Reflexiones sobre la seguridad en navegadores: ¿sirven o no las comparativas?
Estamos en la era de la guerra entre navegadores. El concepto de "la nube" pasa por una huida del disco duro hacia Internet, y esto hace que los navegadores cobren especial importancia. Leemos titulares sobre cuál es más seguro, pero pocos informes completos o información sobre la metodología empleada. ¿Cómo valorar realmente la seguridad de un navegador?
Ejemplos
No hace mucho, la compañía NSS Labs realizó un estudio sobre los diferentes navegadores más populares. Internet Explorer aparecía en el titular como el "más seguro". Como es de esperar ante estas afirmaciones que contradicen una especie de axioma popular establecido, se pone en duda el estudio y se le tacha de parcial. En este caso hay indicios de que está "patrocinado" pero no es lo más importante. Realizaron unas pruebas que medían la capacidad de reacción de los navegadores ante amenazas de malware por ingeniería social. O sea, la capacidad del navegador de detectar automáticamente que están intentando engañar al usuario e impedir, por ejemplo, que visite un sitio donde se aloja malware y descargarlo. Esto es solo una pequeña parte de lo que se debe considerar "seguridad" del navegador. Es más, para los usuarios más avispados, esta opción es poco útil porque por experiencia sabrán quién o qué intenta engañarlos. No necesitan que les avise el navegador.
Además, si se quiere hilar más fino, en el informe del NSS se puede cuestionar el tipo de muestras escogidas para realizar el estudio.
Otro ejemplo. En octubre de 2010 en Hispasec publicamos un informe muy
simple: puesto que disponemos del comprobador de URLs fraudulentas en virustotal.com, comparamos qué navegador detecta más URLs como tal.
Resultó ganador Firefox y así rezó el titular "Firefox el navegador más seguro contra el fraude". De nuevo, para corroborar otra especie de axioma popular, el titular fue mutilado por otras webs: "Firefox es el navegador más seguro". En realidad, sólo se comprobaba otra pequeña parte de la seguridad de un navegador. Sería como afirmar que un utilitario es "más seguro" en general que un coche blindado porque su alarma antirrobo es más sensible.
¿Qué medir?
Estudiar la seguridad global de un navegador es complicado. Uno de los estudios recientes más completos en este sentido (y aun así no se midieron todos los factores) fue realizado por Informatica64 en abril de 2010. Se estudiaban tanto las opciones de seguridad, como sus protecciones y las vulnerabilidades. Pero incluso en este informe, es discutible la metodología seguida para el cálculo de vulnerabilidades.
Se tomaron en cuenta varias versiones de otros navegadores (y no sólo la última) mientras que de Internet Explorer sólo se hablaba de su más reciente versión por entonces, la 8 (y no la 6, que todavía es soportada y resulta un desastre en seguridad). Esta es una de sus gráficas comparativas.
http://blog.hispasec.com/laboratorio/images/noticias/navegadores3.png
No hace mucho, IntecoCert publicó otro estudio de vulnerabilidades en el primer semestre de 2011. Este está basado en el NIST y en el número de vulnerabilidades exclusivamente. Podríamos decir que ambas organizaciones son bastante "neutras". Observamos cómo el número de fallos de Chrome es muy superior al resto.
http://blog.hispasec.com/laboratorio/images/noticias/navegadores2.png
http://blog.hispasec.com/laboratorio/images/noticias/navegadores1.png
Pero también podemos decir que, gracias a los métodos preventivos y mitigadores que utiliza Chrome (MIC, ASLR, DEP, las actualizaciones automáticas en las que es único en su especie), esas vulnerabilidades, aunque bastante más numerosas, son mucho más complejas de explotar.
Siguiendo con la comparación con los coches, Chrome viene "blindado" de serie en Windows: aunque le disparen, es complicado que la bala llegue al conductor. Lo curioso es que también Internet Explorer 9 (que es un gran navegador) implementa muy acertadamente algunas de estas medidas de seguridad. El problema es que la forma en la que maneja los plugins y la actualización mensual (a menos que una amenaza sea lo suficientemente peligrosa como para romper el ciclo), hacen que sea más fácil aprovechar las vulnerabilidades que sufre, independientemente de su número.
También podemos hablar de la velocidad de parcheo. En este caso, tal y como publicamos en otro estudio en Hispasec, quizás Mozilla sea la solución para quien busca esa rapidez. De nuevo, si se calificara a un navegador como "el más seguro" sólo por esta característica, sería como afirmar que un turismo es más seguro que otro sólo porque su reparación lleva menos días.
http://blog.hispasec.com/laboratorio/images/noticias/mediavulns.png
¿Cuál es la verdad entonces?
Pues, tal y como respondemos cuando nos preguntan cuál es el mejor antivirus, aconsejamos el que más convenga al interesado. Sería erróneo apostar simplemente por el que "más malware detecta" sin tener en cuenta todos los factores como, tipo de muestras utilizadas, capacidad de reacción, coste, sencillez, consumo de recursos, etc. Como los antivirus, los navegadores son ahora software muy complejo y las comparativas requieren rigor e imparcialidad. Los informes suelen mirar el problema desde un ángulo concreto y es trabajo del lector procesar toda esa información para tomar sus decisiones. El error que creo más común es confundir un navegador "seguro" con un navegador "que protege".
Son dos cualidades diferentes.
En resumen, el mejor navegador es el que más cómodo haga sentir al usuario en cuestión de seguridad. Pero siendo prácticos, la realidad es que el navegador más seguro es el que proteja de raíz contra los peligros considerados más graves. Y estos son a nuestro juicio las vulnerabilidades que se pueden aprovechar para ejecutar código y que aparecen en forma de 0-day (o sea, se descubren mientras los atacantes las están aprovechando y cuando aún no existe parche). Y esto, por popularidad, deja en muy mal lugar a Internet Explorer hoy en día.
Ejemplos
No hace mucho, la compañía NSS Labs realizó un estudio sobre los diferentes navegadores más populares. Internet Explorer aparecía en el titular como el "más seguro". Como es de esperar ante estas afirmaciones que contradicen una especie de axioma popular establecido, se pone en duda el estudio y se le tacha de parcial. En este caso hay indicios de que está "patrocinado" pero no es lo más importante. Realizaron unas pruebas que medían la capacidad de reacción de los navegadores ante amenazas de malware por ingeniería social. O sea, la capacidad del navegador de detectar automáticamente que están intentando engañar al usuario e impedir, por ejemplo, que visite un sitio donde se aloja malware y descargarlo. Esto es solo una pequeña parte de lo que se debe considerar "seguridad" del navegador. Es más, para los usuarios más avispados, esta opción es poco útil porque por experiencia sabrán quién o qué intenta engañarlos. No necesitan que les avise el navegador.
Además, si se quiere hilar más fino, en el informe del NSS se puede cuestionar el tipo de muestras escogidas para realizar el estudio.
Otro ejemplo. En octubre de 2010 en Hispasec publicamos un informe muy
simple: puesto que disponemos del comprobador de URLs fraudulentas en virustotal.com, comparamos qué navegador detecta más URLs como tal.
Resultó ganador Firefox y así rezó el titular "Firefox el navegador más seguro contra el fraude". De nuevo, para corroborar otra especie de axioma popular, el titular fue mutilado por otras webs: "Firefox es el navegador más seguro". En realidad, sólo se comprobaba otra pequeña parte de la seguridad de un navegador. Sería como afirmar que un utilitario es "más seguro" en general que un coche blindado porque su alarma antirrobo es más sensible.
¿Qué medir?
Estudiar la seguridad global de un navegador es complicado. Uno de los estudios recientes más completos en este sentido (y aun así no se midieron todos los factores) fue realizado por Informatica64 en abril de 2010. Se estudiaban tanto las opciones de seguridad, como sus protecciones y las vulnerabilidades. Pero incluso en este informe, es discutible la metodología seguida para el cálculo de vulnerabilidades.
Se tomaron en cuenta varias versiones de otros navegadores (y no sólo la última) mientras que de Internet Explorer sólo se hablaba de su más reciente versión por entonces, la 8 (y no la 6, que todavía es soportada y resulta un desastre en seguridad). Esta es una de sus gráficas comparativas.
http://blog.hispasec.com/laboratorio/images/noticias/navegadores3.png
No hace mucho, IntecoCert publicó otro estudio de vulnerabilidades en el primer semestre de 2011. Este está basado en el NIST y en el número de vulnerabilidades exclusivamente. Podríamos decir que ambas organizaciones son bastante "neutras". Observamos cómo el número de fallos de Chrome es muy superior al resto.
http://blog.hispasec.com/laboratorio/images/noticias/navegadores2.png
http://blog.hispasec.com/laboratorio/images/noticias/navegadores1.png
Pero también podemos decir que, gracias a los métodos preventivos y mitigadores que utiliza Chrome (MIC, ASLR, DEP, las actualizaciones automáticas en las que es único en su especie), esas vulnerabilidades, aunque bastante más numerosas, son mucho más complejas de explotar.
Siguiendo con la comparación con los coches, Chrome viene "blindado" de serie en Windows: aunque le disparen, es complicado que la bala llegue al conductor. Lo curioso es que también Internet Explorer 9 (que es un gran navegador) implementa muy acertadamente algunas de estas medidas de seguridad. El problema es que la forma en la que maneja los plugins y la actualización mensual (a menos que una amenaza sea lo suficientemente peligrosa como para romper el ciclo), hacen que sea más fácil aprovechar las vulnerabilidades que sufre, independientemente de su número.
También podemos hablar de la velocidad de parcheo. En este caso, tal y como publicamos en otro estudio en Hispasec, quizás Mozilla sea la solución para quien busca esa rapidez. De nuevo, si se calificara a un navegador como "el más seguro" sólo por esta característica, sería como afirmar que un turismo es más seguro que otro sólo porque su reparación lleva menos días.
http://blog.hispasec.com/laboratorio/images/noticias/mediavulns.png
¿Cuál es la verdad entonces?
Pues, tal y como respondemos cuando nos preguntan cuál es el mejor antivirus, aconsejamos el que más convenga al interesado. Sería erróneo apostar simplemente por el que "más malware detecta" sin tener en cuenta todos los factores como, tipo de muestras utilizadas, capacidad de reacción, coste, sencillez, consumo de recursos, etc. Como los antivirus, los navegadores son ahora software muy complejo y las comparativas requieren rigor e imparcialidad. Los informes suelen mirar el problema desde un ángulo concreto y es trabajo del lector procesar toda esa información para tomar sus decisiones. El error que creo más común es confundir un navegador "seguro" con un navegador "que protege".
Son dos cualidades diferentes.
En resumen, el mejor navegador es el que más cómodo haga sentir al usuario en cuestión de seguridad. Pero siendo prácticos, la realidad es que el navegador más seguro es el que proteja de raíz contra los peligros considerados más graves. Y estos son a nuestro juicio las vulnerabilidades que se pueden aprovechar para ejecutar código y que aparecen en forma de 0-day (o sea, se descubren mientras los atacantes las están aprovechando y cuando aún no existe parche). Y esto, por popularidad, deja en muy mal lugar a Internet Explorer hoy en día.
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios