Seguridad del navegador es la aplicación de la seguridad en Internet en el navegador web con la finalidad de proteger datos en red y sistemas computacionales de brechas de privacidad o malware. Explosiones de seguridad en navegadores web usualmente utilizan Javascript- algunas veces con Cross-site scripting -algunas otras con un payload secundario usando Adobe Flash. Las explosiones de seguridad también pueden tomar ventaja de agujeros de seguridad que son comúnmente explotados en todos los navegadores web incluyendo Mozilla Firefox, Google Chrome, Opera, Microsoft Internet Explorer, y Safari.
Los navegadores web se pueden atacar de formas distintas:
El navegador puede no ser consciente de los ataques que está sufriendo e indica al usuario que se ha establecido una conexión segura.
Siempre que un navegador se comunica con una página web, dicha página, como parte de la comunicación, recolecta información acerca del navegador(con el propósito de dar formato a la página que va a ser desplegada). Si se ha insertado un código malicioso en el contenido web, o en el peor de los casos, si esa página web ha sido especialmente designada para albergar código malicioso, las vulnerabilidades específicas de un navegador en particular pueden permitir que corra código malicioso dentro del navegador y, por ende, correrán procesos de forma no intencional (cabe recordar que un bit de información hace referencia a la identidad del navegador, permitiendo que las vulnerabilidad particulares del navegador sean explotadas). Una vez que un atacante es capaz de correr procesos en el ordenador visitante, explotar las vulnerabilidades de seguridad puede permitir al atacante ganar acceso privilegiado(si es que el navegador no está corriendo en acceso privilegiado desde ese momento) al sistema "infectado" para poder realizar procesos y actividades aún más dañinos en la máquina o incluso en la red de la víctima.
Las brechas de seguridad en los navegadores web tienen como propósito sobrepasar las protecciones para desplegar ventanas emergentes recolectando información personal ya sea para mercadeo digital o robo de identidad, rastreo de páginas web o análisis web acerca de un usuario y en contra de su voluntad utilizando herramientas tales como web bugs, Clickjacking, (donde el botón de like de Facebook es el blanco de ataque), cookies, zombie cookies o Local Shared Object adware de instalación, viruses, spyware como troyanos (para ganar acceso a computadoras personales vía cracking) u otros malwares incluyendo robo en banca en línea utilizando ataques tipo man-in-the-browser.
Las vulnerabilidades en el navegador web por sí solo pueden ser minimizadas manteniendo el software actualizado,pero no serán suficientes si el sistema operativo está comprometido, por ejemplo, a través de un rootkit. Algunos subcomponentes del navegador como el guion, add-ons y cookies son particularmente vulnerables ("problema del diputado confundido") y también necesitan ser direccionados.
Siguiendo el principio de defensa en profundidad, un navegador totalmente parchado y correctamente configurado, puede no ser suficiente para asegurar que los problemas relativos a la seguridad del navegador no ocurran. Por ejemplo, un rootkit puede capturar lo que el usuario teclea a través de keyloggers mientras alguien registra la información de una página bancaria o lleva a cabo un ataque de tipo man-in-the-middle que modifica el tráfico de red de o hacia el navegador web. El DNS hijacking o DNS spoofing puede ser utilizado para regresar falsos positivos en nombres de sitios mal tecleados o para subvertir resultados populares en motores de búsqueda. Malware como RSPlug simplemente modifican configuraciones de sistemas para que apunten a un servidor DNS destinado a realizar acciones contra el usuario.
Los navegadores pueden usar métodos más seguros de comunicación de red para ayudar a prevenir algunos de estos ataques.
Defensas perimetrales, típicamente a través de firewalls y el uso de filtros de servidores proxy que bloquean sitios maliciosos y realizan escaneos con antivirus en cada descarga que se hace, son comúnmente implementados como mejor práctica en organizaciones grandes para bloquear tráfico malicioso de red antes de que llegue a un navegador.
El tema de seguridad de navegador ha crecido hasta el punto de cubrir la creación de organizaciones enteras, como "The Browser Exploitation Framework Project", creando plataformas para recolectar herramientas para poner en evidencia las brechas de seguridad de los navegadores.
A pesar de no ser una parte del navegador por sí solo los plugins y las extensiones del navegador se extienden de superficies de ataque, exponiendo vulnerabilidades en Adobe Flash Player, Adobe (Acrobat) Reader, Applet Java, y ActiveX que son comúnmente explotados. Un malware también puede ser implementado como una extensión del navegador, tal es el caso de Browser Helper Object en el caso de Internet Explorer. Navegadores como Google Chrome y Mozilla Firefox pueden bloquear o advertir a los usuarios de plugins inseguros.
Contrariamente, las extensiones pueden ser utilizadas para fortalecer configuraciones de seguridad. US-CERT recomienda bloquear Flash usando NoScript. Charlie Miller recomendó "no instalar Flash" en la conferencia de seguridad computacional CanSecWest. Muchos otros expertos en seguridad también recomiendan no instalar Adobe Flash Player o bloquearlo.
En agosto de 2009 un estudio realizado por Social Science Research Network encontró que el 50% de las páginas web que utilizan Flash también utilizaban flash cookies, aun así las políticas de privacidad raramente las revelaban y los controles de seguridad de privacidad eran escasos. La mayoría de las memorias caché e historiales borran funciones que no afectan la escritura de objetos locales compartidos en la propia caché de Flash Player y la comunidad de usuarios es mucho menos consciente de la existencia y funcionalidad de las Flash cookies que de las HTTP cookies. De esta manera, los usuarios que eliminaron las HTTP cookies y purgaron el historial de navegación y la memoria caché, pueden creer que eliminaron todos los datos de rastreo en su computadora cuando, en realidad, el historial de búsqueda Flash permanece ahí. Aunado a remover manualmente, addon BetterPrivacy en Firefox puede remover Flash cookies. Adblock Plus puede ser usado para filtrar amenazas específicas y Flashblock puede ser utilizado para dar una opción antes de permitir contenido en sitios que serían de confianza si no se utilizara.
Una solución basada en hardware que corre un archivo de solo lectura en el sistema y en el navegador web basado en el acercamiento LiveCD. Brian Krebs recomienda el uso de un LiveCD para estar protegidos del crimen cibernético organizado. El primer navegador de este tipo fue el ZeusGard Secure Hardware Browser que fue lanzado a finales del 2013. Cada vez que se iniciaba el navegador, era sabido que estaba totalmente limpio y era un ambiente totalmente seguro. Los datos nunca se almacenaban en el dispositivo y el medio no podía sobreescribirse, por lo tanto se limpiaba cada que se iniciaba.
Navegar en internet con una cuenta de privilegios mínimos (sin privilegios de administrador) limita la posibilidad de explotar la seguridad en un navegador web que comprometa todo el sistema operativo.
Internet Explorer 4 y superiores permiten crear la denominada "blacklist" que sirve para bloquear sitios web and whitelist controles ActiveX , addons y extensiones de browser en varias maneras.
Internet Explorer 7 añadió el "modo protegido", una tecnología que fortalece al navegador a través de la aplicación de una función de seguridad de aislamiento de procesos de Windows Vista llamado control de integridad. Google Chrome provee aislamiento de procesos para limitar el acceso de páginas web a los sistemas operativos.
Los sitios maliciosos reportados a Google, y confirmados por Google, son marcados como hosts maliciosos en algunos navegadores.
Hay extensiones y plugins de terceros disponibles para reforzar incluso para los últimos navegadores. y algunos para navegadores anteriores y sistemas operativos. Software basado en Whitelist como NoScript puede bloquear JavaScript y Adobe Flash que son usados para la mayoría de los ataques de privacidad, permitiendo a los usuarios escoger sitios que saben que son seguros - Adblock Plus también utiliza reglas de lista blanca de subscripción basadas en ad filtering, a pesar de que ambos, el software y los encargados de dar mantenimiento han sido objeto de controversia por dejar pasar los filtros a algunos sitios a partir de una configuración por defecto
Escribe un comentario o lo que quieras sobre Seguridad del navegador (directo, no tienes que registrarte)
Comentarios
(de más nuevos a más antiguos)