Seguridad en Navegadores<br />Chema Alonso<br />MS MVP Enterprise Security<br />chema@informatica64.com<br />
Code<br />Windows Code<br />Library Code<br />Application Code<br />Arquitectura: Protección de la Memoria Data ExecutionP...
Arquitectura: MIC & UIPI<br />MandatoryIntegrity Control (MIC).<br />Una aplicación no puede acceder a datos que tengan un...
DEMo<br />
Extensiones, administración y configuración (I)<br />Todos los navegadores, excepto Safari permiten el uso de extensiones....
Extensiones, administración y configuración (II)<br />Sólo IE8 permite controlar componentes por sitio y usuario.<br />
Administrador de complementos en IE8<br />
Extensiones, administración y configuración (III)<br />
Control de cookies y sesiones<br />IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa ...
Ingeniería Social<br />
Ingeniería Social: Resalto del dominio<br />Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio e...
Nombre de dominioresaltado<br />
Alertas sobre certificados<br />Todos los navegadores muestran alertas sobre certificados en los siguientes casos:<br />Ce...
Certificados con validación extendida<br />Todos los navegadores realizan un resalto de los certificados con validación ex...
Almacén de certificados<br />Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes ...
Programa PADRE<br />
Protección ante phishing y malware (I)<br /><ul><li> Todos los navegadores incorporan un sistema de protección contra malw...
 Los tiempos de respuesta de Opera respecto a los demás está muy distante.</li></li></ul><li>Protección ante phishing y ma...
Protección ante phishing y malware (III)<br />
Firefox y el Malware<br />http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and...
Gestión de información de navegación<br />
Configuración de Javascript<br />Todos los navegadores permiten deshabilitar Javascript.<br />Chrome y Safari no permiten ...
Vulnerabilidades<br />
Número de vulnerabilidades<br />Internet Explorer 8 [12 meses]<br />Marzo 2009<br />Chrome 2, 3 y 4 [10 meses]<br />Mayo 2...
Número de vulnerabilidades totales<br />
Número de vulnerabilidades por mes<br />
Vulnerabilidades por criticidad<br />
Cuota de Mercado<br />
Corrección de vulnerabilidades<br />
¿Preguntas?<br />Chema Alonso<br />Microsoft MVP<br />Enterprise Security<br />chema@informatica64.com<br />http://twitter...
Upcoming SlideShare
Loading in …5
×

Gestión seguridad de la navegación por internet

1,654
-1

Published on

Charla de Chema Alonso de la empresa Imformatica 64 durante el III Curso de verano de Seguridad Informatica de la UEM en Valencia.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,654
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
73
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Gestión seguridad de la navegación por internet

  1. 1. Seguridad en Navegadores<br />Chema Alonso<br />MS MVP Enterprise Security<br />chema@informatica64.com<br />
  2. 2. Code<br />Windows Code<br />Library Code<br />Application Code<br />Arquitectura: Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization<br />DEP<br />ASLR<br />Stack<br />Locals<br />LoadLibrary()<br />Return Address<br />Parameters<br />Previous Frames<br />
  3. 3. Arquitectura: MIC & UIPI<br />MandatoryIntegrity Control (MIC).<br />Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.<br />Niveles de Integridad: Bajo, Medo, Alto y de Sistema<br />Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad<br />A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso<br />UserInterfacerPrivilegeIsolation (UIPI)<br />Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.<br />Virtual Store: <br />Acceso a carpetas y claves del registro virtualizadas en perfil de usuario<br />
  4. 4. DEMo<br />
  5. 5.
  6. 6. Extensiones, administración y configuración (I)<br />Todos los navegadores, excepto Safari permiten el uso de extensiones.<br />Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados.<br />Solo IE8 y Firefox* permiten configuración por GPO’s<br />Firefox con software adicional en AD y en cliente<br />
  7. 7. Extensiones, administración y configuración (II)<br />Sólo IE8 permite controlar componentes por sitio y usuario.<br />
  8. 8. Administrador de complementos en IE8<br />
  9. 9. Extensiones, administración y configuración (III)<br />
  10. 10. Control de cookies y sesiones<br />IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting.<br />Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking<br />Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.<br />
  11. 11.
  12. 12. Ingeniería Social<br />
  13. 13. Ingeniería Social: Resalto del dominio<br />Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL.<br />Internet Explorer<br />Google Chrome<br />
  14. 14. Nombre de dominioresaltado<br />
  15. 15. Alertas sobre certificados<br />Todos los navegadores muestran alertas sobre certificados en los siguientes casos:<br />Certificado generado para otro dominio<br />Certificado caducado<br />Certificado emitido por una CA desconocida<br />
  16. 16. Certificados con validación extendida<br />Todos los navegadores realizan un resalto de los certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.<br />
  17. 17. Almacén de certificados<br />Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de MozillaFirefox, Opera Browser o Apple Safari. <br />
  18. 18. Programa PADRE<br />
  19. 19. Protección ante phishing y malware (I)<br /><ul><li> Todos los navegadores incorporan un sistema de protección contra malware.
  20. 20. Los tiempos de respuesta de Opera respecto a los demás está muy distante.</li></li></ul><li>Protección ante phishing y malware (II)<br />Detección de malware por cada uno de los navegadores<br />
  21. 21. Protección ante phishing y malware (III)<br />
  22. 22. Firefox y el Malware<br />http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf<br />
  23. 23. Gestión de información de navegación<br />
  24. 24. Configuración de Javascript<br />Todos los navegadores permiten deshabilitar Javascript.<br />Chrome y Safari no permiten una configuración avanzada de opciones Javascript.<br />Solo IE8 y Google Chrome permiten hacer listas.<br />
  25. 25. Vulnerabilidades<br />
  26. 26. Número de vulnerabilidades<br />Internet Explorer 8 [12 meses]<br />Marzo 2009<br />Chrome 2, 3 y 4 [10 meses]<br />Mayo 2009 <br />Firefox >= 3.5 [ 9 meses]<br />Julio 2009<br />Opera >=9.6 [14 meses]<br />Enero 2009<br />Apple Safari 4.0 [9 meses]<br />Julio de 2009<br />
  27. 27. Número de vulnerabilidades totales<br />
  28. 28. Número de vulnerabilidades por mes<br />
  29. 29. Vulnerabilidades por criticidad<br />
  30. 30. Cuota de Mercado<br />
  31. 31. Corrección de vulnerabilidades<br />
  32. 32. ¿Preguntas?<br />Chema Alonso<br />Microsoft MVP<br />Enterprise Security<br />chema@informatica64.com<br />http://twitter.com/chemaalonso<br />http://elladodelmal.blogspot.com<br />Informática64<br />i64@informatica64.com<br />http://www.informatica64.com<br />http://twitter.com/informatica64<br />

×