Infiltrados: la seguridad de los navegadores a prueba

  • Article

Seguramente muchos de vosotros conoceréis a Chema Alonso , el experto en seguridad con el que colaboramos habitualmente en Microsoft Ibérica, y la consultora de seguridad Informática64 . El último estudio sobre seguridad y navegadores que han realizado resulta muy interesante… por varios motivos:

Primero, porque el estudio tomó forma de concurso: el Reto Hacking Infiltrados, que comenzó el pasado día 10 de mayo y ya ha finalizado, y en el que los participantes debían superar dos fases para alzarse como ganadores. En la primera, debían conseguir acceso a un sitio web por medio de técnicas de hacking a través de Internet. El sitio estaba protegido por tres “puertas”, cada una gestionada por un administrador usando diferentes navegadores: Internet Explorer 9, Mozilla Firefox 4 y Google Chrome 11. En la segunda, quienes hubieran superado ésta debían enfrentarse a un problema de firma de parámetros.

El segundo motivo por el que este desafío resulta tan interesante es, precisamente, por los resultados que ha arrojado la primera fase. Tan solo 6 de los 448 hackers que participaron en el reto consiguieron superarla, es decir, lograron romper la seguridad de los tres navegadores. Es decir, que los conocimientos de hacking necesarios eran de tipo avanzado. Lo curioso, además, fue el orden en que cada uno de ellos fueron cayendo: por medio de ataques de Cross-Site Scripting o HTML Injection, para generar el código malicioso para cada puerta, primero fue Mozilla Firefox 4 el primero en ser vulnerado (con ataque de Cross-Site Scripting, al no tener filtro AntiXSS), después Google Chrome 11 y finalmente IE9. Además, de los 442 que no superaron esta frase, hubo otros cuatro que solo pudieron superar Chrome y Firefox.

En el caso de Chrome, además, ocurrió que durante el Reto se actualizó la versión, con lo que se amplió el desafío a ésta nueva, descubriendo que el filtro AntiXSS que incorporaba eliminaba uno de los vectores de ataque, pero que, al mismo tiempo, su implementación permitía técnicas de bypassing, con lo que se publicó un expediente de seguridad de Internet sobre esta vulnerabilidad del que seguro que habréis leído un buen puñado de posts en diferentes blogs y sitios de noticias.

En resumen, una buena muestra de las fortalezas en cuestión de seguridad de cada uno de los principales navegadores. Podéis encontrar más información en la propia página del Retro Hacking Infiltrados y en el solucionario del desafío en Un Informático en el Lado del Mal