Tendencias de amenazas y crímenes electrónicos: el Clickjacking entra en escena. Afecta virtualmente a todos los sistemas operativos y navegadores, desde Microsoft Internet Explorer hasta Mozilla Firefox, Apple Safari, Google Chrome y Opera. Además, también puede afectar al software Adobe Flash, que se instala en la mayoría de los navegadores.
Se trata de una amenaza de seguridad informática similar al cross-site scripting, un ataque que se remonta a la década de los noventa. Ocurre cuando los hackers y scammers ocultan contenido malicioso bajo el disfraz de páginas web legítimas, que principalmente roban los clics del ratón. Los hackers pueden usar iFRAMES o JavaScript malicioso para cargar este contenido desde un website usando cualquier navegador. Y el clickjacking utiliza cualquier tipo de enlace, desde vínculos en imágenes bajo la apariencia de botones hasta vínculos de texto. Desafortunadamente, el usuario no sabe cuándo llega a una página secuestrada.
El clickjacking emplea muchas formas. Los hackers pueden utilizar la técnica para presentar un cuadro de diálogo emergente que solicita información personal de un usuario desconocido, por ejemplo, o pueden colocar sobre un botón ya existente un “botón falso” para que cuando el usuario haga clic sobre él, éste sea dirigido a una página web maliciosa o de phishing. Debido a que el usuario cree que está en una web legítima, proporciona libremente información sobre transacciones, o bien, el clickjacking le convence para desactivar los ajustes de seguridad de Flash. Ya existen varios ejemplos de esta técnica.
La buena y la mala noticia sobre el clickjacking
La buena noticia sobre el clickjacking es que aún es una técnica más teórica que práctica, pues todavía no hay informes de un abuso generalizado de la misma. De acuerdo con Paul Ferguson, Investigador de Amenazas Avanzadas de Trend Micro, “el clickjacking no se ha propagado debido a que el código es difícil de escribir y aún hay gran cantidad de recursos al alcance bajo la forma de explotaciones a las que tienen acceso los ciber-criminales”. Sin embargo, cuando otros métodos pasen de moda, se espera que los hackers dediquen más tiempo y recursos al clickjacking. Si bien es relativamente fácil escribir código SQL que inserte un IFRAME o JavaScript malicioso para que ayude en el clickjacking, el código debe colocarse con precisión en la página para que parezca legítima y esto no es una tarea fácil.
“Hace diez años fuimos muchos los que nos maravillamos con el poder de JavaScript para llevar contenido funcional a los escritorios de los usuarios. Todos sabíamos que esta funcionalidad sería manipulada algún día con propósitos criminales. Esto es exactamente lo que está ocurriendo ahora con la Web 2.0 y sus peligros relacionados. No me cabe duda de que el clickjacking presentará un escenario similar y nuestros peores miedos se harán realidad”, afirma Ferguson.
La mala noticia sobre el clickjacking es que afecta virtualmente a todos los sistemas operativos y navegadores, desde Microsoft Internet Explorer hasta Mozilla Firefox, Apple Safari, Google Chrome y Opera. Además, también puede afectar al software Adobe Flash, que se instala en la mayoría de los navegadores.
Una noticia igual de mala es que no hay realmente una solución para el clickjacking ya que explota estándares HTML legítimos para entregar contenido malicioso. Ferguson apunta: “no hay salida, puesto que no se puede arreglar lo que no está roto”. Para estar realmente seguros contra un ataque de clickjacking, habría que evitar conectarse a Internet, algo bastante imposible a día de hoy, o utilizar un navegador sólo de texto, lo que altera negativamente la experiencia del usuario. Sin embargo, inhabilitar el scripting y los plug-ins del navegador puede reducir los riesgos. Para los usuarios de Firefox, la extensión NoScript Firefox es una sana defensa contra el clickjacking. No obstante, se debe habilitar manualmente la opción “desconectar por contenido predeterminado”, que deja inservibles algunos sitios.
Soluciones Reales
La mejor solución para Microsoft, Mozilla, Apple y Google es crear mejorar la protección en las futuras versiones de sus aplicaciones. Estas compañías entienden los peligros del clickjacking, sin embargo, ninguna ha declarado públicamente que esté preparando una solución, probablemente porque la amenaza sigue aún en la etapa de prueba de concepto.
Mientras tanto, los métodos de protección probados y reales siguen siendo los mejores. Actualizar todos los sistemas operativos y las aplicaciones instaladas con los parches de seguridad recientes es crucial. Si bien muchos programas tienen una función de actualización automática, Trend Micro aconseja revisar la frecuencia con que se instalan las actualizaciones y seleccionar la configuración diaria cuando sea posible. Si el software carece de una función de actualización automática, los usuarios pueden visitar la web del proveedor de software para actualizar manualmente descargando el parche adecuado.
Ferguson recomienda, “no olvidar actualizar el software adicional que pueda tener en su escritorio, como Adobe Shockwave, RealPlayer, y QuickTime. En entornos empresariales, los administradores de TI pueden utilizar la administración de groupware para desplegar actualizaciones a todos los usuarios”.
Para los usuarios de Microsoft, Microsoft Update ofrece una cobertura más completa que el servicio Windows Update, que sólo actualiza el sistema operativo, y asegura que todos los programas de escritorio Windows registrados están actualizados. Microsoft Update consulta la base de datos de software registrado de Windows para encontrar e instalar automáticamente las actualizaciones de alta prioridad para cualquier producto de Windows existente que sea soportado.
Para el uso doméstico, se aconseja ejecutar un programa de firewall local, como el que se incluye con Windows. También se puede activar el firewall incluido en todos los productos de Trend Micro.
Instalar software antivirus
Se trata de una amenaza de seguridad informática similar al cross-site scripting, un ataque que se remonta a la década de los noventa. Ocurre cuando los hackers y scammers ocultan contenido malicioso bajo el disfraz de páginas web legítimas, que principalmente roban los clics del ratón. Los hackers pueden usar iFRAMES o JavaScript malicioso para cargar este contenido desde un website usando cualquier navegador. Y el clickjacking utiliza cualquier tipo de enlace, desde vínculos en imágenes bajo la apariencia de botones hasta vínculos de texto. Desafortunadamente, el usuario no sabe cuándo llega a una página secuestrada.
El clickjacking emplea muchas formas. Los hackers pueden utilizar la técnica para presentar un cuadro de diálogo emergente que solicita información personal de un usuario desconocido, por ejemplo, o pueden colocar sobre un botón ya existente un “botón falso” para que cuando el usuario haga clic sobre él, éste sea dirigido a una página web maliciosa o de phishing. Debido a que el usuario cree que está en una web legítima, proporciona libremente información sobre transacciones, o bien, el clickjacking le convence para desactivar los ajustes de seguridad de Flash. Ya existen varios ejemplos de esta técnica.
La buena y la mala noticia sobre el clickjacking
La buena noticia sobre el clickjacking es que aún es una técnica más teórica que práctica, pues todavía no hay informes de un abuso generalizado de la misma. De acuerdo con Paul Ferguson, Investigador de Amenazas Avanzadas de Trend Micro, “el clickjacking no se ha propagado debido a que el código es difícil de escribir y aún hay gran cantidad de recursos al alcance bajo la forma de explotaciones a las que tienen acceso los ciber-criminales”. Sin embargo, cuando otros métodos pasen de moda, se espera que los hackers dediquen más tiempo y recursos al clickjacking. Si bien es relativamente fácil escribir código SQL que inserte un IFRAME o JavaScript malicioso para que ayude en el clickjacking, el código debe colocarse con precisión en la página para que parezca legítima y esto no es una tarea fácil.
“Hace diez años fuimos muchos los que nos maravillamos con el poder de JavaScript para llevar contenido funcional a los escritorios de los usuarios. Todos sabíamos que esta funcionalidad sería manipulada algún día con propósitos criminales. Esto es exactamente lo que está ocurriendo ahora con la Web 2.0 y sus peligros relacionados. No me cabe duda de que el clickjacking presentará un escenario similar y nuestros peores miedos se harán realidad”, afirma Ferguson.
La mala noticia sobre el clickjacking es que afecta virtualmente a todos los sistemas operativos y navegadores, desde Microsoft Internet Explorer hasta Mozilla Firefox, Apple Safari, Google Chrome y Opera. Además, también puede afectar al software Adobe Flash, que se instala en la mayoría de los navegadores.
Una noticia igual de mala es que no hay realmente una solución para el clickjacking ya que explota estándares HTML legítimos para entregar contenido malicioso. Ferguson apunta: “no hay salida, puesto que no se puede arreglar lo que no está roto”. Para estar realmente seguros contra un ataque de clickjacking, habría que evitar conectarse a Internet, algo bastante imposible a día de hoy, o utilizar un navegador sólo de texto, lo que altera negativamente la experiencia del usuario. Sin embargo, inhabilitar el scripting y los plug-ins del navegador puede reducir los riesgos. Para los usuarios de Firefox, la extensión NoScript Firefox es una sana defensa contra el clickjacking. No obstante, se debe habilitar manualmente la opción “desconectar por contenido predeterminado”, que deja inservibles algunos sitios.
Soluciones Reales
La mejor solución para Microsoft, Mozilla, Apple y Google es crear mejorar la protección en las futuras versiones de sus aplicaciones. Estas compañías entienden los peligros del clickjacking, sin embargo, ninguna ha declarado públicamente que esté preparando una solución, probablemente porque la amenaza sigue aún en la etapa de prueba de concepto.
Mientras tanto, los métodos de protección probados y reales siguen siendo los mejores. Actualizar todos los sistemas operativos y las aplicaciones instaladas con los parches de seguridad recientes es crucial. Si bien muchos programas tienen una función de actualización automática, Trend Micro aconseja revisar la frecuencia con que se instalan las actualizaciones y seleccionar la configuración diaria cuando sea posible. Si el software carece de una función de actualización automática, los usuarios pueden visitar la web del proveedor de software para actualizar manualmente descargando el parche adecuado.
Ferguson recomienda, “no olvidar actualizar el software adicional que pueda tener en su escritorio, como Adobe Shockwave, RealPlayer, y QuickTime. En entornos empresariales, los administradores de TI pueden utilizar la administración de groupware para desplegar actualizaciones a todos los usuarios”.
Para los usuarios de Microsoft, Microsoft Update ofrece una cobertura más completa que el servicio Windows Update, que sólo actualiza el sistema operativo, y asegura que todos los programas de escritorio Windows registrados están actualizados. Microsoft Update consulta la base de datos de software registrado de Windows para encontrar e instalar automáticamente las actualizaciones de alta prioridad para cualquier producto de Windows existente que sea soportado.
Para el uso doméstico, se aconseja ejecutar un programa de firewall local, como el que se incluye con Windows. También se puede activar el firewall incluido en todos los productos de Trend Micro.
Instalar software antivirus
Instalar regularmente software antivirus actualizado puede detectar el comportamiento malicioso que ocurre como un segundo paso en el proceso de clickjacking. Por ejemplo, productos como Trend Micro Internet Security Pro o Internet Security 2009 incluyen la prevención integrada de vulnerabilidades y explotaciones, firewalls, y filtrado de contenido.
Asimismo, la seguridad web y la comprobación de la reputación que forman parte de Trend Micro Smart Protection Network permitirán bloquear las páginas secuestradas. La tecnología de reputación web protege contra las amenazas web antes de que pongan en peligro a una red o el PC de un usuario.
No hay comentarios:
Publicar un comentario