PDA

Ver la versión completa : ¿Navegamos seguros o navegamos sin seguro?



LUK
17-07-2008, 17:01
Los navegadores web son actualmente la mayor atracción de los cibercriminales para acometer sus ataques según el último informe del ETH (http://www.techzoom.net/publications/insecurity-iceberg/index.en) Zurich (Instituto tecnológico de Zurich), exponiendo además que este riesgo es sólo la punta de un iceberg.

Este cambio de paradigma respecto a épocas anteriores donde los principales objetivos eran explotar vulnerabilidades en servidores para acceder a ellos, parece deberse a 2 factores principales:


Actualmente todo está conectado, y el navegador web es la plataforma que maneja todos los datos del usuario y empresa. Después de todo, los datos son uno de los principales objetivos de los cibercriminales. Por ello, los navegadores web se han convertido en la mejor elección para explotar vulnerabilidades. Donde ayer había buffer overflows, hoy son XSS que no debes subestimar (http://blog.s21sec.com/2008/06/no-subestimes-tus-cross-site-scriptings.html).
Los ataques drive-by download característicos contra los navegadores web y en general cualquier vulnerabilidad de aplicación web del Top 10 2007 de la Owasp (http://www.owasp.org/index.php/Top_10_2007), (próximamente en castellano), poco tienen que ver con los privilegios del usuario (http://blog.s21sec.com/2008/03/vulnerabilidades-en-usuarios-sin.html).


Mientras tanto, la guerra de navegadores web sigue, IE con una cuota de uso del 78% frente al 16% de Firefox (pese al record Guiness de descarga en 24 horas (http://www.spreadfirefox.com/es-ES/worldrecord/)). Ambos han hecho importantes mejoras en cuanto a la experiencia de seguridad del usuario en la web, y mientras todo apunta que IE8 introducirá nuevas técnicas de protección contra las amenazas actuales (http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx), y otros se lo toman con cierta ironía (http://lists.w3.org/Archives/Public/ietf-http-wg/2008JulSep/0053.html), son muchas las voces indicando que estos esfuerzos de los navegadores son en vano ya que, no mitigan los daños, los ocultan. La raíz de todo ello pasa por la educación en seguridad de los programadores de aplicaciónes web, punto donde la owasp dedica sus mayores esfuerzos (http://www.owasp.org/index.php/Secure_Coding_Principles).

No obstante, ante tal situación, ir por la web con un navegador no actualizado es un llamamiento a todo tipo de especímenes y al desastre. Las prácticas ya de sobra conocidas de mantener el software actualizado, especialmente el software de navegación, hoy día se convierte en nuestro seguro más preciado.

Emilio Casbas
S21sec labs (http://blog.s21sec.com/2008/07/navegamos-seguros.html)

RaidMan
17-07-2008, 18:27
En tal caso, esta claro lo que hay que hacer, no?

Pontelo, ponselo:D:D

http://img.applesfera.com/2007/07/anti-virus.jpg



Ahora en serio, los navegadores son lo que mas usan los usuarios (valga la redundancia) de internet. El problema es que te venden el supuesto mejor (IExplorer) y no te fias de aquellos que puedan ser gratuitos hasta que te arriesgas y los pruebas, y entonces te das cuenta de que Opera no se cuelga (casi nunca) que Firefox vuela y que IExplorer es una de las mayores chapuzas de Micro$oft.

Pero claro, como te han dicho que es de pago y es mejor, tu vas y te tiras años navegando con la mierda esa.

Ciertamente cada dia salen mas y mas exploits para vulnerabilidades de navegadores, parece que por fin se han centrado en ellos. Habra que navegar con ojo;)


Un saludo