Seguridad Web

20-FEB: Maone aclara hoy algunos detalles. Y una buena noticia: NoScript puede ayudar frente a este ataque.

Moxie Marlinspike acaba de presentar en Black Hat su ingeniosa herramienta SSLStrip, dirigida a hacer creer al usuario que se encuentra en un sitio web con cifrado SSL cuando en realidad todos los datos están siendo transmitidos en abierto. Adicionalmente, SSLStrip también engaña al servidor web, cuyo presunto cifrado queda anulado aunque el sitio sigue comportándose como si funcionara.

SSLStrip ha sido bendecido por Dan Kaminski, quien lo considera un ataque novedoso e interesante. Para Kaminski, SSLStrip viene a confirmar algo que ya sabíamos: que SSL no funciona demasiado bien...

Si hace unos días hablábamos del misterioso Clickjacking como la madre de todas las vulnerabilidades en navegadores, hoy Giorgio Maone nos explica cómo protegernos frente a la amenaza... si es que podemos.

En resumen:

1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m...) están a salvo.
3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
   • Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
   • Escribir "opera:config" en la barra de direcciones. Buscar "Extensions" y deshabilitar "iFrames".
4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Palabra de Maone. Amén.

Actualización (27-set, 10:10): Se echaba en falta la sabia opinión de Giorgio Maone, el creador de NoScript. Ahora ya la conocemos.

También disponemos de la de Michal Zalewski, el creador de los -aún- eficaces torpedos contra Firefox, que desde hace algún tiempo trabaja para Google.

Jeremiah Grossman y Robert Hansen son probablemente dos de los sujetos que más saben de seguridad en navegadores Web en estos momentos. Por eso, cuando ambos se reúnen para presentar una vulnerabilidad definitiva, conocida al parecer hace tiempo por los expertos, que afecta a todos los navegadores (menos a lynx y similares), que no puede solucionarse con un simple parche, que no depende de javascript (aunque javascript lo facilita) y que permite al dueño de un web malicioso hacer que el usuario cliquee en cualquier enlace sin siquiera saber que lo hace, el asunto promete ser serio.

Si además deciden callarse a última hora los detalles (parece que voluntariamente, pero en atención sobre todo a Adobe, que quizás podría resultar particularmente afectado), todo lo que nos queda es esperar más concreción... y mientras especular un poco al respecto.

Por Fernando Acero

Después de revisar un poco lo que hace DenyHosts, vamos a ver la forma de configurar e instalar InjectionDenied, que es un sencillo programa de Jordi Blasco Pallarés, que hace algo muy similar a lo que hace DenyHosts con el demonio SSH, pero en este caso bloquea las IPs desde las que se intentan hacer inyecciones PHP o SQL a un servidor web. Este programa está basado en bash/gawk, por lo que es muy sencillo de entender y modificar aunque, como es lógico, tenemos que tener instalado gawk en nuestro sistema si queremos que InjectionDenied funcione adecuadamente...