Hola,
El amigo Chema se ha currado una presentación sobre seguridad en navegadores. En su día me comprometí a hacer referencia al mismo, y que haría los oportunos comentarios al respecto.
Yo no voy a comentar la totalidad de las secciones del informe porque hace tiempo que tengo interés en otro tipo de factores asociados a la seguridad que no suelen aparecer en las comparativas técnicas de productos, y que pueden hacer que en un despliegue empresarial las condiciones de seguridad sean tremendamente variables y dispares. Que nadie entienda que con este razonamiento resto validez al informe, o que lo menosprecio en algún modo: nada más lejos de la realidad. Este informe muestra información que puede ser interesante para los lectores, como el recuento de vulnerabilidades (aunque prefiero métricas como la correlación de costes por incidente y por vulnerabilidad en función al tiempo de exposición), comparativas de distintas funcionalidades y otros detalles de índole técnica que pueden y de hecho a buen seguro permiten adquirir al lector un conocimiento más profundo sobre cada producto analizado y de las diferencias que existen entre ellos. Sin embargo, tal y como decía, considero que este informe no contiene información relacionada con la seguridad que entiendo que es necesaria conocer para poder escoger un producto de navegación. Por poner algunos ejemplos:
- No se habla sobre la problemática que tienen muchísimas corporaciones con la presencia de legacy (Oracle, SAP, un buen numero de CRMs y otros ERPs, por poner algunos ejemplos). Son muchos los que por motivos de dependencias históricas y mala praxis de los vendedores están ligados a Internet Explorer 6 sin posibilidad real de usar Internet Explorer 7 y 8. Este es un problema real de la seguridad empresarial al cual ningún informe pone solución y que lógicamente resta valor a las comparativas que sólo hablan de las versiones más recientes de un producto determinado. Si el documento habla sólo de las versiones recientes, se pierde la perspectiva de un problema crucial como el que citamos.
- El informe tampoco habla sobre datos reales de impacto de malware sobre navegadores. Como usuario, y decisor quiero tener claro si el malware real puede pegarle más fuerte a IE8, Firefox, Chrome u Opera. Aunque tengo claro que el malware tiene mayor apetencia por los productos de mayor cuota de mercado, no veo referencias a qué navegador se orientan las muestras reales de troyanos financieros y sobre todo, en qué porcentajes y proporciones económicas. ¿Cuál de los productos atrae a más diseñadores de malware? ¿Cómo podemos cuantificar esa apetencia? ¿Facilita alguno de los productos más que otro el uso de inyecciones y modificaciones de HTML por parte de troyanos financieros? ¿Cuál ofrece mejor acceso a un troyano al sistema operativo? En definitiva, ¿para que navegador se diseñan más amenazas y que consecuencias tiene en cada caso la elección de un navegador distinto?
- ¿Qué navegador facilita la optimización en costes a la hora de desplegar un parche de seguridad? Aunque esto parezca trivial, conviene recordar que un parche se despliega una vez hayamos realizado las pruebas correspondientes, a no ser que seamos unos temerarios que no probamos las cosas antes de lanzarlas a producción. Las pruebas son una fuente de consumo de recursos muy representativa, especialmente agravada por la presencia de múltiples versiones y variantes de aquello que se quiere probar a lo largo del tiempo. Una vez probado y validado el cambio, lo distribuimos a la red corporativa. ¿Que navegador promedia mejores tiempos en función al tamaño y frecuencia de los parches? ¿Cuál promedia mejores consumos de ancho de banda? ¿Qué modificaciones, parches y nuevas funcionalidades son más sencillas (y por ende, económicas) de probar? ¿Qué productos proyectan en el medio y largo plazo mejores ahorros en pruebas y validaciones?
- ¿Cómo resolver los bloqueos y la gestión de listas de Javascript? Ya hemos visto que los navegadores suelen hacer aguas cuando los exploits permiten la ejecución de código arbitrario basado en la permisividad Javascript. En no pocas ocasiones este no es un problema técnico, sino de gestión de personas. Por mucho que un navegador soporte la configuración por zonas (IE) o la gestión de scripting activo peligroso Javascript mediante addons (NoScript y similares), en muchos casos el filtrado de contenidos choca con aspectos no técnicos, como las condiciones legales o laborales que pueden dificultar o imposibilitar el bloqueo de ciertos contenidos. Y aunque podamos configurar por zonas o emplear addons, ¿Quién mantendrá esas listas blancas/negras? ¿Qué costes tiene asociada una medida como esa? ¿Que pasa si no tenemos un 24×7 y hay que actuar sobre esa lista con urgencia? ¿Es rentable echarle encima a nuestro 24×7 este tipo de responsabilidades? ¿Es más barato mantener un addon o unas listas vía GPO? ¿Si optamos por el addon, hay que empaquetar cualquier cambio para distribuir o existen métodos más económicos para cambios incrementales?
Son sólo algunos ejemplos de las cosas que normalmente no aparecen en los informes y comparativas. Y es normal que no aparezcan, porque es información difícil de recopilar y que no suele estar disponible de un modo genérico para ser utilizada en cualquier entorno. Sin embargo, al menos para mí, la respuesta a estas preguntas es crucial para saber, en un despliegue determinado y bajo unas condiciones de contorno determinadas, que producto o productos de navegación son más aconsejables. Yo soy incapaz de emitir un juicio basándome sólo en las características de cada producto consideradas de modo estático e individual, igual que soy incapaz de elegir un coche en función unicamente a lo que dicen las fichas de vehículo: necesito respuesta a esas y otras preguntas. Quizás ese sea el punto flaco de las comparativas, y no sólo a las de navegadores (las de antivirus son un buen ejemplo de escasa utilidad por norma general)
No existe navegador perfecto, y ninguno de los productos que hay ahí fuera esta exento de sufrir un 0-day. Vulnerabilidades tienen todos los productos, y te puedes zampar un drive-by uses Firefox o uses Explorer (por hablar de los dos más habituales) y por mucha filigrana que tengan ambos, como las barras antiphishing, el resalte de dominios (que no tiene Firefox) o por más flexibilidad que permitan uno u otro a la hora de administrar el funcionamiento de Javascript. Creo que los que nos dedicamos a la seguridad debemos hacer hincapié en un mensaje que debe quedar claro para los usuarios que buscan respuestas rápidas a problemas que tienen infinidad de dependencias. NINGÚN NAVEGADOR GARANTIZA TU SEGURIDAD. La seguridad la proporciona una combinación de condiciones mucho más compleja que el uso de un navegador u otro, y no hay que tener miedo a aparcar temporalmente nuestro navegador favorito mientras sea vulnerable y no exista una solución fiable para evitar los riesgos.
En el mundo empresarial, así como en el personal, creo que es buena práctica tener instalados al menos dos productos distintos, de modo que cuando se presentan problemas para uno de ellos, sea posible usar sin riesgos el otro. Implementar una estrategia dual no es tan complicado, sobre todo teniendo en cuenta que la mayoría de las infraestructuras corporativas emplean soluciones Microsoft para el escritorio, y por tanto, es frecuente encontrar soluciones Microsoft para el mantenimiento y distribución de software (Systems Management Server/System Center Configuration Manager). Es perfectamente viable emplear GPOs para actualizar el navegador que deben usar por defecto los usuarios, con lo que técnicamente es perfectamente posible que la dualidad exista sin que sea necesaria la intervención del usuario. También es perfectamente posible disponer de los dos navegadores e ir informando a los usuarios sobre la necesidad de emplear el navegador por defecto o el alternativo. Como poder se puede hasta automatizar que los enlaces de Internet se abran con un producto y los Intranet con otro distinto.
Lo que es absurdo es insistir una y otra vez en que sólo debemos confiar en un sólo producto, sea IE, Firefox o cualquier otro. Creo que la trayectoria mostrada por todos los productos, que deja mucho que desear en todos y cada uno de los casos, la especialización del crimen organizado, la existencia de un industria consolidada dedicada al diseño y descubrimiento de exploits para productos software y los más que patentes riesgos de sufrir quebrantos económicos y no económicos en casa y en la empresa justifican el uso de una estrategia dual de productos de navegación cuando sea necesaria, que debe ir ineludiblemente acompañada de un esfuerzo importante en la formación y concienciación del usuario.
Un saludo,
Ok, tienes razón y, por tanto: ¿Qué navegadores usas tu? No hablo de los que usarías, sino de los que tu usas «en casa» (excluímos entorno laboral por lo que tu has comentado: el entorno corporativo está muchas veces limitado por Legacy Apps y sus requerimientos para usar tal o cual producto).
Curiosidad personal :-))
Un abrazo enorme,
Paquito.
Hola Sergio,
me ha gustado tu artículo al respecto. Esta comparativa sólo pretende analizar, sin sacar conclusiones, herramientas de seguridad en navegadores.
En el tema de las versiones, es muy dificil valorar las versiones cuando sólo Internet Explorer da soporte a sus navegadores con más de 1 año. Firefox ha abandoando todas las versiones inferiores a 3.5 (que son del 30 Junio de 2009). Así que hemos hecho la valoración con lo que nos dejan.
Respecto al informe del malware, como bien sabes por tu pasado, es dificil de valorar lo que hay y lo que no hay. Lo cierto es que ya hay mucho malware para Firefox, como indica el informe de Symantec, y, desde Hispasec se ha alertado de malware bancario desarrollado sólo para Firefox.
Es un poco triste que no se admitan componentes firmados digitalmente en navegadores como Google Chrome, que siempre ayudará en la lucha contra el malware.
En cuanto al coste de despligue de parches, es un cálculo que debe hacer el equipo. Si prefieres un parche por cada vulnerabilidad (Firefox ha superado las 50 críticas en 9 meses) o acumulado como hace IE reduciendo las fases de pruebas y parches. Yo lo tengo claro.
Por último, para el mantenimiento de listas, en el caso del filtro SmartScreen, Microsoft lo hace llegando a acuerdos con todos los interlocutores válidos en cada país en materia de seguridad, como es el caso de empresas como Telefónica o S21Sec, organismos como INTECO, etc… esto, replicado país a país hace que el filtro SmartScreen ofrezca los resultados que ofrece.
En cuanto a las URLs y el mantimiento de las listas para uso de javascript o componentes, cosa que permite IE para ambos, y Google Chrome y Firefox añadiendo NoScript para Javascript, es un trabajo que tiene que hacer el equipo de seguridad, pero ya hay URLs catalogadas en productos como WebSense o Microsoft Forefront TMG que te las proveen para integrarlas en tus FW. No obstante, un ajuste fino depende del equipo de seguridad.
Buen artículo Sergio, un saludo!
Paquito,
Pues te comento. Yo en casa tengo un portatil con Windows XP (Home Edition, para mas señas) que es el sistema que venia OEM cuando lo compre. Sobre este equipo Windows tengo un VMware workstation en el cual tengo algunos sistemas con los que trabajo a menudo, concretamente Debian y FreeBSD (y alguno que otro mas para usos puntuales)
Asi pues:
* En Windows uso Firefox y cuando es preciso por compatibilidad reducida de servicios, Internet Explorer
* En Debian uso Iceweasel si arranco el escritorio.
* En FreeBSD apenas navego ya que lo uso en consola, pero cuando arranco el escritorio empleo Opera, ya que Firefox y Konqueror son muy pesados y consumen excesivos recursos.
Un saludo :)
Maligno,
Aprecio tu articulo. Creo que es un buen compendio de lo que los productos de navegacion pueden ofrecer a nivel tecnico, pero bueno, el hecho de que yo busque otro tipo de informacion no invalida tu trabajo. Al reves, lo leo con gusto.
Cierto es que cada dia mas el malware se diversifica, pero realmente nadie se moja en cifras. Pocos son los que saben los numeros reales, y los que los conocen no los comparten. Resulta dificil saber con datos exactos de que estamos hablando, aunque yo tengo la sensacion de que MS se lleva todavia la mayor parte, y eso es un factor a tener en cuenta.
Sobre ciclos, pues hombre, ni blanco ni negro. IE acumula parches, y los demas emiten parches cada vez que aparecen vulnerabilidades. Todo esto tiene cosas buenas y malas: Si acumulas parches pasa mas tiempo hasta que los tienes listos para probar y tienes mas garantias de que desde el fabricante te han hecho parte del curro de verificacion (todo viene ya muy probado). Tambien los productos alternativos no suelen tener interrelacion con otros productos instalados, tienen menos versiones y generalmente es rapido probarlos hasta desplegarlos, asi que el tiempo de prueba y distribucion puede ser variopinto.
Por ultimo me alegro de que menciones Websense y otros metodos para evitar precisamente haciendo lo que no tiene mucho sentido, que es mantener listas de Javascript para ver en que paginas confiamos el scripting activo. Es mucho mas sencillo colocar un filtro de navegacion, aunque tampoco son la panacea (pasa como los antivirus, las firmas que van añadiendo se añaden lentamente y no siempre atajan los problemas a tiempo.
En fin. No hay soluciones perfectas. Buen trabajo con el texto, seguire atento a futuros papers del estilo :)
Un saludo,
Para aquellos que gustáis (y podéis) navegar en el trabajo, otra buena recomendación es utilizar dos navegadores diferentes: uno para la Intranet y aplicaciones Web corporativas, y el otro navegador para Internet. De esta manera se mantienen separados los dominios de «cookies», así como información de caché, histórico de sitios navegados, contraseñas almacenadas, etc. Y si ambos navegadores son de fabricantes diferentes, mejor que mejor :)
Que buen tema, y me parece excelente la forma tan practica y objetiva en que se trata el tema teniendo en cuenta que llegué aquí leyendo el informe de Chema.
Muchas gracias.
Felicitaciones Sergio. El artículo de Chema ha estado realmente interesante pero el tuyo me ha gustado porque aporta en lugar de detenerse en discusiones estériles como lamentablemente he visto en otros sitios.
Creo que artículos como el tuyo y el de Chema nos obligan, a quienes estamos interesados realmente en la seguridad, a seguir aprendiendo al darnos nuevos elementos para evaluar el desempeño de los navegadores que usamos cotidianamente.
Interesante entrada. Totalmente de acuerdo con la conveniencia de tener más de un navegador instalado, de hecho creo que es ya una práctica habitual entre muchos de nosotros, ya no sólo por seguridad, sino también por rapidez, problemas de compatibilidad de algunas páginas, etc.
Un saludo.