navegadores en la empresa
DESCRIPTION
Presentación sobre seguridad en los navegadores de Internet en la empresa realizada por Chema Alonso, de Informática64 en la Gira Up to Secure 2010TRANSCRIPT
![Page 1: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/1.jpg)
Navegadores en Internet
Chema AlonsoInformática64
![Page 2: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/2.jpg)
MarketShare (I)
![Page 3: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/3.jpg)
MarketShare (II)
![Page 4: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/4.jpg)
Todo el mundo ama a Windows 7
![Page 5: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/5.jpg)
Protecciones en Windows 7
• Data Execution Prevention• Adress Space Layaout Randomization• Virtual Store• Mandatory Integrity Control• User Interface Priviledge Isolation
![Page 6: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/6.jpg)
Stack
Return Address
Locals
Protección de la Memoria Data Execution Protection
Address Space Layout Randomization
DEP
Previous Frames
Parameters
Code
Application Code
Library Code
Windows Code
LoadLibrary()
ASLR
![Page 7: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/7.jpg)
MIC & UIPI• Mandatory Integrity Control (MIC).– Una aplicación no puede acceder a datos que tengan un
Nivel de integridad superior al suyo.– Niveles de Integridad: Bajo, Medo, Alto y de Sistema– Los objetos con ACL tienen una nueva entrada ACE donde se
les asigna un nivel de Integridad– A cada proceso se le asigna un Nivel de Integridad en su
testigo de acceso
• User Interfacer Privilege Isolation (UIPI)– Bloquea el acceso mediante mensajes de procesos con Nivel
de Integridad inferior a procesos con Nivel de Integridad superior.
![Page 8: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/8.jpg)
Demo: Browsers en Windows 7
![Page 9: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/9.jpg)
Resultados
![Page 10: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/10.jpg)
La seguridad no es sólo la arquitectura
• Malware creados para ella• Vulnerabilidades• Opciones de seguridad de la herramienta• Capacidad de administración de la solución
![Page 11: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/11.jpg)
Tecnologías Troyanos
• Browser Helper Objects• FF Plug-ins• Google Gears• Opera Widgets
![Page 12: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/12.jpg)
Esa Fama…
![Page 13: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/13.jpg)
Firefox y el Malwarehttp://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf
![Page 14: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/14.jpg)
Administrador de complementos en IE8
![Page 15: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/15.jpg)
Seguridad mejorada en Controles ActiveX
• ActiveX Killbits (IE5)Entrada en el registro (Compatibility Flags del CLSID) que impide la ejecución de un objeto o control marcado como no seguro cuando está alojado en el navegador.
• Opt-In (IE7)Mecanismo que reduce el número de controles disponible para los sitios web y que permite al usuario decidir que controles quiere habilitar.
• Per Site (IE8)Bloqueo de los controles para que solo se puedan lanzar desde los sites para los que se diseñaron.
• Per User (IE8)Permite la instalación de ActiveX solo para el usuario, sin necesidad de permisos de administración o elevación de permisos. Se puede deshabilitar mediante política.
![Page 16: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/16.jpg)
Opera:Administrador de Widgets
![Page 17: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/17.jpg)
Vulnerabilidades
• ¿Cuántas tienen?• ¿Cuál es su criticidad?• ¿Cuánto tardan en parchear?• ¿Me abandonarán?
![Page 18: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/18.jpg)
Google Chrome
Desde versión 1.0 hasta hoy: 15 meses4 Major Releases43 vulnerabilidades: 2,85 bugs/meshttp://en.wikipedia.org/wiki/Google_Chrome
![Page 19: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/19.jpg)
Advisories Chrome
![Page 20: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/20.jpg)
Mozilla Firefox
http://en.wikipedia.org/wiki/Firefox
Desde versión 3.5 hasta hoy: 9 meses54 vulnerabilidades: 6 bugs/mes
![Page 21: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/21.jpg)
Adivsories Firefox
![Page 22: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/22.jpg)
Opera
De la versión 10 hasta hoy: 7 meses6 vulnerabilidades: 0,85 bugs/mes
![Page 23: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/23.jpg)
Advisories Opera
![Page 24: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/24.jpg)
Internet Explorer 8
http://en.wikipedia.org/wiki/Internet_Explorer_8
Desde versión 1.0 hasta hoy: 11 meses1 Major Release32 vulnerabilidades: 2,9 bugs/mes
![Page 25: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/25.jpg)
Advisories IE 8
![Page 26: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/26.jpg)
MS Advisory
![Page 27: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/27.jpg)
Tabla de navegadores atacados por el exploit de 0-day
![Page 28: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/28.jpg)
![Page 29: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/29.jpg)
Protecciones ataques navegador
• Cookies HTTPOnly • Políticas de grupo• XDomainRequests – Cross Domain Requests• XDM – Cross Domain Messaging• Filtro XSS – Cross Site Scripting• Protección contra ClickJacking
![Page 30: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/30.jpg)
![Page 31: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/31.jpg)
Control empresarial
![Page 32: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/32.jpg)
AD y FF
![Page 33: Navegadores en la Empresa](https://reader033.vdocument.in/reader033/viewer/2022060115/557ade73d8b42a8f648b4eb2/html5/thumbnails/33.jpg)
Conclusiones
• Huye de los análisis de bar• Prueba y comprueba tú mismo• Una herramienta para hackear no tiene
porque ser la mejor para todo• Casa != Empresa