Ya hace años que llevo leyendo artículos malos en seguridad escritos por Víctor Pimentel en Genbeta. Es normal, él no trabaja en seguridad, se dedica a escribir en un blog sobre tecnología, que es distinto. Sin embargo, me ha sorprendido como asevera en su último post en el que critica nuestro documento sobre la seguridad en los navegadores algo como:
"Firefox es uno de los navegadores más seguros en la actualidad. En el Sistema Métrico Campofutbolero, diría que Firefox está en la Champions League de la seguridad si no hubiera más equipos participantes que navegadores."Es curioso cómo ha aplicado todas las técnicas del técnicoless en una única frase. Es un crack. Después de haber currado cinco personas en mirar todo lo que hemos mirado en los navegadores,
no nos hemos atrevido a hacer ninguna aseveración de que navegador es el más seguro de todos en entornos Windows y sólo hemos querido plasmar características técnicas. Así, su compañero de Genbeta, que sí nos brindó con el honor de asistir al evento de presentación del paper
hizo un reporte mucho más ecuánime y técnico en Genbeta. Sobre ese mismo evento de presentación y el mismo documento técnico, otros periodistas tecnológicos sacaron más o menos las mismas conclusiones del trabajo, como
Muy Computer,
JavierPas,
Incubaweb,
Gizmodo o
The Inquirer. Todos, más o menos, en la misma línea, mirando datos, aportando su visión y haciendo su trabajo con profesionalidad.
Sin embargo,
Víctor Pimentel, que no vino al evento y que dudo que se haya leído (o entendido) el documento,
nos sale con populismos. Muy bien Víctor, sobre tu artículo, como si me creyera que lo que tú querías hacer era un flame, te contesto desde aquí que registrarme en genbeta o darte mi facebook no me apetecía.
Más es mejorSegún nuestro experto técnicoless en seguridad:
“El modelo de desarrollo de software libre obtiene una mayor tasa de descubrimiento de fallos, sobre todo si la aplicación es popular entre los desarrolladores”Vamos, decir esto, es como decir que todos los madrileños son unos chulos y que todos los catalanes son unos agarraos. Es una afirmación que te has sacado de la chistera sin ni tan siquiera mirar datos. Te puedo dar nombre de proyectos OpenSource con fallos de seguridad bajísimos porque tienen un código de calidad altísima.
" la seguridad por oscuridad no es la mejor de las compañeras de viaje"Efectivamente, pero lo que tu propones, que es la seguridad por publicación del código es una absurdez como un piano. Si nadie revisa el código es una cagada XXL.
Ahí tienes el caso de OpenSSL: Software popular, usado por millones de personas y organizaciones alrededor del mundo (joder si hasta lo uso yo!) y tuvo un fallo gordísimo que tardó en descubrirse más de una año.
Según Víctor (este tipo debe ser humorista)
“contar el número de bugs encontrados [..] resulta más en un punto para Firefox que para Internet Explorer”Mira, nosotros no lo hemos valorado, sólo lo hemos contado, pero pensar que porque haya más fallos es porque se ha mejorado más, es una chorrada. El número de fallos descubiertos es una buena inferencia del número de fallos cometidos por el equipo de desarrollo. Nada más. Y, haciendo un análisis global y de jefe de proyecto, es un síntoma del modelo de desarrollo que se utiliza.
Pero vamos, que si piensas que por tener más fallos es mejor, yo te recomiendo que uses Windows 95 que tiene más y seguro que es mejor.
Más comunidad“Uno de los puntos por los que Firefox se puede considerar más seguro que otros es porque los mayores expertos en seguridad y los mejores desarrolladores del mundo pueden y han participado activamente en la búsqueda de fallos”¿Tú no has ido a muchas conferencias de seguridad verdad? La mayoría de los bugs hihgly critical de Firefox no tienen presencia en las conferencias internacionales. Hay una comunidad enorme de empresas interesadas en la seguridad de Internet Explorer [Partners, MVPs, bug finders, security researchers que venden las vulnerabilidades a empresas, a ZDI o Tipping Point o Security Porn Stars que quieren dar una conferencia en Black Hat]
Además, piensas que para desarrollar en Spectra, sólo tienes que ir a una tómbola y que te toque el númerico. Que las, alrededor, de 10 entrevistas que hay que pasar se pasan con frases como las de tu artículo. Además, ¿quienes son Michael Howard, Mark Russinovich, Crispin Cowan o nuestro hispano Fermín J. Serna? Esta gente que trabaja en Spectra son unos paná seguro que no saben dar una patá a un bote. No sabén hacer el 0 day con un tubo.
Pero es que, según has ido escribiendo el artículo te has ido gustando y ahora, te contradices y pasas apuntártelo también como algo positivo.
“¿Qué creéis que es lo más probable, que reporten el fallo de seguridad a Microsoft o que vayan al mercado negro a vender un Zero Day Exploit?”Según tu, irán a por el que tenga más pasta para pagar por las vulnerabilidades, que será Mozilla, seguro.
Sin embargo, esto ya es una falta de respeto a todos los que trabajan en la búsqueda de vulnerabilidades. Acabas de decir que la gran mayoría de los investigadores de seguridad son mercenarios. Creo que no es así, y hablo por mi caso, que nunca he vendido nada al mercado negro, he reportado varios casos a Spectra y múltiples veces a empresas y organismos a través de los cuerpos de seguridad del estado. Muchos prefieren cobrar menos por las vulnerabilidades y reportarlas a los que deben hacerlo.
Copio el siguiente párrafo entero porque no has leído el documento y te lo voy a volver a explicar:
“Lo más gracioso del informe de Microsoft es que reconoce que IE ha sido el único con vulnerabilidades extremadamente críticas, pero que no solo eran fallos de seguridad graves, sino que solo el último año hasta en siete ocasiones (conocidas) diversos maleantes se valieron de las mismas para atacar a usuarios con éxito.”El informe es de Informática64, en primer lugar. En segundo lugar, las vulnerabilidades highly critical y extremly crítical, como pone en el informe son exactamente iguales en importancia, por eso en todos los informes salen juntas, pero… nosotros, para hacer honor a
la catalogación de Secunia, hemos diferenciado. Si las unimos Firefox dobla las vulnerabilidades.
De esas 7 vulnerabilidades extremly crticial, como puedes comprobar en Secunia y mriando los CVE del documento, las 7 se reparten en dos advisories por el sistema de publicación de Microsoft. Se explotaron 2, pero las otras reciben el mismo nivel de gravedad ya que este nivel va a asociado al advisory.
De hecho, el informe dice “que se sabe a ciencia cierta que están siendo explotadas”. Algunas de las highly critcial de Firefox
tenían exploit para ejecutarse antes del parche, pero como no lo habían querido meter en Secunia por que no supieron si se explotaron activamente, no lo hemos metido como extremly critical.
“al final los días que tarda Microsoft en actualizar su navegador no son tantos”Creo recordar que FF ha tenido retrasado un parche este año varias veces, porque lo que no quiere una empresa es parchear 7 veces al mes (más o menos los bugs que viene teniendo de media FF). Y en media, creo que los días de Microsoft son bastante buenos.
Actualizaciones constantes“Lo cierto es que las versiones de Firefox son mucho más constantes y cercanas en el tiempo, y al meter funcionalidad nueva también introducen nuevos fallos, pero corrigen bastantes viejos. Al mismo tiempo, el usuario de Firefox actualiza su navegador con mucha más frecuencia que el de IE.”Macho si te lo dices tú todo. Nuevos fallos, y fallos de regresión que son muchos. Y sí, lo que quiere una empresa es estar parcheando todos los días, igual que el usuario final, actualizar todos los días.
Además de las actualizaciones constantes te has olvidado que ya no da soporte a las versiones anteriores a Julio de 2009, ahí es nada. 9 meses de parcheo. ¿Cuántas veces te has quejado tú del soporte de Microsoft a sus productos?
Lo que quiere el usuario y la empresa son productos estables que no interrumpan su uso y, a ser posible, que no tengan ni fallos ni parches.
“Aún teniendo todo esto en cuenta, IE sigue pareciendo estar a un nivel por debajo en cuestión de seguridad, y que se compare con Chrome en base a X características escogidas a dedo es una broma de mal gusto teniendo en cuenta que en concursos de seguridad como Pwn2own ha destacado por encima del resto. ¿Por qué siempre estos informes contienen afirmaciones que intentan que creamos aunque no tengan base en la realidad? Porque es su trabajo”Esta es la parte que más me ha jodido. Léete el documento campeón y lo pruebas tú. Lo de las características escogidas a dedo, son las que nos han parecido de seguridad. ¿Alguna otra se te ocurre a ti o alguna te parece que no es de seguridad? Y lo del Pwn2own ya es el colmo de la gracieta en tu artículo.
Google Chrome uso su sistema de actualizaciones silenciosas (que es lo que quieren todas las empresas, que sus aplicaciones se actualicen solas si ningún control) para parchear Chrome 3 días antes de la Pwn2own y uno de los ganadores recurrente de la Pwn2own,
Charlie Miller, dijo que el par más seguro es Windows 7 e Internet Explorer 8 o Google Chrome. Creo que del resto no dijo nada.
Está bien que aclares que en genbeta escribís varios, no vaya la gente a pensar que es una idea oficial. Pero es triste, que vengas a hacer un análisis del documento y te hayas olvidado de:
- La arquitectura de los navegadores.
- El informe de Symantec del malware en firefox.
- El informe NSS de detección de malware por URL.
- Las opciones de administración de seguridad.
Víctor tu post es la rabieta de un gato panza-arriba, pero de conocimientos de seguridad vas muy justito.
Y sí, Firefox es uno de los mejores en seguridad, de hecho es uno de los 5 mejores según nuestra opinion.
Saludos Malignos!
Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
