Protección contra Clickjacking

Enviado por admin el 1 Octubre 2008 - 9:52pm

Seguridad Web

Si hace unos días hablábamos del misterioso Clickjacking como la madre de todas las vulnerabilidades en navegadores, hoy Giorgio Maone nos explica cómo protegernos frente a la amenaza... si es que podemos.

En resumen:

Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
Los usuarios de navegadores en modo texto (Links, Lynx, w3m...) están a salvo.
Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
- Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
- Escribir "opera:config" en la barra de direcciones. Buscar "Extensions" y deshabilitar "iFrames".
Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Palabra de Maone. Amén.

1838 lecturas
Twitter

iFrames en Opera

Enviado por anónimo el 1 Octubre 2008 - 10:22pm.

En el Opera 9.52 para Windows, si que esta la opción de desabilitar iFrames.

iFrames Opera 9.52

Enviado por anónimo el 1 Octubre 2008 - 10:26pm.

Estuve viendo en Opera 9.52 en Debian y tiene la opción para deshabilitar iFrames.

Saludos.

Entiendo que lleve agua para su molino, pero...

Enviado por Andy el 1 Octubre 2008 - 10:34pm.

Los usuarios de Firefox + NoScript están a salvo del Clickjacking.

Siento no estar de acuerdo, pero aparentemente NoScript NO protege de clickjacking.

El experto Ronald van den Heetkamp lo explica mucho mejor de lo que podría hacerlo yo en el último artículo de su web:
Bypassing NoScript Clickjacking Protection.

Hace cosa de un mes, Ronald había escrito un artículo sobre como ejecutar código en un browser sin utilizar javascript.
HTML Control Without Javascript.

Se me antoja que es como clickjacking podría trabajar, ya que según dicen, no se neceista javascript para montar un ataque por clickjacking. Ya nos enteraremos cuando se conozcan los detalles.

Noscript para Firefox no es suficiente

Enviado por anónimo el 1 Octubre 2008 - 11:51pm.

Parece que la proteccion que brinda Noscript para Firefox no es suficiente, pueden ver aqui un post sobre como bypassear la seguridad solo con simples ideas:

http://nulledcore.com/?p=117

Con la etiqueta de object se puede hacer un iframe el cual Noscript no detecta como malicioso por lo cual puede que aun estando con el addon en Firefox sigamos estando en riesgo.

--
Julian A. Rodriguez

Creo que aqui

Enviado por anónimo el 2 Octubre 2008 - 12:34am.

Creo que aqui pone como bypassear eso y de nada te sirve el noscript ya hasta que miren eso...

http://www.0x000000.com/index.php?i=316

PD:Lo vi pero todavia no lo probe

Vale la pena?

Enviado por anónimo el 2 Octubre 2008 - 1:40am.

¿Vale la pena seguir navegando bajo esas condiciones?

Pues va a ser que NO

Enviado por anónimo el 2 Octubre 2008 - 7:53am.

Si estamos en modo paranoico pues NO. Solamente usando vulnerabilidades conocidas resulta que estamos absolutamente desprotegidos y que además no podemos hacer nada al respecto:

- No podemos fiarnos de las resoluciones de nuestros DNS ya que podrían estar envenenadas, con lo cual la página podría no ser la que creemos estar visitando.

- El contenido de la página puede lanzar acciones como si las hubiera seleccionado el usuario. Por lo visto en este hilo, ninguna protección antiscripts puede evitar eso.

- Dichas acciones pueden acabar permitiendo la ejecución de código arbitrario en nuestro equipo, incluyendo la descarga de nuevo código.

- Dicho código puede instalarse como rootkit y/o meter a nuestro equipo en una botnet ante la mirada impasible de nuestro antivirus.

¿Me lo parece a mi o estamos perdidos?

Una posible solución

Enviado por anónimo el 2 Octubre 2008 - 1:50pm.

Si utilizas algún tipo de *ix hay algo que puedes hacer para mitigar el impacto.

El primer requisito es el de siempre: navegar usando una cuenta de usuario normal, nunca como root.

El segundo, tener el /home en una partición aparte.

Por último, dicha partición debe ser montada SIN el flag que permite la ejecución de "aplicaciones/programas/scripts/etc.".

De esta manera no es posible ejecutar absolutamente nada que resida en dicha partición, y si tienes el cuidado de sólo utilizar un usuario "normal" para navegar Internet, entonces cualquier cosa que te bajes va a copiarse sobre dicha partición desde la que no puede ejecutarse.

La desventaja de esto es que no puedes utilizar /home para instalar aplicaciones/scrips. Pero para ello existe /usr/local.

Ah me olvidaba, /tmp también debería ser "capado" (te puedes hacer un bonito symlink a algún directorio en /home).

Nota: No sé qué efecto esto tenga para controlar scripts de perl/python o "binarios" java (por ejemplo applets que vengan desde la red). Tendria que probarlo.

De eso nada

Enviado por anónimo el 2 Octubre 2008 - 4:15pm.

La supuesta vulnerabilidad no "copia" un ejecutable a tu disco, sino que lo ejecuta el navegador directamente.

De hecho, un peligro potencial es que gracias a la vulnerabilidad se ejecute un código que envíe ficheros de tus discos al servidor web remoto. Tampoco ayuda en nada montar discos con noexec en este caso.

Con respecto a lo de usar una cuenta de usuario normal, no administrativa, estoy 100% de acuerdo. Este consejo también sirve para Windows, y tiene exactamente el mismo efecto que en Linux.

Por último, recomendaría utilizar VMWare, instalar una máquina virtual nueva con tu distribución y navegador preferidos, configurar los discos como "Nonpersistent" ANTES de comenzar a navegar y luego utilizar siempre esta máquina virtual en vez de un navegador de verdad en tu máquina real.

Como los pescadores

Enviado por anónimo el 2 Octubre 2008 - 10:08am.

Los pescadores no faenan en fuerte marejada, y esto que se comenta es casi arbolada...

Habría que volver al gopher y dejarnos de colorines :D

Kriptópolis

Enlaces principales