Seguridad en NavegadoresChema Alonso

MS MVP Enterprise Security

chema@informatica64.com

Stack

Return Address

Locals

Arquitectura: Protección de la MemoriaData Execution Protection

Address Space Layout RandomizationDEP

Previous Frames

Parameters

Code

Application Code

Library Code

Windows Code

LoadLibrary()

ASLR

Arquitectura: MIC & UIPI• Mandatory Integrity Control (MIC).

– Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.

– Niveles de Integridad: Bajo, Medo, Alto y de Sistema

– Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad

– A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso

• User Interfacer Privilege Isolation (UIPI)– Bloquea el acceso mediante mensajes de

procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.

• Virtual Store: – Acceso a carpetas y claves del registro

virtualizadas en perfil de usuario

DEMO

Extensiones, administración y configuración (I)

• Todos los navegadores, excepto Safari permiten el uso de extensiones.

• Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados.

• Solo IE8 y Firefox* permiten configuración por GPO’s– Firefox con software adicional en AD y en

cliente

Extensiones, administración y configuración (II)

• Sólo IE8 permite controlar componentes por sitio y usuario.

Administrador de complementos en IE8

Extensiones, administración y configuración (III)

Control de cookies y sesiones

• IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-SiteScripting.

• Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking

• Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.

Ingeniería Social

Ingeniería Social: Resalto del dominio

• Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL.

Google Chrome

Internet Explorer

Nombre de dominio resaltado

Alertas sobre certificados

Todos los navegadores muestran alertas sobre certificados en los siguientes casos:

– Certificado generado para otro dominio

– Certificado caducado– Certificado emitido por una

CA desconocida

Certificados con validación extendidaTodos los navegadores realizan un resalto de los

certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.

Almacén de certificadosEntidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de Mozilla Firefox, Opera Browser o Apple Safari.

Programa PADRE

Protección ante phishing y malware (I)

• Todos los navegadores incorporan un sistema de protección contra malware.• Los tiempos de respuesta de Opera respecto a los demás está muy distante.

Protección ante phishing y malware (II)

• Detección de malware por cada uno de los navegadores

Protección ante phishing y malware (III)

Firefox y el Malware

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf

Gestión de información de navegación

Configuración de Javascript• Todos los navegadores permiten

deshabilitar Javascript.

• Chrome y Safari no permiten una configuración avanzada de opciones Javascript.

• Solo IE8 y Google Chromepermiten hacer listas.

Vulnerabilidades

Número de vulnerabilidades

• Internet Explorer 8 [12 meses]– Marzo 2009

• Chrome 2, 3 y 4 [10 meses]– Mayo 2009

• Firefox >= 3.5 [ 9 meses]– Julio 2009

• Opera >=9.6 [14 meses]– Enero 2009

• Apple Safari 4.0 [9 meses]– Julio de 2009

Número de vulnerabilidades totales

0

10

20

30

40

50

60

Vulnerabilities

44

25

57

11

33

Chrome

IE

Firefox

Opera

Safari

Número de vulnerabilidades por mes

0.00

1.00

2.00

3.00

4.00

5.00

6.00

7.00

Opera Firefox Chrome Internet Explorer

Safari

0.79

6.33

4.40

2.08

3.67Opera

Firefox

Chrome

Internet Explorer

Safari

Vulnerabilidades por criticidad

0

10

20

30

40

50

60

Extremely Highly Moderately Less Critical Not Critical

0

37

3 3 17

14

2 0 20

56

0 0 103

8

0 00

31

0 1 1

Chrome

IE

Firefox

Opera

Safari

Cuota de Mercado

0

10

20

30

40

50

60

70

Internet Explorer

Chrome Firefox Opera Safari Others

60.65

6.13

24.52

2.37 4.651.68

Corrección de vulnerabilidades

0

10

20

30

40

50

60

Chrome IE Firefox Opera Safari

32

21

57

5

31

44

24

57

11

33

Fixed Total

¿Preguntas?

Chema AlonsoMicrosoft MVPEnterprise Securitychema@informatica64.comhttp://twitter.com/chemaalonsohttp://elladodelmal.blogspot.comInformática64i64@informatica64.comhttp://www.informatica64.comhttp://twitter.com/informatica64