Firefox vs. Internet Explorer, ¿cuál es más seguro?

Un estudio de Symantec ha suscitado de nuevo el debate sobre que navegador es más seguro.

Hablando de seguridad

El titular que ha transcendido del informe es que Firefox ha tenido más vulnerabilidades que Internet Explorer en lo que ha transcurrido de año. Sin embargo, desde Hispasec podemos argumentar que a día de hoy es más seguro navegar con Firefox que con Internet Explorer.

Este tipo de informes cuantitativos siempre se presta a debates donde cada parte implicada hace su propia lectura interesada.

Vamos a intentar ver desde un punto de vista objetivo que dice el informe de Symantec, partiendo de que en el equipo de Hispasec se utiliza indistintamente ambos navegadores entre otros, conviven varias plataformas, sistemas operativos, y no mantenemos intereses con ningún desarrollador de software.

Por un lado el informe de Symantec pone de relieve que durante el primer semestre de 2005 Mozilla ha reportado 25 vulnerabilidades en sus navegadores, mientras que Microsoft en ese mismo periodo ha confirmado 13 vulnerabilidades en Internet Explorer. Eso es un dato objetivo que en principio inclinaría la balanza claramente a favor de Internet Explorer.

Si en vez de quedarse en ese dato se sigue leyendo el informe, en el mismo encontramos que de las 25 vulnerabilidades de Mozilla 8 de ellas fueron consideradas de alto riesgo, el mismo número que en el caso de Internet Explorer, también 8 de alto riesgo. En este punto ambos quedarían en tablas.

Un dato no cuantitativo del informe, pero no menos importante, revela que sólo se han detectado incidentes de explotación masiva de las vulnerabilidades reportadas en el caso de Internet Explorer, y no en ningún otro navegador. Aquí se refleja que la navegación con Firefox es más segura que con Internet Explorer.

Llegados a este punto del informe de Symantec se puede concluir que en lo que va de año se han publicado oficialmente más vulnerabilidades de Firefox que de Internet Explorer. En cuanto a las vulnerabilidades de alto riesgo, ambos se encuentran emparejados. Mientras que a efectos prácticos, en el mundo real y no en un plano teórico, navegar con Internet Explorer resulta más peligroso ya que los ataques se siguen dirigiendo de forma mayoritaria al navegador de Microsoft.

El que los atacantes decidan fijar su atención más en Internet Explorer que en Firefox poco tiene que ver con la facilidad de explotación en aplicaciones de código abierto o cerrado. De hecho, publicado un parche, sin haber transcendido detalles sobre como explotar la vulnerabilidad, siempre es más fácil desarrollar el exploit para una aplicación de la que se tiene acceso al código y que fomenta el full-disclosure, en vez de tener que recurrir a la ingeniería inversa como ocurre en casos de aplicaciones cerradas con políticas más restrictivas en la publicación de vulnerabilidades.

Sin embargo éste no parece ser un handicap importante para los atacantes, y así lo demostrarían los tiempos de desarrollo y publicación de exploits en ambos casos. En el informe de Symantec, por ejemplo, se da como media que el tiempo entre que se publica una vulnerabilidad y desarrollan el exploit ha descendido a 6 días, mientras que sitúa la media en 54 días el tiempo que transcurre entre la aparición de una vulnerabilidad y la publicación del parche, lo que abre una ventana de 48 días donde los sistemas pueden ser vulnerables.

Ataques

¿Por qué los atacantes enfocan en el navegador de Microsoft? La respuesta es obvia, simplemente es el navegador que tiene mayor cuota de mercado con diferencia, y los atacantes siempre buscan el máximo rendimiento a sus fechorías. Si cambiaran las tornas y Firefox tuviera mayor cuota de mercado, tal y como está la seguridad de ambos navegadores, lo lógico es que el que sufriera más ataques fuera Firefox.

En cuanto al revuelo suscitado con el informe de Symantec respecto a la seguridad de los navegadores, se trata de lecturas interesadas. Ya que el fin del mismo es ofrecer unas estadísticas globales, y en ningún caso se trata de una metodología pensada para una comparativa entre navegadores.

De hecho existen otros indicadores, no recogidos en el informe de Symantec, que debieran tenerse en cuenta en una hipotética comparativa de seguridad entre Firefox e Internet Explorer. Por ejemplo, entre otros:

– Tiempo de reacción en publicar los parches tras detectarse una vulnerabilidad.

– Vulnerabilidades publicadas no corregidas.

– Tecnologías aprovechadas por el malware.

El tiempo de reacción es obvio que tiene una repercusión directa en la seguridad de los navegadores. Si atendemos por ejemplo al dato facilitado de media en el informe de Symantec, que sitúa en 6 días el desarrollo de exploits tras publicarse una vulnerabilidad, todo tiempo adicional que transcurra en la publicación del parche supone una ventaja para los atacantes en perjuicio de los usuarios. Por ello es muy importante que la política de parches del desarrollador sea diligente.

En este apartado podemos referenciar a eEye, que mantiene un listado de vulnerabilidades no publicadas que han sido reportadas por su laboratorio a los fabricantes de software a la espera de un parche. En este listado podemos encontrar que Microsoft mantiene 10 vulnerabilidades reportadas sin parchear.

Por ejemplo, la primera de la lista es considerada crítica por permitir ejecutar código de forma remota, fue reportada a Microsoft el 29 de marzo de 2005, transcurriendo a día de hoy 121 días sin que aun haya publicado la correspondiente actualización para corregirla.

Upcoming Advisories http://www.eeye.com/html/research/upcoming/index.html

El segundo punto también es vital, ya que las vulnerabilidades no deben contabilizarse en función de los parches oficiales publicados (como lo hace el informe de Symantec), de lo contrario se podrían dar situaciones absurdas.

Por ejemplo, en el hipotético caso de que yo fuera un desarrollador de software al que le han detectado 10 vulnerabilidades y hago caso omiso a los avisos, y no publico ningún parche, en el informe de Symantec aparecería con 0 vulnerabilidades.

Al hilo de este indicador podemos ver algunos datos gracias a Secunia, según la cual Internet Explorer mantiene 19 vulnerabilidades sin corregir, frente a Firefox que tiene sólo 3. Ninguna de estas vulnerabilidades han sido tenidas en cuenta en el informe de Symantec.

Vulnerabilidades en IE

http://secunia.com/product/11/

Vulnerabilidades en Mozilla Firefox

http://secunia.com/product/4227/

Por último también hay que hacer mención a ciertas tecnologías que, sin contar con vulnerabilidades específicas, son aprovechadas por los atacantes. Un ejemplo representativo lo podemos encontrar en la tecnología Active-X de Internet Explorer, muy utilizada en la instalación de dialers, troyanos, spyware y adware a través de la web.

Conclusiones

Dicho todo lo anterior, y aun partiendo de la base de que hoy día es más seguro navegar con Firefox porque los ataques van dirigidos mayoritariamente a usuarios de Windows e Internet Explorer de manera independiente a la seguridad intrínseca de cada navegador, el principal origen de incidentes es la falta de actualización.

La mayoría de los exploits utilizados en la web para infectar los sistemas con malware están desarrollados para vulnerabilidades ya corregidas por los últimos parches de seguridad. En el caso de Internet Explorer, por ejemplo, existe un gran parque de usuarios que siguen utilizando una versión 5.X. También ocurre con Firefox, si bien el volumen es menos considerable porque su difusión es menor, y eso los atacantes lo tienen en cuenta.

Tanto Mozilla como Microsoft, además de mejorar por diseño sus navegadores, respecto a los parches deberían acelerar su publicación, mejorar la calidad de los mismos, y especialmente facilitar mecanismos para su notificación automática e instalación. De poco sirve publicar parches si finalmente los usuarios no los aplican.

Desde Hispasec podemos concluir que ambos navegadores están dedicando recursos y esfuerzos por mejorar su seguridad, y que esta competencia redunda en beneficio de los usuarios. La seguridad es un proceso, y el estado actual de las cosas no va a permanecer estático. No se debe hablar en términos absolutos de si un navegador es más seguro que otro, son muchos los factores, algunos externos al propio desarrollo del navegador, los que pueden ir inclinando la balanza a uno u otro lado a lo largo del tiempo.

De manera independiente al navegador que decida utilizar, no en vano es una opción personal que depende de más factores que el de la seguridad, la recomendación de Hispasec es que preste especial atención a su actualización. Y que, en cualquier caso, debemos hacer esfuerzos en convertir el principal talón de Aquiles, que no es otro que el factor humano, en un aliado más de la seguridad. La tecnología más segura puede suponer un riesgo si no se utiliza de forma adecuada.