Navegadores en la Empresa

529 views

Published on

Charla sober navegadores en la empresa impartida por Chema Alonso, de Informática64 durante la gira Up to Secure 2010.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
529
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Navegadores en la Empresa

  1. 1. Navegadores en Internet<br />Chema Alonso<br />Informática64<br />
  2. 2. MarketShare (I)<br />
  3. 3. MarketShare (II)<br />
  4. 4. Todo el mundo ama a Windows 7<br />
  5. 5. Protecciones en Windows 7<br />Data ExecutionPrevention<br />AdressSpaceLayaoutRandomization<br />Virtual Store<br />MandatoryIntegrity Control<br />User Interface PriviledgeIsolation<br />
  6. 6. Code<br />Windows Code<br />Library Code<br />Application Code<br />Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization<br />Stack<br />DEP<br />Locals<br />ASLR<br />LoadLibrary()<br />Return Address<br />Parameters<br />Previous Frames<br />
  7. 7. MIC & UIPI<br />MandatoryIntegrity Control (MIC).<br />Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.<br />Niveles de Integridad: Bajo, Medo, Alto y de Sistema<br />Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad<br />A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso<br />UserInterfacerPrivilegeIsolation (UIPI)<br />Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.<br />
  8. 8. Demo: Browsers en Windows 7<br />
  9. 9. Resultados<br />
  10. 10. La seguridad no es sólo la arquitectura<br />Malware creados para ella<br />Vulnerabilidades<br />Opciones de seguridad de la herramienta<br />Capacidad de administración de la solución<br />
  11. 11. Tecnologías Troyanos<br />Browser HelperObjects<br />FF Plug-ins<br />Google Gears<br />Opera Widgets<br />
  12. 12. Esa Fama…<br />
  13. 13. La Fama…<br />
  14. 14. Firefox y el Malware<br />http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf<br />
  15. 15. Administrador de complementos en IE8<br />
  16. 16. Seguridad mejorada en Controles ActiveX<br />ActiveX Killbits (IE5)<br />Entrada en el registro (CompatibilityFlags del CLSID) que impide la ejecución de un objeto o control marcado como no seguro cuando está alojado en el navegador.<br />Opt-In (IE7)<br /> Mecanismo que reduce el número de controles disponible para los sitios web y que permite al usuario decidir que controles quiere habilitar.<br />Per Site (IE8)<br /> Bloqueo de los controles para que solo se puedan lanzar desde los sites para los que se diseñaron.<br />Per User (IE8)<br />Permite la instalación de ActiveX solo para el usuario, sin necesidad de permisos de administración o elevación de permisos. Se puede deshabilitar mediante política.<br />
  17. 17. Opera:Administrador de Widgets<br />
  18. 18. Vulnerabilidades<br />¿Cuántas tienen?<br />¿Cuál es su criticidad?<br />¿Cuánto tardan en parchear?<br />¿Me abandonarán?<br />
  19. 19. Google Chrome<br />Desde versión 1.0 hasta hoy: 15 meses<br />4MajorReleases<br />43 vulnerabilidades: 2,85 bugs/mes<br />http://en.wikipedia.org/wiki/Google_Chrome<br />
  20. 20. AdvisoriesChrome<br />
  21. 21. MozillaFirefox<br />http://en.wikipedia.org/wiki/Firefox<br />Desde versión 3.5 hasta hoy: 9 meses<br />54 vulnerabilidades: 6 bugs/mes<br />
  22. 22. AdivsoriesFirefox<br />
  23. 23. Opera<br />De la versión 10 hasta hoy: 7 meses<br />6 vulnerabilidades: 0,85 bugs/mes<br />
  24. 24. Advisories Opera<br />
  25. 25. Internet Explorer 8<br />http://en.wikipedia.org/wiki/Internet_Explorer_8<br />Desde versión 1.0 hasta hoy: 11 meses<br />1 MajorRelease<br />32 vulnerabilidades: 2,9 bugs/mes<br />
  26. 26. Advisories IE 8<br />
  27. 27. MS Advisory<br />
  28. 28. Tabla de navegadores atacados por el exploit de 0-day<br />
  29. 29.
  30. 30. Protecciones ataques navegador<br />Cookies HTTPOnly<br />Políticas de grupo<br />XDomainRequests – Cross Domain Requests<br />XDM – Cross Domain Messaging<br />Filtro XSS – Cross Site Scripting<br />Protección contra ClickJacking<br />
  31. 31.
  32. 32. Control empresarial<br />
  33. 33. AD y FF<br />
  34. 34. Conclusiones<br />Huye de los análisis de bar<br />Prueba y comprueba tú mismo<br />Una herramienta para hackear no tiene porque ser la mejor para todo<br />Casa != Empresa<br />
  35. 35. Preguntas<br />Chema Alonso<br />chema@informatica64.com<br />http://elladodelmal.blogspot.com<br />http://twitter.com/informatica64<br />
  36. 36. Certificados Extended Validation<br />Protección contra Ingeniería social<br />Estándar de certificados que aparte del canal de comunicación seguro, proporciona información adicional y verificación de la identidad del propietario de un sitio web.<br />Aviso anti MITM<br />
  37. 37. Filtro SmartScreen – Bloqueo de Phishing y Malware<br />Mecanismo de seguridad que protege a los usuarios ante ataques de phishing o descarga y ejecución de malware.<br />Clasificación de sites basada en reputación de URLs<br />Evaluación de reputación de URLs basada en heurísticas y telemetría<br />Servicio de reputación de URLs de la plataforma Live<br />
  38. 38. Nombre de dominioresaltado<br />Hacemás visible el nombre del dominio, ayudando al usuario a estarseguro del sitio web donde se estáconectando<br />
  39. 39. Algunas Percepciones¿Qué navegador implementa mejores opciones de seguridad?<br />

×