Dicen que quien busca encuentra y cuando se trata de sacar a la luz vulnerabilidades que pueden aprovechar los ciberdelincuentes, más. Los navegadores web convencionales, léase Chrome, Firefox, Internet Explorer y similares tampoco escapan a tener puntos vulnerables que se pueden atacar, explotar y poner a prueba su seguridad.
En las Jornadas de Ciberseguridad BitUp celebradas en Alicante, Josep Moreno @J0moz4 freelance dedicado a la seguridad informática y coorganizador de BitUp y Pablo Martínez, estudiante de grado medio de sistemas microinformáticos y redes (SMR), amante de la cultura y la ética hacker, GNU, copyleft y el software libre, ofrecieron una charla de carácter divulgativo sobre la seguridad en los navegadores web.
En la charla, disponible a continuación tanto en vídeo como en podcast, muestran distintas técnicas que vulneran la seguridad de los navegadores web que han ideado como pruebas de concepto (PoC) en entornos controlados y que sirven de punto de partida para el desarrollo de su herramienta ‘Hi! Bro‘ que funciona a modo de exploit o rootkit para navegadores para demostrar las fallas de seguridad en navegadores web sobre las que se debe seguir trabajando.
PoC en Chrome y Firefox que ponen a prueba la seguridad de estos navegadores web
En la charla muestran algunas técnicas ofensivas post-explotación que han probado tanto con en el navegador Chrome como en Firefox: Browser Stealer, Profile Hijacking & Injection, Headless Browser y mención especial a las extensiones de los navegadores web.
El punto de partida antes de entrar en las diferentes demos, es un recorrido histórico hasta el trimer troyano que se detectó en navegadores web allá por el año 2007 en EE.UU: Zeus Web Browser Trojan. Este malware afectó a Internet Explorer y Firefox e infectó a millones de ordenadores en todo el mundo, tal y como también se comenta en la charla ‘Botnets. Cómo se forman y cómo se trabaja contra estas redes zombis‘.
Otro punto fuerte que comentan son las extensiones web que sirven de punto de entrada a un montón de código malicioso. Aunque en los últimos meses Chrome ha metido mano en este asunto permitiendo solo la instalación de extensiones web desde la Chrome Web Store, no quiere decir que la barrera de contención funcione al 100% ni que este problema no perdure en otros navegadores web. Así que siempre mucho cuidado con lo que se instala en el navegador, en el ordenador, en el smartphone o cualquier otro dispositivo, esta recomendación de tener cautela sirve para todo.
La charla hay que tomarla como siempre desde un punto de vista divulgativo y educativo. Cualquier mal uso que se de a la información contenida en ella se alejaría muy mucho del propósito de la misma por tanto no me hago responsable si alguien da un mal uso de esta charla cuya finalidad última es aprender a mejorar la seguridad de los navegadores web solventando las vulnerabilidades que presentan.
En el canal hay una lista de reproducción dedicada a BitUp en la que se encuentran recopiladas las diferentes charlas disponibles de las jornadas.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!
Bueno, pues como siempre me ha parecido muy importante a la vez que me crea inseguridad. Es decir, entiendo que para poder entender y llegar al nivel que documentáis para poder entender, me tendrías o tendría que aprender desde cero y paso a paso.
Muy bueno!!
Más que vivir en un estado de inseguridad se genera inquietud y la inquietud abre siempre dos caminos: despierta la curiosidad por aprender y genera prudencia para protegerse, más de estas cosas nos irían muy bien a todos. Muchas gracias.