Es noticia en todos los medios que el gobierno alemán y francés han recomendado no usar Internet Explorer como navegador, a raíz de los ataques perpetrados (supuestamente) desde el gobierno Chino contra Google aprovechando una vulnerabilidad desconocida del navegador de Microsoft. Realmente esta recomendación no supone nada novedoso viniendo del gobierno alemán, que ya en 2008 desaconsejó el uso del navegador Chrome, por ejemplo. Pero si la intención es, con buen criterio, disuadir del uso temporal de programas con graves vulnerabilidades hasta que sean resueltas, la lista debería ser demasiado larga.Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. Tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos. Los laboratorios de McAfee analizaron varias muestras de malware involucrado en los ataques. Descubrieron que uno de los ejemplares aprovechaba una vulnerabilidad desconocida hasta la fecha en Internet Explorer, que permite ejecutar código arbitrario y que está reconocida pero no solucionada oficialmente.
Previamente, se especulaba con que una vulnerabilidad en Adobe Reader era el "vehículo" usado para ejecutar código en los sistemas de las víctimas. Si bien parece que también ha sido usado, se trata de vulnerabilidades ya conocidas que disponen de parche oficial,aunque no por ello menos graves.
Ahora, la Oficina Federal para la Seguridad de la Información alemana mantiene candente el asunto. Recomienda no usar Internet Explorer. ¿Tan inseguro es el navegador para que un gobierno recomiende suspender su uso? El problema es que en estos momentos, sufre una vulnerabilidad que está siendo aprovechada y para la que no hay parche. Es una situación por la que han pasado no solo todos los navegadores, sino muchísimas aplicaciones y sistemas operativos en algún momento de su historia. No es excusa, pero tampoco novedad. De hecho Internet Explorer ha vivido esta situación en muchas otras ocasiones, por ser objetivo favorito de atacantes y por retrasos en la publicación de soluciones.
Una cuestión que llama la atención, al margen de los enfrentamientos "ideológicos" sobre navegadores que suscitan este tipo de noticias, es que según El País, el gobierno recomienda a los usuarios que busquen una alternativa al navegador Internet Explorer de Microsoft, "para garantizar su seguridad". Esta afirmación es peligrosa, y puede llevar a equívocos. Evidentemente ningún navegador "garantiza la seguridad" sino que en lo posible y dada la situación (como siempre ocurre en seguridad) el uso de alternativas que no están siendo atacadas en estos momentos minimiza el riesgo. Pero también minimiza el riesgo (ahora y siempre) seguir usando Internet Explorer si se aprovechan y se entienden a las medidas de seguridad que implementa de serie, que en su versión 8 son numerosas y efectivas.
Por su parte, el portavoz de Microsoft en Alemania, Thomas Baumgaertner, ha replicado que los ataques a Google fueron llevados a cabo por "personas muy motivadas y con unos fines muy específicos". "No hubo ataques contra los usuarios comunes o los clientes de la firma. No hay amenazas para ellos, por eso no apoyamos esta recomendación". Baumgaertner olvida que el exploit no ha tardado en hacerse público, por tanto a día de hoy, cualquiera podría ser atacado.
Lo coherente, en todo caso, es practicar la defensa en profundidad ante las amenazas. Ya sea con el navegador o cualquier sistema informático, en todo momento. Se deben utilizar alternativas cuando exista un potencial riesgo mayor como el que ahora sufre el navegador de Microsoft, si es posible, pero no hay que relajarse por ello. No sabemos qué programa, ni de qué forma, puede estar siendo atacado en estos momentos
Tampoco es la primera vez que el gobierno alemán prohíbe el uso de un navegador. A principios de septiembre de 2008 Google lanza su nuevo navegador Chrome. Una semana después, Internet se inunda de comentarios sobre todos los aspectos de esta nueva aplicación y en particular sobre su seguridad. Muchos comentarios, exploits, más exploits y aclaraciones después, el gobierno alemán desaconsejó explícitamente el uso de este navegador. La Oficina Federal para la Seguridad de la Información alemana advirtió que resultaba arriesgado que los datos de un usuario fuesen acaparados por un único fabricante y desaconsejó abiertamente el uso del navegador Chrome en un importante informativo televisado.
Muchos ven en estas reacciones del gobierno alemán un movimiento más en contra de las grandes corporaciones americanas, que a favor de la seguridad de los usuarios. En cualquier caso, la recomendación, temporal hasta que Microsoft corrija el problema, no debe ser desatendida. No es un mal criterio aconsejar el uso de alternativas cuando no exista solución a un problema de seguridad.
La verdad que el 0Day que hemos presenciado, sólo afectaba a equipos con Internet Explorer 6 y 7, ya que por defecto no tenían configurado el DEP (Detection Execute Process), que era vulnerado por JAVA.
ResponderEliminarCon IE8, por defecto el DEP lo tiene activado, y por lo tanto, no afecta esta vulnerabilidad.
P.D.: FireFox, no tiene por defecto el DEP configurado.