No me gusta Internet Explorer 8. Las cosas claras, y el chocolate, con leche. No recuerdo haberlo usado nunca de forma habitual, ya que lo de ser linuxero de pro y defensor del software libre (aunque no de forma extrema) me ha hecho tratar de usar alternativas Open Source siempre que he podido… y que me han convencido, claro.
Y en el tema de los navegadores la cosa estaba clara. Primero fue Firefox, y ahora Chrome (bueno, este no es Open Source, pero se basa en Chromium, que sí lo es), y en ambos casos las prestaciones superaban en mucho -en mi modesta opinión- a las que podían ofrecer IE8 y las pasadas ediciones de Internet Explorer. Pero hay un apartado en el que mis conocimientos quedaron claramente a la altura del betún ayer: en los mecanismos de seguridad, que hacen que IE8 sea probablemente el navegador más adecuado si compras en Internet, accedes a tus cuentas bancarias o, simplemente, si quieres estar un poquito más a salvo de posibles ataques.
Eso es lo que se pudo entresacar de la rueda de prensa a la que asistí en un curioso garito madrileño en la zona de Delicias en el que Microsoft organizó un evento simpático, con rollo Star Wars para amenizar un tema que para muchos podría ser algo áspero. La idea cuajó y la verdad es que se agradece que en charlas como esta, que parecen bastante duritas, haya un componente divertido.
En la charla había un grupo de gente caracterizados como personajes de la saga, y la idea era la de que un maestro Yoda -que aparecía en pantalla aplicando realidad aumentada con un sistema curiosete aunque algo cutre en el aspecto visual- nos ofreciese a los «padawan» de la seguridad una especie de lección magistral sobre esto de la seguridad en navegadores sobre Windows.
Pero el maestro real (dudo que fuese un Jedi, pero igual sí) fue un pequeño descubrimiento: Chema Alonso, un MVP de Microsoft (esa gente que es muy experta en todo tipo de productos de los de Redmond, y que ganan esa distinción al colaborar con ellos sobre todo en tareas de comunicación) que nos habló a todos los presentes de un estudio en el que habían estado trabajando él -con blog propio, por cierto- y el equipo de Informática64, un portal de seguridad que yo no conocía -como digo, mi sabiduría en este campo es más bien limitadita- y que tiene muy buena pinta sobre todo para usuarios de Windows.
El caso es que Chema nos fue guiando por las principales diapositivas de una presentación que tenéis aquí debajo y que permite revelar los principales datos del estudio: qué mecanismos de seguridad están disponibles actualmente en sistemas Windows, qué tecnologías aportan los navegadores, y cómo funcionan esas tecnologías en distintos escenarios.
La charla fue realmente instructiva -y hasta divertida, todo un logro-, y la verdad es que el chico me convenció. Aparentemente Firefox es, de hecho, bastante inseguro por sus políticas de seguridad, y parece que Chrome es el único que se acerca en cierta medida a lo que Internet Explorer 8 ha logrado en materia de seguridad.
Lo comprenderéis mejor si echáis un vistazo a la presentación, y aunque lamentablemente no hay vídeo de la conferencia -que yo sepa- las diapos son bastante claras en la presentación de esos datos, aunque algunas cosas quedarían mejor con el vídeo, como la diapo en la que se muestran cuántas vulnerabilidades highly critical y cuántas extremely critical hay en cada navegador.
IE8 dispone de 7 de este último tipo, que parecen más peligrosas, pero como explicaba Chema, la única diferencia con las Highly Critical -y ahí gana lamentablemente de largo Firefox- es el hecho de que las Extremely son aquellas que además de ser highly critical, se sabe además que existe en la práctica un exploit para que los ciberatacantes se aprovechen de ellas. Tenéis más información en el post del propio Chema Alonso en su blog, que lamentablemente tiene un diseño algo cutre -al César lo que es del César- pero cuyo contenido es fantástico.
La post-conferencia fue también simpática, porque además de un pequeño cóctel y de un regalito fantástico -un sable-láser realmente chulo que me vendrá genial para carnvales 😉 – pude seguir hablando con Chema, que nos contó a unos cuantos cómo Microsoft no es tan mala como la pintan, y que ahora es Google la que también está moviendo hilos para tratar de forzar ciertos estándares a su favor y en contra de Microsoft.
Obviamente solo teníamos la versión de este experto, y mi experiencia en el tema es muy pobre, así que poco podría refutar. Habría que ver qué opinan los expertos en seguridad sobre otros navegadores con respecto a este tema, pero desde luego lo que está claro es que esos datos son bastante contundentes. Y si hacemos caso de ellos, desde luego, habría que darle una oportunidad a IE8.
Lástima que su interfaz sea más fea que un pie, y lástima también que su velocidad de renderizado o de ejecución de código JavaScript sean tan lamentables. Pero con todo y con eso, habrá que revisitarlo.
Yo sigo el blog de Chema Alonso tambien, pero este tipo de presentaciones sobre el IE realizadas por uno de los involucrados… me da mucho repelus.
Solo se me ocurre un… «No muerdas la mano que te da de comer»
Saludos
Me parece que en esa charla no trataron un punto, que es mar de importante, y es cuanto tiempo tarda las companias atras de cada browser en solucionar las vulneabilidades, para mi es mas que importante, y esos datos sabemos que microsoft nunca va a mostrar, ya que si mozilla tardo hace poco no mas de 3 o 4 dias en solucionar una falla grave, microsoft no tarda nunca menos de 1 mes en solucionarlos (claro que si lo soluciona).
Y como esta escrito es un evento de microsoft, los numeros presentados seran cosas buenas para ellos y si ahi que manipularlos para que sea asi, lo haran asi que mucha confianza no me dan.
Hola,
por alusiones en este post voy a contestar a algunos de los comentarios.
@Pablo, gracias por seguirme }:)) Hemos dejado el documento para que lo reviséis.
@Salva, el link de wikipedia no es ni medio comparable con el CVE y Secunia, datos que tienes en el informe para comparar las vulnerabilidades. Nadie que trabaje en seguiridad diría lo que tu has dicho.
Respecto a lo de ActiveX y ser un agujero es una opinión personal tuya. Los plugins de FF están demostrando ser la mayor fuente de malware en FF y tienes un estudio de Symantec titulado «FF y el Malware» donde lo analizan en detalle.
Y respecto a lo de seguridad por oscuridad es cierto, pero te equivocas en la mayor. Microsoft basa su seguridad en TCI, Threat Modeling, Secure Development Lifecycle, etc… creados por algunos de los mayores expertos de seguridad, como Michael Howard, Crispin Cowan o Mark Russinovich.
MS no publica el código por protección de sus activos, no por seguridad.
Saludos!
Hola Chema.
Reconozco que no dispongo de la cualificación necesaria para basar mis argumentos en cosas como ‘TCI, Threat Modeling, Secure Development Lifecycle, etc€¦’ que, efectivamente, no se que significan y creeme no tengo ningún interés en conocer. Lo que si te diré es que por mi trabajo me paso horas y horas facturadas a mis clientes con su antivirus perfectamente instalado y actualizado y un sistema operativo perfectamente secuestrado por mil y una variantes de spyware, malware, gusanos y vete tu a saber que.
Afortunadamente la solución es bien sencilla. Cambiar el navegador por defecto puesto que como todos sabemos es imposible desinstalar Internet Explorer. Sabe Dios que esta medida funciona.
Lo de que ActiveX no es un agujero de seguridad y que son opiniones personales de Salva me hace gracia después de tantos y tantas actualizaciones de seguridad relativas a esta tecnología.
Y recuerda: una vulnerabilidad en el navegador del 80 % de los internautas es una amenaza para el 80 % de los internautas. No se si compensarán esas supuestas ventajas.
Saludos!
A mi me hace gracia esto de las GPO. Eso de que son imprescindibles y ayudan a controlar posibles vectores de infección…. Me temo que en cualquier entorno empresarial lo primero que se va a encontrar un navegador es un proxy (o proxy transparente) filtrando todo lo que entra. Decir que un navegador es más seguro por soportar algún tipo de gestión centralizada como la de las GPO… en fin. Ponte un cortafuegos, y un proxy. Empieza a filtrar por ahí. Curiosamente esta solución tan empresarial permite controlar mucho más que «IEs» y sin un Windows de por medio.
Una vez has acabado con los ataques más evidentes de los sitios conocidos, te queda que esos ActiveX, páginas o scripts, que han pasado el primer filtro no sean capaces de tomar el control de la pila. Flash es uno de los coladores más amplios e interesantes en este sentido, aunque también en otros muchos.
Por si fuera poco, y a parte de los primeros ataques en la intercepción del arranque del sistema operativo (en los primeros RCs de Vista), DEP y ASLR (¿aleatorio? ¿no será pseudo-aleatorio?) están en el punto de mira (si no se los han cargado ya). ¿Le da esto más seguridad al navegador?
Podría seguir así con gran parte del documento. ¿Es más seguro el navegador por destacar los certificados «de la barra verde»? Ja! Al menos una de las CAs que menciona Chema es, por decirlo suavemente, insegura. La virtualización de las claves del registro no es más que la resolución a un problema que el propio Microsoft ha creado, y el conteo de vulnerabilidades es una completa falsedad:
Por un lado, Microsoft no publica las vulnerabilidades de forma regular (solo las que le da la gana), mientras que los abiertos si lo hacen (y aprovecha esta situación así como las discusiones abiertas para seguirlas de cerca y tomar buena nota). Y en el periodo de la muestra estadística los navegadores han cambiado de versión como el que cambia de ropa interior, todos excepto el de la compañía de Redmond. Por cierto, estos cambios de versión suelen servir para algo…
Mientras que Mozilla o Chromium ponen sobre la mesa sus códigos, Microsoft se guarda los de IE (me da igual la finalidad) y los mantiene vivos durante años. BlackHat tras BlackHat aparecen pruebas de que todas estas medidas no son efectivas, y lo peor es que este tipo de conferencias son solo la punta del iceberg.
Por mi parte procuraré seguir evitando IE como la peste e instalando Chrome e Firefox allá donde me dejen. Gracias a esta actitud he conseguido no ver uno de esos «Malwares» en mucho tiempo, a pesar de que Symantec diga que los más peligrosos sean los de Mozilla…
Curioso que estos datos tan reveladores vengan siempre de gente relacionada intimamente con Microsoft (MVPs, empleados) o tengan productos en este mercado (Symantec).
Por cierto, me quedo con la intriga, ¿Cuáles son esos estándares que Google promueve en contra de Microsoft?
Pero Chema, ¿como se te ocurre lanzar una noticia a favor de un producto de Microsoft? ¿No sabías de antemano que se iban a lanzar como una jauría a por tu cuello? ¿Es que no sabes que está prohibido en estos tiempos decir algo bueno sobre un producto de MS?
Yo creo que hacer caso de estudios especializados es poco de fiar. Es mucho más fiable la opinión de gente objetiva la de los expertos imparciales que todos sabemos que son los jovencitos linuxeros. Si hay que aceptar algún estudio serio que sea de Google.
Bueno, parece que este tema se ha desmandado un poquito.
En primer lugar, Chema, saludetes. Para que me sitúes, nos estuviste contando a Gus y a mí lo que había pasado con la salida de los estándares ECMA mientras nos trapiñábamos las bolas esas de chocolate Jedi.
Para los demás, que parecéis bastante más informados que yo en este tema, es complicado debatir sobre algo tan delicado como la seguridad por correos o mediante comentarios en un blog: la presentación es interesante, pero está incompleta sin los comentarios que iba haciendo Chema sobre la marcha.
Lo que está claro es que como dice Salva, aquí cada uno tiene su culo. Digo, su opinión. Veo que todos tenéis vuestros argumentos, pero los datos de Chema, por muy MVP de Microsoft que sea, proceden de estudios de organizaciones muy reputadas en este segmento, así que esa hipotética falta de objetividad parece complicada de argumentar. Vale, para alguien que trabaja y respira Microsoft probablemente barrer para casa sea lo más habitual (mirad a Thurrot, que es un crack en eso), pero yo sinceramente creo que este no es el caso.
Pero también tengo que admitir que los comentarios de Jose (muy bien escrito, qué gozada no ver faltas de ortografía y todo bien separadito, majo) y Salva o fartus (buen punto lo del 80%) tienen su punto.
Eso es lo grande de los blogs. Que invitan a la conversación. Y que aprendes. Yo ya con este post y sobre todo con los comentarios tengo un poquito más claro los conceptos en este tema, así que gracias 🙂
Y Jose, Chema ha contestado antes a lo de los estándares, así que todo aclarado 😉
Javi, un detalle importante sobre el que no has hecho ninguna advertencia: el análisis se centra en navegadores sobre plataformas Microsoft Windows Vista y Microsoft Windows 7.
Y me parece un detalle que no puede ser pasado por alto. Poner a competir, por ejemplo, a IE y Safari limitando el ámbito del análisis a Windows no me parece lo suyo; por no decir que da la sensación de pretender dar una visión sesgada y parcial de la realidad. Me quedo con la curiosidad, por ejemplo, de ver cómo quedarían los resultados pareando navegadores-SO de referencia (IE-Windows vs Safari-Mac OS, etc.)
@ava, me parece muy interesante lo que propones, pero, al margen de las opciones dependiente de la plataforma, tienes en el paper toda la info sobre la herramienta en la parte de vulnerabilidades, ingeniería social, soporte a certificados nacionales, etc…
Saludos!
Felicidades Javi pues con el post la has dado de lleno. De Chema decir que es un gran comunicador y al resto gracias por el fantastico debate. La verdad es que cada uno tiene su razon y con el debate sono seguro que todos salimos ganando.
¡¡¡SONO!!! que abre tomado hoy… SANO
Pingback: Google Chrome, vertiginoso e imparable | Incognitosis
Pingback: TEDxRetiro, un evento gratuito que no tiene precio | Incognitosis