Google Chrome ¿el browser más seguro?
El navegador web de la compañía del buscador es el único de los “grandes” cuya integridad no ha podido ser violada mediante técnicas de hacking. Safari e IE 8 fueron los más rápidos en caer durante una conocida competición de hacking.
Guillem Alsina (guillem@imatica.org) - En el marco de la CanSecWest de este año, celebrada en la ciudad canadiense de Vancouver, se organizó el mismo torneo de hacking que el año pasado, consistente en intentar forzar la seguridad de una serie de navegadores web, instalados en computadoras actualizadas con todos los parches de seguridad posibles.
Dos fueron las plataformas utilizadas: por una parte un MacBook con la última versión de Mac OS X instalada y aplicados todos los parches de seguridad en el cual había los navegadores Safari (ya incluido en el sistema) y Firefox, mientras que por otra parte teníamos un Sony Vaio con Windows Vista e Internet Explorer 8, Firefox y Chrome. Opera no fue incluido en el concurso ni tampoco un representante de la plataforma GNU/Linux o de las distintas ramas de la familia BSD, lo que ha suscitado algunas críticas de la comunidad a posteriori.
El ganador del año pasado se repitió, Charlie Miller, quien además utilizó el mismo vehículo para ganar: crackeó el navegador web de Apple (Safari) funcionando sobre Mac OS X en solamente unos segundos, por lo que además de llevarse una sustanciosa cantidad de dinero, recibió como premio la misma máquina a la que había atacado.
No se han desvelado los detalles técnicos del exploit utilizado, ya que la organización del evento había firmado previamente un acuerdo con Apple para permitirles crear y distribuir antes un parche que cubriese la vulnerabilidad explotada, y el mismo acuerdo fue firmado con Microsoft. No obstante, cabe decir que la actuación del exploit fue cuestión de segundos gracias a que Miller ya lo llevaba preparado con anterioridad. Fue solamente cuestión de que la computadora atacada cargara la página web que Miller había preparado y el jurado pinchase en el enlace que en ella constaba, para que el hacker ganara acceso con privilegios a la máquina objeto del ataque.
Después de Safari, el siguiente navegador en caer fue el recientemente lanzado Internet Explorer 8, funcionando sobre un Windows Vista totalmente “parcheado”. El último en ser vulnerado fue Firefox y, por todos los datos que han llegado a nuestra redacción, parece ser que el único que quedó indemne fue Chrome.
Algunas conclusiones
Hay muchas posibles lecturas sobre los resultados de este concurso, aunque una primera y rápida podría ser que Mac OS X no es tan seguro como pregonan desde Apple, tal vez aún poco acostumbrados a que su sistema sea víctima de ataques masivos. Por su parte, Chrome puede ser una solución aún demasiado novedosa como para centrar el interés de la comunidad hacker en este sentido, pero por el momento se ha mostrado como el navegador web más seguro, por lo que hay que tenerlo en cuenta en ambientes en los que la seguridad deba extremarse.
Copyleft 2009 www.imatica.org
Esta obra se encuentra sujeta a la siguiente licencia:
La difusión, reproducción y traducción de este texto se permite libremente en cualquier medio o soporte con las únicas obligaciones de mantener la presente licencia e incluir un enlace o referencia a la página en la que se encuentra el original dentro del servidor www.imatica.org . En medios audiovisuales se requiere la cita al medio www.imatica.org
