Libertad Digital
El concurso Pwn2Own se celebra en el marco del congreso sobre seguridad informática CanSecWest que tiene lugar anualmente en Canadá. Organizado por TippingPoint, empresa especializada en ofrecer soluciones de seguridad y creadora de la iniciativa Zero Day para fomentar el hacking responsable, recompensando el descubrimiento de vulnerabilidades siempre que no se divulguen públicamente.
Este año el foco se puso en los principales navegadores web (Internet Explorer 8, Firefox, Chrome y Safari) y en los teléfonos móviles inteligentes. Mientras que en este último caso los hackers participantes no fueron capaces de sortear la seguridad de los dispositivos, en los navegadores llegaron a ser muy rápidos. De hecho, el primero en caer fue el navegador de Apple, que duró unos pocos minutos.
A lo largo de las horas fueron descubriéndose nuevos agujeros de seguridad de Firefox, Safari y Explorer 8, pero los hackers no lograron comprometer la seguridad de Chrome. Este éxito del navegador de Google se debe a su modelo de seguridad al que llaman sandbox, y cuyo objetivo es aislar al navegador del resto de procesos del sistema operativo e incluso de los ficheros que no están directamente involucrados en el trabajo de mostrar las páginas web.
Según explica The Inquirer, Microsoft ha sido en esta ocasión realmente rápida a la hora de reproducir el error, aunque aún no tenga un parche. La reacción ha tardado 12 horas, a pesar de que buena parte del equipo de desarrollo debía estar volcado en el vento MIX 09 en el que se lanzó oficialmente Internet Explorer 8.
Ventajas de los navegadores multiproceso, su mayor seguridad. Y es que al estar cada uno de los procesos aislados entre sí, no pueden afectarse los unos a los otros.
En el caso de Google Chrome se le añade, además, el hecho de que se ejecuten dentro de una sandbox, un entorno en el cual no tienen acceso a recursos externos y, por tanto, los problemas de seguridad no afectarán al resto de la máquina. Y esto ha quedado demostrado en el PWN2OWN.
Mientras el resto de navegadores ha sucumbido a errores de seguridad, Google Chrome ha aguantado como un campeón. ¿No tiene problemas de seguridad? Sí, los tiene, pero su modelo de sandbox hace que sea extremadamente difícil aprovecharse de ellos para tomar el control del ordenador en el que se ejecuta.
Según Charlie Miller, uno de los más prolíficos descubridores de bugs de seguridad, todos los navegadores tienen problemas y, de hecho, ha encontrado uno en Chrome, pero no sabe como aprovecharse de él. Solo le permite ejecutar código dentro de la propia sandbox, así que necesitaría encontrar además un bug en esta para conseguir escapar de ella.
Evidentemente, esto no es imposible, pero al menos las probabilidades de que ocurra son mucho menores que en otros navegadores. Otro punto a favor de Google Chrome, del que solo podemos recriminarle que tarden tanto en lanzar las versiones de Linux y Mac OS X y el sistema de extensiones.
No hay comentarios:
Publicar un comentario