niet alle Add-ons worden niet automatisch bijgewerkt. Je kunt je add-ons overzicht vinden via “menu” – “Add-ons”:

De add-ons zijn per type gearchiveerd:

Als een add-on geüpdate moet worden dan wordt dit duidelijk aangegeven in rode letters. Je kunt de add-on dan handmatig bijwerken door op “Nu bijwerken” te klikken.

Achter de add-on kunnen we kiezen of de add-on automatisch willen uitvoeren of dat je als gebruiker de keuze wilt krijgen om de add-on uit te voeren. Het is aan te raden om elke add-on welke potentieel gevaarlijk kan zijn (zoals Java, Flash of vreemde ad-ons) in te stellen op “Vragen om te activeren”.

Firefox Privénavigatie Vensters

Door op het menu te klikken heb je de optie om een nieuw privé venster te openen.

Als je hierop klikt opent zich een nieuw privé navigatie venster.

Als je het internet opgaat via de privénavigatie zal Firefox strengere instellingen hanteren. Zo wordt je surfactiviteit niet meer gevolgd en wordt je geschiedenis, cookies en zoekopdrachten niet opgeslagen. Als je het venster sluit zijn dus ook alle gegevens m.b.t. je activiteiten binnen deze privé vensters van je computer verwijderd. Je bent echter niet anoniem en trackers op het internet kunnen je potentieel nog steeds volgen.

In het vervolg van deze handleiding richten we ons op het beveiligen van de “normale” Firefox omgeving en niet op de privé navigatie.

Firefox opties

Ook aan de standaard opties van Firefox valt nog wel het e.e.a. te tweaken. De opties vinden we terug onder de ondertussen bekende menu button:

1. Schakel onder “Inhoud” de standaard “Pop-up” beveiliging in (default staat deze aan).

2. Schakel “Niet Volgen” in voor Firefox en niet alleen voor de privé vensters. Als deze optie geactiveerd is geeft Firefox aan advertentienetwerken door dat je niet gevolgd wilt worden. Ga hiervoor naar “Privacy” en klik op “Uw instellingen voor Niet volgen beheren”.

Vervolgens schakel je “Niet volgen gebruiken” in.

3. Zorg ervoor dat uw browser geen geschiedenis opslaat en dus deze gegevens niet lokaal cachet en beschikbaar maakt. Op hetzelfde venster onder “Privacy” – “Geschiedenis” stel je in dat je de geschiedenis nooit wilt laten onthouden.

4. Firefox kan zelf suggesties geven tijdens het zoeken in de adresbalk. Deze data wordt opgehaald uit diverse bronnen. Omdat de suggestie functie veel data kan lekken over ons browsegedrag schakelen we onder “Privacy” – “Locatiebalk” alle vinkjes uit.

5. Zorg ervoor dat de instellingen op het tabblad “Beveiliging” als volgt ingesteld staan (default waardes).

6. Hoewel we in deze post niet verder ingaan op wachtwoorden en wachtwoord management is het zeker aan te raden om een goede wachtwoordmanager te gebruiken. Een wachtwoord manager onthoudt al je website login wachtwoorden in een “versleutelde kluis” welke alleen te ontgrendelen is met een hoofdwachtwoord. Feitelijk kun je dus door 1 wachtwoord te onthouden toegang krijgen tot al je wachtwoorden. Firefox heeft een eigen wachtwoordmanager welke te activeren is via “Beveiliging” – “Een hoofdwachtwoord gebruiken”. Ik raad echter bij voorkeur een dedicated wachtwoord manager aan omdat die optie een stuk veiliger en flexibeler is dan de Firefox wachtwoord manager.

7. In het tabblad zoeken is het aan te raden om alle zoekmachines uit te vinken die we niet gebruiken. Zoekmachines gebruiken vernuftige scripts om je browsegedrag te volgen en analyseren. DuckDuckGo is een goede zoekmachine die volledig privé is en die helemaal geen gegevens opslaat. Je kunt er ook voor kiezen om Google te gebruiken voor betere zoekresultaten maar dit gaat ten koste van je privacy.

8. Onder “Geavanceerd” – “Gegevenskeuzes” schakelen we alle status- en crashrapportages uit omdat deze gegevens over je PC uit het netwerk (en dus uit je controle) verzenden.

9. Onder “Geavanceerd” – “Netwerk” schakelen we in dat we iedere keer een notificatie willen ontvangen wanneer een website offline data op wilt slaan. Dit is aan te raden zodat je zelf iedere keer toegang kunt verlenen of weigeren wanneer een website iets op je PC probeert op te slaan.

10. Firefox vertrouwd standaard vele certificaat uitgevers (certificate authorities). Dit betekend dat websites en verkeer die versleuteld zijn met deze certificaten vertrouwd zijn en bepaalde beveiligingsmaatregelen omzeilen. Normaliter is dit een hele goede zaak. Het internet is namelijk afhankelijk van deze vertrouwelijkheid en leunt hier heel zwaar op. Maar dit is ook meteen een zwakheid. Certificaten kunnen namelijk ongeldig verkregen zijn of vervalst zijn. Deze kunnen / zullen gebruikt worden voor malafide doeleinden. In het verleden zijn hier al diverse succesvolle inbraken mee gerealiseerd bij individuen en zelfs overheden. Het blind vertrouwen van certificaten kan onveilig zijn. Het verwijderen van alle niet gebruikte maar wel vertrouwde certificaten binnen Firefox is een enorme klus en niet aan te raden voor de “quick wins”. Om je vertrouwde certificaten te zien ga je naar “Geavanceerd” – “certificaten” – “Certificaten bekijken”.

Onder de tab “Organisaties” staan alle “vertrouwde certificate authorities”.

Hier kun je alle “certificate authorities” verwijderen welke niet gebruikt worden. Om te kijken welke je zelf gebruikt moet je alle veelgebruikte websites bezoeken en klikken op het slotje.

Vervolgens klik je op het pijltje en zie je achter “geverifieerd door” staan door welke certificate authority het certificaat is goedgekeurd. Al deze certificate authorities mag je dus niet verwijderen. Alle overige (niet gebruikte) authorities kun je wel verwijderen.

Firefox geavanceerde opties

Om geavanceerde tweaks te kunnen maken moeten we eerst bij de geavanceerde opties komen. Firefox heeft deze verborgen onder een geheime interne URL. Om bij de geavanceerde opties te komen tik je het adres “about:config” in op de adresbalk. Als je dat doet krijg je een waarschuwing welke geaccordeerd moet worden alvorens de geavanceerde opties te benaderen zijn.

Nu we de geavanceerde Firefox opties kunnen modificeren gaan we de volgende zaken aanpassen:

• Blokkeren WebRTC
• Blokkeren “Bad cipher suites”
• Opslag van formulier en offline data
• Uitschakelen add-on detectie
• Overige settings

WebRTC blokkeren

WebRTC staat voor “Web Real Time Communication” is een protocol (open source) waarmee spraak- en videogesprekken mogelijk worden gemaakt. Het nadeel van deze service (zeker in Windows) is dat hij gebruikt kan worden om je werkelijk (externe) IP adres te achterhalen (zelfs via een VPN). Deze service willen we dus uitschakelen.

Om deze service uit te schakelen zoek je naar “media.peerconnection.enabled” en zet je deze op “false” door hierop de dubbelklikken.

Zwakke encryptie

Website die een zwakke vorm van encryptie hanteren willen we niet laden omdat deze potentieel gevaarlijk zijn. Er zijn aanvallen (waaronder cipher negotiation attacks) die ervoor zorgen dat de zwakste vorm van beschikbare encryptie op de client en de server gebruikt worden. Hierdoor zijn client en server beide vatbaar. Om deze redenen schakelen we de 3DES cipher en de RC4 cipher compleet uit.

3DES:
Zoek naar “security*des” en zet het resultaat op “false”

C4
Zoek naar “security*rc4” en zet alle resultaten op “false”

Vervolgens gaan we ervoor zorgen dat de browser onveilige SSL onderhandelingen onderbreekt en ons op de hoogte stelt als er een onveilige SSL onderhandeling plaats vindt. Zoek naar de waarde “security.ssl.require_safe_negotiation” en zet deze op “true”. Zoek vervolgens naar “security.ssl.treat_unsafe_negotiation_as_broken” en zet deze op “false”.

Formulier informatie en offline data

Omdat formulieren die we in het verleden hebben ingevuld informatie prijs kunnen geven over ons browse gedrag of onze persoonsgegevens willen we dat Firefox deze data nooit onthoudt. Om diezelfde reden willen we dat Firefox geen data zoals cache en cookies lokaal op de computer opslaat (cachet). Om dit te doen zoeken we de volgende strings en die zetten we allemaal op “false”.

• browser.formfill.enable
• browser.cache.offline.enable
• browser.cache.disk.enable
• browser.cache.disk_cache_ssl

Voor cookies kiezen we ervoor om deze te verwijderen bij het afsluiten van de browser. Dit doe je door de setting ”network.cookie.lifetimePolicy” op 2 te zetten.

Ook willen we Firefox de toegang tot het klembord ontzeggen. Door Firefox de toegang te ontzeggen kunnen gegevens niet meer benaderd of gemodificeerd worden. Om dit te doen zetten we de setting “dom.event.clipboardevents.enabled” op false.

Ook het opslaan van geografische data willen we volledig uitschakelen. Zet hiervoor de setting “geo.enabled” op false.

Firefox kent zelf een ingebouwde optie “tracking protection” welke websites blokkeert die bekend staan voor het “volgen” van gebruikers. Om deze functie in te schakelen zoek je naar “privacy.trackingprotection.enabled” en schakel je deze om naar true.

Add-on detectie

Add-on detectie willen we uitschakelen voor 2 redenen. Allereerst kunnen websites bepaalde content uitschakelen of verwijderen wanneer ze zien dat je een bepaalde add-on ingeschakeld hebt. Daarnaast voorkomt het een vorm van fingerprinting. Sommige add-ons (of combinatie van add-ons) genereerd een “beeld” van de gebruiker waar een malafide gebruiker misbruik van kan maken door b.v. diverse exploits los te laten op deze add-ons. Om dit tegen te gaan zetten we de optie “plugin.scan.plid.all” op false.

Overige

Een aantal overige opties die we aan kunnen passen zijn:

• accessibility.typeaheadfind.flashBar – 0
• app.update.auto – false
• app.update.disable_button.showUpdateHistory – false
• browser.sessionstore.restore_on_demand – false
• browser.shell.checkDefaultBrowser – false
• datareporting.healthreport.uploadEnabled – false
• datareport.healthreport.service.enabled – false
• dom.ipc.plugins.flash.subprocess.crashreporter.enabled – false
• dom.ipc.plugins.reportCrashURL – false
• dom.w3c_touch_events.expose – false
• media.peerconnection.enabled – false
• media.peerconnection.video.enabled – false
• network.cookie.cookieBehavior – 1
• network.websocket.enabled – false
• places.history.enabled – false
• plugins.notifyMissingFlash – false
• network.dnsCacheExpiration – 0
• network.dnsCacheEntries – 0
• browser.urlBar.matchBehavior – 2
• browser.sessionhistory.max_entries – 0
• dom.storage.enabled – false
• plugin.state.flash – 0
• plugin.state.quicktime – 0
• plugin.state.silverlight – 0
• extensions.blocklist.enabled – false

Add-ons

Nu we alle beveiligingstweaks hebben toegepast die we zelf in de browser kunnen aanpassen is het zaak om de browser verder dicht te timmeren met speciale add-ons. De volgende add-ons zijn absoluut een zeer goede aanvulling op de ondertussen al aardig veilige Firefox browser.

NoScript

NoScript is misschien wel de allerbeste Firefox security add-on die je gewoon moet gebruiken. NoScript zorgt ervoor dat scripts op websites geblokkeerd worden. Dit voorkomt XSS en Clickjacking aanvallen. Je kunt sites whitelisten waarna scripting wel is toegestaan. Uiteraard is scripting nodig om website te voorzien van alle functionaliteiten en opmaak. Na installatie bevat de NoScript whitelist al een reeks aan default whitelisted websites. Het is aan te raden deze lijst te verwijderen en om deze zelf van scratch af aan opnieuw op te bouwen.

HTTPS Everywhere

De 2e uitermate waardevolle add-on is “HTTPS Everywhere”. Deze add-on is gemaakt in samenwerking met TOR. HTTPS Everywhere zorgt ervoor dat er indien mogelijk altijd HTTPS gebruikt wordt. Dus geen fallback meer naar default HTTP of HTTPS websites die onveilig zijn omdat er HTTP content op aanwezig is. HTTPS Everywhere is er voor jouw privacy!

uBlock Origin

uBlock is in de basis een ad-blocker, dus om advertenties (met bijbehorende trackingcodes) te blokkeren. uBlock Origin blokkeert deze scripts zoals geen andere ad-blocker dat doet. uBlock Origin heeft een laag CPU en geheugengebruik en is ontzettend snel. uBlock Origin kent meer maatwerk mogelijkheden dan het origineel (uBlock) waardoor ook whitelists mogelijk zijn.

Disconnect

Disconnect blokkeert tracking en data analyse van b.v. je cookies en laat je in een duidelijk overzicht zien wat er exact geblokkeerd wordt en waarom. Disconnect kent ook een whitelist functie om bepaalde vertrouwde websites volledig te laden.

Privacy Badger

De Privacy Badger add-on heeft een soortgelijke functie als “Disconnect”. Privacy Badger blokkeert advertenties en onzichtbare trackers op een zeer efficiënte manier. Privacy Badger blokkeert zelfs reeds onbekende (nieuwe) trackers op basis van een uniek algoritme.

Bitdefender TrafficLight

Bitdefender TrafficLight is een in-browser malware filter en blokkeert sites die al reeds geblokkeerd zijn door Microsoft Bitdefender. Bitdefender TrafficLight blokkeert dus websites met een slechte reputatie maar beschermd ook tegen Phishing aanvallen en doet een URL link controle.

Long URL Please

Veel malafide links worden gemaskeerd door URL shortners. Dit komt uitermate vaak voor op b.v. Twitter en Facebook. Door de korte URL kun je de werkelijke URL niet gemakkelijk lezen. Deze add-on lost dat probleem op door alle volledige URL’s weer te geven waar voorheen een verkorte URL was. Zo zie je meteen wat de volledige link is waarop je gaat klikken.

WOT – Web Of Trust

WOT is een website reputatie ranking tool. Op basis van miljoenen gebruiker reviews zie je gemakkelijk welke website te vertrouwen is en welke minder te vertrouwen is.

Conclusie

Er zijn wat stappen nodig om Firefox op en top te beveiligen en elke beveiligingsmaatregel heeft invloed op de browsing belevenis van de gebruiker. Voor de security minded mensen is het raadzaam om elke stap goed uit te voeren. Maar ook voor de mensen die minder zwaar aan hun privacy tillen is het raadzaam om een groot gedeelte van deze handleiding uit te voeren. We hebben het hier over een aantal “set-it-and-forget-it” instellingen die in minder dan een half uur gerealiseerd zijn. Alleen al het installeren van de add-ons en de default Firefox setting geven al een veel hogere beveiliging. Uiteraard kun je er ook voor kiezen om de security browser “IceDragon” van Comodo te installeren waarbij veel instellingen al voor geconfigureerd zijn. IceDragon is gebaseerd of Firefox.