Consejos de Seguridad para los nuevos sistemas operativos y navegadores (Pwn2Own 2010)

Charlie Miller sabe lo que hace. Ganador por dos años consecutivos del Pwn2Own – un concurso donde muchos expertos de seguridad y hackers se reúnen anualmente compitiendo entre sí para ver quién encuentra más rápido una “puerta de entrada”, un agujero de seguridad en los principales sistemas operativos – Miller hizo noticia porque, el año pasado durante la competencia, se trajo abajo la seguridad de una Macbook Air en segundos. Y este año, planea convertirlo en su “Hat Trick”.

Pwn2Own, que hemos cubierto ya en el pasado, se divide en un evento de 3 días. Para la ocasión, los hackers tienen acceso a 3 máquinas (una con Windows, una Mac, y otra laptop con Linux.  Inicialmente se empieza en un ambiente restringido, buscando vulnerabilidades en el sistema operativo. En los días siguientes, se abren las opciones hasta que, finalmente, en el tercer día (si es que alguna máquina sobrevive), entran en juego aplicaciones de terceros

oneITsecurity ha conseguido una entrevista con Charlie Miller algunas semanas antes de realizar el evento (empezará el 24 de Marzo), donde nos revela algunos interesantes datos sobre seguridad de los nuevos sistemas operativos:

990746317_9717074520

  • Entre Snow Leopard y Windows 7, Miller considera a Win7 más dificil de hackear porque, por defecto, no viene ni con Java ni Flash, además de tener ASLR (técnica de seguridad que re-ordena áreas importantes de datos, como bibliotecas, ejecutables, y más).
  • A pesar de no haber sido hackeado durante el Pwn2Own 2009, Miller no considera que encontrar agujeros de seguridad o exploits en Linux sea más difícil, sino que, debido a que pocas personas lo usan en el escritorio, no es un candidado muy “apetecible” para ser hackeado. Por supuesto, otro punto a tomar en cuenta, es la distribución de Linux.
  • La mayoría de vulnerabilidade se encuentran en los navegadores web (Firefox, IE, Chrome) (Miller ganó los dos años consecutivos al encontrar un agujero no parchado en Safari en la Mac) y los navegadores más populares corren, finalmente, en todos los sistemas operativos.
  • La combinación más segura de Navegador / Sistema Operativo, es Chrome o Internet Explorer 8 en Windows 7 sin Flash instalado. No hay mucha diferencia entre ambos en cuanto a seguridad. Lo importante, es no instalar Flash.
  • Pwn2Own 2010 se centrará también en los smartphones, principalmente Android y el iPhone. Entre los dos, a pesar de que tanto el iPhone como Android son bastante seguros, el smartphone de Apple podría ser el más vulnerable, principalmente porque ha estado más tiempo en el mercado, y ha sido mejor investigado

Interesante el punto de vista de Miller en cuanto a seguridad en la web y, si quizás no estemos de acuerdo con todos sus puntos de vista, es imposible negar la importancia que tiene la seguridad del navegador en sí, para estar protegidos de posibles ataques maliciosos.

 

La entrevista completa, en oneITsecurity