La seguridad del navegador es la aplicación de la seguridad de Internet a los navegadores web con el fin de proteger los datos en red y los sistemas informáticos de violaciones de la privacidad o malware . Las vulnerabilidades de seguridad de los navegadores suelen utilizar JavaScript , a veces con secuencias de comandos entre sitios (XSS) [1] con una carga útil secundaria mediante Adobe Flash . [2] Las vulnerabilidades de seguridad también pueden aprovechar las vulnerabilidades (agujeros de seguridad) que se explotan comúnmente en todos los navegadores (incluido Mozilla Firefox ,[3] Google Chrome , [4] Opera , [5] Microsoft Internet Explorer , [6] y Safari [7] ).
Seguridad
Los navegadores web se pueden violar de una o más de las siguientes formas:
- Se viola el sistema operativo y el malware está leyendo / modificando el espacio de memoria del navegador en modo privilegiado [8]
- El sistema operativo tiene un malware que se ejecuta como proceso en segundo plano, que está leyendo / modificando el espacio de memoria del navegador en modo privilegiado
- El ejecutable del navegador principal puede ser pirateado
- Los componentes del navegador pueden ser pirateados
- Los complementos del navegador pueden ser pirateados
- Las comunicaciones de la red del navegador podrían interceptarse fuera de la máquina [9]
Es posible que el navegador no tenga conocimiento de ninguna de las infracciones anteriores y puede mostrar al usuario que se estableció una conexión segura.
Siempre que un navegador se comunica con un sitio web, el sitio web, como parte de esa comunicación, recopila cierta información sobre el navegador (para procesar el formateo de la página que se entregará, al menos). [10] Si se ha insertado código malicioso en el contenido del sitio web, o en el peor de los casos, si ese sitio web ha sido diseñado específicamente para alojar código malicioso, las vulnerabilidades específicas de un navegador en particular pueden permitir que este código malicioso ejecute procesos dentro de la aplicación del navegador de formas no deseadas (y recuerde, uno de los bits de información que un sitio web recopila de una comunicación del navegador es la identidad del navegador, lo que permite explotar vulnerabilidades específicas). [11] Una vez que un atacante puede ejecutar procesos en la máquina del visitante, explotar las vulnerabilidades de seguridad conocidas puede permitir al atacante obtener acceso privilegiado (si el navegador aún no se está ejecutando con acceso privilegiado) al sistema "infectado" en orden para realizar una variedad aún mayor de procesos y actividades maliciosos en la máquina o incluso en toda la red de la víctima. [12]
Las infracciones de la seguridad del navegador web suelen tener el propósito de eludir las protecciones para mostrar publicidad emergente [13] que recopila información de identificación personal (PII) para marketing en Internet o robo de identidad , seguimiento de sitios web o análisis web sobre un usuario en contra de su voluntad utilizando herramientas tales como web bugs , Clickjacking , Likejacking (donde Facebook es igual que el botón está dirigido), [14] [15] [16] [17] cookies HTTP , las cookies de zombies o las cookies de flash (objetos compartidos locales o LSO); [2] instalar adware , virus , spyware como caballos de Troya (para obtener acceso a las computadoras personales de los usuarios a través de craqueo ) u otro malware, incluido el robo bancario en línea mediante ataques man-in-the-browser .
Un estudio en profundidad de las vulnerabilidades en el navegador web Chromium indica que la Validación de entrada incorrecta (CWE-20) y el Control de acceso incorrecto (CWE-284) son las causas principales de las vulnerabilidades de seguridad. [18] Además, entre las vulnerabilidades examinadas en el momento de este estudio, se produjeron 106 vulnerabilidades en Chromium debido a la reutilización o importación de versiones vulnerables de bibliotecas de terceros.
Las vulnerabilidades en el propio software del navegador web pueden minimizarse manteniendo actualizado el software del navegador, [19] pero no serán suficientes si el sistema operativo subyacente se ve comprometido, por ejemplo, por un rootkit. [20] Algunos subcomponentes de los navegadores, como secuencias de comandos, complementos y cookies [21] [22] [23] son particularmente vulnerables ("el problema del asistente confuso ") y también deben abordarse.
Siguiendo el principio de defensa en profundidad , un navegador completamente parcheado y configurado correctamente puede no ser suficiente para garantizar que no se produzcan problemas de seguridad relacionados con el navegador. Por ejemplo, un rootkit puede capturar las pulsaciones de teclas mientras alguien inicia sesión en un sitio web bancario o llevar a cabo un ataque de intermediario modificando el tráfico de red hacia y desde un navegador web. El secuestro de DNS o la suplantación de DNS se pueden utilizar para devolver falsos positivos para nombres de sitios web mal escritos o para subvertir los resultados de búsqueda de los motores de búsqueda populares. El malware como RSPlug simplemente modifica la configuración de un sistema para apuntar a servidores DNS no autorizados.
Los navegadores pueden utilizar métodos más seguros de comunicación en red para ayudar a prevenir algunos de estos ataques:
- DNS : DNSSec y DNSCrypt , por ejemplo, con servidores DNS no predeterminados como Google Public DNS u OpenDNS .
- HTTP : HTTP seguro y SPDY con certificados de clave pública firmados digitalmente o certificados de validación extendida .
Las defensas perimetrales, generalmente a través de firewalls y el uso de servidores proxy de filtrado que bloquean sitios web maliciosos y realizan análisis antivirus de cualquier descarga de archivos, se implementan comúnmente como una mejor práctica en las grandes organizaciones para bloquear el tráfico de red malicioso antes de que llegue a un navegador.
El tema de la seguridad del navegador ha crecido hasta el punto de generar la creación de organizaciones enteras, como The Browser Exploitation Framework Project, [24] creando plataformas para recopilar herramientas para violar la seguridad del navegador, aparentemente para probar navegadores y sistemas de red en busca de vulnerabilidades. .
Complementos y extensiones
Aunque no forman parte del navegador en sí, los complementos y extensiones del navegador extienden la superficie de ataque , exponiendo vulnerabilidades en Adobe Flash Player , Adobe (Acrobat) Reader , el complemento de Java y ActiveX que comúnmente se explotan. Los investigadores [25] han estudiado extensamente la arquitectura de seguridad de varios navegadores web, en particular los que se basan en diseños plug-and-play. Este estudio ha identificado 16 tipos de vulnerabilidades comunes y 19 posibles mitigaciones. El malware también puede implementarse como una extensión del navegador, como un objeto auxiliar del navegador en el caso de Internet Explorer. [26] Los navegadores como Google Chrome y Mozilla Firefox pueden bloquear, o advertir a los usuarios de, complementos inseguros.
Adobe Flash
Un estudio de agosto de 2009 de Social Science Research Network encontró que el 50% de los sitios web que utilizan Flash también empleaban cookies Flash, pero las políticas de privacidad rara vez las divulgaban y faltaban controles de usuario para las preferencias de privacidad. [27] La mayoría de las funciones de eliminación de historial y caché de los navegadores no afectan la escritura de objetos compartidos locales de Flash Player en su propia caché, y la comunidad de usuarios es mucho menos consciente de la existencia y función de las cookies Flash que las cookies HTTP. [28] Por lo tanto, los usuarios que han eliminado las cookies HTTP y los archivos y las cachés del historial del navegador pueden creer que han eliminado todos los datos de seguimiento de sus computadoras, mientras que en realidad permanece el historial de navegación de Flash. Además de la eliminación manual, el complemento BetterPrivacy para Firefox puede eliminar las cookies Flash. [2] Adblock Plus se puede utilizar para filtrar amenazas específicas [13] y Flashblock se puede utilizar para ofrecer una opción antes de permitir contenido en sitios de confianza. [29]
Charlie Miller recomendó "no instalar Flash" [30] en la conferencia de seguridad informática CanSecWest . Varios otros expertos en seguridad también recomiendan no instalar Adobe Flash Player o bloquearlo. [31]
Modelo de seguridad de contraseña
El contenido de una página web es arbitrario y está controlado por la entidad propietaria del dominio nombrado que se muestra en la barra de direcciones. Si se usa HTTPS , entonces se usa el cifrado para proteger contra atacantes con acceso a la red y evitar que cambien el contenido de la página en el camino. Cuando se le presenta un campo de contraseña en una página web, se supone que un usuario debe mirar la barra de direcciones para determinar si el nombre de dominio en la barra de direcciones es el lugar correcto para enviar la contraseña. [32] Por ejemplo, para el sistema de inicio de sesión único de Google (utilizado en, por ejemplo, youtube.com), el usuario siempre debe verificar que la barra de direcciones diga "https://accounts.google.com" antes de ingresar su contraseña.
Un navegador no comprometido garantiza que la barra de direcciones sea correcta. Esta garantía es una de las razones por las que los navegadores generalmente mostrarán una advertencia al ingresar al modo de pantalla completa, además de donde estaría normalmente la barra de direcciones, de modo que un sitio web de pantalla completa no puede crear una interfaz de usuario de navegador falsa con una barra de direcciones falsa. [33]
Navegador de hardware
Ha habido intentos de comercializar navegadores basados en hardware que se ejecutan desde sistemas de archivos de solo lectura y no modificables. Los datos no se pueden almacenar en el dispositivo y los medios no se pueden sobrescribir, presentando un ejecutable limpio cada vez que se cargan. El primer dispositivo de este tipo fue ZeusGard Secure Hardware Browser, lanzado a finales de 2013. El sitio web de ZeusGard no funciona desde mediados de 2016. Otro dispositivo, el iCloak® Stik del sitio web de iCloak proporciona un Live OS completo que reemplaza por completo el sistema operativo de la computadora y ofrece dos navegadores web del sistema de solo lectura. Con iCloak, proporcionan el navegador Tor para la navegación anónima, así como un navegador Firefox normal para la navegación no anónima. Cualquier tráfico web no seguro (que no use https, por ejemplo), aún podría estar sujeto a alteraciones de intermediario u otras manipulaciones basadas en el tráfico de la red.
LiveCD
Los LiveCD , que ejecutan un sistema operativo desde una fuente no grabable, generalmente vienen con navegadores web como parte de su imagen predeterminada. Si la imagen de LiveCD original está libre de malware, todo el software utilizado, incluido el navegador web, se cargará sin malware cada vez que se inicie la imagen de LiveCD.
Endurecimiento del navegador
Navegar por Internet como una cuenta de usuario con privilegios mínimos (es decir, sin privilegios de administrador) limita la capacidad de un exploit de seguridad en un navegador web de comprometer todo el sistema operativo. [34]
Internet Explorer 4 y posteriores permiten la inclusión en listas negras [35] [36] [37] y listas blancas [38] [39] de controles ActiveX , complementos y extensiones de navegador de varias formas.
Internet Explorer 7 agregó "modo protegido", una tecnología que refuerza el navegador mediante la aplicación de una función de espacio aislado de seguridad de Windows Vista llamada Control de integridad obligatorio . [40] Google Chrome proporciona una caja de arena para limitar el acceso a la página web al sistema operativo. [41]
Los sitios sospechosos de malware informados a Google, [42] y confirmados por Google, se marcan como hospedadores de malware en ciertos navegadores. [43]
Hay extensiones y complementos de terceros disponibles para reforzar incluso los navegadores más recientes, [44] y algunos para navegadores y sistemas operativos más antiguos. El software basado en la lista blanca , como NoScript, puede bloquear JavaScript y Adobe Flash, que se utiliza para la mayoría de los ataques a la privacidad, lo que permite a los usuarios elegir solo los sitios que saben que son seguros; AdBlock Plus también utiliza suscripciones de reglas de filtrado de anuncios de la lista blanca , aunque tanto el software en sí como el Los mantenedores de listas de filtrado han sido objeto de controversia por permitir de forma predeterminada que algunos sitios pasen los filtros preestablecidos. [45] El US-CERT recomienda bloquear Flash usando NoScript . [46]
Fuzzing
Los navegadores web modernos se someten a una extensa fuzzing para descubrir vulnerabilidades. El equipo de seguridad de Chrome difumina continuamente el código Chromium de Google Chrome con 15.000 núcleos. [47] Para Microsoft Edge e Internet Explorer , Microsoft realizó pruebas difusas con 670 años-máquina durante el desarrollo del producto, generando más de 400 mil millones de manipulaciones DOM a partir de mil millones de archivos HTML. [48] [47]
Mejores prácticas
- Cargar software limpio: inicie desde un sistema operativo limpio conocido que tenga un navegador web limpio conocido
- Adopte contramedidas adecuadas contra la vulnerabilidad de intercambio de recursos de origen cruzado (CORS) (se proporcionan parches de ejemplo para los navegadores basados en WebKit)
- Evite ataques a través de software de terceros: use un navegador web reforzado o un modo de navegación sin complementos
- Evite la manipulación del DNS: utilice un DNS seguro y confiable [49]
- Evite las vulnerabilidades basadas en sitios web: utilice complementos de navegador de verificación de enlaces que se encuentran comúnmente en el software de seguridad de Internet
- Evite el contenido malicioso: utilice defensas perimetrales y software antimalware
Ver también
- Burbuja de filtro
- Inyección de cuadro
- Redes impulsadas por la identidad
- seguridad de Internet
- Política de seguridad de la red
- Seguridad de la aplicación web
Referencias
- ^ Maone, Giorgio . "NoScript :: Complementos para Firefox" . Complementos de Mozilla . Fundación Mozilla .
- ^ a b c NC ( Red de Investigación en Ciencias Sociales ). "BetterPrivacy :: Complementos para Firefox" . Complementos de Mozilla . Fundación Mozilla .[ enlace muerto permanente ]
- ^ Keizer, Greg. Se confirmó la vulnerabilidad de Firefox 3.5 Archivado el 28 de octubre de 2010 en Wayback Machine . Consultado el 19 de noviembre de 2010.
- ^ Messmer, Ellen y NetworkWorld. "Lista de aplicaciones vulnerables de Google Chrome Tops 'Dirty Dozen'" . Consultado el 19 de noviembre de 2010.
- ^ Skinner, Carrie-Ann. Opera Plugs "Severe" Browser Hole Archivado el 20 de mayo de 2009 en Wayback Machine . Consultado el 19 de noviembre de 2010.
- ^ Bradly, Tony. "Es hora de dejar finalmente Internet Explorer 6" Archivado el 15 de octubre de 2012 en Wayback Machine . Consultado el 19 de noviembre de 2010.
- ^ "Navegador" . Mashable . Archivado desde el original el 2 de septiembre de 2011 . Consultado el 2 de septiembre de 2011 .
- ^ Smith, Dave. "El troyano Yontoo: nuevo software malicioso de Mac OS X infecta los navegadores Google Chrome, Firefox y Safari a través de adware" . IBT Media Inc. Archivado desde el original el 24 de marzo de 2013 . Consultado el 21 de marzo de 2013 .
- ^ Bien, Dan. "La violación de MySQL.com deja a los visitantes expuestos al malware" . Archivado desde el original el 28 de septiembre de 2011 . Consultado el 26 de septiembre de 2011 .
- ^ Clinton Wong. "Transacciones HTTP" . O'Reilly. Archivado desde el original el 13 de junio de 2013.
- ^ "9 maneras de saber si su PC está infectada con malware" . Archivado desde el original el 11 de noviembre de 2013.
- ^ "Documentos técnicos de Symantec Security Response" . Archivado desde el original el 9 de junio de 2013.
- ^ a b Palant, Wladimir . "Adblock Plus :: Complementos para Firefox" . Complementos de Mozilla . Fundación Mozilla .
- ^ "La privacidad de Facebook investigó sobre 'me gusta', invitaciones" . CBC News . 23 de septiembre de 2010. Archivado desde el original el 26 de junio de 2012 . Consultado el 24 de agosto de 2011 .
- ^ Albanesius, Chloe (19 de agosto de 2011). "Las agencias alemanas tienen prohibido el uso de Facebook, botón 'Me gusta'" . Revista de PC . Archivado desde el original el 29 de marzo de 2012 . Consultado el 24 de agosto de 2011 .
- ^ McCullagh, Declan (2 de junio de 2010). "El botón 'Me gusta' de Facebook atrae el escrutinio de la privacidad" . Noticias CNET . Archivado desde el original el 5 de diciembre de 2011 . Consultado el 19 de diciembre de 2011 .
- ^ Roosendaal, Arnold (30 de noviembre de 2010). "Facebook rastrea y rastrea a todos: ¡Me gusta!" . SSRN 1717563 .
- ^ Santos, JCS; Peruma, A .; Mirakhorli, M .; Galstery, M .; Vidal, JV; Sejfia, A. (abril de 2017). "Comprensión de las vulnerabilidades de software relacionadas con las tácticas de seguridad arquitectónica: una investigación empírica de Chromium, PHP y Thunderbird" . 2017 Conferencia Internacional IEEE sobre Arquitectura de Software (ICSA) : 69–78. doi : 10.1109 / ICSA.2017.39 .
- ^ Estado de Vermont. "Ataques de navegador web" . Archivado desde el original el 13 de febrero de 2012 . Consultado el 11 de abril de 2012 .
- ^ "Descripción general de Windows Rootkit" (PDF) . Symantec. Archivado desde el original (PDF) el 16 de mayo de 2013 . Consultado el 20 de abril de 2013 .
- ^ "Ataque de secuencias de comandos entre sitios" . Archivado desde el original el 15 de mayo de 2013 . Consultado el 20 de mayo de 2013 .
- ^ Lenny Zeltser. "Mitigación de ataques al navegador web y complementos" . Archivado desde el original el 7 de mayo de 2013 . Consultado el 20 de mayo de 2013 .
- ^ Dan Goodin. "Dos nuevos ataques a SSL descifran las cookies de autenticación" . Archivado desde el original el 15 de mayo de 2013 . Consultado el 20 de mayo de 2013 .
- ^ "beefproject.com" . Archivado desde el original el 11 de agosto de 2011.
- ^ Santos, Joanna CS; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "Talón de Aquiles de las arquitecturas de software plug-and-play: un enfoque basado en la teoría fundamentada" . Actas de la 27a reunión conjunta de ACM de 2019 sobre la conferencia y el simposio europeo de ingeniería de software sobre los fundamentos de la ingeniería de software . ESEC / FSE 2019. Nueva York, NY, EE. UU .: ACM: 671–682. doi : 10.1145 / 3338906.3338969 . ISBN 978-1-4503-5572-8.
- ^ "Cómo crear una regla que bloquee o registre los objetos auxiliares del navegador en Symantec Endpoint Protection" . Symantec.com. Archivado desde el original el 14 de mayo de 2013 . Consultado el 12 de abril de 2012 .
- ^ "Soltani, Ashkan, Canty, Shannon, Mayo, Quentin, Thomas, Lauren y Hoofnagle, Chris Jay: cookies de Flash y privacidad" . 10 de agosto de 2009. SSRN 1446862 .
- ^ "Objetos locales compartidos -" Cookies Flash " " . Centro de información de privacidad electrónica. 21 de julio de 2005. Archivado desde el original el 16 de abril de 2010 . Consultado el 8 de marzo de 2010 .
- ^ Chee, Philip . "Flashblock :: Complementos para Firefox" . Complementos de Mozilla . Fundación Mozilla . Archivado desde el original el 15 de abril de 2013.
- ^ "Pwn2Own 2010: entrevista con Charlie Miller" . 1 de marzo de 2010. Archivado desde el original el 24 de abril de 2011 . Consultado el 27 de marzo de 2010 .
- ^ "El experto dice que la política de Adobe Flash es arriesgada" . 12 de noviembre de 2009. Archivado desde el original el 26 de abril de 2011 . Consultado el 27 de marzo de 2010 .
- ^ John C. Mitchell . "Modelo de seguridad del navegador" (PDF) . Archivado (PDF) desde el original el 20 de junio de 2015.
- ^ "Uso de la API de pantalla completa HTML5 para ataques de phishing» Feross.org " . feross.org . Archivado desde el original el 25 de diciembre de 2017 . Consultado el 7 de mayo de 2018 .
- ^ "Uso de una cuenta de usuario con menos privilegios" . Microsoft . Archivado desde el original el 6 de marzo de 2013 . Consultado el 20 de abril de 2013 .
- ^ "Cómo detener la ejecución de un control ActiveX en Internet Explorer" . Microsoft . Archivado desde el original el 2 de diciembre de 2014 . Consultado el 22 de noviembre de 2014 .
- ^ "Entradas de registro de zonas de seguridad de Internet Explorer para usuarios avanzados" . Microsoft . Archivado desde el original el 2 de diciembre de 2014 . Consultado el 22 de noviembre de 2014 .
- ^ "Bloqueo de control ActiveX desactualizado" . Microsoft . Archivado desde el original el 29 de noviembre de 2014 . Consultado el 22 de noviembre de 2014 .
- ^ "Gestión de complementos de Internet Explorer y detección de fallos" . Microsoft . Archivado desde el original el 29 de noviembre de 2014 . Consultado el 22 de noviembre de 2014 .
- ^ "Cómo administrar los complementos de Internet Explorer en Windows XP Service Pack 2" . Microsoft . Archivado desde el original el 2 de diciembre de 2014 . Consultado el 22 de noviembre de 2014 .
- ^ Matthew Conover. "Análisis del modelo de seguridad de Windows Vista" (PDF) . Symantec Corporation . Archivado desde el original (PDF) el 16 de mayo de 2008 . Consultado el 8 de octubre de 2007 .
- ^ "Seguridad del navegador: lecciones de Google Chrome" . Archivado desde el original el 11 de noviembre de 2013.
- ^ "Informar sobre software malicioso (URL) a Google" . Archivado desde el original el 12 de septiembre de 2014.
- ^ "Navegación segura de Google" . Archivado desde el original el 14 de septiembre de 2014.
- ^ "5 formas de proteger su navegador web" . ZoneAlarm . Archivado desde el original el 7 de septiembre de 2014.
- ^ "Adblock Plus pronto bloqueará menos anuncios - SiliconFilter" . Siliconfilter.com. Archivado desde el original el 30 de enero de 2013 . Consultado el 20 de abril de 2013 .
- ^ "Asegurar su navegador web" . Archivado desde el original el 26 de marzo de 2010 . Consultado el 27 de marzo de 2010 .
- ^ a b Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 de septiembre de 2017). "Libro blanco de seguridad del navegador" (PDF) . X41D SEC GmbH.
- ^ "Mejoras de seguridad para Microsoft Edge (Microsoft Edge para profesionales de TI)" . Microsoft . 15 de octubre de 2017 . Consultado el 31 de agosto de 2018 .
- ^ Pearce, Paul; Jones, Ben; Li, Frank; Ensafi, Roya; Feamster, Nick; Weaver, Nick; Paxson, Vern (2017). "Medición global de la manipulación de {DNS}" : 307–323. ISBN 978-1-931971-40-9. Cite journal requiere
|journal=
( ayuda )
Otras lecturas
- Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 de septiembre de 2017). "Libro blanco de seguridad del navegador" (PDF) . X41D SEC GmbH.
- Heiderich, Mario; Inführ, Alex; Fäßler, Fabian; Kerin, Nikolai; Kinugawa, Masato (29 de noviembre de 2017). "Libro blanco de seguridad del navegador Cure53" (PDF) . Cura 53.