La operación “Aurora”, el sofisticado ciberataque chino que vulneró a varias docenas de compañías en diciembre de 2009 no solamente comprometió la propiedad intelectual de las empresas sino también trajo a colación el tema de la seguridad de los navegadores de Internet.
La primera oportunidad para esta explotación específica fue una vulnerabilidad sin parche en Microsoft Internet Explorer (IE). Al aprovechar este hoyo de seguridad sin reparar en este popular navegador Web los ciberatacantes violaron sistemas de usuarios. Ocurrió cuando se engañó a las víctimas para que navegaran a una página web maliciosa desde un sistema Microsoft Windows vulnerable, donde luego un código JavaScript explotó la vulnerabilidad. Después el sistema infectado contactó a servidores remotos controlados por los atacantes para permitirles ver, crear y modificar información en el sistema comprometido.
Las vulnerabilidades de los navegadores afectan a todos los navegadores y proveedores web y están lejos de ser un inconveniente sólo para Microsoft. Sin embargo, como es el navegador generalmente más usado con cientos de millones de usuarios alrededor del mundo y con la mayor participación de mercado, Internet Explorer naturalmente tiende a ser el blanco favorito para los ciberataques. Mas Apple Safari, Opera o Mozilla Firefox han tenido su porción de fallas de seguridad las cuales de ser explotadas podrían también guiar el mismo tipo de ataque que vimos recientemente.
A pesar de los constantes esfuerzos de los proveedores por lanzar navegadores web nuevos, de alto desempeño y más seguros – por ejemplo, Google lanzó recientemente el navegador ‘Google Chrome’ y Microsoft ahora está probando ahora un nuevo navegador llamado ‘Gazelle’ – numerosos ataques de navegadores web y vulnerabilidades continúan siendo reportados. Sólo en 2009 más de 300 vulnerabilidades de navegador fueron públicamente reportadas en el registro CVE (Vulnerabilidades y Exposiciones Comunes) incluyendo varias docenas de cada vendedor.
¿Qué hace al navegador Web un vector tan popular de ataques?
El navegador Web es una de las aplicaciones más omnipresentes que se usan en la comunidad informática. Los navegadores integran actualmente muchas aplicaciones complejas como ActiveX, Cookies, Plug-In, Flash Player, Java, Acrobat Reader y más las cuales amplían las funcionalidades de los navegadores y les permiten hospedar gráficos, interfases fáciles de usar y todo tipo de animaciones. Muchos websites en realidad le exigen al usuario instalar software adicional para habilitar estas funciones. Alternativamente esos programas empaquetados están comúnmente habilitados en los settings por defecto de la mayoría de los navegadores.
Cada aplicación sin importar cuán útil sea es probable que contenga fallas y vulnerabilidades adicionales además del navegador web, por lo tanto aumenta los riesgos totales de seguridad para los usuarios. Algunas de las características riesgosas de la web incluyen:
ActiveX:
Usado por Microsoft Internet Explorer en los sistemas Microsoft Windows, ActiveX es una tecnología que ha visto varias vulnerabilidades y problemas de implementación. Una de las últimas vulnerabilidades de ActiveX fue descubierta en julio de 2009 en Microsoft DirectShow Video ActiveX Control. La explotación comprometió miles de websites a través de ataques dirigidos los cuales a su turno infectaron puntos finales con malware y expuso a las compañías a fugas de datos potenciales.
Java:
Java es un lenguaje de programación orientado a objetos que se usa para desarrollar contenido activo para web sites. Muchas aplicaciones de software contienen vulnerabilidades de seguridad en su implementación de Java, permitiendo la ejecución arbitraria de código con los mismos privilegios como el usuario actual.
Plug-ins:
Plug-ins son aplicaciones con el propósito para usarse en el navegador web. Pueden contener fallas de programación y de diseño como violaciones entre dominios y desbordamientos de búfer. Adobe Flash Player es un ejemplo de un plug-in de navegador que ha sido afectado por docenas de vulnerabilidades el año anterior.
En un ataque a un navegador lo que típicamente hacen los hackers es crear páginas web engañosas o vínculos que redireccionan al usuario a lugares no deseados que luego descargan software malicioso a la computadora del usuario. Luego el atacante explota el acceso – como si fueran el usuario con derechos totales – y puede hurtar información delicada o privada, tomar como rehén la sesión de navegación o usar la computadora blanco original para atacar otras computadoras. Estas exploraciones pueden incluso afectar websites seguros protegidos por certificados SSL como bancos o compañías de tarjetas de crédito.
“Los navegadores Web representan una amenaza seria de seguridad,” explicó Guy Guzner, director de productos de seguridad de Check Point. “Mientras que hace muchos años usted se podía infectar de manera típica si descargaba un programa malo o quizá si bajaba un software pirata de páginas web extrañas; actualmente los hackers inyectan malware directamente en websites de reputación incluyendo sitios de noticias que los usuarios visitan todos los días, así que con tan sólo navegar en una página web hoy su computadora se puede infectar,” afirmó.
¿Cómo permanecer seguro?
La mejor forma de bloquear ataques al navegador web a nivel de punto final es ‘colar’ el navegador. Colar, también denominado virtualización del navegador previene que el navegador afecte datos del usuario, otras aplicaciones o el sistema operativo.
“La suite endpoint security de Check Point actualmente ofrece virtualización de seguridad del navegador y virtualiza la sesión de navegación para ofrecerle protección a los usuarios contra vulnerabilidades desde el principio, descargas no autorizadas y para prevenir otros tipos de amenazas basadas en la web de daños en su computadora. Nuestra tecnología de virtualización WebCheck redirecciona los ataques web a una caja de arena donde permanecen atrapados y no pueden dañar el sistema operativo,” dijo Guzner.
En un ambiente empresarial se recomienda completar la protección con un sistema IPS para salvaguardarlo contra amenazas basadas en la web que detectará y bloqueará estos ataques. “Basado en su arquitectura de software blades Check Point IPS Software Blade ofrece capacidades completas de prevención de intrusiones de firewall en línea a velocidades multi-gigabit con cubrimiento preventivo de amenazas para clientes, servidores, sistemas operativos de vulnerabilidades, malware/infecciones de gusanos y más,” añadió Guzner.
Además de implementar estas protecciones, los usuarios y administradores de Internet deberían poner parches regularmente y actualizar su navegador para asegurarse de que están usando la última versión. Los plug-ins de navegador y las aplicaciones alrededor deberían recibir parches regularmente. Para la mejor protección los usuarios deberían deshabilitar las funciones del navegador y configurar las preferencias de seguridad de forma que los Java applets, JavaScript y VBScript, controles ActiveX no corran automáticamente. Esto disminuirá el riesgo de ataques a través de funciones de vulnerabilidades.
“Todos los navegadores web tienen agujeros de seguridad. Todo el tiempo se descubren nuevas vulnerabilidades y ningún navegador está completamente inmune o seguro actualmente – sin importar el desempeño o cuan actualizado está,” concluyó Guzner.
Después de todo, así como las tecnologías de navegador evolucionan así también las amenazas y los cibercriminales. De forma que para seguir navegando con seguridad en la Internet y evitar experiencias desagradables el mejor consejo es tomar en serio la seguridad de su navegador.
Vicente Amozurrutia, gerente del norte de Latinoamérica de Check Point
