Seguridad en navegadores web, charla de Josep Moreno 'Jomoza' y Pablo Martínez en las Jornadas BitUp.

Seguridad en navegadores web: Hacking Browsers

Dicen que quien busca encuentra y cuando se trata de sacar a la luz vulnerabilidades que pueden aprovechar los ciberdelincuentes, más. Los navegadores web convencionales, léase Chrome, Firefox, Internet Explorer y similares tampoco escapan a tener puntos vulnerables que se pueden atacar, explotar y poner a prueba su seguridad.

En las Jornadas de Ciberseguridad BitUp celebradas en Alicante, Josep Moreno ‘J0moz4’ freelance dedicado a la seguridad informática y coorganizador de BitUp y Pablo Martínez, estudiante de grado medio de sistemas microinformáticos y redes (SMR), amante de la cultura y la ética hacker, GNU, copyleft y el software libre, ofrecieron una charla de carácter divulgativo sobre la seguridad en los navegadores web.

En la charla, disponible a continuación tanto en vídeo como en podcast, muestran distintas técnicas que vulneran la seguridad de los navegadores web que han ideado como pruebas de concepto (PoC) en entornos controlados y que sirven de punto de partida para el desarrollo de su herramienta Hi! Bro que funciona a modo de exploit o rootkit para navegadores para demostrar las fallas de seguridad en navegadores web sobre las que se debe seguir trabajando.

PoC en Chrome y Firefox que ponen a prueba la seguridad de estos navegadores web

En la charla muestran algunas técnicas ofensivas post-explotación que han probado tanto con en el navegador Chrome como en Firefox: Browser Stealer, Profile Hijacking & Injection, Headless Browser y mención especial a las extensiones de los navegadores web.

El punto de partida antes de entrar en las diferentes demos, es un recorrido histórico hasta el trimer troyano que se detectó en navegadores web allá por el año 2007 en EE.UU: Zeus Web Browser Trojan. Este malware afectó a Internet Explorer y Firefox e infectó a millones de ordenadores en todo el mundo, tal y como también se comenta en la charla «Botnets. Cómo se forman y cómo se trabaja contra estas redes zombis«.

Otro punto fuerte que comentan son las extensiones web que sirven de punto de entrada a un montón de código malicioso. Aunque en los últimos meses Chrome ha metido mano en este asunto permitiendo solo la instalación de extensiones desde la Chrome Web Store, no quiere decir que la barrera de contención funcione al 100% ni que este problema no perdure en otros navegadores web. Así que siempre mucho cuidado con lo que se instala en el navegador, en el ordenador, en el smartphone o cualquier otro dispositivo, esta recomendación de tener cautela sirve para todo.

La charla hay que tomarla como siempre desde un punto de vista divulgativo y educativo. Cualquier mal uso que se de a la información contenida en ella se alejaría muy mucho del propósito de la misma por tanto no me hago responsable si alguien da un mal uso de esta charla cuya finalidad última es aprender a mejorar la seguridad de los navegadores web solventando las vulnerabilidades que presentan.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast


¿Quieres recibir todas las novedades por newsletter?

Nombre Correo electrónico He leído la Política de Privacidad y acepto expresamente los términos y condiciones.


Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL – PRIVACIDAD – COOKIES

Yolanda Corral
Soy licenciada en Periodismo. Periodista y formadora freelance especializada en seguridad digital, alfabetización digital, TICs, redes sociales y contenidos digitales. Cuento con un máster en Community Management y siempre estoy en continuo aprendizaje. Fundadora y organizadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Dime qué necesitas y lo doy todo. ¡Conectemos en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario pero antes debes atender a esta información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar y moderar los comentarios realizados en la web. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y suprimir tus datos tal y como puedes ver detalladamente en la Política de privacidad de esta web así como en el aviso legal. ¡Gracias!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.