Protección contra Clickjacking

Enviado por admin el 1. Octubre 2008 - 21:52.

Si hace unos días hablábamos del misterioso Clickjacking como la madre de todas las vulnerabilidades en navegadores, hoy Giorgio Maone nos explica cómo protegernos frente a la amenaza... si es que podemos.

En resumen:

  1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
  2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m...) están a salvo.
  3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
    • Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
    • Escribir "opera:config" en la barra de direcciones. Buscar "Extensions" y deshabilitar "iFrames".
  4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Palabra de Maone. Amén.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

iFrames en Opera

Enviado por anónimo el 1. Octubre 2008 - 22:22.

En el Opera 9.52 para Windows, si que esta la opción de desabilitar iFrames.

iFrames Opera 9.52

Enviado por anónimo el 1. Octubre 2008 - 22:26.

Estuve viendo en Opera 9.52 en Debian y tiene la opción para deshabilitar iFrames.

Saludos.

Entiendo que lleve agua para su molino, pero...

Enviado por Andy el 1. Octubre 2008 - 22:34.

Los usuarios de Firefox + NoScript están a salvo del Clickjacking.

Siento no estar de acuerdo, pero aparentemente NoScript NO protege de clickjacking.

El experto Ronald van den Heetkamp lo explica mucho mejor de lo que podría hacerlo yo en el último artículo de su web:
Bypassing NoScript Clickjacking Protection.

Hace cosa de un mes, Ronald había escrito un artículo sobre como ejecutar código en un browser sin utilizar javascript.
HTML Control Without Javascript.

Se me antoja que es como clickjacking podría trabajar, ya que según dicen, no se neceista javascript para montar un ataque por clickjacking. Ya nos enteraremos cuando se conozcan los detalles.

Noscript para Firefox no es suficiente

Enviado por anónimo el 1. Octubre 2008 - 23:51.

Parece que la proteccion que brinda Noscript para Firefox no es suficiente, pueden ver aqui un post sobre como bypassear la seguridad solo con simples ideas:

http://nulledcore.com/?p=117

Con la etiqueta de object se puede hacer un iframe el cual Noscript no detecta como malicioso por lo cual puede que aun estando con el addon en Firefox sigamos estando en riesgo.

--
Julian A. Rodriguez

Creo que aqui

Enviado por anónimo el 2. Octubre 2008 - 0:34.

Creo que aqui pone como bypassear eso y de nada te sirve el noscript ya hasta que miren eso...

http://www.0x000000.com/index.php?i=316

PD:Lo vi pero todavia no lo probe

Vale la pena?

Enviado por anónimo el 2. Octubre 2008 - 1:40.

¿Vale la pena seguir navegando bajo esas condiciones?

Pues va a ser que NO

Enviado por anónimo el 2. Octubre 2008 - 7:53.

Si estamos en modo paranoico pues NO. Solamente usando vulnerabilidades conocidas resulta que estamos absolutamente desprotegidos y que además no podemos hacer nada al respecto:

- No podemos fiarnos de las resoluciones de nuestros DNS ya que podrían estar envenenadas, con lo cual la página podría no ser la que creemos estar visitando.

- El contenido de la página puede lanzar acciones como si las hubiera seleccionado el usuario. Por lo visto en este hilo, ninguna protección antiscripts puede evitar eso.

- Dichas acciones pueden acabar permitiendo la ejecución de código arbitrario en nuestro equipo, incluyendo la descarga de nuevo código.

- Dicho código puede instalarse como rootkit y/o meter a nuestro equipo en una botnet ante la mirada impasible de nuestro antivirus.

¿Me lo parece a mi o estamos perdidos?

Una posible solución

Enviado por anónimo el 2. Octubre 2008 - 13:50.

Si utilizas algún tipo de *ix hay algo que puedes hacer para mitigar el impacto.

El primer requisito es el de siempre: navegar usando una cuenta de usuario normal, nunca como root.

El segundo, tener el /home en una partición aparte.

Por último, dicha partición debe ser montada SIN el flag que permite la ejecución de "aplicaciones/programas/scripts/etc.".

De esta manera no es posible ejecutar absolutamente nada que resida en dicha partición, y si tienes el cuidado de sólo utilizar un usuario "normal" para navegar Internet, entonces cualquier cosa que te bajes va a copiarse sobre dicha partición desde la que no puede ejecutarse.

La desventaja de esto es que no puedes utilizar /home para instalar aplicaciones/scrips. Pero para ello existe /usr/local.

Ah me olvidaba, /tmp también debería ser "capado" (te puedes hacer un bonito symlink a algún directorio en /home).

Nota: No sé qué efecto esto tenga para controlar scripts de perl/python o "binarios" java (por ejemplo applets que vengan desde la red). Tendria que probarlo.

De eso nada

Enviado por anónimo el 2. Octubre 2008 - 16:15.

La supuesta vulnerabilidad no "copia" un ejecutable a tu disco, sino que lo ejecuta el navegador directamente.

De hecho, un peligro potencial es que gracias a la vulnerabilidad se ejecute un código que envíe ficheros de tus discos al servidor web remoto. Tampoco ayuda en nada montar discos con noexec en este caso.

Con respecto a lo de usar una cuenta de usuario normal, no administrativa, estoy 100% de acuerdo. Este consejo también sirve para Windows, y tiene exactamente el mismo efecto que en Linux.

Por último, recomendaría utilizar VMWare, instalar una máquina virtual nueva con tu distribución y navegador preferidos, configurar los discos como "Nonpersistent" ANTES de comenzar a navegar y luego utilizar siempre esta máquina virtual en vez de un navegador de verdad en tu máquina real.

Como los pescadores

Enviado por anónimo el 2. Octubre 2008 - 10:08.

Los pescadores no faenan en fuerte marejada, y esto que se comenta es casi arbolada...

Habría que volver al gopher y dejarnos de colorines :D

1234siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
13 + 7 =
Resuelve esta sencilla operación e introduce el resultado.