Buscando...
11/10/08

Clickjacking: que es, como funciona, y como protegerse

Usuario manejando un mouse

Desde Adobe Systems viene esta advertencia lanzada el martes de que hackers podrían usar técnicas de ataque de “clickjacking” para de esta manera poder encender la cámara web y el micrófono de una computadora. El ataque se puede realizar por medio de Flash, en cualquiera de las plataformas en que puede operar, y lo hace mostrando al usuario un sitio malicioso disfrazado, que en realidad sólo engaña al usuario para que haga clic en varios objetos que en realidad tienen la función de darle acceso al sitio a la cámara web y al micrófono de la computadora. Por el momento Adobe está trabajando en un parche para dicha vulnerabilidad, a la que considera crítica, el nivel de más gravedad que otorga; dicho parche estará listo para fines de este mes. Mientras tanto, Adobe recomienda accesar al Administrador de propiedades (Settings Manager) de Flash, y seleccionar la opción “Siempre negar” (Always deny) para protegerse mientras tanto.

¿Pero que es el clickjacking? es una técnica de ataque la que se ha sabido por varios años, pero hasta hace poco dos investigadores de seguridad dieron cuenta de como se puede usar para comprometer la privacidad de un usuario o peor aún, como podría ser usado para robar dinero de su cuenta bancaria. ¿Cómo funciona? el modus operandi del clickjacking es empotrar contenido de otros sitios de modo que engañen al usuario sobre las acciones que se llevan a cabo en este; el contenido empotrado puede ser invisible pero aun así una persona puede interactuar con el mismo sin saberlo.

El clickjacking se aprovecha de engañar a un usuario para que haga clic en un botón que parece inocente, pero que en realidad hace otra cosa completamente diferente. Desafortunadamente, esta técnica usa una característica de diseño de HTML, y que hace que casi todos los navegadores sean vulnerables a dicho ataque.

Y no es la única forma en que funciona, sino que como han dicho los investigadores que lo descubrieron, no es un fallo en si, sino una clase nueva de ataques; una familia de ataques, si así lo quieres ver. Mientras tanto Adobe parcha Flash, si usas FireFox estás de suerte: instala el complemento NoScript, y estarás protegido mientras Adobe hace lo suyo. La última versión de NoScript trae protección integrada contra el clickjacking, y detecta contenido empotrado y que no sea visible, así que podrás navegar seguro y sin preocupaciones. Desgraciadamente, todos los demás navegadores estarán a merced del clickjacking, sobre todo Internet Explorer, puesto que es el navegador más usado en la actualidad.

0 comentarios:

Publicar un comentario

 
Volver al Inicio!