Después de ser anunciado por 3 años consecutivos como el navegador mas seguro en el famoso Pwn2Own, Google Chrome ha caído, los responsables de esta hazaña han sido investigadores de la empresa VUPEN Security, quienes lograron saltar todas las medidas de seguridad implementadas por el navegador.

Por mucho tiempo Google Chrome se escondió bajo su caja de arena y las protecciones que le ofrecía el sistema operativo de turno, ASLR, DEP, pero ingenieros de la empresa VUPEN Security, encontraron el eslabón débil en la cadena de chrome, que durante varios años buscaron otros, logrando esquivar todas las protecciones implementadas en el navegador y ejecutar código arbitrario en el sistema de forma totalmente transparente para el usuario.

Destaca la limpia ejecución de código en el sistema, con solo visitar un sitio web y sin que el navegador se bloqueara, también el hecho que el fallo pueda ser recreado en sistemas de 32 y 64 Bits sin problemas.

Mas Información:
Anuncio Oficial en la pagina de VUPEN

También puede interesarte...

• Google Chrome podría dejar de ser el Navegador más Seguro
• “Crean” un navegador pensando en su seguridad
• Buffer Overflow en PHP 6 Dev
• Vulnerabilidad 0-day en todas las versiones de Windows
• Descargar e Instalar Google Chrome OS
• Secuestro de Frames Inocentes
• Recupera las contraseñas almacenadas en tu Navegador
• Muy Bonito, Muy de la Casa, MUY INSEGURO

Hace poco se publicaron los resultados del Pwn2Own, concurso realizado anualmente durante la conferencia de seguridad informática CanSecWesten, en la cual algunos de los mas reconocidos expertos en seguridad se disputan grandes premios explotando problemas en los sistemas operativos, navegadores y dispositivos móviles mas populares.

En esta edición del concurso el navegador Google Chrome, destacó sobre los demás, por ser el único navegador que permaneció en pie frente a los ataques realizados por varios de los mejores expertos de seguridad informática del mundo, quienes no pudieron contra la “caja de arena” puesta por Google en su navegador estrella.

Pero esto podría cambiar en poco tiempo….

¿Porqué Google Chrome podría perder su titulo como navegador mas seguro?

Google acaba de publicar en su blog oficial y el de chromium, que integrará de forma nativa, soporte para el plugin de Adobe Flash Player y Adobe Acrobat Reader (catalogado como la aplicacion mas insegura del 2009), 2 de los productos de Adobe con mas vulnerabilidades criticas encontradas y causantes de un gran numero de las infecciones por malware en equipos con Microsoft Windows.

¿Que opinan los expertos?

Charlie Miller, famoso por ser la primera persona en hackear un iPhone y sus triunfos consecutivos en el concurso Pown2Own afirma que Google Chrome o Internet Explorer 8 sobre Windows 7 es la combinación mas segura para navegar en internet, siempre y cuando no tengan Flash instalado.

Steve Jobs, dejando a un lado los intereses que tiene Jobs para no incorporar flash en sus dispositivos (todos sabemos que no lo hace por que muchos desarrolladores podrían crear aplicaciones sin pasar por su AppStore), el fundador de Apple ha reiterado en varias ocasiones que Flash no sólo consume gran parte de las recursos de la CPU y es una fuente de agujeros de seguridad, sino también se trata de una tecnología en proceso de obsolescencia.

Forbes, esta prestigiosa revista estadounidense, catalogó a Adobe Acrobat Reader y Adobe Flash Player como las aplicaciones mas hackeadas del año 2009, que junto a otras aplicaciones forman la puerta de entrada para la mayoría del software malicioso instalado en equipos de escritorio.

Yo personalmente pienso que es una mala decisión de Google incorporar aplicaciones de terceros que han demostrado con el tiempo la cantidad de fallos de seguridad que contienen, a no ser que ellos mismos se encarguen de asegurar el código de estas aplicaciones (lo cual no creo que pase), de todas formas la decisión de activar o no estos plugins son nuestras, ya que la primera vez que iniciemos Google Chrome nos preguntara si aceptamos los términos y habilitamos estos plugins o simplemente no lo hacemos:

Adobe afirma que está trabajando con Mozilla y Google para crear un nuevo API para complementos (plugins) de navegador. Este nuevo API, que estará basado sobre Mozilla NPAPI, el cual ha sido diseñado desde sus inicios para ser neutral para sistemas operativos y navegadores lo que debería mejorar el desempeño y seguridad.

Si quieres probar esta versión de Google Chrome con Flash Incorporado puedes descargarla desde el canal el dev channel de google chrome.

¿Y tu que opinas sobre esta decisión de Google?, déjanos saber tu respuesta con un comentario.

También puede interesarte...

• 0day en Google Chrome
• “Crean” un navegador pensando en su seguridad
• Descargar e Instalar Google Chrome OS
• La Mejor Defensa es la Información
• Secuestro de Frames Inocentes
• Recupera las contraseñas almacenadas en tu Navegador
• Muy Bonito, Muy de la Casa, MUY INSEGURO
• Nueva Vulnerabilidad en Google Chrome

De una forma similar, en el mundo real las brechas de seguridad son una combinación de características que a menudo encontrarás en las ejecuciones de habilidosos magos. Por eso, permíteme presentarte una forma simplista de ataque, tal vez tan simple que, de hecho, podría funcionar mucho mas a menudo de lo que admitimos, la cual usa habilidosamente sugestión, psicología y una gran dosis de espectacularidad.

Todos hemos escuchado sobre clickjacking y sabemos que es un bug de diseño y por consiguiente es dificil tratar con el. Sin embargo, ¿Hay otras áreas defectuosas de los navegadores modernos que puedan ser abusadas? Por supuesto, las hay. Solo que toma su tiempo encontrarlas todas porque por lo general estan tan bien ocultas bajo nuestras creencias comunes, prejuicios e ignorancia. Veamos este código:

<html>
<body>
<script>
function clickme() {
var w = window.open('http://www.google.com');
setTimeout(function () {
w.location = 'http://www.dragonjar.org';
}, 5000);
}
</script>
<input type="button" value="click me" onclick="clickme(this)"/>
</body>
</html>

Bastante aburrido! Estoy de acuerdo. Primero que todo el usuario hace clic en el enlace/botón. Después una nueva ventana/pestaña se abre la cual carga el contenido de http://www.google.com. 5 segundos mas tarde la nueva ventana abierta precarga el contenido de http://www.dragonjar.org. ¿Perturbante este código? Creo que si. Es perturbante porque se rompe la relación de confianza que hay entre el usuario y google.com en este ejemplo específico. Llámalo surfjacking, framejacking, tabjacking o como quieras, pero a fin de cuentas, creo que es solo otra forma de mal diseño.

Continuar leyendo articulo en el foro Hijacking de Frames Inocentes…

También puede interesarte...

• 0day en Google Chrome
• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• Pensando en la seguridad del HTML5
• Google Chrome podría dejar de ser el Navegador más Seguro
• Forzando Conexiones SSL por defecto
• Descargar Gratis Internet Explorer 8 Final
• Google libera el Manual de Seguridad para el Navegador
• Clickjacking

Google publicó el Manual de Seguridad del navegador para el público en general. El documento des 60 páginas proporciona una amplia comparación de un amplio conjunto de características de seguridad y características de uso común en los navegadores, junto con útiles comentarios y sugerencias de aplicación para los desarrolladores que necesitan confiar en estos mecanismos.

El texto proporciona a los desarrolladores de aplicaciones web, navegadores, y los investigadores de seguridad una guia de referencia a las principales propiedades de seguridad de los navegadores web.  La insuficiente comprensión de estas a menudo mal documentados características es un importante factor que contribuye a la prevalencia de varias clases de vulnerabilidades de seguridad.

Acceder al Manual de Seguridad del Navegador

El manual es nuevo (hace unas 10 horas lo publicaron) pero se espera que sea traducido a diferentes idiomas (de momento solo esta disponible en ingles).

También puede interesarte...

• Curso sobre desarrollo seguro de aplicaciones web por Google
• Descargar Gratis Internet Explorer 8 Final
• Presentación de conceptos básicos en Seguridad Web
• X5S – Encuentra fallos XSS, LFI y RFI fácilmente
• ¿Como implementar la seguridad en la Nube?
• ¿Cómo se realiza un Pentest?
• TOP 7 Riesgos de la Seguridad en la Nube
• TOP 10 Fallos de Seguridad en Aplicaciones Web

Es común encontrar personas que guardan las contraseñas en su navegador favorito, por comodidad, pereza, etc… pero no toman en cuenta las precauciones que se deben tener a la hora de realizar esta acción, en este pequeño documento se mostrara por que no es apropiado guardar nuestras contraseñas en el navegador web y los diferentes métodos y programas utilizados para recuperar estas.

Empezare por el navegador que domina el mercado, el Internet Explorer, aparte de ser el navegador más inseguro y atacado, es el que peor manejo hace de nuestras contraseñas almacenadas, no tiene ningún gestor para estas, ninguna clave maestra para codificarlas… muchos spyware roban fácilmente esta información con los riesgos para nuestra seguridad que esto implica, además existe una gran cantidad de aplicaciones que permite recuperar fácilmente estas contraseñas almacenadas, vamos a ver una de ellas llamada IE PassView.

El programa es bien simple, no necesita instalación y con solo abrirlo nos muestra en texto plano todas las contraseñas almacenadas en el Internet Explorer, nos da la posibilidad de guardarlas en diferentes formatos, además de esto puede ser llamado desde línea de comandos y con algunos parámetros como /stext nombrearchivo.txt guardará automáticamente todas las claves en un archivo de texto sin que nos demos cuenta, dejando nuestras contraseñas a merced de cualquier persona.

Recomendaciones:

1. No usar Internet Explorer, existen muchas alternativas mejores y más seguras.
2. Si quieres seguir usando Internet Explorer NO GUARDES TUS CLAVES EN EL, utiliza software para guardar tus contraseñas como el KeePass que es seguro y gratuito.

Sigo con un gran favorito entre los cibernautas, el Mozilla Firefox, aunque este navegador es mucho mas seguro que el Internet Explorer, en su configuración por defecto también deja nuestras claves a cualquier curioso. Solo es necesario ir a Herramientas/Opciones/Seguridad/Contraseñas Guardadas, para que cualquier persona con acceso a nuestra maquina pueda ver nuestras contraseñas.

También existe una pequeña aplicación que permite realizar esta tarea automáticamente, se llama PasswordFox y funciona de forma idéntica al IE PassView (lo fabrica la misma empresa), también puede funcionar con parámetros por lo cual resulta sencillo la creación de scripts que automaticen la tarea de guardar las contraseñas en un archivo de texto sin levantar sospechas.

Recomendaciones:

1. A diferencia del Internet Explorer el Mozilla Firefox si tiene un gestor de contraseñas y en el existe una opción llamada “Contraseña Maestra” si activamos esta opción nuestras contraseñas solo se mostraran cuando ingresemos esa contraseña que administra las demás, para activarla vamos a Herramientas/Opciones/Seguridad/ y activamos la opción Usar Contraseña Maestra.

Otro navegador que ha dando mucho de que hablar es el Google Chrome, pero este tampoco se salva.

Google Chrome también tiene un gestor de contraseñas pero a diferencia del Mozilla Firefox no han implementado una opción como la “clave maestra”, por lo tanto cualquier curioso que entre a Opciones/Especificas/Mostrar Contraseñas Almacenadas podrá ver nuestras claves sin complicaciones.

También existe un software llamado ChromePass también de la empresa Nirsoft que permite sacar las claves sin muchas complicaciones, que funciona igual a los 2 anteriores y también funciona en linea de comandos.

Recomendaciones:

1. Utiliza software especializado para guardar tus contraseñas, por ejemplo el KeePass que es seguro y gratuito.

¿Utilizas Opera,Safari o cualquier otro navegador? revisa las opciones de seguridad que tenga el gestor de password de tu navegador, si tiene alguna opción como “la clave maestra” del Mozilla Firefox actívala, si no la tiene procura no guardar tus claves en el, utiliza software especializado para esta tarea, en internet hay muchos, gratuitos y muy buenos.

Nadie esta exento al robo de información pero es mejor no dejarle la tarea tan sencilla a un usuario mal intencionado almacenando todas nuestras claves en un solo sitio y sin protección.

También puede interesarte...

• Recupera tu Password de Facebook
• Recupera tu Password de Twitter
• 0day en Google Chrome
• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• Tus busquedas en Google ahora Cifradas
• Google Chrome podría dejar de ser el Navegador más Seguro
• Descargar Gratis Internet Explorer 8 Final
• KromCAT convierte tu Google Chrome en una Herramienta para la Auditoria de Seguridad

El problema es grave y no parece resolverse con un simple parche, con esta vulnerabilidad un atacante puede forzar a hacer click en cualquier vinculo (sitios con virus, spyware… o anuncios…) sin que el usuario se dé cuenta de lo que está sucediendo.

Para poner un ejemplo sencillo un atacante podría por ejemplo obligarnos a visitar enlaces de AdSense (aumentando las ganancias del usuario malicioso), se podría ofertar automáticamente en sitios como MercadoLibre o eBay, robar nuestra información personal, bancaria, etc… Con el hecho de hacernos visitar la url que ellos decidan las acciones que nos podemos realizar sin darnos cuenta solo son limitadas por la imaginación del atacante.

Jeremiah Grossman y Robert Hansen , ya se han puesto en contacto con las empresas responsables de los principales navegadores Microsoft, Mozilla y Apple para solucionar el problema aunque advierten que no hay una solución sencilla hasta el momento pero están trabajando en una.

Algunas cosas que podemos hacer para protegernos:

1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
   • Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
   • Escribir “opera:config” en la barra de direcciones. Buscar “Extensions” y deshabilitar “iFrames” (…aunque yo no encuentro “iFrames” en mi Opera 9.50 para Linux!?).
4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Para Mas Información:
Clickjacking
Adobe Product Security Incident Response Team (PSIRT)
Clickjacking: ¿un secreto a voces?
Clickjacking
Clickjacking and NoScript

También puede interesarte...

• Secuestro de Frames Inocentes
• ClaveHotmail.com cometiendo delitos desde el 2007
• ¿Como se realiza el SMiShing?
• Phishing a Bancolombia muy “real”
• 0day en Google Chrome
• Presentación de conceptos básicos en Seguridad Web
• Phishing a BBVA
• Vulnerabilidad en Routers Thomson a Fondo

Características y ventajas de ZoneAlarm ForceField

• Virtual surfing crea un duplicado de “ti” para bloquear ataques de la Web, dejando loa usuarios seguros para navegar con seguridad
• La protección de dos vías no sólo defiende el PC contra ataques de Internet, también protege sesiones contra amenazas que ya estan en la PC, como spyware o keyloggers.
• El anti-phishing avanzado utiliza la heurística sofisticada y el mejor sistema de firma disponible para evitar que los usuarios visiten los sitios fraudulentos que intentan hacer que revelen sus datos personales.
• El modo de aislamiento permite que los usuarios naveguen donde quieran y que mecanografíen cualquier cosa sin dejar un solo rastro en la computadora.
• El detector de descargas peligrosas comprueba cada descarga de Internet para cerciorarse que esté limpio.
• Anti-keylogger/screengrabber descubre y bloquea los programas silenciosos de spyware que intentan robar identidad a los usuarios registrando las claves que los usuarios mecanografían y las paginas que los usuarios ven.
• El auditor Web comprueba las credenciales en cada sitio para ver si es seguro entrar en archivos o descargas directas.
• El Scanner de Spyware explora las sesiónes de los usuarios en busca de spyware peligroso.
• El cifrado de archivos temporales cifra los ficheros temporales que se crean automáticamente en PC de los usuarios mientras que mecanografían la información sobre la Web, así que no pueden ser comprometidos por spyware en su PC.
• ForceField inmediato da a viajeros el uso temporal de ForceField en las computadoras prestadas en los quioscos, en PC de los amigos y en otros lugares públicos.
• Y muchas cosas mas.

Descargar beta del ZoneAlarm ForceField

También puede interesarte...

• Secuestro de Frames Inocentes
• Google libera el Manual de Seguridad para el Navegador
• 101 Libros de Seguridad Informática Gratis
• BugCON 2012
• Cursos Gratis de Seguridad Informática Online
• Curso Gratis de Seguridad y Redes en el Sena Virtual
• Entrevista a Dani Creus y Mikel Gastesi – Fraude Online
• winAUTOPWN – Ataques automáticos de entornos Windows