Llegamos a ustedes gracias a:



Noticias

Investigadores muestran nuevos métodos de clickjacking

[15/04/2010] Un investigador de seguridad lanzó una nueva herramienta basada en navegador que puede ser usada para experimentar con la próxima generación de ataques de clickjacking y además dio detalles de las cuatro nuevas técnicas.

Clickjacking es un estilo de ataque donde el usuario es engañado para que haga clic en determinadas partes de una página web con botones escondidos que realizan acciones maliciosas. Los botones escondidos son entregados mediante un marco invisible, el cual es una ventana que pone otro contenido dentro del sitio web objetivo.
El clickjacking se hizo bien conocido en el 2008 después de que los investigadores Robert Hansen y Jeremiah Grossman descubrieron una clase de ataque que involucraba las aplicaciones en Flash de Adobe, el cual podía dar acceso remoto a la cámara web y al micrófono de la víctima.
Desde ese momento, muchos sitios web y fabricantes de navegadores han dado pasos para incrementar sus defensas, pero la gran mayoría de sitios no están protegidos, señaló Paul Stone, un consultor de seguridad de Context Information Security en el Reino Unido. Él reveló cuatro nuevas clases de ataques de clickjacking el miércoles en la conferencia Black Hat, que son efectivos contra la mayoría de sitios web y navegadores.
Stone realizó una demostración que utilizó el API (application programming interface) para la función arrastar (drag-and-drop), implementada en todos los navegadores. Con algo de ingeniería social, los usuarios pueden ser engañados para que arrastren un objeto en la página web, lo cual podría ocasionar que se inserte texto en algunos campos.
Hay muchas cosas para lo cual esto podría ser usado, advirtió Stone. Podría enviar correos electrónicos falsos desde la cuenta de un usuario. También podría editar documentos en alguna clase de sistema de edición de documentos.
Stone también mostró un ataque de clickjacking de extracción de contenido, el cual podría ser usado para robar contraseñas de tokens que son usadas para autenticar una sesión y resguardarse contra ataques CSRF (falsificación de solicitud de sitio cruzado o cross-site request forgery). En un ataque CSRF, una aplicación web es engañada a mostrar un sitio solicitado, pero en realidad lo jala desde un sitio malicioso.
Stone ha desarrollado una herramienta que los desarrolladores pueden usar para probar las nuevas técnicas de clickjacking. Está disponible para descargar desde el sitio web de su compañía.
La herramienta es una aplicación de tipo apunte y dispare (point-and-click) basada en navegador. Tiene un modo de repetición visible para ver cómo trabaja exactamente un ataque y también tiene un modo escondido que muestra el ataque desde la perspectiva de la víctima. La herramienta está en fase beta y trabaja con Firefox 3.6, aunque Stone informó que están trabajando en la compatibilidad con otros navegadores.
Stone descubrió recientemente dos vulnerabilidades de clickjacking específicas para browser, una en el Internet Explorer y otra en Firefox, las cuales han sido parchadas. Los fabricantes de navegadores también han estado implementando formas de protegerse contra el clickjacking.
El Internet Explorer 8, Safari versión 4 y superiores y la versión 2 del Chrome y superiores ahora reconocen una cabecera HTTP llamada X-Frame-Options. Cuando una página web es etiquetada con ella, los browsers evitarán que el sitio web sea presentado en un iframe, el cual requiere el clickjacking. Mozilla está planeando tener la característica en una versión futura de Firefox.
Los sitios web también pueden usar JavaScript para disimular u ocultar contenido y también prevenir que una página sea mostrada en un iframe. Facebook y Twitter usan JavaScript pero no usan X-Frame-Options, de acuerdo a Stone. Sin embargo, usar JavaScript no es completamente efectivo.
Jeremy Kirk, IDG News Service