¿Deberiamos preocuparnos por el clickjacking?

Categorias: Clickjacking, Internet, Seguridad
Enviado el September 29, 2008

Hace unos días atrá publique una noticia acerca del resultado de una investigación en la que se revela una nueva forma de ataque que afecta a todos los navegadores y cuya solución no parece ser sencilla ya que quien puede dar solución a este problema son los desarrolladores de los navegadores (entiandase Microsoft, Mozilla, Apple entre otros). A continuación coloco algunas preguntas y respuestas a las preguntas más comunes acerca de esta nueva amenaza. Estas preguntas aparecen en un artículo de ComputerWorld.

¿Qué es el clickjacking?

Es una buena pregunta, y aunque los investigadores mantienen casi toda la información confidencial, al menos por ahora, se sabe que es un tipo de ataque nuevo que puede ocurrir sin que el usuario se de cuenta de lo que esté sucediendo.

Suponga que tiene un botón de cualquier tipo, incluyendo vínculos, banners, publicidad, lo que sea. Ahora imagine que un atacante pueda colocar un elemento invisible sobre dicho botón, de tal manera que cuando usted haga clic sobre lo que crees es el botón (lo que estas viendo en la página), en realidad estas haciendo clic sobre lo que el atacante quiere.

En otras palabras, el clickjacking permite a los atacantes y hackers esconder elementos maliciosos dentro del contenido de una página legítima, y robarse los clicks de los usuarios y a través de estos ejecutar otro ataque. Un clic con el mouse puede equivaler a un ataque de clickjacking.

¿Es el clickjacking algo nuevo?

No, los expertos tienen conocimiento de esta vulnerabilidad desde hace varios años. Coincidencialmente o no, Mozilla solventó un problema de clickjaking la semana pasada (cuando corrigió 11 vulnerabilidades), el cual fué de echo, una variante de una vulnerabilidad que Microsoft corrigió en Internet Explorer en 2003 y que volvió a corregir en 2004.

¿Cómo se lleva a cabo un ataque de clickjacking?

No se sabe con seguridad, ya que los investigadores se reservan los detalles. Pero Michal Zalewski, un reconocido investigador que ahora trabaja para Google ofrece un ejemplo de como puede llevarse a cabo:

Supongamos que una página maliciosa en el dominio A crea un IFRAME que apunta a una aplicación que está en dominio B, con la que un usuario se puede autenticar a través de cookies. La página del dominio A puede entonces crear elementos para ocultar sin problemas cualquier elemento de la página excepto un botón en la página del dominio B, tal como “eliminar todos los elementos” o “agregar a Bob como amigo”. De esta forma, la aplicación A provee una interfaz engañosa que have que ese botón sirva para una propósito diferente en la aplicación A, invitando a los usuarios a hacer clic sobre el

¿Qué tan perjudicial puede ser el clickjacking?

De nuevo es una buena pregunta, pero no se puede responder de forma completa ya que la información es limitada. Los atacantes pueden hacer muchas cosas. Dave Aitel, jefe técnico de Immunity Inc dijo en un mensaje este jueves: “No todo el mundo está convencido de que esto es un asunto muy importante, pero lo más difícil es saber que hacer con esto”

¿Qué se puede hacer para evitar los ataques de clickjacking?

No mucho por el momento. La mejor solución es usar Lynx, un navegador de modo texto bastante conocido en el mundo de Unix / Linux. El clickjacking no se puede llevar a cabo en este navegador justamente porque es de modo texto, así que no incluye elementos gráficos. Sin embargo, es una solución que carece de sentido ya que no se puede imaginar hoy en día navegar por internet sin incluir en un navegador de ese estilo.

Sin embargo, la combinación de Firefox con NoScript, una extensión del navegador que bloquea Javascript, Flash y Java, da un buen márgen de seguridad del 99.99%

¿Cuándo se solucionará el problema de clickjacking?

No hay respuesta para esto, ya que los únicos que pueden proveer una solución en una forma escalable son los desarrolladores de los navegadores. Aunque los investigadores ya se han puesto en contacto con Microsoft, Mozilla y Apple, quienes en conjunto abarcan el 98% del mercado de los navegadores y ellos aseguran estar trabajando en el problema, no podemos estar seguros de que esto sea algo prioritario y que se ofrezca una solución en el corto plazo.

Mientras tanto, Adobe está trabajando en una solución para dicho problema en Flash, aunque los investigadores se rehusaron a confirmar que efectivamente se trata de Flash.

¿Cuándo sabremos más acerca del clickjacking?

Pronto. Una vez que Adobe publique su parche para el problema, los investigadores publicarán los detalles de su investigación, incluyendo código que demuestra la vulnerabilidad.