Hoy
nos encontramos ante lo que, a primera vista, se podría considerar una especie
de paradoja en la aproximación a la seguridad en navegadores: el navegador más seguro es el que tiene más fallos de seguridad y el más popular. Con el paso del tiempo, esto ha significado que lo más importante es garantizar protección frente a corregir los agujeros de seguridad.
La creencia popular es: "El navegador más usado es el más atacado". Y si ocurre como con Internet Explorer, que además es el que más fallos tiene, ¿quién es el loco que se atrevería a usarlo?
Uso actual de navegadores (Stat Counter)
En
los 90 los navegadores que se usaban principalmente eran Netscape e Internet
Explorer. Los dos eran pésimos en cuanto a seguridad. Pero no
importaba demasiado a los atacantes. La industria del malware no estaba tan
desarrollada, y se
disponían de otros medios para infectar a las víctimas: el email y el ataque
directo a los puertos y servicios.
Los
sistemas y programas de correo no eran tan efectivos contra el malware,
los usuarios no estaban tan concienciados y además, muchos se conectaban
directamente a Internet sin cortafuegos entrante. En esta década los atacantes no estaban tan interesados en web.
En el nuevo milenio, Internet Explorer tomó la delantera, pero cometió el error de pensar que nadie le haría la competencia. El cortafuegos se instauró
como norma y además los usuarios se conectaban por ADSL, por lo que solían
permanecer detrás del cortafuegos del router. El spam se controló en parte y el
usuario se concienció. Por ello, los atacantes se empezaron a centrar en los navegadores, en la pcapa de aplicaciones.. Contaban con una enorme
ventaja con Internet Explorer: estaba muy extendido su uso y era muy inseguro. El problema creció y
aparecieron alternativas serias: Firefox y Chrome. La guerra se centró no tanto
en la cuota de uso sino en ofrecer elementos
diferenciadores: seguridad en profundidad.
En la actualidad, la batalla la ha ganado Chrome por, entre otras cosas, centrarse en la
seguridad. Pero no cualquier tipo de seguridad, sino en la defensiva. Si bien es el navegador con
mayor número de fallos, es el más complejo de explotar. La paradoja se cumple con él. Veamos por qué.
Chrome, desde un principio, se centró no tanto en bajar el número de fallos, sino en que estos no fueran
explotables. Apostó por separar las pestañas en procesos con bajos niveles de
integridad, por el ASLR y el DEP en sus procesos, por meter los plugins en
sandbox, por las actualizaciones automáticas "sin permiso" y por
motivar fuertemente a los investigadores para que le detectaran los fallos de
seguridad (paga bien cada vulnerabilidad encontrada y reportada). De hecho, se
atrevió a ofrecer hasta 1.000.000 de dólares por la ejecución de código
arbitrario en Chrome bajo Windows 7. Lo consiguieron, pero sólo un equipo fue capaz de dar con la solución tras mes y medio trabajando en ello. ¿Están los atacantes a la altura? La respuesta es afirmativa, pero de lograrlo, deben plantearse si sacarán mayor tajada reportándolo a Google o de forma ilícita. Esta es la paradoja de Chrome,
siendo el que más fallos de seguridad acumula año tras año, y con una cuota de mercado más
que respetable, es el más seguro "ahí fuera".
No hay comentarios:
Publicar un comentario