10 razones por las que el broswer se está convirtiendo en el sistema operativo universal

noviembre 22, 2013 § Deja un comentario

Hace muchos años (1995), Brendan Eich, Marc Andreessen, y el resto de Netscape miraron a la web y vieron un mundo lleno de documentos estáticos -un desierto computacional donde un programador no tenía mucha cabida.

Tenían una visión diferente: píxeles dentro de un browser rectangular tan vivos como cualquier interfaz de usuario. Querían añadir un poco de Turing -compatibilidad total de tal forma que los programadores pudieran hacer saltar las páginas. JavaScript fue la respuesta.

En el principio, los programadores del lenguaje C miraron hacia su creación y se rieron. Bromeaban sobre cómo JavaScript era un juguete para niños de escuela para mostrar sus cajas de alerta. Eich, sin embargo, vio un camino para que los programadores pudieran jalar información de la web. Pronto se llamó XMLHttpRequest.

Trece años más tarde, y casi luego de ocho años desde que todo esto se renombrara como AJAX, el que entonces era el bebé de los lenguajes ahora se está convirtiendo en el lenguaje dominante para hacer casi todo. La combinación de HTML, CSS y JavaScript es utilizada en servidores, desktops y laptops. Es, en esencia, la plataforma estándar, el nuevo sistema operativo.

Técnicamente, el browser no ofrece lo que esperamos de los sistemas operativos tradicionales. Los puristas se quejarán: ¿El equipo que desarrolló el browser pasó tiempo preguntándose sobre los drivers de los equipos?, ¿el browser mantiene los archivos de programas limpios?, ¿el browser puede mantener diferentes threads con distintas prioridades y ayudarles a compartir los mismos núcleos de procesamiento de un modo que consideren justo?

A pesar de estas quejas de genios de los sistemas operativos, el browser es la capa dominante, el nexo para el software, donde todo el poder está. Necesita de un sistema operativo el rectángulo para dibujar la página web, un poco de almacenamiento y una entrada TCP/IP. Hace todo lo demás cruzando plataformas, relativamente sin bugs y sin otros problemas.

A cambio, el browser le quita el peso al sistema operativo de hacer mucho, excepto la información que le provee. Un usuario de PC espera poder conectar cualquier dispositivo y hacer que funcione con cualquier otro dispositivo. Un usuario de browser quiere una caja para escribir una URL y una forma para enviar clicks a una capa de JavaScript. Construir un equipo que solo tenga un browser es cada vez más fácil. Mozilla, un pequeño grupo de personas, ha convertido su browser a Firefox OS con solo una fracción de los ingenieros de Apple, Google o BlackBerry.

Y los programadores están siguiendo a los usuarios hacia el browser para entregar funcionalidades útiles para ellos. Aquí 10 razones por las que el browser es el rey:

  • Razón 1: la alta cantidad de aplicaciones web
  • Razón 2: fácil extensibilidad con plug-ins
  • Razón 3: su base open source
  • Razón 4: metaprogramming
  • Razón 5: simplicidad de multiplataforma
  • Razón 6: una capa de abastracción limpia
  • Razón 7: mejores modelos para compartir librerías
  • Razón 8: un marketplace competitivo
  • Razón 9: SVG, canvas, gráficos vectoriales, excelentes interfaces de usuario
  • Razón 10: Node.js

Contenido completo en fuente original CIO América Latina

Vulnerabilidad Zero-Day en Intenet Explorer

noviembre 11, 2013 § Deja un comentario

FireEye Labs ha descubierto un exploit que aprovecha una vulnerabilidad 0-day en Internet Explorer de acceso a memoria para lograr la ejecución de código. Hasta ahora la vulnerabilidad ha sido confirmada en IE 7, 8, 9 y 10 y según Microsoft, la vulnerabilidad puede ser mitigada utilizando EMET 4.0.

Un 0day en productos de Microsoft es relativamente normal. De hecho, con este, son dos los que han sido encontrados en la última semana (particularmente prolífica en este aspecto). Al margen de la eterna discusión y las soluciones no adoptadas aún (con EMET, no hay peligro en ninguno de los dos casos), este 0-day es muy especial no tanto por el fallo, sino por la forma de explotación. Una vez encontrada una vulnerabilidad, el atacante puede explotarla de varias formas. En este caso, han elegido un par de métodos muy interesantes, y nada habituales.

FireEye proporcionó información adicional sobre el exploit y sobre el troyano utilizado para infectar los equipos vulnerados Trojan.APT.9002 (o una variante Hydraq/McRAT), conocido también por la Operation DeputyDog, contra sitios japoneses y también usando en la Operación Aurora original. Además, han publicado una lista de MD5 y dominios que han estado actuando desde el momento del descubrimiento.

Fuente: ISC y Hispasec

SSL: Interceptado hoy, descifrado mañana (II)

octubre 27, 2013 § Deja un comentario

Tal y como se vio en el artículo anterior, SSL: Interceptado hoy, descifrado mañana (II), Netcraft ha probado la suite de cifrado de los cinco navegadores más importantes (Internet Explorer, Google Chrome, Firefox, Safari y Opera ) contra 2.4 millones de sitios SSL obtenidos de la encuesta SSL de Netcraft realizada en Junio.
El soporte para Perfect Forward Secrecy (PFS) varió significativamente entre los distintos navegadores: sólo una pequeña fracción de las conexiones SSL de Internet Explorer trabajaron con PFS; mientras que Google Chrome, Opera y Firefox estuvieron protegidos en aproximadamente un tercio de las conexiones. Safari se desempeñó solo un poco mejor que Internet Explorer.

Internet Explorer se desempeña pobremente ya que no soporta ninguna suite de cifrado que use tanto llaves Públicas RSA como intercambio de llaves DH de curvas no elípticas, lo que incluye la suite de cifrado PFS más popular. Además, las suites de cifrado PFS soportadas por IE tienen una prioridad más baja que algunas de las suites no-PFS. Curiosamente, IE soporta DHE-DSS-AES256-SHA, el cual usa el poco usual método de autentificación DSS, pero no soporta el muy popular DHE-RSA-AES256-SHA.

Browser priority Cipher Suite Real-world usage in SSL Survey
1 AES128-SHA 63.52%
2 AES256-SHA 2.21%
3 RC4-SHA 17.12%
4 DES-CBC3-SHA 0.41%
5 ECDHE-RSA-AES128-SHA 0.08%
6 ECDHE-RSA-AES256-SHA 0.21%
7 ECDHE-ECDSA-AES128-SHA 0.00%
8 ECDHE-ECDSA-AES256-SHA 0.00%
9 DHE-DSS-AES128-SHA 0.00%
10 DHE-DSS-AES256-SHA 0.00%
11 EDH-DSS-DES-CBC3-SHA 0.00%
12 RC4-MD5 16.46%
El orden de prioridad de la suite de cifrado de Internet Explorer 10 y la suite de cifrado real encontrada en la encuesta SSL de Netcraft. Las suites de cifrado PFS están resaltadas en negritas.

Safari soporta muchas suites de cifrado PFS pero solo recurre a las de curvas no elípticas como último recurso. Ya que los cifrados no-PFS tienen prioridades más altas, los webservices van a respetar las preferencias del explorador y los seleccionarán primero, incluso cuando ellos mismos soporten suites de cifrados (de curvas no elípticas) PFS.

Chrome, Firefox, y Opera se desempeñaron mucho mejor, dando preferencia, en cualquier nivel de fortaleza a las suites de cifrado PFS. Por ejemplo: la lista de preferencias de Opera empieza: DHE-RSA-AES256-SHA, DHE-DSS-AES256-SHA, AES256-SHA, DHE-RSA-AES128-SHA, DHE-DSS-AES128-SHA, AES128-SHA.

NetCraft no incluyó en la prueba, ninguna suite de cifrado que sólo esté presente en TLS 1.2, lo que incluye muchas de las suites de cifrado PFS de Opera, por lo que los resultados de este explorador son inferiores en el número de sitios SSL reales que utilizan PFS.

Ninguno de los exploradores cambió su interfaz de usuario notablemente para reflejar la presencia de PFS como lo sí harían para certificados EV (donde generalmente muestran una barra de direcciones de color verde). Google Chrome y Opera sí muestran la suite de cifrado utilizada (en ventanas emergentes o cuadros de diálogos), pero se basan en que el usuario entienda las implicaciones de mensajes como “… se utiliza ECDHE_RSA como el mecanismo de intercambio de llaves…”.

Continuará…

Traducción: Mauro Gioino de la Redacción de Segu-Info
Fuente: Netcraft

Disponible Preview IE11

octubre 5, 2013 § Deja un comentario

Microsoft dice que el nuevo Internet Explorer 11 es 30% más rápido que el resto y tiene actualizaciones para soportar los últimos estándares Web y mejoras de herramientas para el Desarrollador. El nuevo IE 11 Developer Preview está disponible para descargar sobre Windows 7.

Hay algunas demostraciones de su rendimiento en línea como Levitation, Lawnmark, y Lite-Brite en el sitio IE Test Drive site, mostrando patrones de sitio web reales y gráficamente ricas, interactivas y en 3D. También existe una nueva demostración PirateMarrrk, con pruebas de rendimiento de gráficos vectoriales escalables, JavaScript y HTML5 en el navegador.

Fuente: MSDN

Nueva versión de Chrome y corrige 50 vulnerabilidades

octubre 4, 2013 § Deja un comentario

Google ha anunciado la promoción de su navegador Chrome 30 al canal estable para todas las plataformas (Windows, Mac, Linux y Chrome Frame).
Mes y medio después de la publicación de la versión 29 de Chrome, se distribuye esta nueva versión 30.0.1599.66 que junto con nuevas funcionalidades y mejoras, además viene a corregir 50 nuevas vulnerabilidades.

Según el aviso de Google se ha mejorado una búsqueda por imagen mucho más sencilla, muchas nuevas aplicaciones y extensiones API así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 50 nuevas vulnerabilidades. Sin embargo no se han facilitado detalles de todas ellas, hasta que una mayoría de los usuarios hayan actualizado su navegador. Google proporciona información sobre los problemas solucionados reportados por investigadores externos.

Las vulnerabilidades de gravedad alta están relacionadas con el uso de punteros después de liberar en la representación inline-block (CVE-2013-2909), en XSLT (CVE-2013-2911), en PPAPI (CVE-2013-2912), en el tratamiento de documentos XML (CVE-2013-2913), en DOM (CVE-2013-2918), en el cargador de recursos (CVE-2013-2921), en el dialogo de elección de color de Windows (CVE-2013-2914) y en el elemento template (CVE-2013-2922). Una corrupción de memoria en V8 (CVE-2013-2919) y una falsificación de la barra de direcciones relacionada con el código de estado “204 No Content” (CVE-2013-2916).

Las vulnerabilidades de impacto medio afectan a Web Audio (CVE-2013-2906 y (CVE-2013-2910) y una lectura fuera de límites en el análisis de URL (CVE-2013-2920).

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 19.000 dólares en recompensas a los descubridores de los problemas.

Fuente: Hispasec

Certificate pinning. El qué, el cómo y el porqué

septiembre 30, 2013 § Deja un comentario

Últimamente se usa mucho este concepto. Las muestras de debilidad de las PKI y el TLS/SSL en general, han llevado a pensar soluciones contra este problema que pone en riesgo las entrañas del cifrado en la red. Certificate Pinning no es un método, sino solo eso, un concepto que cada uno interpreta a su manera. Aclaremos conceptos.
Por qué

Porque SSL tiene (entre otros) un claro punto débil: la cadena de certificación. Cuando se visita una web bajo SSL, se producen una serie de muestras de confianzas en cadena, normalmente con tres pasos:

  • El dueño del dominio configura su servidor para que él y sólo él disponga del certificado asociado a ese dominio. El usuario que lo visita confía en que ha acudido al dominio correcto y que el certificado que se le presenta, está aprobado por una CA válida. Sería como pedir el DNI a un página web, y comprobar que el Estado lo ha validado.
  • Pero no lo ha validado el Estado directamente. Ese certificado es aprobado por una autoridad certificadora intermedia, en la que la CA raíz delega (por segregación y seguridad) la firma de certificados de terceros. Esta autoridad firma la relación entre el dominio y el certificado.
  • En las autoridades se confía porque lo dice tu navegador. Poco más. Vienen preconfigurados con una serie de certificados raíz en los que se confía.

Los puntos débiles son obvios y se han dado casos de todo tipo.

  • Gobiernos o empresas que han introducido entidades intermedias. Se desvía el tráfico y se introducen servidores intermedios en los que las autoridades certificadoras confían. Los servidores intermedios pueden descifrar y cifrar el tráfico de forma transparente para el usuario, y la cadena de confianza queda “intacta”, aunque con más pasos. En enero de 2013 se supo que Nokia descifraba en sus servidores el tráfico SSL de sus teléfonos. Se sospecha que ciertos gobiernos también puede estar interceptando comunicaciones cifradas entre su población.
  • Si se comprometen las certificadoras raíz o intermedias, un atacante podría crear certificados para cualquier dominio, y firmarlos. Si al usuario se le desvía el tráfico (por envenenamiento DNS, pharming, etc) y acaba en ese dominio, la cadena de certificados seguirá aparentemente igual. La CA delega en la CA intermedia y esta en el certificado. Esto ha ocurrido a niveles preocupantes. El caso Diginotar (agosto 2011), Comodo (marzo 2011) y TURKTRUST (enero de 2013) son los más sonados.

Continuar leyendo en el Blog de Eleven Path.

    Nuevas versiones de Firefox, Thunderbird y Seamonkey corrigen 17 vulnerabilidades

    septiembre 22, 2013 § Deja un comentario

    Mozilla Foundation ha publicado nuevas versiones de sus productos (24 para Firefox y Thunderbird, 2.12 para Seamonkey). En esta ocasión se corrigen 19 fallos de seguridad agrupados en 17 boletines, 7 de los cuales se consideran de importancia crítica. En esta versión se deja de dar soporte a las Listas de Revocación de Certificados.

    Entre los siete boletines calificados como de importancia crítica y los cuatro de importancia alta se cubre un total de 13 vulnerabilidades. Todas estas permiten la ejecución de código arbitrario de manera remota como consecuencia de fallos de diversa naturaleza, y algunas permiten además otros impactos.

    El resto de boletines tratan vulnerabilidades de carácter moderado, que permiten el acceso a información sensible del sistema, el salto de restricciones de seguridad o la denegación de servicio. La gran mayoría de estos boletines afecta a los tres sistemas actualizados, aunque algunos no son aplicables a Thunderbird y Seamonkey.

    Los boletines MFSA-2013-84 y MFSA-2013-87 en particular afectan únicamente a la versión de Firefox para sistemas Android. El primero trata un sistema para evadir la política del mismo origen en ficheros locales, utilizando para ellos el protocolo file:// junto con enlaces simbólicos para conseguir acceso a ficheros del sistema o realizar ataques Cross-site Scripting (XSS). El segundo permitiría la ejecución de código malicioso o el acceso a los datos del navegador al cargar una librería compartida, pero para ello es necesario la instalación de programas maliciosos y no se puede provocar a través de contenido web.

    A partir de esta versión se elimina de la interfaz gráfica el acceso a la gestión de las listas de revocación de certificados (CRL) en Firefox. Esta funcionalidad seguirá siendo usada por el navegador, pero se delega la gestión de las CRL a las librerías NSS, pudiéndose gestionar a través de la herramienta crlutil. Esto forma parte de un movimiento de Mozilla hacia un mecanismo que recoja la información de los certificados revocados directamente de las CA intermedias.

    Fuente:Hispasec

    ¿Dónde estoy?

    Actualmente estás explorando la categoría navegadores en Seguridad Informática.