Las capacidades de seguridad integradas en los navegadores más populares hacen que sea más difícil que nunca para los cibercriminales llevar a cabo ataques basados en el aprovechamiento de las vulnerabilidades web, de acuerdo con expertos de seguridad de la información.
Si bien las mejoras de seguridad no hacen que los navegadores sean a prueba de balas, recientes concursos de hacking demuestran una mejora general en el estado de la seguridad de los navegadores.
Microsoft, Mozilla y Google han estado desarrollando soporte para capacidades sustanciales de seguridad en los últimos años que aíslan los componentes críticos y ayudan a evitar que los atacantes utilicen los browsers como un trampolín para un ataque más importante, dice Chris Valasek, científico principal de investigación en los Laboratorios Accuvant.
"Es aceptado que cuando los usuarios dan clic en los enlaces, los navegadores pueden ser explotados, pero si tienes algo para contener el ataque estarás mucho mejor", dice Valasek. "Mientras haya atacantes inteligentes por ahí con tiempo suficiente, tomarán las vulnerabilidades y crearán algo para explotarlas, pero estamos viendo que ya les toma más tiempo y más esfuerzo."
En la Conferencia RSA 2012, Valasek y su equipo, que incluye a los investigadores Joshua Drake y Paul Mehta, hablaron acerca de las características de seguridad de los navegadores Web y los resultados de sus análisis de seguridad de navegadores, incluyendo a Mozilla Firefox, Microsoft Internet Explorer y Google Chrome. El análisis encontró que los tres navegadores contienen capacidades que dificultan mucho el trabajo de un atacante. Los investigadores de los Laboratorios Accuvant elogiaron que Google implementara sandboxes en Chrome y lo convirtiera en un navegador muy difícil de quebrar. La tecnología sandbox –también implementada en Internet Explorer– está destinada a contener determinadas acciones, como la ejecución de código.
"Aunque no son perfectos, los sandboxes proporcionan una gran barrera para el acceso persistente en cualquier máquina", dice Valasek. "Puede provocar que un atacante busque la fruta que cuelga en ramas inferiores."
Tanto IE como Chrome también apoyan el endurecimiento JIT, una función que reduce el impacto de las vulnerabilidades en otro software. El navegador del motor JIT navegador es uno de los objetivos favoritos de los atacantes.
Los tres navegadores utilizan espacios de direcciones aleatorias (ASLR) y prevención de ejecución de datos (DEP), tecnologías diseñadas para prevenir que un atacante utilice ubicaciones conocidas para comenzar la explotación, así como explotar código en ciertas regiones de la memoria. Los navegadores también contienen una función de cookies en pila, que está diseñada para evitar desbordamientos de búfer basados en pila, un componente común para un ataque exitoso.
"Podemos vencer a Firefox o Internet Explorer e incluso a Chrome, pero todos estos navegadores han mejorado drásticamente desde donde estaban hace cuatro años", dice Drake.
Sin embargo, como con cualquier tecnología de seguridad, no existe una bala de plata, añade. Todas las características de seguridad contienen debilidades que pueden ser explotadas por un atacante experto. Sin embargo, la naturaleza cada vez más difícil de llevar a cabo un ataque contra una vulnerabilidad del navegador fue demostrada en marzo durante la conferencia de seguridad CanSecWest en Vancouver BC, donde Google y HP TippingPoint celebraron sus concursos anuales para quebrar navegadores. Aunque se coronaron varios ganadores, los participantes admitieron que les tomó largas horas hilvanar un escenario de ataque que les permitiera romper el navegador y entrar a la máquina.
Un equipo de investigadores de VUPEN Security encadenó varias vulnerabilidades en un complejo exploit y consiguió $60,000 dólares de Google. Otros hackers de sombrero blanco en el concurso no pudieron sacar un ataque completo. El concurso de este año contrastó con años anteriores, cuando a varios investigadores de seguridad les tomó escasos minutos para demostrar una vulnerabilidad y completar un ataque exitoso al navegador.
Para el concurso Pwn2Own dirigido por Zero Day Initiative de TippingPoint (HP), el equipo de investigación de VUPEN demostró un ataque exitoso contra Chrome e Internet Explorer, mientras que los investigadores independientes Vincenzo Iozzo y Willem Pinckaers se unieron para explotar con éxito una falla de día cero de Firefox.
A pesar de las mejoras en la seguridad de los navegadores, el spear phishing y otros ataques de correo electrónico dirigidos a vulnerabilidades del navegador y otros componentes de un navegador Web, como Adobe Flash y otros plugins, son un problema serio y casi constante para las empresas, dice Anup Gosh, fundador y director de tecnología del fabricante de un navegador fortalecido, denominado Invincea. Gosh, que recibió financiación de DARPA para crear un sandbox virtual de un entorno de navegador compatible con Internet Explorer y Firefox, dice que muchas organizaciones siguen utilizando navegadores obsoletos con menos elementos de seguridad para soportar aplicaciones personalizadas.
"Cuando hablas con las personas que limpian las redes y los encargados de respuesta a incidentes, todo se trata de spear phishing en este momento", dice Gosh. "No es difícil conseguir que un usuario haga clic en un enlace y explote una vulnerabilidad de un componente del navegador. Las debilidades todavía están allí."