02 agosto 2010

Cuatro formas de comprobar la seguridad de tu navegador

Como decía Rubén en su charla de la Campus-Party, hoy en día cuando se quiere comprometer un equipo personal, lo más importante es conocer cuál es la versión del navegador, y desde ahí, elaborar un ataque a medida para explotar alguna de sus vulnerabilidades, ya que es la herramienta principal en Internet y todos los usuarios hacen uso intensivo de ella.

Una solución sencilla que permite conocer si nuestro navegador es vulnerable a fallos conocidos, (además de comprobar que es la última versión), es hacer uso de algunas aplicaciones online que ejecutan una serie de chequeos como si fuese la ITV de los coches aplicada a Navegadores (ITN).

Con este propósito la compañía de seguridad Qualys ha desarrollado la extensión Qualys BrowserCheck que analiza el sistema y muestra si están o no actualizados los componentes más comunes que interactúan con el navegador (Flash, Reader, QuickTime, Silverlight, MediaPlayer, Sun Java, etcétera)


Para usarla es tan sencillo como acceder a la URL: https://browsercheck.qualys.com/, instalar el plugin y ejecutar el escaneo. Al finalizar mostrará los resultados de forma bastante sencilla. (Yo acabo de descubrir que no tengo la última versión de Acrobat Professional (Reader) y Java :$)


Una alternativa para Firefox que comprueba únicamente aquellos componentes que estén configurados en el navegador, es usar su propio servicio disponible en: https://www.mozilla.com/en-US/plugincheck/. La diferencia en los resultados es clara, como yo no uso la integración de Reader con el navegador, esta opción no encuentra ninguna aplicación desactualizada.



Scanit dispone de una aplicación, un tanto pobre comparada con el resto, llamada "browser security test", que detecta automáticamente el navegador y su versión, explotando hasta 19 vulnerabilidades conocidas y mostrando el resultado:



Una última opción más compleja y profunda analiza mediante un applet de Java todo el software instalado, al igual que hace su versión de escritorio: Secunia PSI, y reporta aplicaciones consideradas inseguras. Secunia OSI es ejecutado desde su página web y únicamente requiere tener la máquina virtual de Sun instalada.



5 comments :

Anónimo dijo...

Qualys Browsercheck no funciona con linux ;(

Angelverde dijo...

Al parecer la combinación GNU/Linux & Firefox sale victoriosa, bueno al menos probe todos los tests y no se encontró nada.

Anónimo dijo...

Secunia OSI es defectuoso, da muchos falsos positivos, porque encuentra registro de la instalación de versiones anteriores de los programas pero no comprueba que se actualizaron. Por ejemplo, Google Chrome.-Ignacio Agulló

jilmor dijo...

Pues gracias al Qualys BrowserCheck me acabo de dar cuenta de que estaba un poco desactualizada!
Muchas gracias :D

jilmor dijo...

Pues gracias al Qualys BrowserCheck me acabo de dar cuenta de que estaba un poco desactualizada!
Muchas gracias :D