Llegamos a ustedes gracias a:



Reportajes y análisis

Nuevos dolores de cabeza para TI

La seguridad de los navegadores móviles

[27/05/2009] La nueva generación de navegadores web móviles va a introducir una ola de retos de seguridad a los departamentos de TI de las empresas. La buena noticia es que muchos de esos retos son ya conocidos de los navegadores de escritorio.

Una encuesta en línea hecha en diciembre por F-Secure encontró que alrededor del 30% de los usuarios de teléfonos móviles de Estados Unidos y Canadá acceden a Internet, extensamente similar a otras regiones. Lo que resulta de temer que dos terceras partes de los usuarios norteamericanos (y 83% de todos los que respondieron la encuesta) dijeron que no tienen software de seguridad en sus teléfonos móviles -y en un tiempo en el cual el uso de Internet móvil está aumentando con el surgimiento de navegadores móviles que pueden acceder a los mismos sitios web que sus primos de escritorio-. AT&T, por ejemplo, reportó un gran salto en el uso de datos entre los suscriptores del iPhone, quienes están usando el navegador Safari del teléfono.
Los departamentos de TI, de acuerdo con expertos, necesitan enfocarse en tres áreas: evaluar la arquitectura y características de seguridad del navegador móvil y del sistema operativo subyacente; trabajar con los usuarios en prácticas de navegación más inteligentes y seguras; y crear un sistema sólido de administración del dispositivo móvil.
Las vulnerabilidades del navegador son la forma más fácil de hacer correr código remoto en un smartphone, señala Charlie Miller, analista principal para seguridad de software en Independent Security Evaluators (ISE), la cual ha identificado una gama de problemas de seguridad móvil. Eso se debe a que los navegadores son muy complicados, comparados con la mayoría de programas en un smartphone. Una vez que ocurre la explotación, el código remoto puede hacer una gran variedad de cosas".
Los navegadores hacen peticiones a los sitios web, descargan páginas HTML, imágenes, archivos PDF, música, video y aplicaciones. Dependiendo en cómo está diseñado el navegador, y del sistema operativo subyacente, estas descargas y ejecuciones de archivos pueden crear una gran variedad de problemas -algunos accidentales, algunos intencionales-. El resultado es que los usuarios corporativos móviles pueden encontrarse a sí mismos con un aparato que no funciona, o comprometer datos personales y corporativos.
Un área de preocupación creciente son los widgets de la web, pedazos de código descargable insertados en una página web. Ellos están creciendo en popularidad en los dispositivos móviles porque ofrecen vías rápidas y enfocadas de enviar o recibir datos, sin tener que pasar por múltiples pasos con un navegador móvil. Muchos de los programas disponibles vía tiendas de aplicaciones en línea, como la App Store de Apple, son widgets.
Son geniales porque puedes certificar la aplicación [con un certificado digital firmado], pero la data de los widgets puede no ser controlada o incluso ser controlable, señala Norman Woodward, gerente senior manager de inalámbricos en la división de comunicaciones móviles de Accenture. "No puedes visualizar la data antes de que sea descargada.
Un ejemplo de escritorio de los problemas potenciales es el widget de Facebook Secret Crush del 2008, el cual supuestamente revelaba quien en Facebook se había enamorado secretamente de ti, pero que de hecho lo que hacía era atraerte a descargar un programa de adware.
Construir un sistema operativo móvil seguro
Para la seguridad empresarial, el punto de partida es el sistema operativo del dispositivo. El tema clave es si el sistema operativo hace uso de una arquitectura de caja de arena para las aplicaciones que corre, incluyendo el navegador. En efecto, cada aplicación puede jugar en un espacio separado definido por la memoria y los permisos en el sistema operativo. Su actividad, benigna o maliciosa, no puede afectar otras aplicaciones o acceder a otras partes del sistema operativo.
La mayoría de estos sistemas operativos tienen una caja de arena para sus aplicaciones, señala Dave Field, gerente de dispositivos y arquitectura de seguridad de Enterprise Mobile, una compañía respaldada por Microsoft que se especializa en despliegues corporativos de Windows Mobile. Con una caja de arena, puedes contener el ambiente de ejecución basado en cosas como las características de la aplicación y limitar su acceso a ciertas configuraciones, API, datos y más. Pones una jaula alrededor de la aplicación.
Llevando eso un paso más allá, señala Miller de ISE, algunos sistemas operativos móviles tienen un montón no ejecutable, el cual él describe como un mecanismo para obstaculizar o bloquear la ejecución de código malicioso.
La caja de arena emparejada con el bloqueo de ejecuciones son características explotadas por Windows Mobile, de acuerdo con Field. "Podemos prevenir que se instale del todo código no confiable, aunque esté bendecido por el departamento de TI, señala. Es como vacunar el dispositivo.
El sistema operativo Android para dispositivos móviles está construido sobre el kernel de Linux, el cual fue desarrollado originalmente para computadoras de clase mainframe. Ese kernel fue diseñado para separar usuarios múltiples y simultáneos, y protegerlos de invadir los recursos y aplicaciones de los demás, señala Rich Cannings, ingeniero de seguridad para Android en Google. Lo que Android hizo, en efecto, fue sustituir aplicaciones múltiples por usuarios múltiples, cada uno en su propio proceso de usuario separado.  En el escritorio, una vulnerabilidad del navegador le da [al malware] acceso a toda la máquina de escritorio, señala Cannings. Pero en Android, solo afectará al navegador, no al dialer ni a ninguna otra aplicación.
Asegurando el navegador
Por sobre el sistema operativo, los navegadores pueden añadir una batería de protecciones y alertas integradas. El ya existente Mobile Internet Explorer tiene una gama de zonas de seguridad, y alerta a los usuarios cuando están dejando una sesión encriptada con SSL, por ejemplo. Pero hay una debilidad clave para tales características basadas en el navegador, anota Field: Depende de la decisión del usuario.
Para los usuarios corporativos, Field se enfoca en identificar qué elementos de seguridad pueden ser controlados en el dispositivo móvil, y luego automatizar su configuración, quitando esas decisiones de las manos de usuarios falibles y descuidados.
El diseño del navegador de Android, aísla algunos tipos de vulnerabilidad. Por ejemplo, a principios de este año, Miller del ISE se acercó al equipo de Android con una sospecha de vulnerabilidad del navegador: un archivo MP3 malicioso que potencialmente podía ejecutar código. De acuerdo con Cannings, esta no es de hecho una vulnerabilidad del navegador, porque el navegador Android maneja ese tipo de archivos en un programa separado, tipo caja de arena -en este caso aparte del reproductor de medios que es parte del subsistema multimedia de Android, desarrollado por PacketVideo. El archivo MP3 malicioso solo puede afectar lo que el servidor de medios puede hacer,leer y escribir ciertos tipos de archivos-, señala.
Un estándar de seguridad emergente, llamado certificados de validación extendidos para SSL, está abriéndose paso hacia el escritorio, y más lentamente hacia los navegadores móviles como un mecanismo antiphishing. Estos certificados extendidos proveen a los usuarios de alertas en color rojo para confirmar que un sitio web protegido con SSL es un sitio válido, o un sitio de phishing conocido o posible. El Internet Explorer móvil de Microsoft es uno de los pocos navegadores móviles que actualmente soportan esto, de acuerdo con Miguel Myhrer, jefe de redes inalámbricas en la división de comunicaciones móviles de Accenture.
Phishing es un ejemplo de cómo incluso los navegadores móviles -con seguridad bien diseñada- pueden ser corrompidos, tal como sus primos de escritorio, por usuarios ignorantes o descuidados respecto a la navegación segura. Las empresas pueden abordar esto, combinando dispositivos móviles efectivos y administración de aplicaciones con seguridad móvil apropiada, así como políticas de usuario, y educación y entrenamiento.
Hágalo manejable
Cada vez más, el navegador puede convertirse en una de las aplicaciones más importantes para ser monitoreada, configurada y administrada. "La administración de dispositivos le da los medios para diagnosticar, interrogar y modificar configuraciones en un handset", señala Myhrer de Accenture.
Una administración efectiva de dispositivos significa ser capaz de controlar descargas de archivos, limpiar cachés del dispositivo, poner data en cajas de arena, desplegar paquetes antivirus, reforzar el uso de VPN móvil y más. Hay herramientas que van desde System Center Mobile Device Manager 2008 de Microsof,t a las características de administración expandidas en el próximo BlackBerry Enterprise Server 5.0 de Research in Motion, y a las aplicaciones de terceros tales como Afaria de Sybase iAnywhere o de F-Secure, McAfee, Symantec, Tangoe y Trend Micro.
Con una efectiva administración del dispositivo instalada, tienes la habilidad de aplicar remotamente parches [de software] y actualizaciones, tan pronto como las vulnerabilidades son identificadas, señala Chris Saint-Amanat, arquitecto de aplicaciones móviles de Enterprise Mobile. "Y tienes la habilidad de que el acceso a Internet sea canalizado a través de la VPN hacia los servidores proxy web de la empresa. Una ventaja con Window Mobile 6.1, dice, es que esta conexión VPN está activa todo el tiempo.
Un tema clave sobre parchar software móvil, es quién está creando el parche y el proceso para hacerlo. Con dispositivos móviles, puede haber múltiples jugadores: el fabricante del sistema operativo, el fabricante del dispositivo, el operador. Un parche de sistema operativo podría no venir directamente a la empresa, sino llegar a través del fabricante del aparato, y luego ser probado por el operador.
John Cox, Network World (USA)