Your SlideShare is downloading. ×
0
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Navegadores en la Empresa
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Navegadores en la Empresa

402

Published on

Charla sober navegadores en la empresa impartida por Chema Alonso, de Informática64 durante la gira Up to Secure 2010.

Charla sober navegadores en la empresa impartida por Chema Alonso, de Informática64 durante la gira Up to Secure 2010.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
402
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Navegadores en Internet<br />Chema Alonso<br />Informática64<br />
  • 2. MarketShare (I)<br />
  • 3. MarketShare (II)<br />
  • 4. Todo el mundo ama a Windows 7<br />
  • 5. Protecciones en Windows 7<br />Data ExecutionPrevention<br />AdressSpaceLayaoutRandomization<br />Virtual Store<br />MandatoryIntegrity Control<br />User Interface PriviledgeIsolation<br />
  • 6. Code<br />Windows Code<br />Library Code<br />Application Code<br />Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization<br />Stack<br />DEP<br />Locals<br />ASLR<br />LoadLibrary()<br />Return Address<br />Parameters<br />Previous Frames<br />
  • 7. MIC & UIPI<br />MandatoryIntegrity Control (MIC).<br />Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.<br />Niveles de Integridad: Bajo, Medo, Alto y de Sistema<br />Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad<br />A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso<br />UserInterfacerPrivilegeIsolation (UIPI)<br />Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.<br />
  • 8. Demo: Browsers en Windows 7<br />
  • 9. Resultados<br />
  • 10. La seguridad no es sólo la arquitectura<br />Malware creados para ella<br />Vulnerabilidades<br />Opciones de seguridad de la herramienta<br />Capacidad de administración de la solución<br />
  • 11. Tecnologías Troyanos<br />Browser HelperObjects<br />FF Plug-ins<br />Google Gears<br />Opera Widgets<br />
  • 12. Esa Fama…<br />
  • 13. La Fama…<br />
  • 14. Firefox y el Malware<br />http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf<br />
  • 15. Administrador de complementos en IE8<br />
  • 16. Seguridad mejorada en Controles ActiveX<br />ActiveX Killbits (IE5)<br />Entrada en el registro (CompatibilityFlags del CLSID) que impide la ejecución de un objeto o control marcado como no seguro cuando está alojado en el navegador.<br />Opt-In (IE7)<br /> Mecanismo que reduce el número de controles disponible para los sitios web y que permite al usuario decidir que controles quiere habilitar.<br />Per Site (IE8)<br /> Bloqueo de los controles para que solo se puedan lanzar desde los sites para los que se diseñaron.<br />Per User (IE8)<br />Permite la instalación de ActiveX solo para el usuario, sin necesidad de permisos de administración o elevación de permisos. Se puede deshabilitar mediante política.<br />
  • 17. Opera:Administrador de Widgets<br />
  • 18. Vulnerabilidades<br />¿Cuántas tienen?<br />¿Cuál es su criticidad?<br />¿Cuánto tardan en parchear?<br />¿Me abandonarán?<br />
  • 19. Google Chrome<br />Desde versión 1.0 hasta hoy: 15 meses<br />4MajorReleases<br />43 vulnerabilidades: 2,85 bugs/mes<br />http://en.wikipedia.org/wiki/Google_Chrome<br />
  • 20. AdvisoriesChrome<br />
  • 21. MozillaFirefox<br />http://en.wikipedia.org/wiki/Firefox<br />Desde versión 3.5 hasta hoy: 9 meses<br />54 vulnerabilidades: 6 bugs/mes<br />
  • 22. AdivsoriesFirefox<br />
  • 23. Opera<br />De la versión 10 hasta hoy: 7 meses<br />6 vulnerabilidades: 0,85 bugs/mes<br />
  • 24. Advisories Opera<br />
  • 25. Internet Explorer 8<br />http://en.wikipedia.org/wiki/Internet_Explorer_8<br />Desde versión 1.0 hasta hoy: 11 meses<br />1 MajorRelease<br />32 vulnerabilidades: 2,9 bugs/mes<br />
  • 26. Advisories IE 8<br />
  • 27. MS Advisory<br />
  • 28. Tabla de navegadores atacados por el exploit de 0-day<br />
  • 29.
  • 30. Protecciones ataques navegador<br />Cookies HTTPOnly<br />Políticas de grupo<br />XDomainRequests – Cross Domain Requests<br />XDM – Cross Domain Messaging<br />Filtro XSS – Cross Site Scripting<br />Protección contra ClickJacking<br />
  • 31.
  • 32. Control empresarial<br />
  • 33. AD y FF<br />
  • 34. Conclusiones<br />Huye de los análisis de bar<br />Prueba y comprueba tú mismo<br />Una herramienta para hackear no tiene porque ser la mejor para todo<br />Casa != Empresa<br />
  • 35. Preguntas<br />Chema Alonso<br />chema@informatica64.com<br />http://elladodelmal.blogspot.com<br />http://twitter.com/informatica64<br />
  • 36. Certificados Extended Validation<br />Protección contra Ingeniería social<br />Estándar de certificados que aparte del canal de comunicación seguro, proporciona información adicional y verificación de la identidad del propietario de un sitio web.<br />Aviso anti MITM<br />
  • 37. Filtro SmartScreen – Bloqueo de Phishing y Malware<br />Mecanismo de seguridad que protege a los usuarios ante ataques de phishing o descarga y ejecución de malware.<br />Clasificación de sites basada en reputación de URLs<br />Evaluación de reputación de URLs basada en heurísticas y telemetría<br />Servicio de reputación de URLs de la plataforma Live<br />
  • 38. Nombre de dominioresaltado<br />Hacemás visible el nombre del dominio, ayudando al usuario a estarseguro del sitio web donde se estáconectando<br />
  • 39. Algunas Percepciones¿Qué navegador implementa mejores opciones de seguridad?<br />

×