Grupo de Usuarios Linux Monóvar » Mozilla

Mozilla, las extensiones, la seguridad y lo que podemos aprender del falso positivo

Webmaster — Sat, 13 Feb 2010 17:14:11 +0000

Interesante debate sobre seguridad el que se ha abierto esta semana con la aparición de dos extensiones para firefox descargables e instalables desde Mozilla Add-ons y presuntamente infectadas con un troyano. Más adelante se ha comprobado que una de ellas estaba limpia.

Más allá de lo trivial, esto abre toda una reflexión sobre los procesos de calidad y verificación por parte de Mozilla de todas esas extensiones (software, en último caso) descargables desde su repositorio. A este respecto quiero destacar el post de Sergio, que creo que tiene mucha razón cuando recomienda ser prudente con el uso del navegador para tareas sensibles. Esto es obvio para muchas personas (entre los lectores de este blog imagino que obvio para casi todos), pero para la gran mayoría pensar en esos términos será algo nuevo porque no se lo han planteado antes.

Añadiría, además, que en nuestro papel de prescriptores tecnológicos (hablo por mí y mi entorno, sin ir más lejos) es importante que aparte de recomendar el uso de software libre y prácticas más seguras hiciéramos un especial hincapié en la prudencia y la sensatez. Evidentemente, los sistemas 100% seguros, fiables e invulnerables no existen. (Cualquiera que nos diga que su software o su sistema en general es 100% seguro puede ser inmediatamente catalogado como cretino sin miedo a equivocarnos.) Pero donde la técnica no puede llegar, si nos puede acercar (nunca llegaremos, obv) un buen conjunto de buenas prácticas. Al fin y al cabo, cuando hablamos de seguridad somos el eslabón más débil y tiene sentido reducir la inseguridad derivada del mal uso mismo de las herramientas.

Quiero comentar también una pregunta que hace Oscar en el blog de Sergio, que fue el auténtico disparador para escribir este post: un comentario que me quedó largo y al final he decidido ascender a post. Dice Oscar: «Realmente no tengo el tiempo ni los conocimientos para probar el código de uno u otro navegador. ¿cuáles serían las pautas para escoger el mejor o el mas seguro?»

Aquí viene mi respuesta:

Preguntar por las pautas para reconocer y escoger el navegador más seguro es una pregunta tan amplia que requiere una respuesta cuya extensión daría para escribir un blog (no un post, un blog) sólo para ir desglosando esas pautas.

¿El software libre es más seguro que el privativo? De entrada es auditable con mayor facilidad, lo cual no implica mayor seguridad, tan sólo que si hay código malicioso es posible que sea descubierto con menos retraso. El uso de software libre tiene incontables ventajas, pero éste no tiene porque ser intrínsecamente más seguro siempre. Es posible que lo sea en términos generales debido a la facilidad de auditoría (si no propia del usuario, sí de la comunidad –tan importante para que un proyecto de software sea verdaderamente libre), pero puntualmente puede ser inseguro como todo software.

A buen seguro que se aprovechará este incidente para lanzar miedo, incertidumbre y dudas sobre Firefox. Nadie debería alarmarse, sin embargo. Firefox sigue siendo una opción razonablemente segura que, usado con buen tino, conlleva menos riesgos que otras opciones.

Eso sí, en el tiempo por venir y si la tasa de usuarios de Firefox sigue creciendo, esta cuota de usuarios devendrá el mayor problema de seguridad para Firefox y sus programadores. Pensemos por un momento como lo haría un desarrollador de código malicioso: me va a costar el mismo tiempo (no tiene porqué, pero asumamos eso como una aproximación de orden cero correcta) desarrollar mi ataque contra un navegador específico. ¿Invierto mi tiempo para atacar al 1% de usuarios, al 20%, al 40%? Si asumimos también la inexistencia intereses concretos que decanten mi elección de objetivo, mi ataque irá dirigido al navegador que me abra la puerta de más víctimas potenciales: el navegador más utilizado. De entrada, esto convierte a IE8 en un blanco preferido, seguido de Firefox. No debería sorprendernos, por tanto, que en el futuro se hagan cada vez más frecuentes los ataques específicos contra este navegador que tiene el atractivo añadido (para el atacante) de ser multiplataforma.

Por otra parte, no me apasionan verdaderamente los estudios comparativos de seguridad entre diferentes navegadores. La utilidad de esos estudios comparados la pongo en cuarentena porque estas comparativas someten a los navegadores a ataques ya conocidos y los ataques más devastadores son siempre los innovadores, los no conocidos. Dicho de otra forma, equivale a exacerbar la seguridad aeroportuaria porque una vez hubo un atentado con aviones cuando todos sabemos que el próximo ataque masivo no tendrá lugar de la misma forma que el anterior: tendrá otra forma inesperada y nos cogerá por sorpresa. Esa nueva forma inesperada y la consecuente sorpresa son la base del éxito del atacante. Por eso creo que los benchmarks aportan información diferente a la que muchas veces se espera obtener de ellos.

Digo que pongo en cuarentena la utilidad de estas comparativas como medidores de seguridad, pero no la información más sutil que se deduce de ellos: es inadmisible que un navegador sea vulnerable a ataques conocidos, demuestran que el equipo a cargo de ese software no ha hecho su trabajo como debiera. Y, tristemente (porque pone en peligro a multitud de personas), no es infrecuente que se descubran bugs y vulnerabilidades en IE (no es fijación, es que nos guste o no, IE sigue siendo el navegador más utilizado en términos absolutos en febrero de 2010) que ya existían en versiones arcanas de este navegador o que el mismo tenga bugs sin parchear durante meses. (A la hora de escribir este post, IE8 lleva 8 días sin parchear un bug moderadamente crítico que permite la exposición de datos sensibles a un atacante remoto; casi ná. Para 2 años con otras vulnerabilidades sin parchear.)

Desde que una nueva vulnerabilidad se anuncia hasta que se parchea, la aparición de xploits que abusen de ese fallo es exponencial. Decía antes que los ataques innovadores son más peligrosos porque se da por sentado que los ataques ya conocidos harán que se modifique el software en cuestión para mejorar su defensa. Si este parche no llega, el atacante tiene todas las ventajas: un ataque bien conocido (algo que facilita el abuso de la vulnerabilidad) para el que el defensor no se ha preparado. Sin afirmar nada acerca de la seguridad de un software concreto, ese tipo de laxitud con los parcheos suponen todo un argumento para dejar de utilizar un software determinado.

Y todo esto lo digo tranquilamente, sin olvidar que todo software es susceptible de tener errores (por supuesto, también nuestro amado Firefox) que lo hagan susceptibles a ataques. Pero, ¿qué vamos a hacer con eso? No se puede evitar, lo único que se puede hacer es parchear cuanto antes. En eso Mozilla ha dado la de cal y la de arena en apenas unos días: un sistema de verificación del software de su repositorio que se ha demostrado imperfecto (quizá por confianza) que tardará en recobrar la confianza que poseía entre el público permitió que se colara malware, sin embargo han sido muy rápidos en la limpieza de las extensiones y la supresión de esa amenaza concreta, que además demostró ser menor de lo que parecía al principio.

[Y sí, no está libre de fallos ni lo estará nunca, pero en estos momentos no voy a sorprender a nadie si digo que recomiendo usar Firefox. ¿Acaso esperaban ustedes otra cosa? La última recopilación de extensiones de seguridad que vi la hicieron los chicos de Security by default.]

http://www.versvs.net/

La Fundación Mozilla lanza “Thunderbird 3.0″

Webmaster — Thu, 10 Dec 2009 19:37:59 +0000

La tercera versión del cliente de correo electrónico desarrollado por Mozilla Messaging -subsidiaria de Mozilla- ya está con nosotros, y lo hace con cambios muy importantes como el soporte de navegación por pestañas, además de una nueva interfaz de búsqueda que permite todo tipo de filtros, y en especial uno que muestra una línea de tiempo con los resultados de los mensajes coincidentes con nuestra búsqueda. El soporte de “Personas”, los perfiles visuales, Thunderbird está más pulido que nunca.

Al igual que ocurre con Firefox, en esta nueva versión de este cliente de correo electrónico dispondremos de soporte para “navegación por pestañas”, aunque en esta caso en lugar de navegar por páginas web en distintas pestañas la idea es poder tener distintas carpetas de correo abiertas en distintas pestañas en todo momento.

Las búsquedas también se han refinado especialmente para Thunderbird 3.0, una versión desarrollada por la división de Mozilla creada para centrarse específicamente en este desarrollo. En la nueva herramienta es posible configurar tres herramientas novedosas para el filtrado y la presentación de los resultados en formato de línea de tiempo, de modo que sepamos en qué rango de fechas existen más resultados con respecto a nuestros términos de búsqueda.

La descarga de Thunderbird 3.0 ocupa 8.6 Mbytes para Windows, pero también hay versiones para Linux y Mac OS X de este proyecto Open Source que además llega con otras mejoras tanto en la configuración de cuentas de correo -por ejemplo, la puesta en marcha de una cuenta de respaldo para Gmail es instantánea y automática- y en las preferencias visuales con los perfiles llamados Personas.

Firefox 3.5 ya se encuentra disponible para descargar

Webmaster — Tue, 30 Jun 2009 18:24:57 +0000

Por diversos medios, días atrás, se dio a conocer que Firefox 3.5 se lanzaría este día, y aunque todavía desde Mozilla no se ha hecho el anuncio oficial, ya se puede descargar la versión final estable de Firefox 3.5 desde el FTP de la fundación, para diversas plataformas, incluyendo Linux.

Firefox 3.5 viene con una cantidad de nuevas características que ya se habían anticipado en cada nuevo lanzamiento de desarrollo. De hecho, se paso de lo que sería la versión 3,1 a la 3.5 como reflejo de todos los cambios incorporados, de los cuales podemos mencionar el motor JavaScript TraceMonkey, el modo de navegación privada en donde no guarda ningún dato mientras se navega o el modo nativo JSON que lo hace más seguro y rápido.

En breve se podrá descargar esta versión desde la página oficial del proyecto, pero desde los siguientes enlaces ya se puede descargar directamente desde el FTP de Mozilla:

Actualizado: Oficialmente ya está disponible desde la página del proyecto, sin embargo, los enlaces siguientes son igual de válidos.

Descargar: Firefox 3.5 Linux (Argentina)
Descargar: Firefox 3.5 Linux (España)
Descargar: Firefox 3.5 Linux (México)
Descargar: Firefox 3.5 Linux (Elegir otro idioma)

Para otras plataformas se puede seguir los siguientes enlaces:

Descargar: Firefox 3.5 Windows (elegir idioma)
Descargar: Firefox 3.5 Mac (elegir idioma)

Otra de las opciones es esperar a las actualizaciones de la distribución que se use, ya que pronto tendrán disponible esta versión en paquetes binarios que pueden sustituir a la versión actual, de manera predeterminada.

También es importante hacer mención que al ser un lanzamiento mayor, de primer momento suele haber incompatibilidades con algunas extensiones o complementos, por lo que algunas extensiones podrían no funcionar adecuadamente, hasta pasado un tiempo. Se recomienda precaución.

Mozilla busca batir el récord Guinness de descargas con Firefox 3

Webmaster — Thu, 01 Jan 1970 00:00:00 +0000

La Fundación Mozilla ha anunciado que espera batir el récord Guinness de descargas de software en la Red en 24 horas, con el lanzamiento de la nueva versión de su navegador Firefox 3. Para ello está promoviendo diferentes iniciativas entre los usuarios y ha habilitado una web para descargar el navegador.