Nuestro profesor de seguridad informatica, Jose Antonio Cano, nos encomendo al inicio del curso, que nos dieramos de alta en dos paginas sobre seguridad. Y que ademas nos suscribieramos a un servicio en cada una de ellas, que te reporta una noticia acerca de seguridad cada dia.
Como el dijo, el responsable de seguridad, es el tipico caso del que no dispone de tiempo apenas, siempre atareado, estresado, pero siempre ha de estar a la ultima...
En concreto se tratan de
Hispasec y de
Security Focus , de las cuales pondre enlaces en el menu lateral. Como digo, me suscribi y cada dia al correo me llega una noticia relacionada con la seguridad informatica, y sinceramente a veces es sorprendente. Sorprendente por los innumerables agujeros que tiene tal o cual afamado software.
Pero en concreto el motivo de esta entrada en el blog, es comentar el interesantisimo correo que me llego antes de ayer, sobre los navegadores web, y la derrota o deriva que han venido siguiendo en cuanto a seguridad.
Si a alguien que posea un pc desde hace un par de años le preguntas que navegador es mas inseguro, probablemente te diga que es el Explorer de Microsoft, pero ¿es esto verdad? es inseguro porque esta mal programado dejando muchos flancos al descubierto o pudiera ser que fuera el mejor programado pero que sus pocos flancos fueran muy explotados?.
El articulo glosa a grandes trazos la historia de los navegadores web, como en un principio Netscape y Explorer se repartian el mercado, y como Explorer se lo comio entero. Tengo un grafico por ahi de 2008 donde Explorer se comia mas del 70% del mercado, y por ejemplo Chrome menos de un 5%. Pasa como en todo, cuando uno compite, continuamente ha de mejorar, cuando uno no tiene rival, ¿a que esforzarse?, eso le paso al Explorer, basando su seguridad en el cortafuegos de Windows, todo iria bien, pero no, porque el Explorer tenia mas boquetes que un gruyere y claro, eran aprovechables.
Aparecieron alternativas a Explorer serias, Firefox y Chrome, y ya no se centro la batalla en quien tenia mas mercado, mas bien, en diferenciarse, si me hago mas seguro, diferente al resto, el mercado vendra a mi...
Hoy en dia la cosa es muy curiosa, Explorer ya no es el rey del mercado, lo es Chrome con casi un 30% del pastel. Pero lo curioso es, que Chrome es el navegador con mas fallos, el que mas agujeros tiene, el por lo tanto mas deficientemente programado, ¿como es posible entonces que cope el mercado?.
Microsoft al contrario de lo que la mayoria pueda pensar, se centro en hacer Explorer mas seguro. Siguiendo un protocolo de seguridad, construyen desde la base pensando en ella, asi Explorer tiene pocos fallos, pero resulta que los pocos que tiene, son muy explotables, segun reza el articulo, principalmente con ataques de dia cero. Lo bueno de estos articulos es que te mencionan cosas, y claro tu curiosidad te lleva a sondearlas...
Ataque de dia cero .
En Chrome, estadisticamente, es el navegador web con mas fallos, sin embargo, se han centrado en que dichos fallos no dejen de existir, si no mas bien , en que esos boquetes sean poco explotables. El articulo menciona como Google ofrecio y pago 1 millon de dolares porquien explotara su codigo bajo Windows 7, lo logro la empresa Vupen, en algo mas de una semana. Naturalmente he buscado quienes eran esos Vupen y es una empresa de seguridad seria seria...
VUPEN .
Asi hemos llegado a la paradoja, de que el explorador web mas vulnerable, es el mas seguro. El articulo menciona como Chrome es aborrecido por uno de los mayores kits de exploits de la actualidad, el Blackhole. Ni que decir tiene que he buscado al respecto...
En la misma wiki ya puedes encontrar datos al respecto...
BLACKHOLE EN LA WIKI , y en esta web en castellano tambien dispones del modus operandi del exploit en cuestion...
SECURITY BY DEFAULT .
Un tema interesantisimo a mi lego entender...
Un saludo.
