Seguridad de IE8 a toda prueba
Uno de los sambenitos de Internet Explorer es el que es inseguro y Microsoft está empeñada en demostrar que no es así. Por eso invitó a una serie de periodistas a un peculiar seminario para mostrar sus características de seguridad. La conferencia, desarrollada por un experto independiente, mostró algunos detalles técnicos interesantes de Internet Explorer 8 comparado con otros navegadores populares destinados a mejorar la seguridad y privacidad de la navegación.
Seguramente si se hiciera una encuesta entre internautas al azar muchos usuarios dirían que Internet Explorer 8 es menos seguro que otros navegadores como Firefox o Google Chrome. Sin embargo muy pocos podrían justificar su respuesta. Son los sambenitos con los que muchas veces Microsoft tiene que luchar por dominar ciertos mercados y con los que ahora está dispuesta a luchar.
Como hemos comentado algunas veces, con Windows 7 Microsoft ha iniciado una senda en la que pretende no solamente mejorar sus productos sino la comunicación. Con Internet Explorer 8 su intención es mostrar de la forma más clara posible que es un excelente navegador, sobre todo en dos terrenos: el de la seguridad y en el de la privacidad.
Con esa intención ayer por la tarde Microsoft invitaba a un grupo de periodistas y bloggers para presentar las principales características de seguridad y privacidad de Internet Explorer 8 frente a otros navegadores. Para hacerlo se eligió a la película Star Wars como ambientación, por lo que nos recibieron como Padawans (aprendices de caballeros Jedi) dispuestos a recibir formación para resistir al reverso tenebroso de la fuerza (o lado oscuro).
Frente a nosotros y como Jedi más experimentado se presentó Chema Alonso, experto de la empresa Informática 64 que de una forma amena y convincente nos iba presentando las características de seguridad implementadas en Internet Explorer 8 frente a sus navegadores rivales. El primer aspecto fue el del aprovechamiento de tecnologías como el DEP (protección contra la ejecución de código en la zona de datos de la memoria), ASLR (Espacio de direccionamiento aleatorio) y la Virtual Store, una zona de memoria a la que sólo la aplicación "propietaria" puede acceder.
La correcta implementación de estas técnicas por parte de los programadores de cada navegador se comprobó gracias a la herramienta Process Explorer y se pudo mostrar en directo en una máquina con los cinco navegadores instalados cómo el único navegador que implementaba todos estos sistemas que protegen a la hora de buscar brechas para ejecutar código malicioso era Internet Explorer 8.
También se explicó el modelo de integridad obligatiria (MIC, Mandatory Integrity Control) y el de el aislamiento de los privilegios del interfaz de usuario. La idea es que un proceso menos importante no perjudique a otro de importancia superior. Para esto cada pestaña del navegador debería ejecutarse en un proceso diferente y una importancia baja. Este sistema solamente lo implementan IE8 y Chrome.
También se mencionó la importancia de las extensiones y complementos además de sus opciones de configuración, con especial énfasis en el entorno empresarial en el que la gestión de estas políticas deben ser unificadas para no tener que configurar los navegadores de los equipos uno a uno. Igualmente se comentaron las ventajas del control de sesiones y de las cookies para evitar robos de sesiones mediante ataques de Cross Site Scripting.
Este tipo de ataques ejecutan código en el navegador para robar información de la sesión o manipular el código HTML de la página para cambiar su aspecto o añadir funciones que permiten capturar datos del usuario. Internet Explorer 8 es el único que implementa un filtro contra Cross Site Scripting además de disponer de una implementación completa del flag HttpOnly que añade protección contra estos ataques.
En el apartado de la ingenería social es donde Internet Explorer 8 quizás cobre más ventaja. Desde detalles como el resaltado del dominio, que permite saber realmente cuál es el nombre del servidor al que accedemos disminuyendo el riesgo de Phishing, pasando por el eficaz filtro SmartScreen, este navegador consigue muy buenos resultados a la hora de prevenir que el usuario sea engañado para acceder a una página creyendo que es otra.
Esto ha sido medido por la empresa NSS labs, tal y como informamos en su día, con resultados abrumadores a favor de Internet Explorer 8, con un 85% de bloqueo en el caso de malware basado en la ingeniería social. Los casos prevenidos por resaltar el nombre del dominio de una página no son medibles, pero es el navegador que con más claridad lo identifica para evitar confusiones.
En el apartado de los certificados de seguridad, esos que permiten identificar una entidad u organización para que podamos estar seguros de a quién estamos enviando nuestros datos, IE8 también tiene ventaja. Por un lado es el que mejor muestra advertnecias como problemas con los certificados o si el certificado es de validación extendida (es decir, no está validado por un equipo de personas que ha comprobado el origen del certificado y no por un ordenador).
Por el otro Internet Explorer 8 ha podido exhibir el almacen de certificados más completo. Es decir, ha reconocido todas las entidades certificadoras probadas menos HEALTHSIGN (tampoco reconocida por los otros cuatro navegadores), mientras que otros navegadores han fallado con entidades tan importantes como la Fábrica Nacional de Moneda y Timbre o CATCert, la entidad catalana de certificación.
Otro elemento importante es el de la privacidad. En este caso se repasaron las funciones que permiten no sólo navegación privada, implementada en todos los navegadores, sino el bloqueo del envío de información a terceros, implementada en IE8 con InPrivate Blocking. Otra función que implementa en exclusiva IE8 es la gestión de privacidad por zonas.
El último argumento afrontado por el maestro jedi fue el de las vulnerabilidades. Por los datos presentados se evidenciaba que Internet Explorer no es ni mucho menos uno de los navegadores con más vulnerabilidades, mientras que es de los que más vulnerabilidades corrige en términos absolutos. También, por otra parte, es el único navegador con vulnerabilidades extremadamente críticas, es decir, vulnerabilidades que se sabe a ciencia cierta que han sido utilizadas.
Sin embargo, Microsoft es sin duda una de las empresas más comprometidas en reparar lo más rapidamente posible estas vulnerabilidades, con una política de seguridad que recientemente ha sido reconocida por expertos de seguridad. En definitiva, una conferencia muy interesante, cargada de datos difícilmente discutibles que aunque no demuestra que Internet Explorer 8 está a prueba de bombas sí que parece que está en un escalón por encima de los demás navegadores en cuanto a seguridad.
El problema de Microsoft no reside en la falta de modelos de seguridad, siempre ha presentado modelos nuevos de seguridad y sobre el papel siempre son muy seguros. El problema de Microsoft con la seguridad es el mismo que se hizo patente con Vista: la falta de eficiencia a la hora de coordinar a los programadores en proyectos grandes hace que estos no puedan programar código seguro y eficiente. Tomemos un ejemplo del día de hoy: http://tech.slashdot.org/story/10/04/20/0023238/IE8s-XSS-Filter-Exposes-Sites-To-XSS-Attacks?from=rss&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+Slashdot/slashdot+(Slashdot)
Interesante artículo, da gusto ver webs que no tiran del manido copia pega de su lector de feeds. Enhorabuena
ok,muchas palabras lindas sobre seguridad.pero cumplir standares web ni ahi,hace el test acid 3.. IE 8 sirve para descargar Firefox/Chromium
@Juan Como se nota que no has probado ie8 ni sabes de lo que hablas
Vamos a ver, IE sigue siendo una castaña en relación a la seguridad online, básicamente y eso nunca cambiará, ya que su código es cerrado y sólo MS tiene acceso a parchear los bugs cuando los descubren.
La diferencia con Firefox es que es open source y todo DIOS puede identificar agujeros al instante y reportar a Mozilla para que se corrijan. Es decir que a ojos de cierta gente Mozilla siempre tendrá más fallos críticos porque publican actualizaciones cada dos por tres, pero no es cierto,por eso mismo es más seguro. El tema es que MS o no los conoce porque tiene sólo a un pequeño grupo investigando fallos o porque no les da la real gana y ya los publican todos juntitos cada 6 meses, mientras tanto a navegar en pelotas….
Por otro lado gracias a FF, Chrome, etc Microsoft se está poniendo las pilas y eso es importante para todos, pero aún le queda. Si Firefox nunca hubiese salido seguiríamos sin pestañas, con banners por toda la pantalla, con cierres de iexplorer y con una una web 1.0. No olvidaros que Facebook, Youtube, el video streaming etc no hubiese sido posible sin la introducción de nuevos estándares e innovación que Microsoft no estaba dispuesta a llevar a cabo.
Nada, y ahora a reírle las gracias a Microsoft y sus eventos Jedi.
Internet Explorer 8 es el mejor! Y el más seguro! Yo uso siempre IE8 y nunca me entran virus ni nada!
@Juan ¿Y eso lo dices basándote en qué?¿En tu experiencia personal? Alguna prueba “básicamente” real. En cuanto al open source, eso no es necesariamente bueno, y no creo que “todo DIOS” sepa como meterle mano al código. Avisar también puedo avisar yo. Lo de que MS no innova ya es de juzgado de guardia, lee un poco antes de comentar.
Por cierto no le río las gracias a nadie, solo me gusta saber el porqué de las cosas y no decir a todo que si
Amiga Tania, un poquito conozco el tema de los navegadores, y el proceso de seguridad de Mozilla es muy serio y está perfectamente implementado, report de bugs, etc, fíjate que recientemente ficharon a la jefa de seguridad de Mozilla los amigos de Google, será que no sabe nada ( window snyder)
Lo de MS con INTERNET EXPLORER HA SIDO UN DESPROPOSITO. Se han reído de sus usuarios hasta que su cuota de mercado ha bajado a limites que nunca pensaron. …y claro ahora tienen que ponerse las pilas. Defiende lo que quieras, pero es que es tan obvio que no creo que haga falta contar más…
@Tania: imagino que el msj nro 3 fue para mi,si probe ie8 en un ciber,realize el test acid 3,y llego a 20/100,eso es un buen navegador? Puaj,vos no tenes idea que es diseñar paginas web y ese maldito navegador queda horrible,hay que reajustar un monton,por cierto soy Tecnico Superior en Programacion,no uso productos microsoft a menos que sea por temas laborales,prefiero GNU/Linux que se ajusta a los standares informaticos. Segui con tu IE8 y windows vista,muy bonito todo pero desde un punto de vista tecnico deja mucho que desear.
@JuanF, lo de Widow Snyder, que lo digas, tiene mucha gracia poruqe salió del departamento de Seguridad de Microsoft.
FF tiene un proceso… como tantos otros y no es ni la mitad de riguroso que el SDL de Microsoft. El tema de los fallos de regresión es algo recurrente, que hayan distribuido malware desde el sitio oficial de los parches tiene traca y ya no hablemos de los certificados digitales de confianza de RSA y Verisign que no sabían como habían llegado a colarse.
Hemos intentado ser imparciales en los datos y los puedes leer en el paper. No intenta decir que IE8 es Dios y mucho menos perfecto, pero sí que IE8 está en una buena linea de seguridad, en muchos casos mejor que sus competidores y, en el caso de las empresas, incontestablemente.
Saludos!
Haced caso a Chema que de esto sabe un rato. Y si no, echad un vistazo a su web, me he quedado de piedra :O
http://elladodelmal.blogspot.com/