Sobre hackers y seguridad

Sobre hackers  y seguridad
26 de marzo, 2010

Ayer dábamos la noticia de que en el marco de la competición Pwn2Own se habían conseguido romper las medidas de seguridad de los navegadores y sistemas operativos más modernos. En realidad se trata de algo habitual, casi rutinario. El año pasado por esta fechas la noticia era casi idéntica, y casi con los mismos protagonistas. ¿Qué pasa entonces con la seguridad de los sistemas operativos y navegadores? Vamos a repasar algunas cuestiones puestas a la luz por este tipo de competiciones.

 

Cuando se leeen noticias como la que dábamos ayer sobre los resultados del concurso de seguridad Pwn2Own es posible que surjan muchas dudas sobre la seguridad de nuestros navegadores y sistemas operativos. En pocos minutos (en algunos casos en segundos) estos hackers de guante blanco han conseguido hacerse con el control de los ordenadores objetos del ataque. ¿Es que no estamos a salvo? ¿Hay navegadores y sistemas operartivos más seguros que otros? Aclaremos algunas cuestiones.

 

Google Chrome y Linux no fueron crackeados ¿son más seguros?

 

En realidad no en los dos casos. En cuanto a Chrome ninguno de los participantes se molestó en intentar atacar al navegador de Google porque llevaban preparados ataques a otros navegadores para llevarse el premio (dejando desierto, por cierto, un premio de 10.000 dólares). Al parecer existen agujeros de seguridad en Chrome pero demasiado laboriosos de explotar. En el caso de Linux los organizadores no consideran a este sistema operativo suficientemente extendido como para incorporarlo a la competición.

 

 

 

Aunque en realidad hay una razón de mayor peso. La empresa organizadora, Tipping point, establece en las bases que como organizadores retienen el código y detalles técnicos de los ataques realizados para batir la seguridad de los sistemas propuestos. El siguiente paso es revender esos detalles a las empresas fabricantes para que puedan producir los parches de seguridad adecuado. En el caso de Linux no hay ninguna empresa parece dispuesta a poner dinero para adquirirlos por lo que a Tipping point tampoco le interesa que entre en la competición.

 

Y ¿qué opinan los hackers de la seguridad de Linux? En una entrevista previa al Pwn2Own Charlie Miller, uno de los participantes con más talento de la competición, opinaba  lo siguiente: “No, Linux no es más difícil, de hecho probablemente es más sencillo, aunque algo de esto es dependiente del sabor en particular de Linux del que se este hablando. Los organizadores eligieron no usar Linux porque no mucha gente lo usa como sistema de escritorio.”

 

¿Los agujeros de seguridad descubiertos ponen en peligro mi ordenador?

 

En teoría sí, pero solo en teoría. Se trata de sistemas bastante laboriosos y que en primer lugar conocerán los fabricantes de sistemas operativos y navegadores y luego pueden pasar a la comunidad. Aunque los métodos son públicos y conocidos, la implementación es compleja. Además los interesados en acceder a datos o a controlar ordenadores necesitan usar métodos como la ingeniería social para conseguir explotar las vulnerabilidades de nuestro ordenador.

 

 

 

Hay que tener en cuenta que el año pasado por estas fechas el mismo concurso obtuvo los mismos resultados, la ruptura de sistemas de seguridad con los mismos protagonistas que los de la competición de este año. A la larga es bueno que se pongan a prueba la seguridad de los sistemas operativos y navegadores para que mejore la protección de nuestros ordenadores, pero no supone un peligro inminente. Los propios responsables de Internet Explorer, por ejemplo, asistieron en directo a la desprotección de su código.

 

Un ejemplo es el de Mac OSX, un sistema del que no se conocen amenazas de malware muy extendidas pero que en esta competición suele caer a las primeras de cambio. El peligro real de este sistema es que los usuarios del sistema operativo de Mac se sientan a salvo de amenazas y caigan en las mencionadas trampas de ingeniería social por exceso de confianza.

 

Los hackers superaron el ASLR y el DEP de Windows 7 ¿no sirven para nada?

 

Todo lo contrario, incluso los propios participantes del concurso (en este caso, una vez más, Charlie Miller) opinan que la combinación de ASLR (distribución aleatoria del espacio de direccionamiento) y el DEP (prevención de ejecución en el área de datos) que ofrece Windows 7 lo hacen más difícil de hackear, aunque no imposible. En la competición se utilizó el propio código de Microsoft para deshabilitar la protección de memoria. Sin embargo en condiciones normales son una protección eficaz.

 

 

¿Cómo se puede mejorar la seguridad?

 

Una de las cosas más importantes que se pueden sacar de este tipo de competiciones son las pistas para mejorar la seguridad de nuestros sistemas. La más evidente es que los navegadores se están convirtiendo en la puerta de entrada para explotar las vulnerabilidades de los sistemas. Hasta ahora se ha señalado a los sistemas operativos como los culpables, pero hay mucho trabajo que hacer en el campo de los navegadores.

 

 

 

Otro concepto que parece erróneo, como apuntan en este interesante artículo de PC World, es que Internet Explorer 8 no parece ser el navegador menos seguro, a pesar de las recomendaciones recientes realizadas por ciertas instituciones. Es más, para problemas como el Phishing y otras técnicas de ingeniería social que nos lleven a páginas web peligrosas o con código malicioso, Internet Explorer 8 se demuestra más seguro.

 

En cualquier caso los fabricantes de navegadores tienen que adquirir la conciencia de que sus productos se están convirtiendo en el blanco favorito de los hackers y tomar medidas. Hay que tener en cuenta que en muchos casos abarcan muchas plataformas y que un fallo de seguridad suyo puede afectar a un gran número de usuarios.

 

Cambiar la filosofía para proteger la seguridad

 

En una declaración realmente interesante, Charlie Miller (que con esta van tres ediciones consecutivas que consigue con éxito sus objetivos y los premios) afirma disponer de 20 vulnerabilidades documentadas de productos de Apple, Microsoft y Adobe pero que no piensa proporcionar información sobre ellos a las compañías correspondientes.

 

 

 

Ségún Miller el eterno juego en el que los hackers encuentran un bug de seguridad y las empresas lo parchean no contribuye a mejorar la seguridad de los sistemas. Por esa razón, en vez de proporcionar los datos completos de las vulnerabilidades encontradas iba a ofrecer información de cómo había dado con dichas vulnerabilidades con la esperanza de que los desarrolladores consiguieran mejorar la seguridad del código buscando el origen de los problemas en vez de tapar agujeros.

 

  • Share This