Seguridad en Navegadores

Seguridad en Navegadores
Chema Alonso
MS MVP Enterprise Security
chema@informatica64.com

Code
Windows Code
Library Code
Application Code
Arquitectura: Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization
DEP
ASLR
Stack
Locals
LoadLibrary()
Return Address
Parameters
Previous Frames

Arquitectura: MIC & UIPI
MandatoryIntegrity Control (MIC).
Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.
Niveles de Integridad: Bajo, Medo, Alto y de Sistema
Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad
A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso
UserInterfacerPrivilegeIsolation (UIPI)
Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.
Virtual Store:
Acceso a carpetas y claves del registro virtualizadas en perfil de usuario

Extensiones, administración y configuración (I)
Todos los navegadores, excepto Safari permiten el uso de extensiones.
Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados.
Solo IE8 y Firefox* permiten configuración por GPO’s
Firefox con software adicional en AD y en cliente

Extensiones, administración y configuración (II)
Sólo IE8 permite controlar componentes por sitio y usuario.

Administrador de complementos en IE8

Extensiones, administración y configuración (III)

Control de cookies y sesiones
IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting.
Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking
Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.

Ingeniería Social

Ingeniería Social: Resalto del dominio
Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL.
Internet Explorer
Google Chrome

Nombre de dominioresaltado

Alertas sobre certificados
Todos los navegadores muestran alertas sobre certificados en los siguientes casos:
Certificado generado para otro dominio
Certificado caducado
Certificado emitido por una CA desconocida

Certificados con validación extendida
Todos los navegadores realizan un resalto de los certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.

Almacén de certificados
Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de MozillaFirefox, Opera Browser o Apple Safari.

Programa PADRE

Protección ante phishing y malware (I)
Todos los navegadores incorporan un sistema de protección contra malware.
Los tiempos de respuesta de Opera respecto a los demás está muy distante.

Protección ante phishing y malware (II)
Detección de malware por cada uno de los navegadores

Protección ante phishing y malware (III)

Firefox y el Malware
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf

Gestión de información de navegación

Configuración de Javascript
Todos los navegadores permiten deshabilitar Javascript.
Chrome y Safari no permiten una configuración avanzada de opciones Javascript.
Solo IE8 y Google Chrome permiten hacer listas.

Vulnerabilidades

Número de vulnerabilidades
Internet Explorer 8 [12 meses]
Marzo 2009
Chrome 2, 3 y 4 [10 meses]
Mayo 2009
Firefox >= 3.5 [ 9 meses]
Julio 2009
Opera >=9.6 [14 meses]
Enero 2009
Apple Safari 4.0 [9 meses]
Julio de 2009

Número de vulnerabilidades totales

Número de vulnerabilidades por mes

Vulnerabilidades por criticidad

Cuota de Mercado

Corrección de vulnerabilidades

¿Preguntas?
Chema Alonso
Microsoft MVP
Enterprise Security
chema@informatica64.com
http://twitter.com/chemaalonso
http://elladodelmal.blogspot.com
Informática64
i64@informatica64.com
http://www.informatica64.com
http://twitter.com/informatica64

http://www.elladodelmal.com	1486
http://elladodelmal.blogspot.com	348
http://www.javipas.com	260
http://www.slideshare.net	28
http://practicasblogeer1smr.blogspot.com	19
http://practicasblogeer1smr.blogspot.com.es	18
http://navegadoresactual.blogspot.com	7
http://192.168.1.13	4
http://static.slidesharecdn.com	4
http://www.blogger.com	3
http://translate.googleusercontent.com	2
http://www.educlic.net	2
http://www.elladodelmal.blogspot.com	2
http://webcache.googleusercontent.com	1
http://www.e-presentations.us	1
https://gtfomy.biz	1
http://127.0.0.1:8795	1
resource://brief-content	1
http://www.google.es	1

Seguridad en Navegadores

by Chema Alonso

Accessibility

Categories

Upload Details

Usage Rights

19 Embeds 2,189

Statistics

Seguridad en Navegadores Presentation Transcript