viernes, marzo 19, 2010

¡Feliz en tu día!

Sí, quizá muchos lo sabéis, hoy es un día especial, es un día de celebración porque hoy… ¡Internet Explorer 8 hace un año!

Aun recuerdo con cariño como mi “padrino” me dijo: “No te preocupes Chema, yo muevo lo que haga falta para que el día de tu santo tu tengas tu regalo”. No hay nadie como "ÉL" cuando quiere hacer un regalo: “Ya hablo yo con Steve y te lo arreglo”. ¡Gracias!

Así, con el regalo que me hizo ha pasado un año y ha llegado el anuncio de la versión de Internet Explorer 9, pero el año pasado fue especial. En ese día tan lejano hace un año cuando nació Internet Explorer 8 el ecosistema de navegadores de Internet era muy distinto. Google Chrome estaba aun en la versión 1.0 [- y ya está en la 4.0 digi-evolucionando Google de vivir en el beta perenne a tener una versión “final” cada cuatro meses -] y Mozilla Firefox estaba en la versión 3.0.
¡Qué tiempos aquellos en los que IE8 era el único que venía con DEP (permanente) y ASLR! Luego lo meterían los demás chicuelos del grupo y los amigos del “security researching” le meterían horas para saltárselos en los exploits.

Sin embargo, Internet Explorer 8, a pesar de ser la versión más antigua de los navegadores de la competencia, aun está lejos de poder retirarse. A diferencia de otros navegadores de otras compañías, esta versión va a tener que ser mantenida y parcheada durante largo tiempo. Aun debe jubilarse primero el pobre Internet Explorer 6 que lleva currando desde el 2001 [¡qué navegadores los de aquellos años!].

Luego, en el año 2015, en la BlackHat, podremos ver como se siguen haciendo demos hackeando este navegador, porque no habrá perdido ni el glamour, ni el morbo. ¿Alguien se imagina una BlackHat 2010 en la que se hackee Firefox 2.0 o Google Chrome 1.x? No, eso no tiene morbo, pero con Internet Explorer siempre hay esa gracieta.

Durante este año Internet Explorer 8 ha tenido 32 vulnerabilidades de seguridad:


Internet 8 cumpliendo 1 añito

Por el contrario, uno de sus competidores, "el navegador seguro", Mozilla Firefox 3.5, en sólo 9 meses, ha tenido 54.


54 Vulnerabilidades en 9 meses

En fin, que el “pobre IE8” tiene un largo camino. Así que le dejo algunas frases de aliento para que aguante el duro trabajo que le queda por delante:

En tu opinión, ¿cuál es la combinación más segura de SO + navegador para usar?

Esa es una buena pregunta. Chrome o IE8 sobre Windows 7 sin Flash installed. Probablemente no hay suficiente diferencia entre ambos navegadores como para preocuparse. El asunto principal es no instalar Flash!

Charlie Miller, ganador de los 2 últimos Pwn2Own


Y el tweet de apoyo a IE8 de Rubén Santamarta:


Reversemode "apoyando" a IE8

Hoy es su cumple, démosle un día sin otro navegador. Sniff. ¡Qué bonito!

Saludos Malignos!

PD: Si estás en la RootedCON deja de leer este post y ponte a atender a las charlas "cohones!"

12 comentarios:

  1. "¿Alguien se imagina una BlackHat 2010 en la que se hackee Firefox 2.0 o Google Chrome 1.x? No, eso no tiene morbo, pero con Internet Explorer siempre hay esa gracieta."

    ¿Gracieta? Hombre, ni Firefox 2 ni Chrome 1 se usan ya, pero IE6 por desgracia sigue teniendo una cuota de mercado demasiado importante (10-20% según fuentes) como para no ser objetivo de juankeos. Tampoco te creas que la gente hace eso con IE6 porque le hace gracia o les cae mal. Es porque, increíblemente, todavía se sigue usando.

    PD: felicidades :D

    ResponderEliminar
  2. Que pasaría si explorer fuera de codigo abierto?. Pues se multiplicarian sus vulnerabilidades. Ademas por tener mas cuota de mercado que otros navegadores tendrá mas zero days siendo explotados, lo cual quiere decir que tiene menos vulnerabilidades publicas pero vulnerabilidades privadas quien sabe.

    ResponderEliminar
  3. En vez de Internet Explorer 8 debería de haberse llamado Internet diadelpadre explorer 8! Mas que sea pa no olvidarse uno del cumpleaños... que tu lo has recordado el martes por la charla!! xDDD

    Una pena aquel día en el que le vendi mi alma a google... (aunque el essensials me tiene conquistada)

    A cuidarse! ^^

    ResponderEliminar
  4. @Andrés, of course que es por eso. Y por el logo de MS tb. Ambas cosas cuentan. Saludos!

    @Anónimo, sí, como pasó con OpenSSL.

    @Ziona, con tanto nombre ya no sé como llamarte... ;)

    ResponderEliminar
  5. Oye, que no pasa na, pero que sepas que es un navegador impuesto por el SO. Que pasar no pasa na, que cada uno en su SO hace y deshace, pero que es monopolio.

    Oye, y no pasando na, dijeron que tenían que dar la oportunidad a que se pueda meter otro navegador por defecto; sí esos de la UE que un día dicen eso y otro te cuelan el paqute Telecom.

    Pero que no pasa na, pero cuando dejen elegir de verdad quiero ver las cifras de uso de los distintos navegadores.

    Me gustaría que el Tío la Vara pusiera a cada uno en su sitio.

    Poder de la vara.

    ResponderEliminar
  6. Aprovecho el post para Felicitar a IE 8 y a ti Chema! : )

    ResponderEliminar
  7. chema q hasta cumpleañp tiene la burrada de ie8 no se pasen ps que en estos dias se celebra cualquier cosa

    ResponderEliminar
  8. Mister, según la misma página que enlazas Internet explorer 8 tiene 4 alertas de seguridad todavía activas, alguna desde hace más de 2 años (!!!), heredada del IE7 y sin parchear, siendo el único navegador con ese problema.

    Comparando con Firefox 3.5, que no tiene ninguna alerta activa dime tu que tiene de raro que sea "el navegador seguro".

    ResponderEliminar
  9. @anónimo, mirate el advisory de los que no están parcheados para que sepas por qué.

    Saludos!

    ResponderEliminar
  10. @Maligno
    Me la sopla el motivo, lo que ocurre es que yo miro Firefox 3.5:
    "Most Critical Unpatched
    There are no unpatched Secunia advisories affecting this product, when all vendor patches are applied."

    Y eso no lo veo en IE8, donde además las seguridades pendientes de parchear no son ninguna broma porque son moderadamente críticas.

    A día de hoy, en el cumpleaños del ultraseguro IE8 con una nueva súperarquitectura con todas esas siglas que has puesto más arriba, resulta que esa chapuza de software libre y que incorpora esas novedades de seguridad más tarde, llamada FF 3.5, es más segura que IE8. Period.

    Como experto en seguridad que eres, me extraña que le des más valor al conteo de errores que al hecho de que ahora mismo sólo hay una plataforma 100% segura, Secunia dixit.

    ResponderEliminar
  11. @David, es sabido que no sólo el número de vulnerabilidades incide en la seguridad.

    A ti te parece más seguro pq no hay ninguna sin parchear? Perfecto.

    Ahora te miras las de IE8 y mira cuales están sin parchear aun para que lo entiendas.

    La gestión de los parches, la arquitectura, el número de vulnerabilidades que van apareciendo y la criticidad de las mismas debido a la arquitectura que tengan, importa en la seguridad.

    Firefox tiene "a cholón", así que si lo vas a poner en una empresa, prepara un buen plan de actualizaciones de seguridad con tu equipo de trabajo, porque lo vais a tener que usar unas 6 veces al mes (y sin avisar, que no hay Firefox patch day) así que estád listos todos los días!!!

    Saludos!

    ResponderEliminar
  12. @Maligno
    Insistes en que mire cuáles están sin parchear para que lo entienda. http://secunia.com/advisories/24314/
    Antigüedad: Del año la tos.
    Solución: Ninguna por parte de Microsoft. Eso sí, do not browse untrusted sites.

    Tu post inicial pretendía mostrar a IE8 como más seguro que FF por el número de errores. O eso entendemos cuando llamas a FF 'el navegador seguro' irónicamente.
    Qué error, porque no es irónico.
    Un criterio objetivo, no para mí sino para CUALQUIERA, para calificar algo como seguro, es no tener vulnerabilidades sin solventar.
    Cuando además vemos que hay cosas sin arreglar desde 2005 o, que no tienen NI SOLUCIÓN NI JUSTIFICACIÓN desde 2007, entonces ya el sonrojo debería convertirse en bochorno.

    En cuanto a esto, que no tenía que ver con lo que escribiste de inicio:
    "La gestión de los parches, la arquitectura, el número de vulnerabilidades que van apareciendo y la criticidad de las mismas debido a la arquitectura que tengan, importa en la seguridad".
    Por supuesto.
    * Gestión de los parches: ¿Qué más me dan los patch-days y que los parches vengan en paquetitos bien monos? ¿Cómo puedes llamar gestión a algo cuando hay cosas con DOS y hasta CUATRO años sin arreglar? Hablas luego más tarde de administración a nivel de empresa. ¿Acaso eso es argumento para usar la solución menos segura? Por esa misma regla de tres, lo suyo sería instalar (y no administrar, que es un engorro) un Windows XP en cada puesto.
    * Arquitectura: Es más moderna la de IE8, pero de poco sirve si luego en la ejecución persisten errores como los descritos.
    * Número de vulnerabilidades: Nada que objetar. Es tu argumento.
    * Criticidad de las que aparecen: IE8 este año, además de felicitarle por su primer año, le podemos felicitar por ser el único navegador cuyo fallo GARRAFAL de seguridad ha salido en todos los medios de tirada nacional. Vale, he hecho trampa porque no es criticidad de seguridad. Pero podrías hacer un edit y añadirlo en el post, felicitemos a IE8 también por esto :-)

    ResponderEliminar