Clickjacking

Se trata de una nueva vulnerabilidad a la que parecen expuestos los navegadores modernos y de la que se conocen pocos detalles. El Clickjacking se resume en lo siguiente: un usuario hace clic sobre un enlace o botón que está viendo y en realidad lo hace sobre otro enlace controlado por terceros. Se trata de una vulnerabilidad presentada en la conferencia de seguridad OWASP de la que los detalles se mantienen en secreto.

Sobre el Clickjacking se cierne un halo de cierto misterio. El pasado 24 de septiembre, en el marco de las conferencias de seguridad OWASP, dos reputados expertos en seguridad de navegadores web, Jeremiah Grossman y Robert Hansen, iban a ofrecer una conferencia sobre Clickjacking en la que iban a desvelar serias vulnerabilidades que afectaban a los navegadores web más importantes. Sin embargo la conferencia fue cancelada a petición de Adobe, de cuyo software y concretamente Flash se especula que provienen gran parte de los problemas. La anulación de la conferencia les valió incluso un agradecimiento oficial por parte de la compañía.


La verdad es que esta política ha conseguido casi el efecto contrario y ha provocado toda una serie de especulaciones sobre el contenido de las revelaciones que iban a realizar los dos expertos. Algunos recomiendanmedidas drásticas, incluso sugiriendo la vuelta al uso de navegadores sólo texto como el Lynx mientras no se sepan más detalles. Así que ¿qué es eso del Clickjacking? ¿Es de verdad tan peligroso? En un artículo de PC Advisor se pueden leer algunas declaraciones de Grossman en las que sin dar demasiados detalles plantea el fenómeno como algo muy serio "Piensa en cualquier botón en cualquier web que puedes hacer aparecer dentro de las paredes de un navegador: transferencias de bancos, botones DIgg,banners de publicidad, la lista es virtualmente infinita.. Luego considera que un ataque puede superponerse de forma invisible sobre estos botones bajo el puntero del ratón, así quec uando éste hace clic sobre algo que está viendo, realmente está haciendo clic sobre algo que el atacante quiere que el usuario active". Una descripción escalofriante y que ha puesto a muchos expertos a pensar. Una de las conclusiones es que no se trata de un problema que pueda solucionarse simplemente con un parche.

El problema es que el usuario estaría activando "voluntariamente" un enlace malicioso, pero desde el punto de vista del navegador la páginano tiene ningún enlace sospechoso. Cualquier navegador compatible con páginas dinámicas, ya sea por DHTML o Javascript, es decir, todos los navegadores modernos, estaría expuesto a esta vulnerabilidad. La solución para impedir el Clickjacking sin tener que volver a utilizar navegadores en desuso para el gran público hace décadas, la podemos encontrar en paginas especialistas en seguridad como Kriptópolis. En particular, para los usuarios de Firefox, existe un programa llamado Noscript queprotege de ese tipo de ataques, pero elimina la funcionalidad de cualquier script en Java, Javascript o Flash a menos que lo activemos individualmente para cada sitio web. Tal y como explican en Webmokey, la propia página de descarga de Noscript es un caso de Clickjacking. El usuario hace clic en un enlace de descarga local, pero el código dela página muestra al navegador el enlace de la página de scripts oficiales de Firefox, de forma que la instalación se puede realizar de un solo paso.


El verdadero problema de seguridad, según los expertos, es que las páginas web y en consecuencia los navegadores son cada día más complejos, contienen más código y más contenido dinámico para encandilar y facilitar la navegación al usuario.Eso hace que se multipliquen las posibilidades de enmascarar malware.Lo cierto es que el Clickjacking se ha hecho famoso por el halo de misterio creado por la repentina discreción de Grossman y Hansen.En realidad ellos mismos reconocieron que es un fenómeno que se vieneproduciendo en la web desde hace tiempo. Otros ataques similares, comoel "Cross Site Request Forgery" o el "Cross Site Scripting" ya son muy conocidos y también aprovechan la potencia del lenguaje de script para engañar tanto a servidores como a usuarios.

¿Y la solución? Según el mencionado artículo de PC Advisor, Hansenopina que la única forma razonable de solucionar el problema es dellado de los navegadores. Al parecer él y Grossman ya se han puesto encontacto con Microsoft, Mozilla y Apple para ofrecer la información que obra en su poder y según ellos "están trabajando en una solución". Según el experto Michal Zalewski, además de soluciones circunstanciales, una solución "sabia" desde el punto de vista de la seguridad sería la de redefinir el lenguaje HTML para construir modelos de seguridad para navegadores que permitieran el control específico de todas las formas de enlaces yr eferencias dentro de una página. Una propuesta interesante,sensata aunque casi irrealizable (como él mismo confiesa) que retratacómo un modesto lenguaje de descripción de páginas se ha ido complicando tanto que ha abierto demasiadas lagunas de seguridad.

Extraído de http://unlugarsinfin.blogspot.es

Comentarios