navegadores en la empresa
DESCRIPTION
Charla sober navegadores en la empresa impartida por Chema Alonso, de Informática64 durante la gira Up to Secure 2010.TRANSCRIPT
Navegadores en Internet
Chema Alonso
Informática64
MarketShare (I)
MarketShare (II)
Todo el mundo ama a Windows 7
Protecciones en Windows 7
• Data Execution Prevention
• Adress Space Layaout Randomization
• Virtual Store
• Mandatory Integrity Control
• User Interface Priviledge Isolation
Stack
Return Address
Locals
Protección de la MemoriaData Execution Protection
Address Space Layout Randomization
DEP
Previous Frames
Parameters
Code
Application Code
Library Code
Windows Code
LoadLibrary()
ASLR
MIC & UIPI
• Mandatory Integrity Control (MIC).– Una aplicación no puede acceder a datos que tengan un
Nivel de integridad superior al suyo.
– Niveles de Integridad: Bajo, Medo, Alto y de Sistema
– Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad
– A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso
• User Interfacer Privilege Isolation (UIPI)– Bloquea el acceso mediante mensajes de procesos con Nivel
de Integridad inferior a procesos con Nivel de Integridad superior.
Demo: Browsers en Windows 7
Resultados
La seguridad no es sólo la arquitectura
• Malware creados para ella
• Vulnerabilidades
• Opciones de seguridad de la herramienta
• Capacidad de administración de la solución
Tecnologías Troyanos
• Browser Helper Objects
• FF Plug-ins
• Google Gears
• Opera Widgets
Esa Fama…
Firefox y el Malware
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf
Administrador de complementos en IE8
Seguridad mejorada en Controles ActiveX
• ActiveX Killbits (IE5)Entrada en el registro (Compatibility Flags del CLSID) que impide la ejecuciónde un objeto o control marcado como no seguro cuando está alojado en elnavegador.
• Opt-In (IE7)Mecanismo que reduce el número de controles disponible para los sitios web y que permite al usuario decidir que controles quiere habilitar.
• Per Site (IE8)Bloqueo de los controles para que solo se puedan lanzar desde los sites para los que se diseñaron.
• Per User (IE8)Permite la instalación de ActiveX solo para el usuario, sin necesidad de permisos de administración o elevación de permisos. Se puede deshabilitar mediante política.
Opera:Administrador de Widgets
Vulnerabilidades
• ¿Cuántas tienen?
• ¿Cuál es su criticidad?
• ¿Cuánto tardan en parchear?
• ¿Me abandonarán?
Google Chrome
Desde versión 1.0 hasta hoy: 15 meses4 Major Releases43 vulnerabilidades: 2,85 bugs/meshttp://en.wikipedia.org/wiki/Google_Chrome
Advisories Chrome
Mozilla Firefox
http://en.wikipedia.org/wiki/Firefox
Desde versión 3.5 hasta hoy: 9 meses54 vulnerabilidades: 6 bugs/mes
Adivsories Firefox
Opera
De la versión 10 hasta hoy: 7 meses6 vulnerabilidades: 0,85 bugs/mes
Advisories Opera
Internet Explorer 8
http://en.wikipedia.org/wiki/Internet_Explorer_8
Desde versión 1.0 hasta hoy: 11 meses1 Major Release32 vulnerabilidades: 2,9 bugs/mes
Advisories IE 8
MS Advisory
Tabla de navegadores atacados por el exploit de 0-day
Protecciones ataques navegador
• Cookies HTTPOnly
• Políticas de grupo
• XDomainRequests – Cross Domain Requests
• XDM – Cross Domain Messaging
• Filtro XSS – Cross Site Scripting
• Protección contra ClickJacking
Control empresarial
AD y FF
Conclusiones
• Huye de los análisis de bar
• Prueba y comprueba tú mismo
• Una herramienta para hackear no tiene porque ser la mejor para todo
• Casa != Empresa
Preguntas
Chema Alonso
http://elladodelmal.blogspot.com
http://twitter.com/informatica64