Me parece importante para arrancar la semana hacer un aviso para aquellos lectores que no estén muy metidos en el mundo de la Seguridad Informática y lo haré de la forma lo más simple posible. Para la gente que le interese profundizar, les dejo abajo un compilado de links que hablaron muy bien del tema y que está muy interesante para seguirlo.
Todo empezó porque en una importante conferencia de Seguridad, dos investigadores suspendieron su charla a pedido de la empresa Adobe, indicando que era responsable no divulgar aún los detalles de la vulnerabilidad que ellos descubrieron, teniendo en cuenta, su gravedad, y que afectaba a muchas plataformas (prácticamente todos los navegadores).
¿De qué se trata la vulnerabilidad?
La vulnerabilidad, denominada Clickjacking (secuestro del clic), hablando muy simple, es la posibilidad de que un atacante pueda manipular los enlaces en un sitio web.
Nada mejor para entenderlo, que verlo, ingresen en este link, donde Segu-Info realizó una prueba de concepto, y verán como aún creyendo que están ingresando a Google, se forzará el direccionamiento a otra web, sin el consentimiento del usuario.
¿Cómo puedo protegerme?
Este es el punto que más me interesa. Por el momento no han trascendido muchos detalles, pero sí hay una solución que por el momento parece la forma de estar menos expuesto a la vulnerabilidad: usa Firefox con el plugin NoScript instalado.
Para instalar Firefox (si aún eres usuario de IE), lo puedes hacer desde el sitio oficial, ya estamos en la versión 3.0.3. Luego, una vez instalado, pueden ingresar aquí, e instalar el plugin NoScript, que permitirá protección contra la ejecución de código sin el consentimiento del usuario.
Como usuarios finales, confíen en mí 😉 , y si pueden realicen los pasos aconsejados en el párrafo anterior. No estoy muy de acuerdo con la paranoia de la seguridad, pero sí con tomar recaudos cuando aparecen amenazas de este tipo.
Más información:
- Clickjacking: Investigadores alertan por vulnerabilidad que afecta a todos los navegadores
- Firefox y NoScript vs Clickjacking
- Pruebas de Concepto de Clickjacking
- Clickjacking
- Clickjacking
- ClickJacking, ¿lo nuevo en (in)seguridad?
- US-CERT: Multiple Web Browsers Affected by Clickjacking
- Clickjacking and NoScript
Un Mundo (no tan) Binario 
Federico,
En el primer link de la lista «Más información:» mencionan tambien el punto «secuestro del portapapeles», por eso el post ;). Es un tema bastante preocupante tambièn. Durante años trabajè como desarrollador PHP para una empresa italiana (de Milano)donde este tipo de estrategias se utilizaban con frequencia con intenciones poco filantròpicas por asì decirlo, motivo por el cual decidì renunciar (luego de aprender todo lo que me resultaba interesante). Eran otros tiempos y la seguridad de los browsers era bastante mas delgadita, sobre todo IE.
Javier,
Clickjacking =! Clipboard HiJacking
Clickjacking es una técnica que viene siendo utilizada bien ‘under’, y que consiste en manipular los enlaces que clickeará un usuario.
Quizás leíste por arriba y el nombre es similar (yo al principio desestime noticias de clickjacking pensando que era lo del secuestro del clipboard jeje así que entiendo la confusión =P).
Solo eso 😉
Saludos!
Estimado Sebastiàn:
Primero que nada muchas gracias por los excelentes post que no enviàs a diario, desde que me incribì (pocas semana atras) no dejo post sin leer.
Solo una nota informativa, para quienes no estaban al tanto, el secuestro del portapapeles a traves de javascript + flash es utilizado desde hace tiempo. El recurso mas simple es accesible en la red en numerosos sitios de free web design resources.
I.E. 7 generalmente emite una alerta antes de permitir el acceso al portapapeles por este medio, Firefox y Opera no. No hice pruebas en otros browsers por el momento.
Si bien la estrategia de copiar de acceder al clipboard estaba destinada e su implementación en CMS o formularios nada prohibe que a traves de actioscript el contenido del portapapeles pueda ser utilizado para otras cosas…. cuantos usuarios «incautos» tienen en un archivo de texto sus credenciales de acceso (ya de por si un habito extremadamente peligroso y no recomendable) y en vez de memorizarlas las copian y pegan en los formularios de login!!!!!
@Federico Almada:
No suelo enojarme, y menos cuando un comentario aporta al post y, de ser necesario, aclara o corrige.
Gracias por tus dos observaciones, coincido con ambas. Lo de Adobe me quedó mal expresado y lo de NoScript, buenísimo para los usuarios.
Seba,
Sin querer irte en contra.. 😛 en el blog que escribe uno de los flacos, dijo que no lo hicieron por Adobe (ni Microsoft que también fue avisada, entre otras empresas), sino porque vieron que era demasiado grave… y prefirieron esperar (por suerte).
Aclaro porque suena como que los flacos se frenaron por guita (como suele pasar) y no fue tan así… 😉 (al menos tienen un poco de éticas estos jejeje).
En cuanto a NoScript, te faltó agregar que hay que ingresar en opciones, plugins y activar la casilla de Prohibir (!), que aparentemente venía desactivada (al menos, yo no toque la config de noscript nunca, y estaba desactivada je).
Saludos!