Seguridad de IE8 a toda prueba

Seguridad de IE8 a toda prueba
20 de abril, 2010

Uno de los sambenitos de Internet Explorer es el que es inseguro y Microsoft está empeñada en demostrar que no es así. Por eso invitó a una serie de periodistas a un peculiar seminario para mostrar sus características de seguridad. La conferencia, desarrollada por un experto independiente, mostró algunos detalles técnicos interesantes de Internet Explorer 8 comparado con otros navegadores populares destinados a mejorar la seguridad y privacidad de la navegación.

Seguramente si se hiciera una encuesta entre internautas al azar muchos usuarios dirían que Internet Explorer 8 es menos seguro que otros navegadores como Firefox o Google Chrome. Sin embargo muy pocos podrían justificar su respuesta. Son los sambenitos con los que muchas veces Microsoft tiene que luchar por dominar ciertos mercados y con los que ahora está dispuesta a luchar.

Como hemos comentado algunas veces, con Windows 7 Microsoft ha iniciado una senda en la que pretende no solamente mejorar sus productos sino la comunicación. Con Internet Explorer 8 su intención es mostrar de la forma más clara posible que es un excelente navegador, sobre todo en dos terrenos: el de la seguridad y en el de la privacidad.

Con esa intención ayer por la tarde Microsoft invitaba a un grupo de periodistas y bloggers para presentar las principales características de seguridad y privacidad de Internet Explorer 8 frente a otros navegadores. Para hacerlo se eligió a la película Star Wars como ambientación, por lo que nos recibieron como Padawans (aprendices de caballeros Jedi) dispuestos a recibir formación para resistir al reverso tenebroso de la fuerza (o lado oscuro).

Frente a nosotros y como Jedi más experimentado se presentó Chema Alonso, experto de la empresa Informática 64 que de una forma amena y convincente nos iba presentando las características de seguridad implementadas en Internet Explorer 8 frente a sus navegadores rivales. El primer aspecto fue el del aprovechamiento de tecnologías como el DEP (protección contra la ejecución de código en la zona de datos de la memoria), ASLR (Espacio de direccionamiento aleatorio) y la Virtual Store, una zona de memoria a la que sólo la aplicación "propietaria" puede acceder.

La correcta implementación de estas técnicas por parte de los programadores de cada navegador se comprobó gracias a la herramienta Process Explorer y se pudo mostrar en directo en una máquina con los cinco navegadores instalados cómo el único navegador que implementaba todos estos sistemas que protegen a la hora de buscar brechas para ejecutar código malicioso era Internet Explorer 8.

También se explicó el modelo de integridad obligatiria (MIC, Mandatory Integrity Control) y el de el aislamiento de los privilegios del interfaz de usuario. La idea es que un proceso menos importante no perjudique a otro de importancia superior. Para esto cada pestaña del navegador debería ejecutarse en un proceso diferente y una importancia baja. Este sistema solamente lo implementan IE8 y Chrome.

También se mencionó la importancia de las extensiones y complementos además de sus opciones de configuración, con especial énfasis en el entorno empresarial en el que la gestión de estas políticas deben ser unificadas para no tener que configurar los navegadores de los equipos uno a uno. Igualmente se comentaron las ventajas del control de sesiones y de las cookies para evitar robos de sesiones mediante ataques de Cross Site Scripting.

Este tipo de ataques ejecutan código en el navegador para robar información de la sesión o manipular el código HTML de la página para cambiar su aspecto o añadir funciones que permiten capturar datos del usuario. Internet Explorer 8 es el único que implementa un filtro contra Cross Site Scripting además de disponer de una implementación completa del flag HttpOnly que añade protección contra estos ataques.

En el apartado de la ingenería social es donde Internet Explorer 8 quizás cobre más ventaja. Desde detalles como el resaltado del dominio, que permite saber realmente cuál es el nombre del servidor al que accedemos disminuyendo el riesgo de Phishing, pasando por el eficaz filtro SmartScreen, este navegador consigue muy buenos resultados a la hora de prevenir que el usuario sea engañado para acceder a una página creyendo que es otra.

Esto ha sido medido por la empresa NSS labs, tal y como informamos en su día, con resultados abrumadores a favor de Internet Explorer 8, con un 85% de bloqueo en el caso de malware basado en la ingeniería social. Los casos prevenidos por resaltar el nombre del dominio de una página no son medibles, pero es el navegador que con más claridad lo identifica para evitar confusiones.

En el apartado de los certificados de seguridad, esos que permiten identificar una entidad u organización para que podamos estar seguros de a quién estamos enviando nuestros datos, IE8 también tiene ventaja. Por un lado es el que mejor muestra advertnecias como problemas con los certificados o si el certificado es de validación extendida (es decir, no está validado por un equipo de personas que ha comprobado el origen del certificado y no por un ordenador).

Por el otro Internet Explorer 8 ha podido exhibir el almacen de certificados más completo. Es decir, ha reconocido todas las entidades certificadoras probadas menos HEALTHSIGN (tampoco reconocida por los otros cuatro navegadores), mientras que otros navegadores han fallado con entidades tan importantes como la Fábrica Nacional de Moneda y Timbre o CATCert, la entidad catalana de certificación.

Otro elemento importante es el de la privacidad. En este caso se repasaron las funciones que permiten no sólo navegación privada, implementada en todos los navegadores, sino el bloqueo del envío de información a terceros, implementada en IE8 con InPrivate Blocking. Otra función que implementa en exclusiva IE8 es la gestión de privacidad por zonas.

El último argumento afrontado por el maestro jedi fue el de las vulnerabilidades. Por los datos presentados se evidenciaba que Internet Explorer no es ni mucho menos uno de los navegadores con más vulnerabilidades, mientras que es de los que más vulnerabilidades corrige en términos absolutos. También, por otra parte, es el único navegador con vulnerabilidades extremadamente críticas, es decir, vulnerabilidades que se sabe a ciencia cierta que han sido utilizadas.

Sin embargo, Microsoft es sin duda una de las empresas más comprometidas en reparar lo más rapidamente posible estas vulnerabilidades, con una política de seguridad que recientemente ha sido reconocida por expertos de seguridad. En definitiva, una conferencia muy interesante, cargada de datos difícilmente discutibles que aunque no demuestra que Internet Explorer 8 está a prueba de bombas sí que parece que está en un escalón por encima de los demás navegadores en cuanto a seguridad.

  • Share This