RSS

Una nota de seguridad

09 Oct

El tema de hoy tiene que ver con la seguridad de los usuarios y aunque el “Clickjacking” realmente se usa con propositos ajenos a fastidiar a los usuarios, podrían llegar a causar consecuencias sobre todo para aquellos usuarios con muy bajos conocimientos en computación o como algunas personas que conozco que son tan obedientes que si el botón dice: “press here” ellos lo presionan sin saber que demonios hacen.

Ahora como bien saben todos los que me conocen soy un poco obseso con lo relativo a la seguridad y no podía dejar escribir sobre este tema que ha dado muchas vueltas y revueltas en la blogosfera en los últimos días.

El “Clickjacking” no es un agujero en la seguridad en si mismo, es una forma de darle la vuelta a las tecnologías que utilizamos hoy en día, para engañar al usuario y hacerle creer que ciertas cosas, son lo que realmente no son.

La tactica del clickjacking es simple y a la vez bastante maliciosa, éste consiste en cargar una página web externa dentro de un iframe invisible (con opacidad 0, por ejemplo) y poner debajo del iframe invisible (con menor z-index), elementos xhtml para que el usuario haga click, pero que realmente, tienen el iframe invisible encima, y es quien recibirá el click.

Dicho de otra forma, imaginaos un cristal (opacidad 0) con algo debajo, intentamos tocar con el dedo lo que hay debajo, pero tocamos el cristal, esto es lo mismo que sucede cuando ponemos un iframe con opacidad 0 (invisible) encima de ciertos elementos de nuestra web: el usuario irá a hacer click en nuestros elementos, pero hará click dentro del iframe.

Ahora imaginemos lo peor que podría suceder, imaginemos una pagina que sabemos que introducirá un codigo malcioso en la computadora, o suceptible a tener algun virus que pueda llegar a fastidiar un poco. Esta página la vamos a poner invisible (opacidad 0) encima de una pagina que nos va a mostrar un contenido de gustos generales y cuando te posiciones en el botón de “ENTRAR” en realidad vas a dar click a otra parte de la pagina maliciosa. Dicen que una imagen vale mas que mil palabras, así que aqui tienen un ejemplo con una imagen:

La capa invisible sería la pagina en la que quieren que demos click engañandonos con el contenido de la capa visible.

Ahora, este método esta pensado para cosas un poco menos molestas para los usuarios, como ya lo había dicho, un ejemplo es una votación. Imaginense una votación en la pagina “SEXY O NO” si yo consigo poner una pagina de interés que al darle click aparte de guiarte a un enlace, me des un voto a que soy 10 de sexy, eso es clickjacking.

Se que algunos de los que estan leyendo o al menos eso espero esten un poco empapados en temas de seguridad y piensen: “y para que tanta historia, si para simular el click de un usuario, podemos realizar la petición, cargando un iframe con la dirección de destino?…es decir, podemos realizar un ataque CSRF (Cross-site request forgery).”

Bueno, para aquellos que no y que les de hueva flojera darle click al enlace que puse anteriormente para saber que es un CSRF les voy a dar un resumen.

Un ataque CSRF consiste en que si en una web, digamos: http://www.example.com, hay una página de noticias, y para votar una noticia, digamos la noticia número 51, se usa un enlace tal como:

http://www.example.com/noticias.php?votar=51

Podríamos crear una página con un iframe invisible apuntando a esa dirección, y cuando el usuario entre a nuestra web, sin saberlo, votará la noticia 51. Eso es un típico ejemplo de CSRF.

Sin embargo, cuando ese tipo de ataques empezó a popularizarse, muchos sitios web, como meneame, fresqui, etc empezaron a agregar números de control a las peticiones, es decir, para realizar acciones en la web, las peticiones deben incluir un número aleatorio que te dan cuando cargas la página, de esta forma, sin ese número, no puedes hacer una petición como la anterior y votar una noticia, además, el número de control cambia por cada petición que haces. Con esta técnica, parecía que los CSRF habían muerto

Cabe decir, después de toda esta explicación, que existen alguna páginas que no son vulnerables a este ataque, como por ejemplo gmail, ya que no permite que cargues la web dentro de un iframe. Y a su vez muchas mas estan implementando estos elementos de seguridad.

Como dije anteriormente esto apenas esta surigiendo y hay muchas manera de contrarestarlo, una de ellas está muy bien explicada aqui. Ahi de ustedes que tanto desean “paniquearse” (chida palabro).

Imagen y pedazos via: rooibo.wordpress

Anuncios
 
1 comentario

Publicado por en octubre 9, 2008 en Noticias

 

Etiquetas: , ,

Una respuesta a “Una nota de seguridad

  1. Juan Manuel

    octubre 9, 2008 at 4:52 pm

    uuuuy nanita…. yo por eso mejor no me voy a levantar de mi cama, para no tener que ir a trabajar y tener que conectarme a internet y al estar revisando algun BLOOOOG ser victima de algun ataque y terminar siendo parte de una lista de emails que seran vendidos en el mercado negro a una empresa que extraiga mis datos y que los envie a alguna empresa telefonica de esas que llaman a cada rato !!!! y termine tan estresado por sus llamadas que cuando vaya manejando en la carretera tenga un accidente, mi coche se voltee y termine de rodillas en la carretera gritando !!! maldito Andres !!!… uy no.. mejor no me levanto :s

    maldito clickjacking… DIOS!!! por que nos castigas asi…

     

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: