Microsoft ha preparado recientemente una serie de documentos acompañando al lanzamiento de la campaña por promocionar la seguridad de Internet Explorer 8. Se puede consultar un documento de 35 páginas (que os podéis descargar). También podéis ver un resumen más extenso en la presentación que se expuso ayer.
El primer aspecto es el del aprovechamiento de tecnologías como el DEP (protección contra la ejecución de código en la zona de datos de la memoria), ASLR (Espacio de direccionamiento aleatorio) y la Virtual Store, una zona de memoria a la que sólo la aplicación «propietaria» puede acceder.
La correcta implementación de estas técnicas por parte de los programadores de cada navegador se comprobó gracias a la herramienta Process Explorer, En la presentación de la campaña se pudo mostrar en directo en una máquina con los cinco navegadores instalados cómo el único navegador que implementaba todos estos sistemas que protegen a la hora de buscar brechas para ejecutar código malicioso era Internet Explorer 8.
También se explicó el modelo de integridad obligatiria (MIC, Mandatory Integrity Control) y el de el aislamiento de los privilegios del interfaz de usuario. La idea es que un proceso menos importante no perjudique a otro de importancia superior. Para esto cada pestaña del navegador debería ejecutarse en un proceso diferente y una importancia baja. Este sistema solamente lo implementan IE8 y Chrome.
Igualmente se mencionó la importancia de las extensiones y complementos además de sus opciones de configuración, con especial énfasis en el entorno empresarial en el que la gestión de estas políticas deben ser unificadas para no tener que configurar los navegadores de los equipos uno a uno. igualmente se comentaron las ventajas del control de sesiones y de las cookies para evitar robos de sesiones mediante ataques de Cross Site Scripting.
Este tipo de ataques ejecutan código en el navegador para robar información de la sesión o manipular el código HTML de la página para cambiar su aspecto o añadir funciones que permiten capturar datos del usuario. Internet Explorer 8 es el único que implementa un filtro contra Cross Site Scripting además de disponer de una implementación completa del flag HttpOnly que añade protección contra estos ataques.
En el apartado de la ingenería social es donde Internet Explorer 8 quizás cobre más ventaja. Desde detalles como el resaltado del dominio, que permite saber realmente cuál es el nombre del servidor al que accedemos disminuyendo el riesgo de Phishing, pasando por el eficaz filtro SmartScreen, este navegador consigue muy buenos resultados a la hora de prevenir que el usuario sea engañado para acceder a una página creyendo que es otra.
Esto ha sido medido por la empresa NSS labs, tal y como informamos en su día, con resultados abrumadores a favor de Internet Explorer 8, con un 85% de bloqueo en el caso de malware basado en la ingeniería social. Los casos prevenidos por resaltar el nombre del dominio de una página no son medibles, pero es el navegador que con más claridad lo identifica para evitar confusiones.
En el apartado de los certificados de seguridad, esos que permiten identificar una entidad u organización para que podamos estar seguros de a quién estamos enviando nuestros datos, IE8 también tiene ventaja. Por un lado es el que mejor muestra advertnecias como problemas con los certificados o si el certificado es de validación extendida (es decir, no está validado por un equipo de personas que ha comprobado el origen del certificado y no por un ordenador).
Por el otro Internet Explorer 8 ha podido exhibir el almacen de certificados más completo. Es decir, ha reconocido todas las entidades certificadoras probadas menos HEALTHSIGN (tampoco reconocida por los otros cuatro navegadores), mientras que otros navegadores han fallado con entidades tan importantes como la Fábrica Nacional de Moneda y Timbre o CATCert, la entidad catalana de certificación.
Otro elemento importante es el de la privacidad. En este caso se repasaron las funciones que permiten no sólo navegación privada, implementada en todos los navegadores, sino el bloqueo del envío de información a terceros, implementada en IE8 con InPrivate Blocking. Otra función que implementa en exclusiva IE8 es la gestión de privacidad por zonas.
El último argumento de la presentación fue el de las vulnerabilidades. Por los datos presentados se evidenciaba que Internet Explorer no es ni mucho menos uno de los navegadores con más vulnerabilidades, mientras que es de los que más vulnerabilidades corrige en términos absolutos. También, por otra parte, es el único navegador con vulnerabilidades extremadamente críticas, es decir, vulnerabilidades que se sabe a ciencia cierta que han sido utilizadas.
Sin embargo Microsoft es sin duda una de las empresas más comprometidas en reparar lo más rapidamente posible estas vulnerabilidades, con una política de seguridad que recientemente ha sido reconocida por expertos de seguridad. En definitiva una conferencia muy interesante, cargada de datos difícilmente discutibles que aunque no demuestra que Internet Explorer 8 está a prueba de bombas sí que parece que está en un escalón por encima de los demás navegadores en cuanto a seguridad.
Tras la presentación tuvimos oportunidad de charlar con Chema Alonso sobre más temas, como el sandbox de Chrome (que al parecer no es tan seguro como lo pintan), cómo justo antes del PWN2OWN algunos fabricantes de navegadores sacaron parches de urgencia para tapar vulnerabilidades que se preveía que iban a explotar, las maniobras de Google con los estándares y muchas más cosas.