Seguridad del navegador

Browser Security  es una aplicación de seguridad de Internet para navegadores web para proteger los datos de la red y los sistemas informáticos de violaciones de la privacidad o malware . Las vulnerabilidades de seguridad del navegador a menudo usan JavaScript , a veces secuencias de comandos entre sitios (XSS) [1] con una carga útil adicional que usa Adobe Flash . [2] Las vulnerabilidades de seguridad también pueden explotar vulnerabilidades (agujeros de seguridad) que comúnmente se explotan en todos los navegadores (incluidos Mozilla Firefox , [3] Google Chrome , [4] Opera , [5] Microsoft Internet Explorer , [6] y Safari [7 ] ).

Seguridad

Los navegadores web pueden ser secuestrados de una o más de las siguientes maneras:

• El sistema operativo está pirateado y el malware lee/modifica el espacio de memoria del navegador en modo privilegiado [8]
• El sistema operativo tiene malware ejecutándose como un proceso en segundo plano que lee/modifica el espacio de memoria del navegador en modo privilegiado
• El ejecutable del navegador principal puede ser pirateado
• Los componentes del navegador pueden ser pirateados
• Los complementos del navegador pueden ser pirateados
• Los mensajes de la red del navegador se pueden interceptar fuera de la máquina [9]

Es posible que el navegador no tenga conocimiento de ninguna de las infracciones anteriores y puede indicarle al usuario que se ha establecido una conexión segura.

Cada vez que un navegador se comunica con un sitio web, el sitio web recopila cierta información sobre el navegador como parte de esa interacción (al menos para procesar el formato de la página que se va a entregar). [10] Si se insertó un código malicioso en el contenido de un sitio web o, en el peor de los casos, si ese sitio web se diseñó específicamente para albergar código malicioso, las vulnerabilidades específicas del navegador podrían permitir que ese código malicioso inicie procesos en el navegador. aplicación de forma no intencionada (y tenga en cuenta que una de las piezas de información que recoge un sitio web cuando se comunica con un navegador es la identificación del navegador, lo que permite la explotación de ciertas vulnerabilidades). [11] Una vez que el atacante puede ejecutar procesos en la computadora de la víctima, explotar las vulnerabilidades de seguridad conocidas podría permitirle obtener acceso privilegiado (si el navegador aún no se está ejecutando con acceso privilegiado) al sistema "infectado" para realizar una variedad aún mayor de procesos y acciones maliciosos en la máquina o incluso en toda la red de la víctima. [12]

Ventana emergente

Las infracciones de seguridad del navegador web generalmente tienen como objetivo eludir las protecciones para mostrar anuncios emergentes [13] , recopilar información personal (PII) ya sea para marketing en línea o robo de identidad, seguimiento de sitios web o análisis web sobre un usuario en contra de su voluntad con el uso de herramientas como un baliza web , Clickjacking , Likejacking (que utiliza el botón Me gusta de Facebook ), [14] [15] [16] [17] cookies HTTP , cookies zombie o cookies Flash cookies Flash (objetos compartidos locales o LSO); [2] instalación de adware , virus , spyware como troyanos (para obtener acceso a las computadoras personales de los usuarios mediante piratería ) u otro malware , incluido el robo de banca por Internet mediante ataques Man-in-the-Browser".

Una inmersión profunda en las vulnerabilidades del navegador web Chromium muestra que la validación de entrada incorrecta (CWE-20) y el control de acceso incorrecto (CWE-284) son las causas raíz más comunes de las vulnerabilidades de seguridad. [18] Además, entre las vulnerabilidades estudiadas durante este estudio, 106 vulnerabilidades se originaron en Chromium debido a la reutilización o importación de versiones vulnerables de bibliotecas de terceros.

Las vulnerabilidades en el software del navegador web en sí pueden minimizarse manteniendo el software del navegador actualizado, [19] pero esto no será suficiente si el sistema operativo subyacente está comprometido, por ejemplo, por un rootkit. [20] Algunos subcomponentes de los navegadores, como secuencias de comandos, complementos y cookies, [21] [22] [23] son ​​particularmente vulnerables (el "problema del ayudante ofuscado") y también deben abordarse.

Siguiendo el principio de defensa en profundidad, un navegador completamente parcheado y correctamente configurado puede no ser suficiente para evitar problemas de seguridad relacionados con el navegador. Por ejemplo, un rootkit puede interceptar pulsaciones de teclas cuando alguien ingresa a un sitio web bancario, o realizar un " ataque de intermediario " alterando el tráfico de red dentro y fuera de un navegador web. El secuestro de DNS o la suplantación de DNS se pueden utilizar para devolver falsos positivos para nombres de sitios web mal escritos o para sesgar los resultados de búsqueda de motores de búsqueda populares. El malware como RSPlug simplemente cambia la configuración del sistema para apuntar a servidores DNS no autorizados.

Los navegadores pueden utilizar técnicas de red más seguras para evitar algunos de estos ataques:

• DNS : DNSSec y DNSCrypt , por ejemplo con servidores DNS no predeterminados como Google Public DNS u OpenDNS .
• HTTP : HTTP seguro y SPDY con certificados de clave pública firmados digitalmente o certificados de validación extendida .

La protección perimetral, generalmente mediante el uso de firewalls y el uso de proxies de filtrado que bloquean sitios web maliciosos y realizan un análisis antivirus de cualquier archivo descargado, se implementa comúnmente como una mejor práctica en grandes organizaciones para bloquear el tráfico de red malicioso antes de que llegue al navegador.

El tema de la seguridad del navegador ha crecido hasta tal punto que ha generado organizaciones enteras como The Browser Exploitation Framework Project [24] creando plataformas para recopilar herramientas para romper la seguridad del navegador, aparentemente para verificar las vulnerabilidades de los navegadores y los sistemas de red.

Complementos y extensiones

Aunque no forman parte del navegador en sí, los complementos y las extensiones del navegador aumentan la superficie de ataque al exponer vulnerabilidades en Adobe Flash Player , Adobe (Acrobat) Reader , el complemento de Java y ActiveX , que comúnmente explotan los atacantes. [25] Los investigadores han estudiado detenidamente la arquitectura de seguridad de varios navegadores web, en particular los basados ​​en principios plug-and-play. Este estudio identificó 16 tipos comunes de vulnerabilidades y 19 soluciones potenciales. El malware también se puede implementar como una extensión del navegador, como un objeto auxiliar del navegador en el caso de Internet Explorer. [26] Los navegadores como Google Chrome y Mozilla Firefox pueden bloquear o advertir a los usuarios sobre complementos no seguros.

Flash de adobe

Un estudio de agosto de 2009 realizado por Social Science Research Network encontró que el 50% de los sitios web que usan Flash también usan cookies de Flash; sin embargo, las políticas de privacidad rara vez las divulgan y no había controles de usuario para la configuración de privacidad. [27] La ​​mayoría de las funciones de eliminación de caché e historial de los navegadores no afectan a Flash Player al escribir objetos locales compartidos en su propia caché, y la comunidad de usuarios es mucho menos consciente de la existencia y función de las cookies Flash que las cookies HTTP. [28] Por lo tanto, los usuarios que han eliminado las cookies HTTP y han borrado los archivos y cachés del historial del navegador pueden creer que han eliminado todos los datos de seguimiento de sus computadoras, cuando en realidad permanece el historial de navegación Flash. Además de la eliminación manual, el complemento BetterPrivacy para Firefox puede eliminar las cookies de Flash. [2] Adblock Plus se puede usar para filtrar ciertas amenazas, [13] y Flashblock se puede usar para brindar una oportunidad antes de permitir contenido en otros sitios confiables. [29]

Charlie Miller recomendó "no instalar Flash" en la conferencia de seguridad informática CanSecWest [30] . Varios otros expertos en seguridad también recomiendan no instalar Adobe Flash Player o bloquearlo. [31]

Modelo de seguridad de contraseña

El contenido de la página web es arbitrario y está controlado por la persona propietaria del dominio cuyo nombre aparece en la barra de direcciones. Si se usa HTTPS , entonces se usa el cifrado para evitar que los intrusos que tienen acceso a la red modifiquen el contenido de la página en tránsito. Al presentar un campo de contraseña en una página web, el usuario debe mirar la barra de direcciones para determinar si el nombre de dominio en la barra de direcciones es el lugar correcto para enviar la contraseña. [32] Por ejemplo, para el sistema de inicio de sesión único de Google (como se usa, por ejemplo, en youtube.com), el usuario siempre debe verificar que la barra de direcciones diga " https://accounts.google.com" antes de ingresar su clave.

Un navegador no comprometido garantiza que la barra de direcciones sea correcta. Esta garantía es una de las razones por las que los navegadores suelen mostrar una advertencia cuando pasan a pantalla completa en la parte superior de donde normalmente estaría la barra de direcciones, por lo que un sitio web de pantalla completa no puede crear una interfaz de usuario de navegador falsa con una barra de direcciones falsa. [33]

Navegador de hardware

Ha habido intentos de vender navegadores de hardware que se ejecutan desde sistemas de archivos de solo lectura y sin escritura. Los datos no se pueden guardar en el dispositivo y los medios no se pueden sobrescribir, se muestra un archivo ejecutable en blanco cada vez que se carga. El primer dispositivo de este tipo fue ZeusGard Secure Hardware Browser, lanzado a finales de 2013. El sitio web de ZeusGard ha estado inactivo desde mediados de 2016. Otro dispositivo, el iCloak® Stik del sitio web de iCloak , proporciona un Live CD completo que reemplaza completamente el sistema operativo de la computadora y ofrece dos navegadores web desde un sistema de solo lectura. Con iCloak, proporcionan el navegador Tor para la navegación anónima, así como el navegador Firefox normal para la navegación no anónima. Cualquier tráfico web no seguro (por ejemplo, que no use https) aún puede estar sujeto a la modificación del intermediario u otra manipulación basada en el tráfico de la red.

CD en vivo

Los Live CD , que ejecutan el sistema operativo desde una fuente no grabable, generalmente se envían con los navegadores web como parte de la imagen predeterminada. Siempre que la imagen del Live CD original esté libre de malware, todo el software que utilice, incluido el navegador web, se cargará sin malware cada vez que inicie la imagen del Live CD.

Seguridad del navegador

Navegar por Internet como una cuenta de usuario con los privilegios mínimos (sin derechos de administrador) limita la capacidad de un exploit de seguridad en un navegador web para comprometer todo el sistema operativo. [34]

Internet Explorer 4 y versiones posteriores le permiten incluir en la lista negra [35] [36] [37] y en la lista blanca [38] [39] controles ActiveX , complementos y extensiones de navegador de varias formas.

Internet Explorer 7 agregó el "modo protegido", una tecnología que mejora la seguridad del navegador mediante el uso de una función de espacio aislado de seguridad de Windows Vista llamada control de integridad obligatorio . [40] Google Chrome proporciona un entorno limitado para restringir el acceso a las páginas web por parte del sistema operativo. [41]

Los sitios maliciosos sospechosos informados por Google [42] y confirmados por Google se marcan como alojamiento de malware en ciertos navegadores. [43]

Existen extensiones y complementos de terceros para proteger incluso los navegadores más recientes, [44] así como algunos para navegadores y sistemas operativos más antiguos. El software de lista blanca como NoScript puede bloquear JavaScript , que se utiliza para la mayoría de los ataques a la privacidad, lo que permite a los usuarios seleccionar solo sitios que saben que son seguros. Los creadores de listas de filtros han sido controvertidos por permitir que algunos sitios pasen filtros preinstalados de forma predeterminada. [45] US-CERT recomienda bloquear Flash usando NoScript. [46]

Fuzzing

Los navegadores web modernos están sujetos a un fuzzing extenso para identificar vulnerabilidades. El código de Chromium para Google Chrome es revisado constantemente por el equipo de seguridad de Chrome con 15,000 núcleos. [47] Para Microsoft Edge e Internet Explorer , Microsoft realizó pruebas difusas usando 670 años máquina durante el desarrollo del producto, generando más de 400 mil millones de manipulaciones DOM a partir de mil millones de archivos HTML. [48] ​​[47]

Mejores prácticas

• Descargar software limpio: instale un sistema operativo limpio con un navegador web limpio conocido
• Tome las contramedidas adecuadas contra la vulnerabilidad de uso compartido de recursos entre orígenes (CORS) (se proporcionan soluciones de muestra para navegadores basados ​​en WebKit).
• Evite ataques con software de terceros: use un navegador web seguro o una vista gratuita de complementos.
• Evite la manipulación de DNS: use un DNS confiable y seguro. [49]
• Evite las vulnerabilidades en los sitios web: use complementos del navegador para verificar los enlaces que se usan comúnmente en los programas de seguridad de Internet.
• Evite el contenido malicioso: use protección perimetral y software antimalware.

Véase también

• Navegador Antidetect
• Seguridad de Internet
• Seguridad de la red
• OWASP

Notas

1. ↑ Maone, Giorgio NoScript :: Complementos para Firefox . Complementos de Mozilla . Fundación Mozilla . (indefinido)
2. ↑ 1 2 3 BetterPrivacy :: Complementos para Firefox . Fundación Mozilla .  (indefinido) (enlace no disponible)
3. ↑ Keiser, Greg. Archivado desde el original el 28 de octubre de 2010, vulnerabilidad de Firefox 3.5 confirmada . . Consultado el 19 de noviembre de 2010.
4. ↑ Messmer, Ellen y NetworkWorld. "Google Chrome encabeza la lista de aplicaciones vulnerables 'Dirty Dozen'" . Consultado el 19 de noviembre de 2010.
5. ↑ Skinner, Carrie-Ann. Opera tapa el agujero del navegador "grave" Archivado desde el original el 20 de mayo de 2009. . Consultado el 19 de noviembre de 2010.
6. ↑ Bradley, Tony. "Es hora de abandonar finalmente Internet Explorer 6" Archivado el 15 de octubre de 2012. . Consultado el 19 de noviembre de 2010.
7. ↑ Navegador . Mashable . Consultado el 2 de septiembre de 2011. Archivado desde el original el 2 de septiembre de 2011. (indefinido)
8. ↑ Smith, Dave El troyano Yontoo: el nuevo malware de Mac OS X infecta los navegadores Google Chrome, Firefox y Safari a través de adware . IBT Media Inc (21 de marzo de 2013). Consultado el 21 de marzo de 2013. Archivado desde el original el 24 de marzo de 2013. (indefinido)
9. ↑ Goodin, Dan La violación de MySQL.com deja a los visitantes expuestos a malware . el registro Consultado el 26 de septiembre de 2011. Archivado desde el original el 28 de septiembre de 2011. (indefinido)
10. ↑ Clinton Wong. Transacciones HTTP . O´Reilly. Archivado desde el original el 13 de junio de 2013. (indefinido)
11. ↑ 9 formas de saber que su PC está infectada con malware . Archivado desde el original el 11 de noviembre de 2013. (indefinido)
12. ↑ Documentos técnicos de Symantec Security Response . Archivado desde el original el 9 de junio de 2013. (indefinido)
13. ↑ 1 2 Palant, Wladimir Adblock Plus :: Complementos para Firefox . Complementos de Mozilla . Fundación Mozilla . (indefinido)
14. ↑ La privacidad de Facebook se investigó sobre "me gusta" e invitaciones , CBC News  (23 de septiembre de 2010). Consultado el 24 de agosto de 2011.
15. ↑ Albanesio, Cloe . Agencias alemanas prohibidas de usar Facebook, botón 'Me gusta' , PC Magazine  (19 de agosto de 2011). Consultado el 24 de agosto de 2011.
16. ↑ McCullagh, Declan . El botón "Me gusta" de Facebook atrae el escrutinio de la privacidad , CNET News  (2 de junio de 2010). Consultado el 19 de diciembre de 2011.
17. ↑ Roosendaal, Arnold Facebook Rastrea y Rastrea a Todos: ¡Me Gusta! (30 de noviembre de 2010). (indefinido)
18. ↑ Santos, JCS; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, JV; Sejfia, A. (abril de 2017). "Comprensión de las vulnerabilidades de software relacionadas con las tácticas de seguridad arquitectónica: una investigación empírica de Chromium, PHP y Thunderbird" . 2017 Conferencia internacional IEEE sobre arquitectura de software (ICSA) : 69-78. DOI : 10.1109/ICSA.2017.39 . ISBN  978-1-5090-5729-0 . S2CID  29186731 .
19. ↑ Estado de Vermont. Ataques de navegador web . Consultado el 11 de abril de 2012. Archivado desde el original el 13 de febrero de 2012. (indefinido)
20. ↑ Descripción general del rootkit de Windows . Symantec. Consultado el 20 de abril de 2013. Archivado desde el original el 16 de mayo de 2013. (indefinido)
21. ↑ Ataque de secuencias de comandos entre sitios . Consultado el 20 de mayo de 2013. Archivado desde el original el 15 de mayo de 2013. (indefinido)
22. ↑ Lenny Zeltser. Mitigación de ataques en el navegador web y complementos . Consultado el 20 de mayo de 2013. Archivado desde el original el 7 de mayo de 2013. (indefinido)
23. ↑ Dan Goodin. Dos nuevos ataques a las cookies de autenticación de descifrado SSL (14 de marzo de 2013). Consultado el 20 de mayo de 2013. Archivado desde el original el 15 de mayo de 2013. (indefinido)
24. ↑ beefproject.com . Archivado desde el original el 11 de agosto de 2011. (indefinido)
25. ↑ Santos, Joanna C. S.; Sejña, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). “El talón de Aquiles de las arquitecturas de software plug-and-play: un enfoque basado en la teoría fundamentada” . Actas de la 27.ª reunión conjunta de la ACM de 2019 sobre la conferencia europea de ingeniería de software y el simposio sobre los fundamentos de la ingeniería de software . ESEC/FSE 2019. Nueva York, NY, EE. UU.: ACM: 671-682. DOI : 10.1145/3338906.3338969 . ISBN  978-1-4503-5572-8 . S2CID  199501995 .
26. ↑ Cómo crear una regla que bloquee o registre los objetos auxiliares del navegador en Symantec Endpoint Protection . Symantec.com. Consultado el 12 de abril de 2012. Archivado desde el original el 14 de mayo de 2013. (indefinido)
27. ↑ Plantilla: Citar ssrn
28. ↑ Objetos compartidos locales -- "Cookies Flash" . Centro de Información de Privacidad Electrónica (21 de julio de 2005). Consultado el 8 de marzo de 2010. Archivado desde el original el 16 de abril de 2010. (indefinido)
29. ↑ Chee, Philip Flashblock :: Complementos para Firefox . Complementos de Mozilla . Fundación Mozilla . Archivado desde el original el 15 de abril de 2013. (indefinido)
30. ↑ Pwn2Own 2010: entrevista con Charlie Miller (1 de marzo de 2010). Consultado el 27 de marzo de 2010. Archivado desde el original el 24 de abril de 2011. (indefinido)
31. ↑ Expert dice que la política de Adobe Flash es arriesgada (12 de noviembre de 2009). Consultado el 27 de marzo de 2010. Archivado desde el original el 26 de abril de 2011. (indefinido)
32. ↑ John C. Mitchell. Modelo de seguridad del navegador . Archivado desde el original el 20 de junio de 2015. (indefinido)
33. ↑ Uso de la API de pantalla completa de HTML5 para ataques de phishing » Feross.org . feross.org . Consultado el 7 de mayo de 2018. Archivado desde el original el 25 de diciembre de 2017. (indefinido)
34. ↑ Uso de una cuenta de usuario con privilegios mínimos . microsoft _ Consultado el 20 de abril de 2013. Archivado desde el original el 6 de marzo de 2013. (indefinido)
35. ↑ Cómo detener la ejecución de un control ActiveX en Internet Explorer . microsoft _ Consultado el 22 de noviembre de 2014. Archivado desde el original el 2 de diciembre de 2014. (indefinido)
36. ↑ Entradas de registro de zonas de seguridad de Internet Explorer para usuarios avanzados . microsoft _ Consultado el 22 de noviembre de 2014. Archivado desde el original el 2 de diciembre de 2014. (indefinido)
37. ↑ Bloqueo de control ActiveX desactualizado . microsoft _ Consultado el 22 de noviembre de 2014. Archivado desde el original el 29 de noviembre de 2014. (indefinido)
38. ↑ Administración de complementos de Internet Explorer y detección de bloqueos . microsoft _ Consultado el 22 de noviembre de 2014. Archivado desde el original el 29 de noviembre de 2014. (indefinido)
39. ↑ Cómo administrar complementos de Internet Explorer en Windows XP Service Pack 2 . microsoft _ Consultado el 22 de noviembre de 2014. Archivado desde el original el 2 de diciembre de 2014. (indefinido)
40. ↑ Mateo Conover. Análisis del Modelo de Seguridad de Windows Vista . Corporación Symantec . Consultado el 8 de octubre de 2007. Archivado desde el original el 16 de mayo de 2008. (indefinido)
41. ↑ Seguridad del navegador: lecciones de Google Chrome . Archivado desde el original el 11 de noviembre de 2013. (indefinido)
42. ↑ Reportar software malicioso (URL) a Google . Archivado desde el original el 12 de septiembre de 2014. (indefinido)
43. ↑ Navegación segura de Google . Archivado desde el original el 14 de septiembre de 2014. (indefinido)
44. ↑ 5 formas de proteger su navegador web . Alarma de Zona . Archivado desde el original el 7 de septiembre de 2014. (indefinido)
45. ↑ Adblock Plus pronto bloqueará menos anuncios: SiliconFilter . Siliconfilter.com. Consultado el 20 de abril de 2013. Archivado desde el original el 30 de enero de 2013. (indefinido)
46. ↑ Protección de su navegador web . Consultado el 27 de marzo de 2010. Archivado desde el original el 26 de marzo de 2010. (indefinido)
47. ↑ 1 2 Sesterhenn, Eric; Wever, Berend-Jan; Orru, Michele; Vervier, Markus Documento técnico sobre la seguridad del navegador . X41D SEC GmbH (19 de septiembre de 2017). (indefinido)
48. ↑ ¿ Mejoras de seguridad para Microsoft Edge (Microsoft Edge para profesionales de TI  )  ? . Microsoft (15 de octubre de 2017). Recuperado: 31 Agosto 2018.  (indefinido)
49. ↑ Pearce, Paul. Medición global de {DNS} Manipulación  : [ ing. ]  / Paul Pearce, Ben Jones, Frank Li ... [ et al. ] . — 2017. — Págs. 307–323. — ISBN 978-1-931971-40-9 .

Enlaces

• Sesterhenn, Eric; Wever, Berend-Jan; Orru, Michele; Vervier, Markus Documento técnico sobre la seguridad del navegador . X41D SEC GmbH (19 de septiembre de 2017). (indefinido)
• Heiderich, Mario; Inführ, Alex; Fassler, Fabian; Krein, Nikolái; Kinugawa, Masato Cure53 Documento técnico sobre la seguridad del navegador . Cure53 (29 de noviembre de 2017). (indefinido)