viernes, diciembre 07, 2007

La cuenta de la vieja

Hoy estoy un poco muerto después del ajetreo de las últimas semanas y la verdad es que no me apetecía sentarme a trabajar mucho. Pensaba publicar mi particular homenaje a Mafalda que aún se lo debo después de reencontrarme con ella la semana pasada. No obstante, no hay como levantarte, poner la radio para escuchar a ese que dice lo que no te gusta y encenderte...

Hace un par de días me llegó, directamente desde Spectra, por el canal privado que tengo con Steve Ballmer (ya sabéis, el canal por el que me avisan los amos cuando una tienda de frutos secos se pasa a Linux para que vaya a bombardearla con FUD) el informe de Jeff Jones que comparaba Internet Explorer y Firefox.

En él, Jeff ha mirado los expedientes de seguridad publicados y parcheados e incluso ha tratado de evalúar las vulnerabilidades sin parchear y... se armó la gorda.

Vale, el tema de los navegadores es bastante curioso, pues todos nosotros tenemos uno. No sucede lo mismo cuando sale una "bomba mediatica" de..., no se, por ejemplo, Ejecución Remota en Border Manager. "Te cagas, se puede ejecutar código a través del firewall de Novell y nadie dice nada!" o cuando se publica un fallo enorme de Oracle. En esos casos la gente no suele tener un Border Manager en su casa ni un Oracle así que lo leen y pasan a otra cosa.

Con los navegadores no, es como el equipo de futbol, es la guerra. Así que nada, vamos a entrar un poco al trapo. Lo primero que ha de quedar claro, es que estos son valores incontables... porque no interesa.

El informe de Jeff deja muy bien a Internet Explorer y eso no interesa, así que los 90 empleados de la fundación Mozilla se erizaron. La respuesta no tardó en llegar de parte de Window Snyder. Ella, fichada hace ya más de 1 año, venía de Spectra y trajo buenas ideas de seguridad a la fundación Mozilla. Su opinión es que contar bugs no es todo lo que importa en la seguridad, y creo que pocos estaremos en contra de ella. Sin embargo, aprovechando su pasado en Spectra, los más hábiles, dejan entrevelada la acusación de que Spectra declara 1 bug y corrige 2.000 y más o menos en esa proporción.

"Ella lo sabe bien, porque ha estado allí dentro, menos mal que la salvamos del infierno"

Después de haber disfrutado este verano de la experiencia mística de estar involucrado en la corrección de un bug en un proyecto OpenSource se que no es tan clara la luz que ilumina a todos los proyectos OpenSource a la hora de corregir los fallos.

Lo que más me ha llamado la atención, es ver como algún "espalibao" para tirar por tierra el informe de Jeff, ha sacado como muestra, un estudio distinto, que mira todas las versiones de todos los navegadores desde el comienzo.

Sí, es justo lo que necesito, para ver la seguridad del Renault Laguna, que me saques los fallos del Renault 4...¿es que esto es como la genética? ¿Es que los fallos encontrados y parcheados en el códido del ie de 16 bits están en IE7? ¿Cuál es el mensaje que me das al linkar este informe en referencia a la comparación de IE7 y Firefox 2.X?

Lo que para mi es una gran diferencia es el uso de Vista o XP. Si tienes un XP (o un kernel linux inferior al 2.6.19) con tu Firefox superchulo o tu IE7 y se descubre un fallo de ejecución de código en uno de ellos, en tu XP (o en tu linux sin ASLR) va a ser más fácil de explotar que si tienes tu Vista con tu ASLR, tu modo protegido y tu MIC. Es curioso ver como Firefox no hace uso del nivel más bajo en el MIC cuando corre sobre Vista, pero, al margen de eso, ¿cuantos fallos de ejecución de código arbitrario se han podido explotar en IE7 o Firefox 2.x sobre Vista?

10 comentarios:

  1. Pum pum, plashhh!

    ResponderEliminar
  2. Si te has leído el informe de Jeff Jones, verás que no sólo compara IE7 con FF2.X, también las versiones anteriores (IE6 y FF1.0 y 1.5), así que no sé por qué los demás no deberían hacerlo.

    Sobre las críticas al informe, quizá el punto más importante que se ha criticado es que no habla del tiempo de exposición, que no has mencionado para nada (ese del que sí hablabas en algún otro informe) y que como menciona la tipa esa en el post que enlazas, "People should be counting the days of risk. How long is the user vulnerable?", algo con lo que además parece que estabas de acuerdo.

    ResponderEliminar
  3. Una cosa que no he dejado claro. Si haces la cuenta de la vieja, con lasa vulnerabilidades de secunia, verás que ese informe sólo cuenta las vulnerabilidades de IE6 e IE7.
    http://secunia.com/product/11/
    http://secunia.com/product/12366/

    ResponderEliminar
  4. En este caso llueve sobre mojado.
    En el 2005 fue Symantec la que generó la polémica con un informe similar.

    Creo que si leemos la replica de la época de Hispasec aquí está todo dicho.

    La única diferencia es la siguente:
    Explorer sigue siendo mayoritario pero Firefox le ha quitado mucho mercado. Un argumento de mayor seguridad del Firefox era su menor utilización por lo que los atacantes se centraban en el Explorer.

    Ahora bien, ¿que navegadores se utilizan para acceder a este blog del maligno?

    Lo podéis ver en VIEW SITE STATS.

    Explorer 7 no aparece (igual que Vista en el apartado de S.O.). Probablemente un error o limitación en el informe.

    Explorer 6: 52,50%.
    Mozilla: 43,49%.

    Si se comenzara a contar desde hoy mismo, probablemente la utilización de Mozilla ya sea superior a Explorer.

    Saludos.

    P.D.: Reconozco que Windows machaca en los accesos a este blog, pero respecto a navegación, al Cesar lo que es del Cesar.

    ResponderEliminar
  5. Hola compis, el informe de Jeff es "sólo" de los últimos 3 años relativos a unas versiones en concreto, el otro son todas las versiones, también las historicas. Pero eso es lo de menos. Creo que este tipo de batallas con el navegador son más curiosidad que otra cosa,y que se busca ... no se qué...

    El estudio de Hispasec, del amigo Bernardo, da muchas claves de como funciona esto. Como ponía, y es lo importante en este posts, es..¿con cuantas de ellas en Vista se puede atacar al sistema? ¿Por que corre Firefox sin usar el nivel más bajo del sistema en Vista?

    Si miramos la lista de IE7 y Firefox 2 según secunia, son muy parejas:

    Firefox 2.x
    IE7

    Saludos!

    ResponderEliminar
  6. ¿El tiempo de exposición a la vulnerabilidad ya no es lo importante? ¿Por qué lo importante es lo que pase en Vista? Su uso sigue siendo muy minoritario frente a Windows XP.

    ResponderEliminar
  7. "... son más curiosidad más que otra cosa..."
    Ya.
    En cambio leyendo el post de hoy cualquiera diría que dices "mi navegador la tiene más grande que el tuyo y lo arrecla todo todo y todo...".
    Claro que como eso que da a la interpretación de cada uno...

    ResponderEliminar
  8. "... son más curiosidad más que otra cosa..."
    Ya.
    En cambio leyendo el post de hoy cualquiera diría que dices "mi navegador la tiene más grande que el tuyo y lo arrecla todo todo y todo...".
    Claro que como eso que da a la interpretación de cada uno...

    ResponderEliminar
  9. Es otra táctica más de mal juego por parte de Microsoft. Pero es lo de siempre, así que... Yo sí creo que las vulnerabilidades son importantes, y peligrosas.

    ResponderEliminar
  10. ¿Quién dijo que las vulns y el tiempo de exposición al riesgo no son importantes? ¡Claro que sí! Y cruzar esos dos mismos valores también, y ¡la facilidad de despliegue de la solución! y lo que el equipo de seguridad haga por luchar contra las amenazas. Spectra tiene un equipo para luchar contra las mafias en Internet ("Microsoft’s Internet Crime Investigations Team")...

    Hoy en día Firefox 2.x e IE 7 están muy parejos. Quizá sea pq el código de Firefox está abierto, quiza por que gente de seguridad de IE ha pasado a Mozilla, quizá pq son productos maduros que se ven afectados por "vulnerabilidades muy similares".

    Detalles como el uso de la arquitectura del OS, el ciclo de vida de los parches y la gestión son muy importantes también.

    Saludos!

    ResponderEliminar