El reciente ganador del CanSecWest opina sobre la seguridad de las plataformas de Apple y Microsoft, el porqué Chrome es tan seguro y desvela algunas de las claves de su éxito.
Guillem Alsina – Después de ganar por segundo año consecutivo la competición de hacking CanSecWest de la misma forma (batiendo el navegador Safari de Apple en pocos segundos), Charlie Miller podía imaginarse que pondría en el ojo del huracán el debate sobre la seguridad del sistema operativo y los programas de la compañía de Cupertino. Y, efectivamente, así ha sido, ya que el imaginario colectivo determinaba que el primero en caer debía ser el Internet Explorer de Microsoft, tenido por menos seguro que cualquier otro... Como dice la canción, “sorpresas te da la vida”.
En una primera entrevista concedida a ZDNet, Miller afirmaba que “es más fácil vulnerar la seguridad [con un exploit] de Mac OS X que de Windows”, y que la seguridad depende mucho más del sistema operativo que trabaja bajo el navegador, que del navegador en sí. Esta afirmación, leída de cierto modo, puede dar a entender que el Mac OS X de Apple es menos seguro que otras plataformas, en especial Windows, pero Miller matiza sus afirmaciones.
Para el hacker, el problema del Mac OS X es que la confianza de Apple en su seguridad provoca que las herramientas anti-exploit incluidas en el sistema sean mínimas o inexistentes, a diferencia de aquellas que encontramos junto al sistema operativo de Microsoft, y que se distinguen por su cantidad.
Sobre Google Chrome, el navegador web que mejor resistió las pruebas de la CanSecWest, Miller afirma que su tecnología de sandbox, que encapsula cada ventana y pestaña en un receptáculo independiente en la memoria de la computadora, es como una doble caja de seguridad que obliga a encontrar dos agujeros de seguridad en lugar de uno solo; con el primero se debería traspasar la sandbox correspondiente, y con el segundo el programa para alcanzar el sistema operativo.
La última aparición mediática de Miller ha sido en un chat con articulistas de la conocida Tom's Hardware, en el cual la primera pregunta y la más candente ha tratado de su afirmación sobre la seguridad de Mac OS X y la de Windows. Miller ha querido ponderar sus anteriores afirmaciones, declarando que si bien es cierto que es más fácil explotar un agujero de seguridad presente en Mac OS X que en Windows debido a la falta de herramientas anti-exploits integradas en el primer sistema en comparación con la plataforma de Microsoft, el sistema operativo de Apple continua siendo la mejor elección en términos de seguridad para el usuario final.
Esta paradoja puede darse simplemente porque existe mucho menos malware para Mac OS X que para Windows, lo que hace que las trampas para un usuario final en su actividad diaria sean mucho menores para un maquero que para el poseedor de un PC con Windows. Con lógica, al detentar el sistema operativo de Microsoft más de un 90% de la cuota de mercado de todos los sistemas operativos, sale más a cuenta crear malware para esta plataforma que para cualquier otra, en la que sería más difícil extender una plaga como las que se dan en el entorno Windows.
Finalmente, Miller también afirma que el exploit que utilizó para ganar la CanSecWest no le permitió conseguir acceso de root a la computadora atacada, pero que ese detalle no fue necesario para conseguir controlarla.
Copyleft 2009 www.imatica.org
Esta obra se encuentra sujeta a la siguiente licencia:
La difusión, reproducción y traducción de este texto se permite libremente en cualquier medio o soporte con las únicas obligaciones de mantener la presente licencia e incluir un enlace o referencia a la página en la que se encuentra el original dentro del servidor www.imatica.org . En medios audiovisuales se requiere la cita al medio www.imatica.org
[tags]Mac,Windows[/tags]