El pasado lunes acudimos, junto a otros bloggers, a un evento de Microsoft en el que, aparte de sorprendernos con la forma en la que se había montado, basado en Star Wars y con Chewbacca incluido, nos presentaron un estudio de seguridad sobre los navegadores más populares (Chrome, Internet Explorer, Safari, Opera y Firefox) en Windows Vista y 7. Este estudio corría a cargo de Chema Alonso, un importante experto en seguridad, y MVP de Microsoft.
Al contrario que anteriores estudios de Microsoft, como este o este otro, muy poco objetivos y bastante cuestionables, este no sólo está muy bien fundamentado sino también bien explicado. Aquí va un pequeño resumen de lo que podemos encontrar.
El primer aspecto que se compara es el uso que hacen los navegadores de las características de seguridad propias del SO. Estas son DEP, ASLR, Virtual Store, la arquitectura (monoproceso o multiproceso) y el MIC (Mandatory Integrity Control, similar a los privilegios de usuario en Linux). IE es el único que las integra todas, seguido por Chrome, que sólo carece de la Virtual Store. El p*eor parado es Firefox*, que sólo integra DEP y ASLR.
En cuanto a las características de seguridad propias, vemos que IE es el único con un filtro XSS integrado, aunque existe también el addon Noscript, cuya funcionalidad es la misma. Otra característica es la etiqueta X-FRAME-OPTIONS, soportada por todos menos por Firefox (*Actualización*: lo soporta gracias al addon NoScript) y que evita ataques de clickjacking. Para los que no sepan que es esto, es una técnica bastante curiosa, que consiste en la carga de un Iframe que contiene una página legal (Twitter o Google, por ejemplo) dentro de una página maliciosa. La página parece normal a primera vista, pero cuando se hace click en un punto, no se hace click en el elemento de la página real, sino en una capa invisible de Javascript que graba las pulsaciones del usuario.
Si nos vamos a la parte de SSL, todos los navegadores cuentan con el soporte correcto, incluido para certificados de validación extendida (aquellos expedidos por personas y con verificación de identidad del que lo pide). Sin embargo, cuando vemos el soporte de entidades que expiden certificados, nos encontramos con un pequeño problema. Sólo IE y Chrome reconocen a la FNMT, la entidad que expide los certificados SSL para organismos oficiales en España (por ejemplo, para la renta o el DNIe). Lo mismo pasa con CATCert, el análogo de la FNMT en Cataluña, que sólo lo reconocen Safari, IE y Chrome.
Otro aspecto son los filtros para URL maliciosas. Todos los navegadores cuentan con un filtro anti-phising y anti-malware, que se deben actualizar constatemente. En el estudio se comparó el tiempo que cada navegador tardaba en añadir una URL a sus filtros, y se comprobó como, mientras que los demás navegadores oscilan entre las 6 y 9 horas y las 14 de Chrome, Opera se aleja unos cuantos pueblos con 82 horas.
Y por último, llegamos a las vulnerabilidades. El que menos ha sufrido ha sido Opera, con 0,79 vulnerabilidades al més, y el que más, Firefox, con 6,3 vulnerabilidades al mes. En cuanto a los parches, Firefox tiene la mayor tasa de corrección (100%), y Opera la menor, con el 45,5% de vulnerabilidades corregidas. En el siguiente gráfico podéis ver las vulnerabilidades según el nivel de criticidad, en el que destaca Firefox con 56 vulnerabilidades “Highly Critical”, que conllevan acceso al sistema y ejecución de código arbitrario.
Como conclusión, queda Internet Explorer como el navegador más seguro, y Firefox con un importante varapalo en cuanto a seguridad, que veo que, por lo menos personalmente, se había sobreestimado hasta ahora en ese aspecto.
Desde mi punto de vista, Chrome es el que mejor parado sale para los usuarios comunes, ya que las diferencias con Internet Explorer no son muy notables en cuanto a seguridad, es más simple que éste, y además su seguridad se puede aumentar con complementos. Además, Chrome tiene a favor, que, al igual que Firefox y Opera, es multiplataforma.
Si queréis ver el documento completo, está colgado en Scribd, en el enlace inferior. Si tenéis alguna duda, podéis preguntar aquí o al principal autor del documento, Chema Alonso.
Ver 55 comentarios
55 comentarios
hereldar
También hay que tener en cuenta que Firefox es el navegador que más empeño pone en descubrir sus propios errores, como dice el comentario anterior, hasta organizan concursos para encontrar vulnerabilidades.
Dudo mucho que IE tenga una comunidad tan activa, y menos a la hora de buscarle errores.
Narf
Wow, pues si que pagan bien a los analistas. Bueno, ahora que pasen los analistas de Google, Mozilla y Opera, y hacemos una media. Que aquí cada uno barre para la casa de quien paga.
kbw3
Me he leído el post, yla única parte que me deja una duda es la de Firefox tiene la mayor tasa de corrección (100%), si esto se refiere a que arregla cualquier fallo de seguridad, entonce me parece contradictoria la conclusión porque en todo caso Firefox sería más seguro o si estoy mal corrijanme por favor. Saludos.
91983
Bueno, Chema Alonso lo lleva dificil para ser imparcial, pero es un tío que es un grande de su rama y siempre habla muy bien de lo que sabe, y en temas de seguridad es un experto.
Yo soy usuario de Firefox desde Ubuntu y sí, este tiene errores en algunas cosas, como todos. A la vez tiene la ventaja de respetar los estándares y de la solución de problemas críticos, algo que en Microsoft tendrán menos, pero aún se tardan un rato más en corregirlos.
Cada cual que use el explorador que le de la gana, todos tienen sus ventajas y desventajas. En seguridad Google Chrome demuestra bastante, cosa de la que nos han hablado en este blog.
nekmo
Por regla general, cualquier estudio en el que se comparen varios productos en el que uno de los productos es del organizador, el estudio pierde completamente su credibilidad, por mucho que hayan metido a Chewbacca de por medio.
paketep
Por favor.. qué casualidad que siempre que se habla mal de Firefox, detrás haya alguien de Microsoft.
Que se ocupen de hacer que los desarrolladores web nos quedemos menos calvos desarrollando para su basura de navegador, y que se dejen de tanto estudio tendencioso y marketing de boquilla. Menos fardar de seguridad, que no se lo cree nadie, y más cumplir los estándares.
pacharan
Esta claro que las criticas al analista pueden ser tan tendenciosas como el analisis en si. Asi que para valorar todo esto correctamente habria que hacerlo desde el conocimiento del medio, valorando de paso otros analisis de diferentes fuentes.
En favor de IE un pequeño detalle; siendo el navegador mas escrudiñado en busca de fallas tambien es logico que sea el que mas agujeros tiene tapados en su jardin. O sea que aquello que le hace mas vulnerable es aquello que le acaba haciendo mas fuerte. Visto asi, este analisis podria tener algun sentido.
Yo por si acaso uso varios navegadores, cuestion de curiosidad...
Zriel
Bueno, quisiera romper una lanza a favor de Chema y de este estudio.
He de decir primeramente que este estudio no esta hecho solo por Chema, sino por todo el equipo de Informatica64 (para mas señas, mirad su web)
Primeramente, creo que se deberia mirar el articulo completo de seguridad escrito en su blog, para hacerse una idea mas precisa. (http://www.informatica64.com/recursos/seguridad_en_navegadores.pdf) y (http://elladodelmal.blogspot.com/2010/04/filtrado-de-urls-en-webbrowsers.html) y (http://www.slideshare.net/chemai64/seguridad-en-navegadores)
Una vez leidos estos articulos, en los que se explican las tecnicas con detalle., pasamos a lo siguiente.
Es un articulo de seguridad en Navegadores bajo Windows Vista y 7. Es decir, utilizando los elementos de seguridad de estos. Un software no puede ser seguro si el SO no lo es ni proporciona herramientas para ello. Por ejemplo, el ataque sufrido por Google en China afecto a IE6 bajo Windows XP. En Vista y 7 como podeis ver, no es posible gracias al ALSR.
En cuanto a comunidad de usuarios, IE tiene la suya claro esta. Otra cosa es que no sea tan conocida, pero aqui en España esta el equipo de Informatica64 el cual es muy bueno (presentes y ponentes en las DEFCON), y es conocido por sus retos de hacking.
Por ejemplo, tenemos el Reto Browser School, (http://elladodelmal.blogspot.com/2010/03/solucionario-reto-browserschool-i-de-ii.html)
"Se trataba de conseguir que los profesores nos aprobaran a su pesar, porque en realidad ellos no tenian mas intención que la de suspender a todos los alumnos sistematicamente. El alumno debía enviar su solucion, un texto que aparecía de forma literal en la pagina web que usaban los profesores para corregir, lo que lo hacía vulnerable a ataques XSS.
Había tres personas reales haciendo de profesores y cada uno de ellos usaba un navegador diferente para ver y corregir los exámenes. Todos ellos con la última versión instalada por defecto y sin complementos de estos navegadores:
- Profesor 1: Google Chrome 3 - Profesor 2: Mozilla Firefox 3.5 - Profesor 3: Internet Explorer 8
A su vez había tres asignaturas cuyo nivel de dificultad iba en aumento:
- Asignatura 1: Formulario sin contraseñas. - Asignatura 2: Una contraseña de aula; la misma para todos. - Asignatura 3: Cada profesor con su usuario y contraseña."
Como premios se entregaron una Xbox 360 Elite al primer clasificado, una Xbox 360 Arcade al segundo y un lote de 3 juegos para Xbox 360 al tercer clasificado.
Vemos que se hace con distintos navegadores, y si leemos el solucionario, gracias al fitro Anti-XSS, una tecnica tan de moda no es posible bajo IE8, lo cual lo hace mucho mas complicado. De hecho parte del solucionario hace una pequeña trampa, utilizando valores ya obtenidos por los profesores en Chrome y Firefox. Incluso hay alguna solución que hace que el enlace se carge bajo FF, y no IE, con lo cual también se consigue saltar la protección.
Basicamente, IE8 tendra mas vulnerabilidades (es el navegador mas usado, sobre todo en ambito empresarial, que es al fin y al cabo donde se mueve dinero) pero también implementa mas medidas de seguridad utilizando las propias del sistema. Muchos exploits no funcionaran gracias a DEP y ALSR. El filtro Anti-XSS nos avisara si nuestra pagina del banco carga otra pagina encima. SmartScreen es con diferencia quien mas sitios de phising detecta. Y bajo Active Directory nos permite fortificarlo a prueba de Usuarios bajo GPOs.
Tal vez no sea el navegador con mas estandares, o el que mejor rendimiento tiene, pero si es la compañia que mas versiones de navegador y sistema operativo debe mantener al mismo tiempo. Tampoco quiere decir que sea invulnerable, pero ningun navegador lo es. Ni ningun SO (ni siquiera Linux)
Aclarare cualquier duda que os surga lo antes posible.
PD. Basicamente, y despues del tocho....Seguridad? me quedo con IE. no todo son los exploits, menos si tienes un buen SO debajo (Y Windows XP no lo es...¿sabias que XP en el momento de su lanzamiento era vulnerable a todas las vulnerabilidades de Windows 2000?)
Trastear? Firefox cargadito de Plug-ins.
blogarroba
llevo 6 años utilizando firefox...., y reconociendo las virtudes de otros navegadores, tipo Crhome y Opera...., no cambio por nada del mundo. Por algo será, ¿no?
kokeee
Raro, Opera demora en promedio 1 dia para solucionar sus vulnerabilidades de las tan solas 16 que se le encontraron en el 2009.
Asi que es raro ver como en este test se deja mal parado a Opera siendo que es el que menos problemas en seguridad tiene..
Tambien es raro como dejan tan bien parado a IE que casualmente es el que mas problemas tiene..
kokeee
Aqui esta el informe de Symantec, publicado ayer http://bit.ly/aUMAOt
Opera
El reporte muestra que el navegador Opera tuvo menos vulnerabilidades documentadas el año pasado, pero también que la compañía fue las mas rápida en resolverlas. Ninguna vulnerabilidad estuvo activa por mas de tres días desde que fuera reportada, mientras que el tiempo de respuesta como promedio fue de menos de un día. En la practica, eso significa que las correcciones a los problemas de seguridad han sido lanzadas antes que las vulnerabilidades hayan sido hechas publicas. Opera tuvo un total de 16 vulnerabilidades reportadas en el 2009 contra 33 en 2008.
Safari
Del otro lado del espectro tenemos a Safari, con un promedio de 13 días para eliminar las 78 vulnerabilidades reportadas en 2009. En el peor caso, Apple necesito 145 días para eliminar una o mas vulnerabilidades conocidas. Comparativamente, Safari reporto 31 vulnerabilidades en 2008.
Firefox
Firefox fue el navegador con mas vulnerabilidades en el 2009 con 151 reportadas, de acuerdo con Symantec en parte debido a la revisión agresiva por parte de las comunidades de desarrolladores, unido al programa de premios de Mozilla's que provee compensaciones a aquellos que encuentran vulnerabilidades en los productos de la fundación. A pesar de la gran cantidad de vulnerabilidades, FF tuvo un promedio de un día para resolver los problemas, pero no todo es color de rosa, porque en el peor caso Mozilla tardo 75 días para eliminar una vulnerabilidad el año pasado. Comparativamente, en 2008 se reportaron 83 vulnerabilidades en Firefox.
Internet Explorer
Microsoft también experimento el año pasado menos casos de vulnerabilidades de cero día, por lo que la exposición como promedio fue de menos de un día, tardando un máximo de 18 días en corregir el peor caso, que estaba siendo explotado en el periodo. En total IE corrigió 28 vulnerabilidades documentadas en 2009 contra 31 en 2008.
Chrome
El tiempo de exposición promedio para Chrome en 2009 fue de dos días, y a Google le tomo 16 días resolver el peor caso reportado. Chrome reporto 29 vulnerabilidades en 2009 contra 6 reportadas en 2008 (en parte porque fue oficialmente lanzado en diciembre del 2008).
ander06
Todos los navegadores tienen sus pro y sus contras, creo que el que juega un papel decisivo es el usuario y cuan prudente sea cuando navega por la Web. ¡Saludos!.
Javier Gutiérrez
El tema de los certificados es algo complejo. Los soportan, pero no los reconocen por defecto y esto hace que sea una pequeña molestia.
De forma generalizada también podrían soportar los certificados de http://www.CAcert.org, aunque probablemente no interesa. Existen muchos intereses en las grandes empresas emisoras de certificados.
Sobre la seguridad hablamos siempre de los navegadores, pero no olvidemos que el factor humano también es importante.
lmxcraft
Según lo que entiendo en los comentarios es,"me importa un comino mi seguridad si las páginas se ven chulas de acuerdo a los estándares" es verdad que Internet Explorer tiene que mejorar mucho en varios aspectos pero si es mas seguro lo es y punto. Siii ya see que para lograr votos y un comentario interesante tengo que atacar a Microsoft pero lo siento todavía tengo sentido común y dinero para pagar licencias. =)
nahec
Aunque el rendimiento de Firefox deja mucho que desear para mi, y que no es nada nuevo que Firefox es uno de los navegadores que mas vulnerabilidades tiene, si hay que destacar que lo compensa con su comunidad que mantiene al dia la busqueda y correción de bugs de seguridad.
runner
Bueno lo cierto es que ya esta disponible la beta de Firefox 3.6.4 esperando poco a poco el resurgir del zorro de fuego (anda como chamuscado) y ligando las grandes mejores que prometen con menos cuelgues, mas rapidez y estabilidad y claro mas seguridad.
lesan
En el concurso de hackeo a SO que hubo hace unas semanas (PWN2OWN), varios presentes hablaron muy mal de Firefox debido a que basa toda su seguridad en Windows en DEP y ASRL, y como el peor en seguridad comparado con el resto (hablando siempre en Windows). Si encuentro el enlace donde lo comentan, lo pongo por aquí.
lordofthecoffee
No sé, pero me atrevo a decir que tenemos enfrente una nueva guerra de navegadores, aunque por motivos diferentes a la primera. Ahora el factor seguridad está en el orden del dia, aunque es seguridad entendida en términos de ataques directos, virus etcétera.
Alguien ha mencionado el tema de privacidad (@26). O sea, el navegador que determina tus gustos para "mejorar" (ojo a las comillas) tu navegación. ¿Por que el informe no dice nada al respeto? ¿QUe pasa aquí, he de navegar en modo porno si no quiero que me hagan un historial de navegación? Eso para mi también es seguridad, y ya me gustaría saber algo de esto al respeto.
Por si acaso me voy a ir familiarizando con el chromium, que dicen que es como el chrome, pero sin los añadidos que reportan tu navegacion. Al menos creo que es así, corregidme, porfa!
Khpconan
mmm? Perdón? Hoy justamente acabo de leer una noticia donde decía que Opera era el navegador con menos vulnerabilidades y el que las corregía más rápido Las estadísticas son del 2009, pero vamos que no creo que hayan cambiado las cosas por 4 meses
Mas información aqui: http://translate.google.com/translate?js=y&prev=_t&hl=en&ie=UTF-8&layout=1&eotf=1&u=http%3A%2F%2Fwww.digi.no%2F840574%2Fingen-slaar-opera-i-sikkerhetsfiksing&sl=no&tl=en
jask
Lo único que digo, dejando de lado quien se más seguro o inseguro, que no se puede hablar de seguridad en un evento el cual representa Microsoft, no es por alentar críticas al respecto, pero no se denota neutralidad alguna, dejando de lado que la persona que explica estos temas sea un experto, prefiero un análisis de alguien que no se decante por ningún bando y que ponga las cartas sobre la mesa, y eso si que sería un análisis para tener más en cuenta.
xallow
Precisamente hace unos días Mozilla bloqueaba una vulnerabilidad 0-day de JAVA que permitia ejecutar código arbitrario. La verdad ni sabía de dicho problema de seguridad pero Firefox me avisó y deshabilitó el plugin automáticamente.
La vulnerabilidad afecta a todos los navegadores incluidos IE, Firefox, Chrome, Opera e incluso bajo Linux
¿Qué hizo IE al respecto?
Aquí los enlaces:
http://blogs.eset-la.com/laboratorio/2010/04/15/propagan-malware-con-java/
Pueden checar si son vulnerables aqui:
http://blogs.eset-la.com/laboratorio/2010/04/09/vulnerabilidad-0-day-java/
encaputxat
Como puede ser IE el mas seguro si es el único con 7 Extremly vulnerabilities.
felosontay1
Mmmm... como dijo alguien arriba, todos llevan agua para su molino, sera muy seguro ie8 pero es el peor parado en cuanto a funcionalidad y estandares se habla, para los usuarios comunes y desarrolladores webs
A mi juicio y sin redondeos Chrome es el rey de los navegadores en muy pocos anios, lo veo y no me lo creo, google a pegado, tengo una web y las estadísticas no mienten, la web la tenia antes de que saliera a luz chrome, el segundo navegador detrás de ie era firefox, ahora le echo una ojeada y veo los papeles an cambiado, chrome en el segundo puesto, muy bien recibido por los usuarios simples, sera por la descarga directa desde youtube???
En lo personal me quedo con chrome, por simple y sencillo justo lo que necesito aun le falta muchas cosas pero mejorar, pero los chicos de google no sorprenden por cada cosita que ponen.
Dr. No
Firefox si que reconoce los certificados expedidos por la FNMT aunque no trae los certificados raíz instalados por defecto, pero se pueden obtener aquí:
http://www.cert.fnmt.es/index.php?cha=adm&sec=1&page=199
pastoreo
A este estudio le falta un componente, y la privacidad que te da el navegador elegido, donde a Chrome y IE se les a cuestionado el seguir los gustos del usuario y reportarlos en pro de una navegación mas cómoda; y en el mismo apartado esta la navegación comprimida que provee Opera dejando históricos fuera del alcance del usuario para su remoción. Al menos Firefox no cuenta con tan malas costumbres. Es cierto que Firefox es vulnerable, pero en gran medida es por las libertades que dio Active X y sus derivados, distinto es su comportamiento en una plataforma Linux, donde el sistema da pocos privilegios al que acceder.
kliveland
Pero que fijacion con Fireexploter,es que lo mas curioso es que se dude todavia de que sea INSEGURO ,DESPUES DE MAS DE 2 AÑOS SIGUE PETANDO con los torpedos....asi que rapidez ninguna,solo se estaespabilando graciasa que su cuota baja no por los bugs que se reportan.
nodnor
Quién pensaba que era seguro?
44350
Yo lo que veo (ya que por desgracia tengo los 4 principales) es que microsoft hace sus correcciones cuano le da la gana, es una manera de maniobrar las estadisticas, a parte del tema de standares... al final en casa vendemos menos pero solo programamos para standard y lo sustuimos con formaciones para el publico final y las bondades de la standarización y el software libre... en fin
que a mi no me lo cambien
yo sigo con mi firefox
afhr
La extensión No script provisiona a Firefox de la carencia de un protenctor de serie contra el clickjacking.
Lo digo por "Otra característica es la etiqueta X-FRAME-OPTIONS, soportada por todos menos por Firefox y que evita ataques de clickjacking..."
Saludos!!
pajafumo
Es evidente que cuando quieren poner en mal a Fire Fox lo hacen sin hacer un buen analisis, creo que los escritores de este blog dan mas su opinion personal que una buena opinion profesional ya que en este post mencionan solo lo malo de Fire Fox pero no los puntos buenos como por ejemplo:
-Que es el que menos se tarda en añadir sitios bloqueados con solo 5.7 horas -Que es el unico que repara el 100% de las vulnerabilidades por ejemplo de las 56 vulnerabilidades que tuvo Fire Fox se repararon las 56 mientras que Opera tuvo solo 11 vulnerabilidades y se repararon solo 6... y las otras 5?? que las repare el usuario??, los otros desconozco los datos para hacer comparacion.
Adicionalemente el estudio lo hizo Microsoft... obvio quieren poner en buen puesto a IE aunque sea el peor en renderizado e incumplimiento de de estandares.
Por favor escriban de forma imparcial y objetiva y contenidos con buen analisis por que es muy facil escribir solo el numero de palabras que se necesita para lograr el pago mensual.