Si hace unos días hablábamos del misterioso Clickjacking como la madre de todas las vulnerabilidades en navegadores, hoy Giorgio Maone nos explica cómo protegernos frente a la amenaza... si es que podemos.
En resumen:
- Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
- Los usuarios de navegadores en modo texto (Links, Lynx, w3m...) están a salvo.
- Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
- Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
- Escribir "opera:config" en la barra de direcciones. Buscar "Extensions" y deshabilitar "iFrames".
- Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.
Palabra de Maone. Amén.
Fix NoScript
anónimo9 Octubre 2008 - 2:23pm
[Copy & Paste] http://www.0x000000.com/index.php?i=316
Fix.
Giorgio released a fix for NoScript. You can download the latest version of NoScript with additional protection right here: 1.8.1.9, upgrade
-----
Aparentemente, ahora si sería una opción viable de protección.
Saludos
Firefox + NoScript están a salvo del Clickjacking
anónimo6 Octubre 2008 - 10:12am
Eso de que "Los usuarios de Firefox + NoScript están a salvo del Clickjacking, yo tengo diseñada una prueba de concepto que te borra los correos de gmail y no necesita de javascript, solo están a salvo de momento los usuarios que bloqueen los iframes (que noscript lo hace pero por defecto no)... hay que explicar bien las cosas de forma completa o enteresanse bien, no obstante es este es un site que me gusta mucho.
Sí están a salvo
admin6 Octubre 2008 - 10:24am
Disculpa, pero creo que eres tú quien está un poco desfasado en cuanto a información:
http://hackademix.net/2008/10/02/clickjacking-protection-by-...
http://noscript.net/getit#devel
Por tanto (y en principio, dado que nuestro conocimiento del Clickjacking no es total), cualquier usuario de Firefox y una versión actualizada de NoScript está a salvo de ese ataque.
La solución en el punto 2
anónimo2 Octubre 2008 - 8:24pm
Tal como pone nuestro bienamado admin en la noticia:
Así que hala, a navegar con links (ojo, que elinks tiene hasta colorines, y w3m tiene incluso pestañas).
Para hacerse una idea...
admin2 Octubre 2008 - 8:33pm
http://www.delorie.com/web/lynxview.html
Vaya...
admin2 Octubre 2008 - 8:34pm
Parece que hay que abrirse antes una cuenta...
GMail vía IMAP+SSL
iago2 Octubre 2008 - 3:06pm
Es lo que uso yo desde ya hace un tiempo, y oye, estoy bastante contento :D, muy pocas veces hecho en falta el interfaz web. De paso no soy vulnerable a ciertos ataques.
ojo
Yoshua2 Octubre 2008 - 2:27pm
estoy usando opera 9.6 para windows y tiene la opción, lo raro es que si deshabilito Iframe, no anda gmail =S (probé 2 veces ya, e incluso resetee el profile de opera)
A mí si me funciona gmail
Kuie2 Octubre 2008 - 4:19pm
A mi si me funciona, sólo hay que habilitar la vista básica.
opera 9.52
anónimo2 Octubre 2008 - 1:36pm
Aunque deshabilitando IFrames en Opera 9.52 te quedas sin GMail en la version estandar, la versión HTML no me agrada demasiado...
Saludos.
En el caso de Opera
anónimo2 Octubre 2008 - 12:59pm
En el caso de Opera la primera medida te lleva a navegar sin java, javascript, plugins, etc. Espero que sea algo temporal y pronto surja una solución menos problemática.
iFrames
mced2 Octubre 2008 - 7:05am
Opera 9.52 para Linux sí que presenta esa opción para deshabilitar.
object
anónimo3 Octubre 2008 - 1:12pm
El problema es que hay una manera de saltarse el chequeo de iframes: usando la etiqueta <object> que se puede comportar igual que un iframe.
Claro que por otro lado, ya deshabilitando el javascript te quedas afuera del 50% de los sitios web. Deshabilitando iframe estás volviendo inútiles otro buen 10 o 20 %.
La nueva versión 1.8.1.9
anónimo5 Octubre 2008 - 5:24am
En la nueva versión 1.8.1.9 parece que los object son tratados igual que los iframe por lo que son bloqueados. Al menos yo con object no pude pasar a noscript.
Pero es que da igual
anónimo3 Octubre 2008 - 12:26pm
No les hace falta usar IFRAMES, el tag OBJECT permite exactamente lo mismo y contra eso no hay protección
A lo mejor
admin2 Octubre 2008 - 8:23am
A lo mejor tengo que actualizar a la 9.52 para tenerlo. Es que no uso Opera para nada (bueno, sólo para tratar de comprobar estas cosillas ;)
¿Alguien con la 9.50 puede decirme si lo tiene, porfa?
En la versión 9.50
anónimo2 Octubre 2008 - 1:14pm
Nunca he usado Opera. Para probar instalé ambas versiones, la 9.50 y la 9.52, en el /home, para no usar root. Ambas tienen activado IFrames por defecto.
Las instalé con "$ dpkg-deb -x nombre_paquete". Luego tuve que modificar el script Opera, los apartados " Opera enviroment" y "Location of the Opera binaries" para que funcionen en la ubicación de /home/usuario, en lugar de la ruta que de instalación por defecto.
En la versión 9.50 sí viene también IFrames activado por defecto.
Para verlo pon, en lugar de extensions, iframe en el filtro de búsqueda, o frame.
Si pones "extensions" en el filtro y te aparece Extensions vacío es porque es un enlace y tienes que hacer clic en éste para que muestre la lista.
Joer, que sí!
admin2 Octubre 2008 - 2:36pm
Que ayer no me salía iframes de ninguna manera (ni pulsando en Extensions ni buscando en el filtro) y hoy ¿mágicamente? sí.
En fin; gracias de todos modos. Yo tampoco lo uso más que para comprobar cosillas... pero a veces hasta eso se me pone cuesta arriba ;)
En la 9.5 beta
anónimo2 Octubre 2008 - 11:47am
En la 9.5 beta que tengo yo para Windows si que sale lo del iFrames, pero la opción del menú no sale igual ...
Vale la pena?
anónimo2 Octubre 2008 - 2:40am
¿Vale la pena seguir navegando bajo esas condiciones?
¿De verdad existe tanto riesgo?
Kuie2 Octubre 2008 - 1:26pm
Hola,
Lo primero me gustaría dejar claro que mi reflexión no pone en duda la "vulnerabilidad", ni desde luego quiero clasificar esto como una tontería paranoica.
Pero también es cierto que según lo que leo por aquí si quiero protegerme de este posible ataque mientras navego tengo que deshabilitar todas las opciones de contenidos en Opera, esto significa que me condeno a una navegación más limitada en el sentido que no puedo ver ningún video de Youtube y ni siquiera puedo ver mi correo desde el webmail de Gmail con todas sus características.
A lo que voy, hay un montón de gente ciega y sorda a toda cuestión de seguridad y que sin embargo tiene acceso "no seguro" a todos los contenidos y posibilidades de la web. Sin embargo gente con una cierta preocupación y sin muchos conocimientos de seguridad pero un cierto interes sobre el tema tiene vedados contenidos tan "universales" como un video e youtube.
Mi pregunta es: ¿Es lógico que un usuario normal, desde su ordenador personal, deshabilite dichas opciones de su navegador para navegar más seguro? ¿Cuales son los riesgos reales en caso de un ataque? O dicho de otra forma, ¿qué riesgo tiene un usuario común de que su equipo sea atacado?
Un saludo a todos.
Depende
anónimo2 Octubre 2008 - 2:35pm
Hombre, si es un usuario normalucho, pues además de estar infectado con virus y troyanos el 80% de ellos según el periódico del otro día, tiene un riesgo añadido. Yo diría que una protección más es irrelevante ante semejante oleada de infecciones.
Si hablamos de un usuario corporativo o alguien que se preocupa de que su ordenador no sea un ecosistema de entes víricos informáticos, pues sí es relevante. Este último usuario sí tiene algo que perder, el 80% de los otros usuarios ya lo perdieron todo.
Como los pescadores
anónimo2 Octubre 2008 - 11:08am
Los pescadores no faenan en fuerte marejada, y esto que se comenta es casi arbolada...
Habría que volver al gopher y dejarnos de colorines :D
Pues va a ser que NO
anónimo2 Octubre 2008 - 8:53am
Si estamos en modo paranoico pues NO. Solamente usando vulnerabilidades conocidas resulta que estamos absolutamente desprotegidos y que además no podemos hacer nada al respecto:
- No podemos fiarnos de las resoluciones de nuestros DNS ya que podrían estar envenenadas, con lo cual la página podría no ser la que creemos estar visitando.
- El contenido de la página puede lanzar acciones como si las hubiera seleccionado el usuario. Por lo visto en este hilo, ninguna protección antiscripts puede evitar eso.
- Dichas acciones pueden acabar permitiendo la ejecución de código arbitrario en nuestro equipo, incluyendo la descarga de nuevo código.
- Dicho código puede instalarse como rootkit y/o meter a nuestro equipo en una botnet ante la mirada impasible de nuestro antivirus.
¿Me lo parece a mi o estamos perdidos?
Una posible solución
anónimo2 Octubre 2008 - 2:50pm
Si utilizas algún tipo de *ix hay algo que puedes hacer para mitigar el impacto.
El primer requisito es el de siempre: navegar usando una cuenta de usuario normal, nunca como root.
El segundo, tener el /home en una partición aparte.
Por último, dicha partición debe ser montada SIN el flag que permite la ejecución de "aplicaciones/programas/scripts/etc.".
De esta manera no es posible ejecutar absolutamente nada que resida en dicha partición, y si tienes el cuidado de sólo utilizar un usuario "normal" para navegar Internet, entonces cualquier cosa que te bajes va a copiarse sobre dicha partición desde la que no puede ejecutarse.
La desventaja de esto es que no puedes utilizar /home para instalar aplicaciones/scrips. Pero para ello existe /usr/local.
Ah me olvidaba, /tmp también debería ser "capado" (te puedes hacer un bonito symlink a algún directorio en /home).
Nota: No sé qué efecto esto tenga para controlar scripts de perl/python o "binarios" java (por ejemplo applets que vengan desde la red). Tendria que probarlo.
De eso nada
anónimo2 Octubre 2008 - 5:15pm
La supuesta vulnerabilidad no "copia" un ejecutable a tu disco, sino que lo ejecuta el navegador directamente.
De hecho, un peligro potencial es que gracias a la vulnerabilidad se ejecute un código que envíe ficheros de tus discos al servidor web remoto. Tampoco ayuda en nada montar discos con noexec en este caso.
Con respecto a lo de usar una cuenta de usuario normal, no administrativa, estoy 100% de acuerdo. Este consejo también sirve para Windows, y tiene exactamente el mismo efecto que en Linux.
Por último, recomendaría utilizar VMWare, instalar una máquina virtual nueva con tu distribución y navegador preferidos, configurar los discos como "Nonpersistent" ANTES de comenzar a navegar y luego utilizar siempre esta máquina virtual en vez de un navegador de verdad en tu máquina real.
Creo que aqui
anónimo2 Octubre 2008 - 1:34am
Creo que aqui pone como bypassear eso y de nada te sirve el noscript ya hasta que miren eso...
http://www.0x000000.com/index.php?i=316
PD:Lo vi pero todavia no lo probe
Noscript para Firefox no es suficiente
anónimo2 Octubre 2008 - 12:51am
Parece que la proteccion que brinda Noscript para Firefox no es suficiente, pueden ver aqui un post sobre como bypassear la seguridad solo con simples ideas:
http://nulledcore.com/?p=117
Con la etiqueta de object se puede hacer un iframe el cual Noscript no detecta como malicioso por lo cual puede que aun estando con el addon en Firefox sigamos estando en riesgo.
--
Julian A. Rodriguez
Entiendo que lleve agua para su molino, pero...
Andy1 Octubre 2008 - 11:34pm
Siento no estar de acuerdo, pero aparentemente NoScript NO protege de clickjacking.
El experto Ronald van den Heetkamp lo explica mucho mejor de lo que podría hacerlo yo en el último artículo de su web:
Bypassing NoScript Clickjacking Protection.
Hace cosa de un mes, Ronald había escrito un artículo sobre como ejecutar código en un browser sin utilizar javascript.
HTML Control Without Javascript.
Se me antoja que es como clickjacking podría trabajar, ya que según dicen, no se neceista javascript para montar un ataque por clickjacking. Ya nos enteraremos cuando se conozcan los detalles.
iFrames Opera 9.52
anónimo1 Octubre 2008 - 11:26pm
Estuve viendo en Opera 9.52 en Debian y tiene la opción para deshabilitar iFrames.
Saludos.
iFrames en Opera
anónimo1 Octubre 2008 - 11:22pm
En el Opera 9.52 para Windows, si que esta la opción de desabilitar iFrames.