Expertos desaconsejan el uso de Chrome en empresas [ 08/09/2008 - 08:00 CET ]

Empresa de seguridad informática desaconseja el uso del navegador Chrome de Google en empresas, debido a que incorpora funciones de espionaje, que prácticamente recuerdan a un rootkit.

Diario Ti: Si usted ha sido una de las numerosas personas que descargaron el nuevo navegador de Google, quizás haya puesto su computadora a disposición de intrusos. La versión Build 0.2.149.28, que hasta el viernes 5 de septiembre era la última, contiene una vulnerabilidad crítica, que hace que su PC sea idóneo para ataques de tipo drive-by. Google ha confirmado la vulnerabilidad y publicado una actualización del navegador.

Sin embargo, los problemas de seguridad no terminan allí. La compañía danesa de seguridad informática CSIS ha estudiado detenidamente el navegador Chrome concluyendo que “incorpora funcionalidad de tipo espía, que le dan el carácter de rootkit”. En un comunicado, CSIS escribe que “hemos probado el navegador Chrome y confirmado que ‘llama a casa´ incluso cuando el programa no está activo. Chrome usa una ‘API hooking´, con el fin de limitar la funcionalidad. Es algo así como una sandbox, que más bien recuerda funcionalidad de rootkit”, indica CSIS en un comunicado.

El agujero de seguridad que deja el navegador a merced de intrusos, ha sido documentado en un denominado Proof of Concept que demuestra la forma en que es posible para un sitio maligno ejecutar código en el sistema sin mediar interacción del usuario, con los mismos derechos que éste.

“Un escenario de este tipo es perfecto para los ataques de tipo drive-by”, escribe CSIS. La vulnerabilidad en cuestión está presente únicamente en el build 0.2.149.28 de Chrome. En términos técnicos se trata de un stack en el renglón de título al activarse la función “guardar archivo como”.

“El software beta no debe ser instalado ni probado en ambientes de producción ni en empresas. Desaconsejamos el uso del navegador Chrome hasta que exista una versión más estable”, indica CSIS en un comunicado.

Según Google, el GeoEye-1 es un satélite comercial que capturará imágenes de la tierra en alta resolución que entró en órbita ayer. Pero, en realidad, este satélite está controlado por el Departamento de Defensa de Estados Unidos, por la Agencia Nacional Geoespacial del mismo país y, también, por la empresa de Larry Page y Sergey Brin.

GeoEye-1 fue creado por General Dynamics y está equipado con una cámara de increíble tecnología hecha de ITT que puede distinguir objetos de 4 centímetros (wow). Básicamente, este satélite puede ver cualquier cosa desde el espacio. Y estará sobre nosotros alrededor de 10 años.

Ninguna otra empresa privada estará a disposición de estas imágenes además de Google aunque cualquier persona podrá verlas a través de Google Maps y Google Earth.

¿No les parece bastante fuerte ver el logo de Google en un satélite?

Alemania contra ‘Google Chrome’

AFP | ELMUNDO.ES

BERLÍN | MADRID.- La autoridad alemana de seguridad en materia de tecnología de la información (BSI) ha advertido a los consumidores contra el uso del nuevo navegador de Google, ‘Chrome’, recomendándolo usarlo de forma limitada.

“Google Chrome no debe utilizarse para uso general”, dijo Matthias Gaertner, un portavoz de la autoridad federal, en el diario ‘Berliner Zeitung’.

‘Chrome’ es “práctico”, pero su uso es “crítico”, porque se encuentra en una fase de prueba, no es maduro y porque Google pretende almacenar toda la información”, dijo el portavoz.

Cuando un consumidor utiliza ‘Chrome’, el gigante de Internet Google puede leer las direcciones consultadas. “Por razones de seguridad técnica, la acumulación de datos por un proveedor plantea problemas”, aseguró Gaertner.

El gigante de Internet lanzó la pasada semana su propio navegador gratuito, en lo que se ha considerado como un claro desafío a Microsoft.

‘Google Chrome’ está concebido, al igual que Android para móviles, como una plataforma de aplicaciones. Es más que un navegador, según subraya la compañía.

Esto significa que, por ejemplo, el proceso de búsqueda y navegación está integrado en la misma barra. De esta manera, al introducir un término el navegador ‘engancha’ con ‘Google Suggest’. Naturalmente, se puede cambiar de buscador al instalar la aplicación, de manera que no tiene por qué buscar a través de Google, puede ser Yahoo!, MSN, Ask…

“La red ha evolucionado tanto, con las nuevas aplicaciones y programas, que nos dimos cuenta de que no necesitamos sólo un navegador, sino una nueva plataforma moderna”, comentó la compañía.

19 de Junio 2008.

Y seguimos con Google. Es admirable lo que está haciendo esta empresa poco a poco. Si lo hiciera Microsoft la desconfianza hacia esos productos sería grande. Pero como lo hace google, y es gratis…
¿gratis?. Al consumidor final si, pero no son productos gratis. Hay muchas gente trabajando y grandes salarios que pagar (sobre todo en google).
Nos dicen que viven de la publicidad, de esos pequeños anuncios que no molestan a la derecha de nuestros resultados de búsqueda y otras páginas, y que han sido una de las claves del éxito de este buscador.
Algunos productos ya cotidianos:

Firefox, navegador al que ha apostado google siendo su mayor accionista.
Google Docs
Google Gmail
Google Calendar
Picasaweb
Google Analytics
Youtube
Blogger
Google maps
Google Earth
Google Reader
Google Talk
Google

Lo que te voy a decir es mejor no pensarlo, y asumir que es así, que son gajes de la modernidad.

Tienen mis emails (gmail), saben con quién me escribo y sobre qué. Saben de qué empresas recibo emails y por tanto pueden saber mis gustos (si es que no lo has declarado al darte de alta en gmail).
En gmail también están tus contactos con lo que pueden continuar la cadena.
Tienen mis documentos (docs), mis excel, mis ficheros de texto, mis cartas.
Tienen mi calendario (calendar), saben lo que voy a hacer mañana o cuándo me voy a ir de vacaciones.
Tienen además mis fotos de las vacaciones (picasa) o videos (youtube) por lo que hasta podrían reconocerme físicamente y si están geoetiquetadas con google maps saben dónde y cuando me las he hecho, quienes son mis amigos, familiares…
Saben las rutas que hecho durante esas vacaciones (maps, earth) o si he plantado un árbol nuevo en mi jardín, o el coche que tengo en la puerta de mi casa (earth).
Saben con quién hablo (talk), de qué hablo y si quieren, lo hablado.
Saben lo que leo de internet (reader), lo que me interesa (google), por dónde navego (analytics, Firefox)…
ebay, paypal todavía no del todo pero todo se andará y entonces mis compras, mi cuenta bancaria, mi tarjeta de crédito.
Y por si fuera poco, necesitamos comunicar a todos dónde estamos y lo que hacemos en este mismo momento con twitter…es la leche.

… y saben que lo sé y que además lo he escrito (blogger)

Todo por tener máxima disponibilidad de todos esos datos, sin perderlos cada vez que cambie de ordenador o lo tenga que formatear, sin preocuparme de perderlos por virus, robos, etc…
La verdad es que todas estas herrramientas son muy útiles, buenas, funcionan bien y además todas gratis para nosotros.

Si estas herramientas las hubieran creado Microsoft habríamos puesto el grito en el cielo en defensa de la privacidad, pero como muchos de estos programas (no todos) se han hecho con “Código abierto” que cualquiera podría ver, estamos seguros de tener nuestra privacidad a buen recaudo. ¿tú has buscado el código de estas aplicaciones, lo has abierto y comprobado que no hay nada anómalo? No. Yo tampoco. Para eso está “la comunidad” para protegerme de que todo esté ok.

En cuanto al buscador:
Hace poco pasaron por televisión un programa sobre Google y Yahoo en China, y cómo detuvieron a unos disidentes gracias a la información suministrada por el buscador Yahoo. Quédate con un par de ideas:
1- Los buscadores pueden enseñar los resultados que les parezca dependiendo de sus intereses u obligaciones.
2- Los buscadores tienen muchos datos nuestros que pueden proporcionar a terceros dependiendo de sus intereses u obligaciones.

La segunda muestra clara y explícitamente los riesgos que tenemos. La primera no lo hace de la misma forma, pero entre otros, la creación de corrientes de pensamiento, ocultación de información interesada, resaltar información interesada y muchas cosas mas que se resumen en: “esto te enseño-esto sabrás”. Lo que no está en google no existe y lo que sale es la verdad.

¿has puesto en el buscador de google “cuestiones sin interés”?, como:
“no te fies de google” (poco, poco)
“donde estan los datacenter de google” (hace poco salió la respuesta, pero siempre la misma y sin aclarar mucho, salen pocas fuentes diferentes)
“windows es una mierda”(mucho, mucho)
“linux mejor” (infinidad)
…corrientes de pensamiento, ¿información completa?
Me diréis que sale lo que la gente ha escrito. Es cierto. No os llevo la contraria. Pero ellos pueden mostrar todo o parte. No digo que lo hagan. Bueno en China sí se ha demostrado que lo hacen.

Lo que te he dicho es mejor no pensarlo, y asumir que es así, que son gajes de la modernidad.

Lo peor de todo es que acumulan un 2% de las entradas junto con la ip. Eso es demasiada información acumulada en una empresa.

Cómo mejorar tu privacidad en Chrome

Los usuarios de Chrome habréis comprobado una de sus novedades: Omnibox. Se trata de un sistema que sugiere sitios web a medida que tecleas la URL en la barra de direcciones.

Pues bien; acaba de saberse que los caracteres que tecleas son enviados a Google aun sin que pulses la tecla Enter. Según Cnet, la empresa además afirma que guardará un 2 % de ellos junto a la IP correspondiente. Esto significa que el simple hecho de comenzar a teclear una dirección sospechosa dejará su huella “incriminatoria” en los servidores de Google, aunque ni siquiera hayas llegado a cargar esa página. La Electronic Frontier Foundation ya ha manifestado su preocupación al respecto.

Afortunadamente existen varias maneras de cambiar este comportamiento por defecto: 1) cambiar a Google por otro buscador por defecto (poco práctico), 2) desactivar las autosugerencias de Onmnibox en la configuración de Chrome, 3) utilizar el modo incógnito… y 4) usar otro navegador

Por su parte, Matt Cutts, de Google, ha publicado una serie de aclaraciones sobre las maneras en que Chrome se comunica (o no) con Google, “a fin de prevenir paranoias“…

Referencias:

• Chrome: Google’s biggest threat to your privacy.
• Google’s Omnibox could be Pandora’s box.
• Privacy Concerns Over Google Chrome’s “Omnibox”.
• EFF: We’re concerned about Google’s Omnibox.
• Preventing paranoia: when does Google Chrome talk to Google.com?.

Google promete Chrome para Mac y Linux, pero sin fecha:

Aunque lejos de un lanzamiento inmediato, el gigante de Internet ha confirmado que se están preparando versiones de su navegador que cubran todos los sistemas operativos.

Por Rosalía Arroyo [03-09-2008]

En el blog oficial de GoogleMac, Amanda Walker, ingeniera de software de la compañía confirma que Google podría acabar con las versiones de su navegador Chrome para los próximos lanzamientos de Mac y Linux. Aún sin estar listos para su lanzamiento, se ha descrito el desarrollo del producto más como ‘piezas de una aplicación’ que como rediseños completos.

También se destaca en el blog que las versiones de Mac y Linux serán proyectos abiertos que los usuarios podrán seguir para observar los progresos.
Google ha señalado que ha querido asegurar la experiencia de los usuarios de Windows, donde se probarán nuevas ideas, para no tener que hacer lo mismo en las tres plataformas.

También se ha señalado que, a diferencia de lo que ocurre con otros programas, las versiones de Linux y Mac de Chrome, anunciado ayer, se realizarán por profesionales “que viven y respiran para esas plataformas”.

Comentario propio:

¿Dónde está el ir lo de ir de guay y progre por lo de código libre? que quieren cambiar el mundo (con claras referencias a Microsoft), pero saben perfectamente que el mercado está en Windows y no en el 1,5% usuarios de Linux.

1. ¿Chrome es ligero?

Cazando mitos (I): “Chrome es ligero”

Enviado por admin el 4. Septiembre 2008 – 17:33.

• Inclasificable

Mientras la prensa oportunista, adulona y mema se deshace en elogios anticipados hacia el nuevo navegador de Google, estudios independientes comienzan a desmontar una por una las suspuestas cualidades diferenciales que pretendidamente justificaban la presentación de Chrome en sociedad.

Un día antes de irrumpir Chrome en escena, la gente de exo.blog presentaba un primer estudio sobre el rendimiento del Explorer 8 (beta 2) de Microsoft. Sus conclusiones, demoledoras: Explorer 8 (beta 2) dobla la demanda de recursos de Firefox 3.

Como decíamos, al día siguiente de publicado ese trabajo Google sacó Chrome (beta), por lo que la gente de exo.blog tuvo la buena idea y la capacidad de reacción necesaria para incluir a Chrome en un segundo estudio de consumo de recursos. El resultado sorprendió a los propios autores: A iguales condiciones (diez pestañas abiertas con iguales sitios cargados), Chrome consume más memoria que el ya bastante glotón Explorer 8. En concreto, 267 MB para Chrome frente a 211 MB para Explorer 8.

Conclusión de los autores:

“Chrome, como Explorer 8, es un navegador pensado para el hardware del mañana. Su utilización de un modelo de pestañas multiproceso (…) significa que siempre utilizará más recursos que Firefox, Explorer 7 y similares.”

Chrome acumula cientos de bugs en 48 horas

Enviado por admin el 4. Septiembre 2008 – 16:49.

• Vulnerabilidades

Y los hay para todos los gustos: desde los que impiden acceder a cuentas de Google, al curioso hecho de que Google Analytics detecte Chrome como “Safari for Windows”.

Quien quiera entretenerse un rato puede probar por sí mismo los más llamativos.

Claro, sí, se trata de una beta, pero se admiten apuestas sobre cuántos serán dentro de un par de semanas.

• Chromium-bugs.

Vulnerabilidades en Google Chrome (III)

Enviado por admin el 4. Septiembre 2008 – 9:20.

• Vulnerabilidades

Un error de diseño en Google Chrome permite la descarga de ficheros a la máquina víctima sin pedir consentimiento al usuario.

• Google Chrome Arbitrary File Download Vulnerability [Security Focus].
• Prueba de concepto [Milw0rm].

Vulnerabilidades en Google Chrome (II)

Enviado por admin el 3. Septiembre 2008 – 13:46.

• Vulnerabilidades

“Chrome parece ser un navegador muy agradable y ligero, pero está lejos de ser tan seguro como anuncia Google. Toma prestadas varias características inseguras de otros navegadores y tiene sus propios fallos de diseño”.

Aviv Raff.

Si la primera vulnerabilidad no os pareció suficientemente grave, vamos por la segunda:

• http://blogs.zdnet.com/security/?p=1843

En resumen; Chrome utiliza una versión antigua y vulnerable de WebKit, que permite engañar a los usuarios de Windows y hacerles ejecutar software malicioso. Al parecer, los usuarios de Vista ya han podido contemplar uno de los primeros indicios sospechosos: Chrome almacena por defecto los ficheros descargados en el escritorio. Eso, junto a una vulnerabilidad aún no parcheada de Explorer, les convierte en vulnerables al peor “estilo Safari”.

Aviv Raff ha publicado una prueba de concepto: