Pensando en acelerar el proceso de actualizar Firefox, los ingenieros de Mozilla están considerando una función de actualizaciones silenciosas, algo que no le suena tan bien a algunos.
Hoy en día, cada vez que Firefox detecta una actualización disponible, te lo hace saber y, si accedes a instalarla, el navegador lanzará un programa de actualización. Dicho programa descargará lo necesario, aplicará la actualización a Firefox, y reiniciará el navegador. Mientras tanto, bien podrías quedarte jugando con los pulgares y mirar cómo avanza la barra de progreso.
Para saltarse este tiempo perdido en el proceso de actualización, el equipo de Firefox tiene planeada una alternativa más discreta. En lugar de realizar la actualización en el primer plano, ésta tendría que descargarse en el fondo e instalarse en una copia del navegador dentro de una carpeta nueva. Así, la próxima vez que arranques Firefox tras actualizar, la versión antigua será reemplazada por la nueva. “En este escenario, es probable que no notes que Firefox ha aplicado la actualización, ya que no se ve ninguna interfaz de usuario”, dijo el ingeniero Ehsan Akhgari de Firefox en un blog de Mozilla.
¿Rápido y peligroso?
También podría volverse muy peligroso, de acuerdo a Philip Lieberman, fundador y presidente deLieberman Software, creadores de soluciones de manejo de contraseñas en Los Angeles.
“Aparte de que muchos sistemas de seguridad de TI tendrán que ser reconfigurados para permitir actualizaciones en segundo plano de Firefox -que no es una buena idea en primer lugar-, existe el peligro de que los hackers puedan acceder al sistema de actualizaciones para permitirse un acceso oculto a las computadoras de los usuarios”, escribió Lieberman en el Business Computing World.
Claro, una actualización silenciosa puede convenir a muchos usuarios, anotó el experto en seguridad, pero también invitaría a los hackers a explotar el proceso. “Si, como yo creo que es aparente, los hackers empiezan a hacer ingeniería inversa del sistema de actualización en el segundo plano -y no olvidemos que estamos hablando de software de código abierto aquí-, es sólo cuestión de tiempo antes de que conviertan este mecanismo de autoactualización en una forma de inyectar malware”, expuso Lieberman.
Más adelante esta semana, Lieberman continuó con el tema en una conferencia en India, donde dijo se esperaba que el primer bootkit para Windows 8, que ni siquiera ha sido lanzado al público aún, será demostrado por el hacker Peter Kleissner. “No hace falta un genio en programación para darse cuenta de que -contra el fondo de un bootkit de Windows 8- no sería difícil subvertir un actualizador de segundo plano para una pieza de software libre como Firefox 10″, especuló Lieberman.
El experto sostiene que el acceso al proceso de actualizaciones en una computadora debería depositarse en las manos de la persona que tenga privilegios administrativos. Eso es cierto en sistemas corporativos, pero también en el plano de usuario final, donde los propietarios pueden tener control sobre lo que cada software puede hacer con su máquina.
La idea de que los administradores tuvieran que abandonar su control del proceso de actualización debería incomodar a administradores y usuarios por igual. “Y por la muy buena razón de que es una receta para la incursión de hackers”, declaró Lieberman.
Hoy en día, cada vez que Firefox detecta una actualización disponible, te lo hace saber y, si accedes a instalarla, el navegador lanzará un programa de actualización. Dicho programa descargará lo necesario, aplicará la actualización a Firefox, y reiniciará el navegador. Mientras tanto, bien podrías quedarte jugando con los pulgares y mirar cómo avanza la barra de progreso.
Para saltarse este tiempo perdido en el proceso de actualización, el equipo de Firefox tiene planeada una alternativa más discreta. En lugar de realizar la actualización en el primer plano, ésta tendría que descargarse en el fondo e instalarse en una copia del navegador dentro de una carpeta nueva. Así, la próxima vez que arranques Firefox tras actualizar, la versión antigua será reemplazada por la nueva. “En este escenario, es probable que no notes que Firefox ha aplicado la actualización, ya que no se ve ninguna interfaz de usuario”, dijo el ingeniero Ehsan Akhgari de Firefox en un blog de Mozilla.
¿Rápido y peligroso?
También podría volverse muy peligroso, de acuerdo a Philip Lieberman, fundador y presidente deLieberman Software, creadores de soluciones de manejo de contraseñas en Los Angeles.
“Aparte de que muchos sistemas de seguridad de TI tendrán que ser reconfigurados para permitir actualizaciones en segundo plano de Firefox -que no es una buena idea en primer lugar-, existe el peligro de que los hackers puedan acceder al sistema de actualizaciones para permitirse un acceso oculto a las computadoras de los usuarios”, escribió Lieberman en el Business Computing World.
Claro, una actualización silenciosa puede convenir a muchos usuarios, anotó el experto en seguridad, pero también invitaría a los hackers a explotar el proceso. “Si, como yo creo que es aparente, los hackers empiezan a hacer ingeniería inversa del sistema de actualización en el segundo plano -y no olvidemos que estamos hablando de software de código abierto aquí-, es sólo cuestión de tiempo antes de que conviertan este mecanismo de autoactualización en una forma de inyectar malware”, expuso Lieberman.
Más adelante esta semana, Lieberman continuó con el tema en una conferencia en India, donde dijo se esperaba que el primer bootkit para Windows 8, que ni siquiera ha sido lanzado al público aún, será demostrado por el hacker Peter Kleissner. “No hace falta un genio en programación para darse cuenta de que -contra el fondo de un bootkit de Windows 8- no sería difícil subvertir un actualizador de segundo plano para una pieza de software libre como Firefox 10″, especuló Lieberman.
El experto sostiene que el acceso al proceso de actualizaciones en una computadora debería depositarse en las manos de la persona que tenga privilegios administrativos. Eso es cierto en sistemas corporativos, pero también en el plano de usuario final, donde los propietarios pueden tener control sobre lo que cada software puede hacer con su máquina.
La idea de que los administradores tuvieran que abandonar su control del proceso de actualización debería incomodar a administradores y usuarios por igual. “Y por la muy buena razón de que es una receta para la incursión de hackers”, declaró Lieberman.
0 comentarios :
Publicar un comentario