EL OJO CLINICO DE LA TECNOLOGIA

EL OJO CLINICO DE LA TECNOLOGIA

lunes, 9 de agosto de 2010

La seguridad de los navegadores web no es suficiente



Estudio sobre la seguridad de los navegadores, Firefox no es tan seguro como se piensa.




Un estudio de seguridad sobre los navegadores más populares (Chrome, Internet Explorer, Safari, Opera y Firefox) en Windows Vista y 7. Este estudio corría a cargo de Chema Alonso, un importante experto en seguridad, y MVP de Microsoft. Al contrario que anteriores estudios de Microsoft, como este o este otro, muy poco objetivos y bastante cuestionables, este no sólo está muy bien fundamentado sino también bien explicado. Aquí va un pequeño resumen de lo que podemos encontrar.

El primer aspecto que se compara es el uso que hacen los navegadores de las características de seguridad propias del SO. Estas son DEP, ASLR, Virtual Store, la arquitectura (monoproceso o multiproceso) y el MIC (Mandatory Integrity Control, similar a los privilegios de usuario en Linux). IE es el único que las integra todas, seguido por Chrome, que sólo carece de la Virtual Store. El p*eor parado es Firefox*, que sólo integra DEP y ASLR.
En cuanto a las características de seguridad propias, vemos que IE es el único con un filtro XSS integrado, aunque existe también el addon Noscript, cuya funcionalidad es la misma. Otra característica es la etiqueta X-FRAME-OPTIONS, soportada por todos menos por Firefox (*Actualización*: lo soporta gracias al addon NoScript) y que evita ataques de clickjacking. Para los que no sepan que es esto, es una técnica bastante curiosa, que consiste en la carga de un Iframe que contiene una página legal (Twitter o Google, por ejemplo) dentro de una página maliciosa. La página parece normal a primera vista, pero cuando se hace click en un punto, no se hace click en el elemento de la página real, sino en una capa invisible de Javascript que graba las pulsaciones del usuario.
Si nos vamos a la parte de SSL, todos los navegadores cuentan con el soporte correcto, incluido para certificados de validación extendida (aquellos expedidos por personas y con verificación de identidad del que lo pide). Sin embargo, cuando vemos el soporte de entidades que expiden certificados, nos encontramos con un pequeño problema. Sólo IE y Chrome reconocen a la FNMT, la entidad que expide los certificados SSL para organismos oficiales en España (por ejemplo, para la renta o el DNIe). Lo mismo pasa con CATCert, el análogo de la FNMT en Cataluña, que sólo lo reconocen Safari, IE y Chrome.













 Otro aspecto son los filtros para URL maliciosas. Todos los navegadores cuentan con un filtro anti-phising y anti-malware, que se deben actualizar constatemente. En el estudio se comparó el tiempo que cada navegador tardaba en añadir una URL a sus filtros, y se comprobó como, mientras que los demás navegadores oscilan entre las 6 y 9 horas y las 14 de Chrome, Opera se aleja unos cuantos pueblos con 82 horas.

Y por último, llegamos a las vulnerabilidades. El que menos ha sufrido ha sido Opera, con 0,79 vulnerabilidades al més, y el que más, Firefox, con 6,3 vulnerabilidades al mes. En cuanto a los parches, Firefox tiene la mayor tasa de corrección (100%), y Opera la menor, con el 45,5% de vulnerabilidades corregidas. En el siguiente gráfico podéis ver las vulnerabilidades según el nivel de criticidad, en el que destaca Firefox con 56 vulnerabilidades “Highly Critical”, que conllevan acceso al sistema y ejecución de código arbitrario.












Como conclusión, queda Internet Explorer como el navegador más seguro, y Firefox con un importante varapalo en cuanto a seguridad, que veo que, por lo menos personalmente, se había sobreestimado hasta ahora en ese aspecto.
Desde mi punto de vista, Chrome es el que mejor parado sale para los usuarios comunes, ya que las diferencias con Internet Explorer no son muy notables en cuanto a seguridad, es más simple que éste, y además su seguridad se puede aumentar con complementos. Además, Chrome tiene a favor, que, al igual que Firefox y Opera, es multiplataforma.
Si queréis ver el documento completo, está colgado en Scribd, en el enlace inferior. Si tenes alguna duda, podés preguntar aquí o al principal autor del documento, Chema Alonso.
Lo vi en :
http://www.scribd.com/doc/30290132/Estudio-comparativo-de-seguridad-en-navegadores

************************
Mas información: sobre el tema:

La seguridad de los navegadores web no es suficiente

Un grupo de investigadores de la Universidad de Stanford realizó un estudio según el cual la navegación “privada y segura” por Internet no es posible con las opciones que ofrecen los navegadores más populares como Internet Explorer, Firefox, Safari y Chrome.
Navegar por Internet de forma privada y segura no es una opción al alcance de ningún internauta en la actualidad, ni siquiera configurando los controles de seguridad del navegador para ello, es la conclusión de los expertos en seguridad que analizaron los principales browsers de la web.
Internet Explorer, Firefox, Safari y Chrome ofrecen una protección débil en sus opciones de navegación segura, de acuerdo al informe, y muchas veces ni siquiera consiguen evitar que el historial de los usuarios sea expuesto.
El estudio también reveló que los navegadores son inconsistentes en la manera en que ofrecen la navegación privada. Por ejemplo, Firefox y Chrome protegen contra ataques web, pero Safari tan sólo lo hace contra el acceso local.
No obstante, los analistas de la Universidad de stanford aseveraron que los cuatro navegadores incurren en “violaciones de la privacidad”, y acusaron a Firefox en concreto de exponer bastantes detalles de la navegación y el usuario incluso en el modo seguro.
Además, los investigadores señalaron que los sistemas de navegación segura son un “campo de minas”, y que se necesita una serie de cambios para crear un entorno verdaderamente seguro.
Una de las sugerencias del grupo de expertos de Stanford es que los sitios web exhiban un sello para demostrar que respetan el modo seguro de los browsers, mientras que otra recomienda que los navegadores chequeen las páginas web comparándola con una “lista negra” que irá engrosándose a medida que aparezcan los fallos de seguridad.
Los investigadores de la Universidad de Stanford discutirán sus hallazgos en el Simposio de Seguridad Usenix la próxima semana en Washington
lo vi en : http://www.redusers.com

ARTURO LUGO-apocusant

No hay comentarios.: