3 razones por las que Chromebook no resuelve problemas de seguridad digital
ChromeOS de Google, a primera vista, es una especie de toma de contacto para la seguridad del sistema operativo. Es probable que sea el sistema operativo más seguro del mundo (al costo de algunas funciones limitadas. Todo lo que necesita saber sobre el cambio a un Chromebook Todo lo que necesita saber sobre el cambio a un Chromebook Los Chromebook ejecutan un sistema operativo reducido optimizado para seguir adelante la web solo con el navegador Chrome y las aplicaciones Chrome. ¿Se puede cambiar a un Chromebook? Leer más). Desafortunadamente, ChromeOS no es una panacea, y siguen existiendo serias preocupaciones de seguridad sobre la plataforma..
Primero, sin embargo, la buena noticia:
ChromeOS (el sistema operativo de linux simplificado que se ejecuta en netbooks económicas de la marca Chrome Toshiba CB35-A3120 Chromebook Review and Giveaway Toshiba CB35-A3120 Chromebook Review y Giveaway Puedes obtener algunos Chromebooks realmente baratos si te parece bien obtener un 11.6- pantalla en pulgadas. Leer más) tiene un montón de características realmente interesantes para usuarios preocupados por la seguridad. El código de arranque se almacena en la memoria de solo lectura y comprueba la firma digital del kernel del sistema operativo antes del arranque (la “arranque verificado” característica). Debido a que el gestor de arranque está en la ROM, los hackers no pueden modificarlo sin alterar físicamente el chip. Si los archivos del sistema no pasan la verificación, el gestor de arranque simplemente reiniciará la máquina a la configuración de fábrica, destruyendo cualquier código malicioso que pueda haber sido insertado.
La seguridad de la plataforma se fortalece aún más porque se basa en aplicaciones web, que se ejecutan en una caja de arena: sus hilos y memoria se mantienen separados, lo que evita teóricamente que una aplicación web maliciosa acceda a la información o tome el control de otras aplicaciones. Las actualizaciones del sistema que contienen correcciones de seguridad se aplican de forma automática e invisible cuando la computadora está conectada a la red, para garantizar que los Chromebooks estén siempre actualizados. Incluso hay algunas opciones de seguridad Asegurar tu Chromebook con dos ajustes fáciles Asegurar tu Chromebook con dos ajustes fáciles Uno de los beneficios más promocionados de un Chromebook es su seguridad. Pero, ¿hay pasos que los propietarios puedan tomar para mejorar y mejorar el nivel actual de protección? Leer más puede habilitar para proteger el dispositivo de los atacantes con acceso físico al dispositivo. Tratar de obtener malware en una máquina ChromeOS no es una tarea envidiable. Puedes leer más sobre la seguridad de la plataforma ChromeOS aquí.
Entonces, cuál es el problema?
No puedes confiar en la caja de arena
Desafortunadamente, la seguridad ofrecida por el sandboxing web es en gran parte informal y no ha sido comprobada. Muchas cajas de arena, incluyendo Java, han tenido errores descubiertos que permitieron a las aplicaciones salir de ellas y ejecutar instrucciones arbitrarias en la máquina. El propio Chrome ha tenido ataques de ruptura de la caja de arena demostrados en su contra por hackers de sombrero negro. Esas hazañas específicas ahora están arregladas, pero no hay garantía de que no haya más. Rik Ferguson, un investigador de seguridad, lo expresa así:
“Las explotaciones que se escapan del sandboxing ya se han demostrado para Internet Explorer, para Java, para Google Android y, por supuesto, para el navegador Chrome (por nombrar solo algunas), mientras que el sandbox de Google es efectivo, no es impenetrable y no es confiable. por seguridad del 100 por ciento sería miope.”
El peor infractor aquí es la web interactiva, particularmente webGL, una implementación de OpenGL (una biblioteca de gráficos común) diseñada para los navegadores web. WebGL le permite ejecutar demostraciones 3D gráficamente impresionantes desde su navegador, lo que es realmente genial (como estos ejemplos), pero, desafortunadamente, también es una pesadilla para la seguridad. WebGL permite que las aplicaciones web envíen instrucciones de sombreado arbitrarias a la tarjeta de video de la máquina, lo que permite todo un arco iris imaginativo de posibles explotaciones que rompen el espacio aislado. La posición oficial de Microsoft es que webGL es demasiado inseguro para el uso interno:
“La seguridad de WebGL en su conjunto depende de los niveles más bajos del sistema, incluidos los controladores OEM, y las garantías de seguridad de las que nunca deben preocuparse antes. Los ataques que pueden haber resultado previamente solo en la elevación local de privilegios ahora pueden resultar en un compromiso remoto. Si bien es posible mitigar estos riesgos en cierta medida, la gran superficie de ataque expuesta por WebGL sigue siendo una preocupación. Esperamos ver errores que existen solo en ciertas plataformas o con ciertas tarjetas de video, lo que posiblemente facilita los ataques dirigidos.”
No puedes confiar en la nube
Aún peor que las posibles amenazas contra la caja de arena, sin embargo, es la naturaleza de la plataforma en sí. Los Chromebook, por diseño, dependen en gran medida de la nube. Si accidentalmente destruyes tu Chromebook (por ejemplo, pisándolo o dejándolo caer en un lago de roca fundida), tus datos no desaparecerán. Simplemente puede comprar uno nuevo, iniciar sesión y recuperar todos sus datos y configuraciones.
Desafortunadamente, esto expone a los usuarios a un riesgo considerable en el lado de la nube de la ecuación. Sean Gallagher de Ars Technica señala en su editorial. “¿Por qué a la NSA le encanta el Chromebook de Google?,” sabemos que la NSA ha tenido (y aún puede tener) puertas traseras invasivas en el almacenamiento en la nube de Google, y puede usar eso para espiar todos los archivos de los usuarios de Drive, incluidos aquellos que usan Chromebooks. Como Gallagher lo pone,
“Nada de esto es necesariamente culpa de Google. Pero es una debilidad del navegador como plataforma: al hacer que casi todos los recursos informáticos para aplicaciones, además de la presentación, vuelvan a la nube, el modelo Chromebook crea una ventanilla única para que los atacantes u observadores se introduzcan en su mundo informático..”
No es solo la NSA, tampoco. Si bien el cargador de arranque confiable puede protegerlo de modificaciones maliciosas y persistentes en el sistema operativo que informan sobre sus actividades, incluso una sola violación de seguridad por parte de una aplicación web podría ser suficiente para robar sus claves y detalles de autenticación, que un atacante podría usar para acceder Tus datos en la nube y navega a su antojo..
Las aplicaciones nativas están llegando
Para empeorar las cosas, la caja de arena de ChromeOS no es un paradigma particularmente puro: las extensiones del navegador que se ejecutan en la parte superior de las páginas web, como Adblock Plus y Google Translate son códigos nativos que se ejecutan en la máquina, y pueden hacer todo tipo de cosas desagradables ( incluyendo mostrar adware y espiar sus contraseñas). Incluso hay extensiones que puedes descargar que detectan y eliminan otras extensiones maliciosas, una forma del software antivirus que ChromeOS no debería necesitar. Para crédito de Google, ChromeOS solo instalará aplicaciones de la tienda de extensiones de Chrome que ya hayan pasado por el proceso de aprobación de Google. Desafortunadamente, ese proceso de investigación se basa en el juicio humano, y las garantías que ofrece esa investigación son mucho más débiles que las que brinda un buen sandboxing..
Se pone peor: Google planea implementar aplicaciones nativas en forma de aplicaciones de Android, ejecutadas en ChromeOS a través de una capa de interfaz. Estas serían aplicaciones nativas que introducen una gran variedad de problemas de seguridad en ChromeOS, y esas preocupaciones de seguridad se agravan por la relativa vulnerabilidad de la nube al robo de claves. Las rupturas son más serias cuando son invisibles y persistentes..
Ahora, por supuesto, cualquier aplicación de Android permitida en ChromeOS probablemente será examinada cuidadosamente por el equipo de Google en busca de códigos maliciosos, pero eso simplemente no es una garantía lo suficientemente sólida como para mantener la seguridad de la máquina. Incluso si el código no es malicioso, es casi seguro que vendrán con sus propias vulnerabilidades y vulnerabilidades que podrían usarse para obtener acceso al sistema operativo. El código nativo es peligroso y viola los principios de seguridad destinados a mantener a ChromeOS a salvo..
ChromeOS: seguro, pero existen preocupaciones
Vale la pena tomarse un momento para reiterar que ChromeOS es muy seguro. Si está utilizando Windows, Linux o OSX, ChromeOS es más seguro. De hecho, esto es cierto en el caso de todos los sistemas operativos, excepto Plan 9, un sistema operativo muy seguro, tan oscuro que evita el malware, al menos parcialmente, al no tener ningún "software" del que hablar. Sin embargo, no lo tome como una excusa para ser descuidado: las preocupaciones de seguridad importantes acerca de ChromeOS permanecen, y vale la pena tenerlas en cuenta cuando confía en su computadora con información confidencial..
Créditos de la imagen: hacker con una computadora portátil a través de Shutterstock, “Chrome Lapel Pin” por Stephen Shankland, “Chromebook“, por slgckgc, “Chromebook foto test“, por ?? ?, “Kryha-Chiffriermaschine, dispositivo de cifrado Kryha“, por Ryan Somma
Obtenga más información sobre: Chromebook, Cloud Computing, Google Chrome, Seguridad en línea.