Java, Flash y los plugins en el navegador

Hasta hace relativamente poco podíamos decir que GNU/Linux era menos vulnerable que Windows ante los fallos de seguridad. Si bien esto se cumple para la mayoría de los casos esta situación está cambiando. Podemos definir un vector de ataque como una forma de aprovechar un fallo de seguridad para acceder al sistema del usuario o conseguir algún resultado por lo general malo para el usuario. Un vector de ataque que busque versiones vulnerables de los programas no tiene mucho efecto en GNU/Linux como consecuencia de las actualizaciones automáticas que realizan la mayoría de las distribuciones. Por esta razón los atacantes buscan nuevas formas de realizar los ataques usando los elementos que menos se actualizan: los plugins de los navegadores. Dentro de este grupo encontramos los plugins de Java y de Flash.

Plugin de Java

Java se puede usar para ejecutar programas en el escritorio del usuario y dentro del navegador en forma de applet. De forma gráfica los juegos que encontramos en muchas páginas Web están programados en Java. Por lo general estos programas que se ejecutan en el navegador tienen privilegios limitados pero en algunas ocasiones se pueden saltar. Según la información que aporta la página de seguridad Hispasec (artículo de Sergio de los Santos), los recientes ataques a Facebook, Twitter o Apple parece que tienen como causa común el uso de versiones vulnerables de Java.

Imagen de Java (http://pixabay.com/es/icono-java-taza-caf%C3%A9-tema-28201/)

Hay un detalle importante que me gustaría comentaros en temas de seguridad. Podemos tener un vector de ataque si usamos una versión que no está actualizada de Java. También existe un vector de ataque en fallos de los programas que no están reportados. Estos fallos, también conocidos como Zero-day, son muy codiciados porque permiten acceder a los equipos del usuario a través de vulnerabilidades que no están corregidas o son desconocidas. Ante esta situación, ¿qué podemos hacer?. Hay varias medidas que pueden minimizar el efecto de los errores (pero no eliminarlos completamente): tener el sistema actualizado y desactivar el plugin si no lo necesitamos.

Plugin de Flash

Flash es otra fuente de problemas de seguridad para el usuario. Lo comentado para Java se puede aplicar también aquí. Existe un problema mayor exclusivo de GNU/Linux. Si queremos usar Flash con Firefox u otros navegadores estamos obligados a usar una versión antigua y vulnerable. Para usar la versión más reciente debemos usar como navegador Chrome. Al acceder a una página comprometida que aproveche el error de Flash, los usuarios de Firefox podrían tener problemas.

Flash (http://www.flickr.com/photos/marcopako/2902635744/lightbox/)

Una ventaja que limita en parte el fallo de seguridad de Flash es el sistema de permisos del usuario. Aunque tengamos un problema de seguridad en el peor escenario sólo la carpeta del usuario podría verse afectada. No accedería a las carpetas del sistema siempre que no usemos un navegador con permisos de root.

Conclusiones

Un pensamiento lógico puede ser yo entro en páginas normales, no tengo problemas de seguridad. Esto es correcto, pero nadie nos puede asegurar que una página legitima no haya sido comprometida. En la información que aparece en el artículo de Hispasec mencionan que los atacantes habían comprometido una página legitima de programación y se habían infectado los usuarios. De forma resumida podemos seguir una serie de reglas:

• Programas y plugins actualizados (sobre todo los del navegador).
• Si no podemos usar una versión actualizada del plugin (es el caso de Firefox y Flash) evitaremos usarlo.
• En Firefox usar herramientas como Ghostery o Noscript. El primero desactiva una serie de scripts dudosos. El segundo bloquea por defecto todos los scripts de una página con lo que dejaríamos de ser en parte vulnerables. Tenéis un resumen en este artículo de InnerZaurus.
• Consultar de vez en cuando páginas de seguridad como Hispasec o Secunia.