Seguridad del navegador
Seguridad del navegador es la aplicación de la seguridad en Internet[1] en el navegador web con la finalidad de proteger datos en red y sistemas computacionales de brechas de privacidad o malware. Explosiones de seguridad en navegadores web usualmente utilizan Javascript- algunas veces con cross-site scripting[2] -algunas otras con un payload secundario usando Adobe Flash.[3] Las explosiones de seguridad también pueden tomar ventaja de agujeros de seguridad que son comúnmente explotados en todos los navegadores web incluyendo Mozilla Firefox,[4] Google Chrome,[5] Opera,[6] Microsoft Internet Explorer,[7] y Safari.[8]
Seguridad
[editar]Los navegadores web se pueden atacar de formas distintas:
- Los sistemas operativos son atacados y un malware lee y modifica el espacio de la memoria del navegador en modo privilegiado[9]
- El sistema operativo tiene un malware corriendo en un proceso secundario, dicho proceso lee y modifica el espacio en memoria del navegador en modo privilegiado.
- Los ejecutables principales del navegador pueden ser hackeados.
- Componentes del navegador pueden ser hackeados.
- Los plugins del navegador pueden ser hackeados.
- Las comunicaciones de red del navegador pueden ser interceptadas fuera del ordenador.[10]
El navegador puede no ser consciente de los ataques que está sufriendo e indica al usuario que se ha establecido una conexión segura.
Siempre que un navegador se comunica con una página web, dicha página, como parte de la comunicación, recolecta información acerca del navegador(con el propósito de dar formato a la página que va a ser desplegada).[11] Si se ha insertado un código malicioso en el contenido web, o en el peor de los casos, si esa página web ha sido especialmente designada para albergar código malicioso, las vulnerabilidades específicas de un navegador en particular pueden permitir que corra código malicioso dentro del navegador y, por ende, correrán procesos de forma no intencional (cabe recordar que un bit de información hace referencia a la identidad del navegador, permitiendo que las vulnerabilidad particulares del navegador sean explotadas).[12] Una vez que un atacante es capaz de correr procesos en el ordenador visitante, explotar las vulnerabilidades de seguridad puede permitir al atacante ganar acceso privilegiado(si es que el navegador no está corriendo en acceso privilegiado desde ese momento) al sistema "infectado" para poder realizar procesos y actividades aún más dañinos en la máquina o incluso en la red de la víctima.[13]
Las brechas de seguridad en los navegadores web tienen como propósito sobrepasar las protecciones para desplegar ventanas emergentes[14] recolectando información personal ya sea para mercadeo digital o robo de identidad, rastreo de páginas web o análisis web acerca de un usuario y en contra de su voluntad utilizando herramientas tales como web bugs, clickjacking, (donde el botón de like de Facebook es el blanco de ataque),[15][16][17][18] cookies, zombie cookies o Local Shared Object[3] adware de instalación, viruses, spyware como troyanos (para ganar acceso a computadoras personales vía cracking) u otros malwares incluyendo robo en banca en línea utilizando ataques tipo man-in-the-browser.
Las vulnerabilidades en el navegador web por sí solo pueden ser minimizadas manteniendo el software actualizado,[19] pero no serán suficientes si el sistema operativo está comprometido, por ejemplo, a través de un rootkit.[20] Algunos subcomponentes del navegador como el guion, add-ons y cookies[21][22][23] son particularmente vulnerables ("problema del diputado confundido") y también necesitan ser direccionados.
Siguiendo el principio de defensa en profundidad, un navegador totalmente parchado y correctamente configurado, puede no ser suficiente para asegurar que los problemas relativos a la seguridad del navegador no ocurran. Por ejemplo, un rootkit puede capturar lo que el usuario teclea a través de keyloggers mientras alguien registra la información de una página bancaria o lleva a cabo un ataque de tipo man-in-the-middle que modifica el tráfico de red de o hacia el navegador web. El DNS hijacking o DNS spoofing puede ser utilizado para regresar falsos positivos en nombres de sitios mal tecleados o para subvertir resultados populares en motores de búsqueda. Malware como RSPlug simplemente modifican configuraciones de sistemas para que apunten a un servidor DNS destinado a realizar acciones contra el usuario.
Los navegadores pueden usar métodos más seguros de comunicación de red para ayudar a prevenir algunos de estos ataques.
- DNS: DNSSec y DNSCrypt, por ejemplo con servidores DNS que no son los de defecto como Google Public DNS o OpenDNS.
- HTTP: HTTP Secure y SPDY, certificados de clave pública con firma electrónica o certificados de validación extendida.
Defensas perimetrales, típicamente a través de cortafuegos y el uso de filtros de servidores proxy que bloquean sitios maliciosos y realizan escaneos con antivirus en cada descarga que se hace, son comúnmente implementados como mejor práctica en organizaciones grandes para bloquear tráfico malicioso de red antes de que llegue a un navegador.
El tema de seguridad de navegador ha crecido hasta el punto de cubrir la creación de organizaciones enteras, como "The Browser Exploitation Framework Project",[24] creando plataformas para recolectar herramientas para poner en evidencia las brechas de seguridad de los navegadores.
Plugins y extensiones
[editar]A pesar de no ser una parte del navegador por sí solo los plugins y las extensiones del navegador se extienden de superficies de ataque, exponiendo vulnerabilidades en Adobe Flash Player, Adobe (Acrobat) Reader, Applet Java, y ActiveX que son comúnmente explotados. Un malware también puede ser implementado como una extensión del navegador, tal es el caso de Browser Helper Object en el caso de Internet Explorer.[25] Navegadores como Google Chrome y Mozilla Firefox pueden bloquear o advertir a los usuarios de plugins inseguros.
Contrariamente, las extensiones pueden ser utilizadas para fortalecer configuraciones de seguridad. US-CERT recomienda bloquear Flash usando NoScript.[26] Charlie Miller recomendó "no instalar Flash"[27] en la conferencia de seguridad computacional CanSecWest. Muchos otros expertos en seguridad también recomiendan no instalar Adobe Flash Player o bloquearlo.[28]
Privacidad
[editar]Flash
[editar]En agosto de 2009 un estudio realizado por Social Science Research Network encontró que el 50% de las páginas web que utilizan Flash también utilizaban flash cookies, aun así las políticas de privacidad raramente las revelaban y los controles de seguridad de privacidad eran escasos.[29] La mayoría de las memorias caché e historiales borran funciones que no afectan la escritura de objetos locales compartidos en la propia caché de Flash Player y la comunidad de usuarios es mucho menos consciente de la existencia y funcionalidad de las Flash cookies que de las HTTP cookies.[30] De esta manera, los usuarios que eliminaron las HTTP cookies y purgaron el historial de navegación y la memoria caché, pueden creer que eliminaron todos los datos de rastreo en su computadora cuando, en realidad, el historial de búsqueda Flash permanece ahí. Aunado a remover manualmente, addon BetterPrivacy en Firefox puede remover Flash cookies.[3] Adblock Plus puede ser usado para filtrar amenazas específicas[14] y Flashblock puede ser utilizado para dar una opción antes de permitir contenido en sitios que serían de confianza si no se utilizara.[31]
Navegador hardware
[editar]Una solución basada en hardware que corre un archivo de solo lectura en el sistema y en el navegador web basado en el acercamiento LiveCD. Brian Krebs recomienda el uso de un LiveCD para estar protegidos del crimen cibernético organizado. El primer navegador de este tipo fue el ZeusGard Secure Hardware Browser que fue lanzado a finales del 2013. Cada vez que se iniciaba el navegador, era sabido que estaba totalmente limpio y era un ambiente totalmente seguro. Los datos nunca se almacenaban en el dispositivo y el medio no podía sobreescribirse, por lo tanto se limpiaba cada que se iniciaba.
Reforzamiento en un navegador
[editar]Navegar en internet con una cuenta de privilegios mínimos (sin privilegios de administrador) limita la posibilidad de explotar la seguridad en un navegador web que comprometa todo el sistema operativo.[32]
Internet Explorer 4 y superiores permiten crear la denominada "blacklist" que sirve para bloquear sitios web[33][34][35] y whitelist[36][37] controles ActiveX, addons y extensiones de navegador en varias maneras.
Internet Explorer 7 añadió el "modo protegido", una tecnología que fortalece al navegador a través de la aplicación de una función de seguridad de aislamiento de procesos de Windows Vista llamado control de integridad.[38] Google Chrome provee aislamiento de procesos para limitar el acceso de páginas web a los sistemas operativos.[39]
Los sitios maliciosos reportados a Google,[40] y confirmados por Google, son marcados como hosts maliciosos en algunos navegadores.[41]
Hay extensiones y plugins de terceros disponibles para reforzar incluso para los últimos navegadores.[42] y algunos para navegadores anteriores y sistemas operativos. Software basado en Whitelist como NoScript puede bloquear JavaScript y Adobe Flash que son usados para la mayoría de los ataques de privacidad, permitiendo a los usuarios escoger sitios que saben que son seguros - Adblock Plus también utiliza reglas de lista blanca de subscripción basadas en ad filtering, a pesar de que ambos, el software y los encargados de dar mantenimiento han sido objeto de controversia por dejar pasar los filtros a algunos sitios a partir de una configuración por defecto[43]
Véase también
[editar]- Seguridad de aplicaciones web
- Seguridad en Internet
- Filtro Burbuja
- Inyección Frame
- Políticas de seguridad de red
Referencias
[editar]- ↑ Internet security overview, consultado el 6 de julio de 2015.
- ↑ Maone, Giorgio. «NoScript :: Add-ons for Firefox». Mozilla Add-ons. Mozilla Foundation.
- ↑ a b c NC (Social Science Research Network). «BetterPrivacy :: Add-ons for Firefox». Mozilla Add-ons. Mozilla Foundation. (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última).
- ↑ Keizer, Greg. Firefox 3.5 Vulnerability Confirmed Archivado el 28 de octubre de 2010 en Wayback Machine.. Retrieved 19 November 2010.
- ↑ Messmer, Ellen and NetworkWorld. "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List" Archivado el 24 de diciembre de 2010 en Wayback Machine.. Retrieved 19 November 2010.
- ↑ Skinner, Carrie-Ann. Opera Plugs "Severe" Browser Hole Archivado el 20 de mayo de 2009 en Wayback Machine.. Retrieved 19 November 2010.
- ↑ Bradly, Tony. "It's Time to Finally Drop Internet Explorer 6" Archivado el 9 de julio de 2012 en Wayback Machine.. Retrieved 19 November 2010.
- ↑ «Browser». Mashable. Consultado el 2 de septiembre de 2011.
- ↑ Smith, Dave. «The Yontoo Trojan: New Mac OS X Malware Infects Google Chrome, Firefox And Safari Browsers Via Adware». IBT Media Inc. Consultado el 21 de marzo de 2013.
- ↑ Goodin, Dan. «MySQL.com breach leaves visitors exposed to malware». Consultado el 26 de septiembre de 2011.
- ↑ Clinton Wong. «HTTP Transactions». O'Reilly. Archivado desde el original el 13 de junio de 2013.
- ↑ «9 Ways to Know Your PC is Infected with Malware». Archivado desde el original el 11 de noviembre de 2013.
- ↑ «Symantec Security Response Whitepapers».
- ↑ a b Palant, Wladimir. «Adblock Plus :: Add-ons for Firefox». Mozilla Add-ons. Mozilla Foundation.
- ↑ «Facebook privacy probed over 'like,' invitations». CBC News. 23 de septiembre de 2010. Consultado el 24 de agosto de 2011.
- ↑ Albanesius, Chloe (19 de agosto de 2011). «German Agencies Banned From Using Facebook, 'Like' Button». PC Magazine. Consultado el 24 de agosto de 2011.
- ↑ McCullagh, Declan (2 de junio de 2010). «Facebook 'Like' button draws privacy scrutiny». CNET News. Archivado desde el original el 5 de diciembre de 2011. Consultado el 19 de diciembre de 2011.
- ↑ Roosendaal, Arnold (30 de noviembre de 2010). «Facebook Tracks and Traces Everyone: Like This!». Consultado el 27 de septiembre de 2011.
- ↑ State of Vermont. «Web Browser Attacks». Archivado desde el original el 13 de febrero de 2012. Consultado el 11 de abril de 2012.
- ↑ «Windows Rootkit Overview». Symantec. Archivado desde el original el 16 de mayo de 2013. Consultado el 20 de abril de 2013.
- ↑ «Cross Site Scripting Attack». Consultado el 20 de mayo de 2013.
- ↑ Lenny Zeltser. «Mitigating Attacks on the Web Browser and Add-Ons». Consultado el 20 de mayo de 2013.
- ↑ Dan Goodin. «Two new attacks on SSL decrypt authentication cookies». Consultado el 20 de mayo de 2013.
- ↑ «beefproject.com».
- ↑ «How to Create a Rule That Will Block or Log Browser Helper Objects in Symantec Endpoint Protection». Symantec.com. Consultado el 12 de abril de 2012.
- ↑ «Securing Your Web Browser». Archivado desde el original el 26 de marzo de 2010. Consultado el 27 de marzo de 2010.
- ↑ «Pwn2Own 2010: interview with Charlie Miller». 1 de marzo de 2010. Archivado desde el original el 24 de abril de 2011. Consultado el 27 de marzo de 2010.
- ↑ «Expert says Adobe Flash policy is risky». 12 de noviembre de 2009. Archivado desde el original el 26 de abril de 2011. Consultado el 27 de marzo de 2010.
- ↑ «Soltani, Ashkan, Canty, Shannon, Mayo, Quentin, Thomas, Lauren and Hoofnagle, Chris Jay: Flash Cookies and Privacy». 10 de agosto de 2009. Consultado el 18 de agosto de 2009.
- ↑ «Local Shared Objects -- "Flash Cookies"». Electronic Privacy Information Center. 21 de julio de 2005. Archivado desde el original el 16 de abril de 2010. Consultado el 8 de marzo de 2010.
- ↑ Chee, Philip. «Flashblock :: Add-ons for Firefox». Mozilla Add-ons. Mozilla Foundation. Archivado desde el original el 15 de abril de 2013. Consultado el 6 de noviembre de 2015.
- ↑ «Using a Least-Privileged User Account». Microsoft. Consultado el 20 de abril de 2013.
- ↑ «How to Stop an ActiveX control from running in Internet Explorer». Microsoft. Consultado el 22 de noviembre de 2014.
- ↑ «Internet Explorer security zones registry entries for advanced users». Microsoft. Consultado el 22 de noviembre de 2014.
- ↑ «Out-of-date ActiveX control blocking». Microsoft. Consultado el 22 de noviembre de 2014.
- ↑ «Internet Explorer Add-on Management and Crash Detection». Microsoft. Consultado el 22 de noviembre de 2014.
- ↑ «How to Manage Internet Explorer Add-ons in Windows XP Service Pack 2». Microsoft. Consultado el 22 de noviembre de 2014.
- ↑ Matthew Conover. «Analysis of the Windows Vista Security Model». Symantec Corporation. Archivado desde el original el 16 de mayo de 2008. Consultado el 8 de octubre de 2007.
- ↑ «Browser Security: Lessons from Google Chrome».
- ↑ «Report malicious software (URL) to Google».
- ↑ «Google Safe Browsing».
- ↑ «5 Ways to Secure Your Web Browser». ZoneAlarm. Archivado desde el original el 7 de septiembre de 2014. Consultado el 6 de noviembre de 2015.
- ↑ «Adblock Plus Will Soon Block Fewer Ads — SiliconFilter». Siliconfilter.com. Consultado el 20 de abril de 2013.