Fusilando

Martes, 27 de diciembre de 2005

¿Qué navegador es más seguro?

La seguridad es uno de los principales factores que hay que tener en cuenta cuando se elige un navegador. Es uno de los programas que más vamos a usar, si no el que más, y el hecho de que se use continuamente para acceder a servidores de los que sabemos muy poco (o nada) lo hace el más vulnerable a los ataques desde la red. Estos ataques suelen aprovechar fallos de los navegadores. Unas veces el descubridor del fallo es el que posteriormente programa el troyano o virus que lo aprovecha. Otras veces, el programador del troyano obtiene la idea cuando se publica la vulnerabilidad.

Este argumento es el que sustenta el modelo de desarrollo cerrado de navegadores como el Internet Explorer. La idea que esgrimen (a estas alturas del parchís) es que cuanto menos se publique sobre los fallos del navegador, menos material tendrán los creadores de virus para trabajar. Cuando se detecta un fallo, éste se oculta y sólo se difunde cuando el parche que lo soluciona es publicado. Así explicado parece que es la mejor manera de trabajar, pero veamos un poco más a fondo lo que ocurre en la práctica. La realidad es que la mayoría de los fallos son encontrados por los que los buscan activamente. Un gran porcentaje de estos "buscadores activos de fallos" los buscan para aprovecharlos: son los creadores de virus, y cuando uno encuentra algo podéis estar seguros de que no se lo va a decir a nadie. El principal problema es que sólo los programadores de la empresa que hace el navegador trabajan para solucionarlo. En el caso de Microsoft no son nada rápidos publicando las soluciones. De hecho, los parches son publicados una vez al mes, salvo casos muy flagrantes (virus Netsky, Sober y poco más).

Las mismas empresas obstaculizan todo lo posible que se encuentren fallos, intentan que no salgan a la luz, obviando el hecho de que por muy bien hecho que esté un programa, siempre tendrá fallos (y siempre habrá alguien que los encuentre) Algunas veces consiguen incluso que los gobiernos promulguen leyes que impidan buscar fallos en los programas.

La otra forma de hacer las cosas es la del software libre. Cuando se descubre un fallo en un navegador libre, se comunica y se intenta hacer la máxima publicidad del mismo. Esto hace que muchos programadores se interesen por él, y el parche que lo soluciona se publica en muy poco tiempo.

Últimamente Mozilla Firefox le está comiendo terreno a pasos agigantados al Internet Explorer y la seguridad es precisamente su punto más fuerte (y el más débil del Explorer). No en vano, la última versión del Explorer, la 6, fue publicada hace ya 4 años; una eternidad hablando de software. Mientras preparan la versión 7, siguen la estrategia conocida comúnmente como "meterse con el otro", sobre todo publicando estudios (pagados por ellos) que no comunican sino verdades a medias. La más utilizada es que Mozilla Firefox tiene más agujeros de seguridad que Internet Explorer. Esto, así literalmente, es verdad. Al Firefox se le descubren más agujeros de seguridad que al Explorer. Lo que no dicen es que el tiempo que transcurre desde que se descubre la vulnerabilidad, hasta que es arreglada, suele ser de unas horas o como mucho un día, no semanas como en el Explorer. Y eso es mucho más importante que cuántos fallos se encuentran, ya que es lo que marca cuánto tiempo pasamos expuestos a un ataque que se aproveche del fallo.

Os he soltado todo este rollo porque hoy he visto en Kriptópolis los datos del tiempo que cada navegador pasó en el 2004 en estado "inseguro con certeza", es decir, el tiempo que pasó el navegador con un fallo explotable descubierto sin que hubiera un parche que lo solucionase. Juzgad vosotros mismos:

• MS Internet Explorer fue inseguro el 98% del tiempo. Sólo hubo 7 días en 2004 sin que existiera un agujero de seguridad no parcheado y anunciado públicamente.
• Firefox fue inseguro el 15%, Hubo 56 días con un agujero de seguridad públicamente anunciado y sin parche. 30 de esos días correspondieron a un agujero de los Mac, que sólo afectaba a los usuarios de Mac. Firefox bajo Windows fue inseguro el 7%.
• Opera fue inseguro el 17%: 65 días. Ese número resulta accidentalmente un poco mejor de lo que debiera, ya que dos de los períodos no parcheados se solaparon...

El dato de Microsoft podría ser incluso mayor, ya que debido al ocultamiento del que hablaba antes, existen fallos que no han sido publicados por Microsoft, pero que pueden haber sido utilizados por los creadores de virus, troyanos, etc. con lo que el porcentaje del 98% a lo mejor se queda corto :-O

Otro motivo más para no utilizar el Explorer, ¿alguien necesita más?

Por: Andrés | Cultura Libre | Comentarios (3) | Referencias (0)