Seguridad del navegador

Aplicación de la seguridad de Internet a los navegadores web

La seguridad del navegador es la aplicación de la seguridad de Internet a los navegadores web con el fin de proteger los datos en red y los sistemas informáticos de violaciones de la privacidad o malware . Las vulnerabilidades de seguridad de los navegadores a menudo utilizan JavaScript , a veces con secuencias de comandos entre sitios (XSS) ^[1] con una carga útil secundaria que utiliza Adobe Flash . ^[2] Las vulnerabilidades de seguridad también pueden aprovechar las vulnerabilidades (agujeros de seguridad) que se explotan comúnmente en todos los navegadores (incluidos Google Chrome , ^[3] Microsoft Internet Explorer , ^[4] Mozilla Firefox , ^[5] Opera , ^[6] y Safari ^[7] ).

Seguridad

Los navegadores web pueden ser vulnerados de una o más de las siguientes maneras:

• El sistema operativo ha sido violado y el malware está leyendo/modificando el espacio de memoria del navegador en modo privilegiado ^[8]
• El sistema operativo tiene un malware ejecutándose como proceso en segundo plano, que lee/modifica el espacio de memoria del navegador en modo privilegiado.
• El ejecutable principal del navegador puede ser hackeado
• Los componentes del navegador pueden ser pirateados
• Los complementos del navegador pueden ser pirateados
• Las comunicaciones de la red del navegador podrían ser interceptadas fuera de la máquina ^[9]

Es posible que el navegador no tenga conocimiento de ninguna de las infracciones anteriores y pueda mostrar al usuario que se ha establecido una conexión segura.

Cada vez que un navegador se comunica con un sitio web, el sitio web, como parte de esa comunicación, recopila cierta información sobre el navegador (para procesar el formato de la página que se entregará, si no hay nada más). ^[10] Si se ha insertado un código malicioso en el contenido del sitio web, o en el peor de los casos, si ese sitio web ha sido diseñado específicamente para alojar código malicioso, las vulnerabilidades específicas de un navegador en particular pueden permitir que este código malicioso ejecute procesos dentro de la aplicación del navegador de formas no deseadas (y recuerde, uno de los bits de información que un sitio web recopila de una comunicación del navegador es la identidad del navegador, lo que permite que se exploten vulnerabilidades específicas). ^[11] Una vez que un atacante puede ejecutar procesos en la máquina del visitante, entonces explotar vulnerabilidades de seguridad conocidas puede permitir al atacante obtener acceso privilegiado (si el navegador ya no se está ejecutando con acceso privilegiado) al sistema "infectado" para realizar una variedad aún mayor de procesos y actividades maliciosas en la máquina o incluso en toda la red de la víctima. ^[12]

Las violaciones de seguridad del navegador web generalmente tienen como objetivo eludir las protecciones para mostrar publicidad emergente ^[13] recopilar información de identificación personal (PII) para marketing en Internet o robo de identidad , seguimiento de sitios web o análisis web sobre un usuario contra su voluntad utilizando herramientas como web bugs , Clickjacking , Likejacking (donde se apunta al botón Me gusta de Facebook ), ^{[14] [ 15] [16] [17]} cookies HTTP , cookies zombie o cookies Flash (objetos locales compartidos o LSO); ^[2] instalar adware , virus , spyware como caballos de Troya (para obtener acceso a las computadoras personales de los usuarios a través de cracking ) u otro malware , incluido el robo de banca en línea mediante ataques de hombre en el navegador .

Un estudio en profundidad de las vulnerabilidades en el navegador web Chromium indica que la validación de entrada incorrecta (CWE-20) y el control de acceso incorrecto (CWE-284) son las causas principales de las vulnerabilidades de seguridad. ^[18] Además, entre las vulnerabilidades examinadas en el momento de este estudio, 106 vulnerabilidades ocurrieron en Chromium debido a la reutilización o importación de versiones vulnerables de bibliotecas de terceros.

Las vulnerabilidades en el propio software del navegador web se pueden minimizar manteniendo actualizado el software del navegador, ^[19] pero no serán suficientes si el sistema operativo subyacente se ve comprometido, por ejemplo, por un rootkit. ^[20] Algunos subcomponentes de los navegadores, como scripts, complementos y cookies ^{[21] [22] [23]} son ​​particularmente vulnerables ("el problema del diputado confuso ") y también necesitan ser abordados.

Siguiendo el principio de defensa en profundidad , un navegador con todos los parches y configurado correctamente puede no ser suficiente para garantizar que no se produzcan problemas de seguridad relacionados con el navegador. Por ejemplo, un rootkit puede capturar las pulsaciones de teclas mientras alguien inicia sesión en un sitio web bancario o llevar a cabo un ataque de intermediario modificando el tráfico de red hacia y desde un navegador web. El secuestro de DNS o la suplantación de DNS se pueden utilizar para devolver falsos positivos en el caso de nombres de sitios web mal escritos o para subvertir los resultados de búsqueda de los motores de búsqueda más populares. El malware como RSPlug simplemente modifica la configuración de un sistema para que apunte a servidores DNS no autorizados.

Los navegadores pueden utilizar métodos de comunicación de red más seguros para ayudar a prevenir algunos de estos ataques:

• DNS : DNSSec y DNSCrypt , por ejemplo, con servidores DNS no predeterminados, como Google Public DNS o OpenDNS .
• HTTP : HTTP seguro y SPDY con certificados de clave pública firmados digitalmente o certificados de validación extendida .

Las defensas perimetrales, generalmente a través de firewalls y el uso de servidores proxy de filtrado que bloquean sitios web maliciosos y realizan análisis antivirus de cualquier descarga de archivos, se implementan comúnmente como una práctica recomendada en grandes organizaciones para bloquear el tráfico de red malicioso antes de que llegue a un navegador.

El tema de la seguridad del navegador ha crecido hasta el punto de generar la creación de organizaciones enteras, como The Browser Exploitation Framework Project, ^[24] que crea plataformas para recopilar herramientas para violar la seguridad del navegador, aparentemente con el fin de probar los navegadores y los sistemas de red en busca de vulnerabilidades.

Plugins y extensiones

Aunque no forman parte del navegador en sí, los complementos y extensiones del navegador amplían la superficie de ataque , exponiendo vulnerabilidades en Adobe Flash Player , Adobe (Acrobat) Reader , el complemento de Java y ActiveX que se explotan comúnmente. Los investigadores ^[25] han estudiado exhaustivamente la arquitectura de seguridad de varios navegadores web, en particular los que se basan en diseños plug-and-play. Este estudio ha identificado 16 tipos de vulnerabilidades comunes y 19 mitigaciones potenciales. El malware también puede implementarse como una extensión del navegador, como un objeto auxiliar del navegador en el caso de Internet Explorer. ^[26] En varios otros exploits, los sitios web que fueron diseñados para parecer auténticos e incluyeron ventanas emergentes falsas de "actualización de Adobe Flash" diseñadas como señales visuales para descargar cargas útiles de malware en su lugar. ^[27] Algunos navegadores como Google Chrome y Mozilla Firefox pueden bloquear (o advertir a los usuarios) de complementos inseguros.

Adobe Flash

Un estudio de agosto de 2009 de la Red de Investigación de Ciencias Sociales descubrió que el 50% de los sitios web que utilizan Flash también empleaban cookies Flash, pero las políticas de privacidad rara vez las revelaban y faltaban controles de usuario para las preferencias de privacidad. ^{[28] La mayoría de las funciones de eliminación} de caché e historial de los navegadores no afectan la escritura de objetos locales compartidos de Flash Player en su propia caché, y la comunidad de usuarios es mucho menos consciente de la existencia y función de las cookies Flash que de las cookies HTTP. ^[29] Por lo tanto, los usuarios que hayan eliminado las cookies HTTP y purgado los archivos de historial y caché del navegador pueden creer que han purgado todos los datos de seguimiento de sus computadoras mientras que, de hecho, el historial de navegación de Flash permanece. Además de la eliminación manual, el complemento BetterPrivacy para Firefox puede eliminar las cookies Flash. ^[2] Adblock Plus se puede utilizar para filtrar amenazas específicas ^[13] y Flashblock se puede utilizar para dar una opción antes de permitir contenido en sitios que de otro modo serían confiables. ^[30]

Charlie Miller recomendó "no instalar Flash" ^[31] en la conferencia de seguridad informática CanSecWest. Varios otros expertos en seguridad también recomiendan no instalar Adobe Flash Player o bloquearlo. ^[32]

Modelo de seguridad de contraseñas

El contenido de una página web es arbitrario y está controlado por la entidad propietaria del nombre de dominio que se muestra en la barra de direcciones. Si se utiliza HTTPS , se utiliza el cifrado para proteger contra los atacantes con acceso a la red que puedan cambiar el contenido de la página durante el proceso. Cuando se presenta un campo de contraseña en una página web, se supone que el usuario debe mirar la barra de direcciones para determinar si el nombre de dominio en la barra de direcciones es el lugar correcto para enviar la contraseña. ^[33] Por ejemplo, para el sistema de inicio de sesión único de Google (utilizado, por ejemplo, en YouTube.com), el usuario siempre debe comprobar que la barra de direcciones dice "https://accounts.google.com" antes de ingresar su contraseña.

Un navegador no comprometido garantiza que la barra de direcciones sea correcta. Esta garantía es una de las razones por las que los navegadores generalmente muestran una advertencia al ingresar al modo de pantalla completa, encima del lugar donde normalmente estaría la barra de direcciones, de modo que un sitio web de pantalla completa no pueda crear una interfaz de usuario de navegador falsa con una barra de direcciones falsa. ^[34]

Fortalecimiento del navegador

Navegar por Internet con una cuenta de usuario con privilegios mínimos (es decir, sin privilegios de administrador) limita la capacidad de una vulnerabilidad de seguridad en un navegador web de comprometer todo el sistema operativo. ^[35]

Internet Explorer 4 y versiones posteriores permiten la inclusión en listas de bloqueo ^{[36] [37] [38]} y listas de autorización ^{[39] [40]} de controles ActiveX , complementos y extensiones del navegador de varias maneras.

Internet Explorer 7 agregó el "modo protegido", una tecnología que endurece el navegador mediante la aplicación de una característica de sandbox de seguridad de Windows Vista llamada Control de integridad obligatorio . ^[41] Google Chrome proporciona un sandbox para limitar el acceso a las páginas web del sistema operativo. ^[42]

Los sitios sospechosos de contener malware informados a Google, ^[43] y confirmados por Google, están marcados como sitios que albergan malware en ciertos navegadores. ^[44]

Existen extensiones y complementos de terceros disponibles para reforzar incluso los navegadores más recientes, ^[45] y algunos para navegadores y sistemas operativos más antiguos. El software basado en listas blancas como NoScript puede bloquear JavaScript y Adobe Flash, que se utiliza para la mayoría de los ataques a la privacidad, lo que permite a los usuarios elegir solo los sitios que saben que son seguros; AdBlock Plus también utiliza suscripciones a reglas de filtrado de anuncios de listas blancas , aunque tanto el software en sí como los encargados de mantener las listas de filtrado han sido objeto de controversia por permitir de forma predeterminada que algunos sitios pasen los filtros preestablecidos. ^[46] El US-CERT recomienda bloquear Flash utilizando NoScript . ^[47]

Pelusa

Los navegadores web modernos se someten a pruebas exhaustivas para descubrir vulnerabilidades. El código Chromium de Google Chrome es sometido a pruebas continuas por parte del equipo de seguridad de Chrome con 15 000 núcleos. ^[48] Para Microsoft Edge e Internet Explorer , Microsoft realizó pruebas de fuzzing con 670 años-máquina durante el desarrollo del producto, generando más de 400 mil millones de manipulaciones DOM a partir de mil millones de archivos HTML. ^{[49] [48]}

Véase también

• Burbuja de filtro
• Inyección de marco
• Redes basadas en la identidad
• Seguridad en Internet
• Política de seguridad de la red
• Seguridad de la aplicación

Referencias

1. Maone, Giorgio . "NoScript :: Complementos para Firefox". Complementos de Mozilla . Fundación Mozilla .
2. "BetterPrivacy :: Complementos para Firefox". Fundación Mozilla .^{[ enlace muerto permanente ]}
3. Messmer, Ellen y NetworkWorld. "Google Chrome encabeza la lista de aplicaciones vulnerables de la docena sucia" ^{[ vínculo muerto permanente ‍ ]} . Consultado el 19 de noviembre de 2010.
4. Bradly, Tony. "Es hora de abandonar finalmente Internet Explorer 6". Archivado el 15 de octubre de 2012 en Wayback Machine . Consultado el 19 de noviembre de 2010.
5. Keizer, Greg. Vulnerabilidad confirmada en Firefox 3.5 Archivado el 28 de octubre de 2010 en Wayback Machine . Consultado el 19 de noviembre de 2010.
6. Skinner, Carrie-Ann. Opera repara un "grave" agujero en el navegador Archivado el 20 de mayo de 2009 en Wayback Machine . Consultado el 19 de noviembre de 2010.
7. "Navegador". Mashable . Archivado desde el original el 2 de septiembre de 2011 . Consultado el 2 de septiembre de 2011 .
8. Smith, Dave (21 de marzo de 2013). "El troyano Yontoo: nuevo malware para Mac OS X infecta los navegadores Google Chrome, Firefox y Safari mediante adware". IBT Media Inc. Archivado desde el original el 24 de marzo de 2013. Consultado el 21 de marzo de 2013 .
9. Goodin, Dan. «La filtración de MySQL.com deja a los visitantes expuestos a malware». The Register . Archivado desde el original el 28 de septiembre de 2011. Consultado el 26 de septiembre de 2011 .
10. Clinton Wong. "Transacciones HTTP". O'Reilly. Archivado desde el original el 13 de junio de 2013.
11. "9 maneras de saber si su PC está infectado con malware". Archivado desde el original el 11 de noviembre de 2013.
12. "Documentos técnicos de Symantec Security Response". Archivado desde el original el 9 de junio de 2013.
13. Palant, Wladimir . "Adblock Plus :: Complementos para Firefox". Complementos de Mozilla . Fundación Mozilla .
14. "Se investiga la privacidad de Facebook sobre los 'me gusta' y las invitaciones". CBC News. 23 de septiembre de 2010. Archivado desde el original el 26 de junio de 2012. Consultado el 24 de agosto de 2011 .
15. Albanesius, Chloe (19 de agosto de 2011). "A las agencias alemanas se les prohíbe usar el botón 'Me gusta' de Facebook". PC Magazine . Archivado desde el original el 29 de marzo de 2012. Consultado el 24 de agosto de 2011 .
16. McCullagh, Declan (2 de junio de 2010). "El botón 'Me gusta' de Facebook genera escrutinio sobre privacidad". CNET News . Archivado desde el original el 5 de diciembre de 2011. Consultado el 19 de diciembre de 2011 .
17. Roosendaal, Arnold (30 de noviembre de 2010). "Facebook sigue y rastrea a todo el mundo: ¡les gusta esto!". SSRN  1717563.
18. Santos, JCS; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, JV; Sejfia, A. (abril de 2017). "Comprensión de las vulnerabilidades del software relacionadas con las tácticas de seguridad arquitectónica: una investigación empírica de Chromium, PHP y Thunderbird". Conferencia internacional IEEE sobre arquitectura de software (ICSA) de 2017. págs. 69–78. doi :10.1109/ICSA.2017.39. ISBN 978-1-5090-5729-0. Número de identificación del sujeto  29186731.
19. Estado de Vermont. «Ataques a navegadores web». Archivado desde el original el 13 de febrero de 2012. Consultado el 11 de abril de 2012 .
20. "Descripción general de Windows Rootkit" (PDF) . Symantec. Archivado desde el original (PDF) el 16 de mayo de 2013 . Consultado el 20 de abril de 2013 .
21. "Ataque de secuencias de comandos entre sitios". Archivado desde el original el 15 de mayo de 2013. Consultado el 20 de mayo de 2013 .
22. Lenny Zeltser. «Mitigación de ataques al navegador web y complementos». Archivado desde el original el 7 de mayo de 2013. Consultado el 20 de mayo de 2013 .
23. Dan Goodin (14 de marzo de 2013). «Dos nuevos ataques a SSL descifran las cookies de autenticación». Archivado desde el original el 15 de mayo de 2013. Consultado el 20 de mayo de 2013 .
24. "beefproject.com". Archivado desde el original el 11 de agosto de 2011.
25. Santos, Joanna CS; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "El talón de Aquiles de las arquitecturas de software plug-and-Play: un enfoque basado en la teoría fundamentada". Actas de la 27.ª reunión conjunta de la ACM de 2019 sobre la Conferencia y el simposio sobre los fundamentos de la ingeniería de software europea . ESEC/FSE 2019. Nueva York, NY, EE. UU.: ACM. págs. 671–682. doi :10.1145/3338906.3338969. ISBN 978-1-4503-5572-8.S2CID 199501995  .
26. "Cómo crear una regla que bloquee o registre objetos auxiliares del navegador en Symantec Endpoint Protection". Symantec.com. Archivado desde el original el 14 de mayo de 2013. Consultado el 12 de abril de 2012 .
27. Aggarwal, Varun (30 de abril de 2021). "Última hora: sitios falsos de 50 portales de noticias indios que atraen a lectores crédulos". The Economic Times CIO . Archivado desde el original el 26 de febrero de 2023. Consultado el 26 de febrero de 2023 .
28. Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (10 de agosto de 2009). "Soltani, Ashkan, Canty, Shannon, Mayo, Quentin, Thomas, Lauren y Hoofnagle, Chris Jay: Cookies Flash y privacidad". SSRN  1446862.
29. "Objetos compartidos locales - "Cookies Flash"". Centro de Información sobre Privacidad Electrónica. 21 de julio de 2005. Archivado desde el original el 16 de abril de 2010. Consultado el 8 de marzo de 2010 .
30. Chee, Philip . «Flashblock:: Complementos para Firefox». Complementos de Mozilla . Fundación Mozilla . Archivado desde el original el 15 de abril de 2013.
31. "Pwn2Own 2010: entrevista con Charlie Miller". 1 de marzo de 2010. Archivado desde el original el 24 de abril de 2011. Consultado el 27 de marzo de 2010 .
32. "Experto dice que la política de Adobe Flash es arriesgada". 12 de noviembre de 2009. Archivado desde el original el 26 de abril de 2011. Consultado el 27 de marzo de 2010 .
33. John C. Mitchell . «Modelo de seguridad del navegador» (PDF) . Archivado (PDF) desde el original el 20 de junio de 2015.
34. "Uso de la API de pantalla completa HTML5 para ataques de phishing » Feross.org". feross.org . Archivado desde el original el 25 de diciembre de 2017 . Consultado el 7 de mayo de 2018 .
35. "Uso de una cuenta de usuario con privilegios mínimos". Microsoft . 29 de junio de 2009. Archivado desde el original el 6 de marzo de 2013 . Consultado el 20 de abril de 2013 .
36. "Cómo detener la ejecución de un control ActiveX en Internet Explorer". Microsoft . Archivado desde el original el 2 de diciembre de 2014 . Consultado el 22 de noviembre de 2014 .
37. "Entradas de registro de las zonas de seguridad de Internet Explorer para usuarios avanzados". Microsoft . Archivado desde el original el 2 de diciembre de 2014 . Consultado el 22 de noviembre de 2014 .
38. "Bloqueo de controles ActiveX obsoletos". Microsoft . Archivado desde el original el 29 de noviembre de 2014 . Consultado el 22 de noviembre de 2014 .
39. "Administración de complementos de Internet Explorer y detección de fallos". Microsoft . 8 de octubre de 2009. Archivado desde el original el 29 de noviembre de 2014 . Consultado el 22 de noviembre de 2014 .
40. "Cómo administrar los complementos de Internet Explorer en Windows XP Service Pack 2". Microsoft . Archivado desde el original el 2 de diciembre de 2014 . Consultado el 22 de noviembre de 2014 .
41. Matthew Conover. "Análisis del modelo de seguridad de Windows Vista" (PDF) . Symantec Corporation . Archivado desde el original (PDF) el 16 de mayo de 2008. Consultado el 8 de octubre de 2007 .
42. "Seguridad del navegador: lecciones de Google Chrome". Agosto de 2009. Archivado desde el original el 11 de noviembre de 2013.
43. "Informar a Google sobre software malicioso (URL)". Archivado desde el original el 12 de septiembre de 2014.
44. "Navegación segura de Google". Archivado desde el original el 14 de septiembre de 2014.
45. "5 maneras de proteger su navegador web". ZoneAlarm . 8 de mayo de 2014. Archivado desde el original el 7 de septiembre de 2014.
46. "Adblock Plus pronto bloqueará menos anuncios – SiliconFilter". Siliconfilter.com. 12 de diciembre de 2011. Archivado desde el original el 30 de enero de 2013. Consultado el 20 de abril de 2013 .
47. "Cómo proteger su navegador web". Archivado desde el original el 26 de marzo de 2010. Consultado el 27 de marzo de 2010 .
48. Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 de septiembre de 2017). «Browser Security Whitepaper» (PDF) . X41D SEC GmbH. Archivado (PDF) del original el 1 de febrero de 2022. Consultado el 31 de agosto de 2018 .
49. "Mejoras de seguridad para Microsoft Edge (Microsoft Edge para profesionales de TI)". Microsoft . 15 de octubre de 2017. Archivado desde el original el 1 de septiembre de 2018 . Consultado el 31 de agosto de 2018 .

Lectura adicional

• Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 de septiembre de 2017). "Informe técnico sobre seguridad del navegador" (PDF) . X41D SEC GmbH.
• Heiderich, Mario; Infuhr, Alex; Fäßler, Fabián; Krein, Nikolai; Kinugawa, Masato (29 de noviembre de 2017). "Informe técnico sobre seguridad del navegador Cure53" (PDF) . Cura53.