La Comunidad DragonJAR » Clickjacking

Secuestro de Frames Inocentes

DragoN — Wed, 14 Jan 2009 17:25:44 +0000

Todos los trucos mágicos tratan sobre sugestión, psicología y espectacularidad, o tal vez como diría Cutter, cada truco de magia consta de 3 partes: la prenda (donde el mago muestra algo ordinario), la conversión (donde lo ordinario se convierte en algo extraordinario), y el prestigio (donde lo extraordinario se convierte en algo nunca antes visto).

De una forma similar, en el mundo real las brechas de seguridad son una combinación de características que a menudo encontrarás en las ejecuciones de habilidosos magos. Por eso, permíteme presentarte una forma simplista de ataque, tal vez tan simple que, de hecho, podría funcionar mucho mas a menudo de lo que admitimos, la cual usa habilidosamente sugestión, psicología y una gran dosis de espectacularidad.

Todos hemos escuchado sobre clickjacking y sabemos que es un bug de diseño y por consiguiente es dificil tratar con el. Sin embargo, ¿Hay otras áreas defectuosas de los navegadores modernos que puedan ser abusadas? Por supuesto, las hay. Solo que toma su tiempo encontrarlas todas porque por lo general estan tan bien ocultas bajo nuestras creencias comunes, prejuicios e ignorancia. Veamos este código:

<html> click me" onclick="clickme(this)"/>

Bastante aburrido! Estoy de acuerdo. Primero que todo el usuario hace clic en el enlace/botón. Después una nueva ventana/pestaña se abre la cual carga el contenido de http://www.google.com. 5 segundos mas tarde la nueva ventana abierta precarga el contenido de http://www.dragonjar.org. ¿Perturbante este código? Creo que si. Es perturbante porque se rompe la relación de confianza que hay entre el usuario y google.com en este ejemplo específico. Llámalo surfjacking, framejacking, tabjacking o como quieras, pero a fin de cuentas, creo que es solo otra forma de mal diseño.

Continuar leyendo articulo en el foro Hijacking de Frames Inocentes…

También puede interesarte...

Memorias Securinf v2.0

DragoN — Fri, 19 Dec 2008 21:19:23 +0000

El 17 de diciembre se llevo a cabo el Seminario de Seguridad Informática SecurInf v2.0 en la ciudad de Popayán, en el se expusieron temas actuales sobre seguridad de informática (Clickjacking), tipos de fraudes en linea (Phishing), ingeniería inversa (cracking de software), y un wargame practico en el que participaron los asistentes al evento.

Les dejo las diapositivas que tengo del evento:

Descargar Charla sobre Clickjacking

Descargar Archivos Utilizados en la Charla de Clickjacking

Descargar Charla de Phishing

Descargar Vídeo de Introducción a Charla de Phishing

Tan pronto tenga las diapositivas de la charla sobre cracking de software las publicaré también.

También puede interesarte...

Webcast Sobre ClickJacking

DragoN — Wed, 19 Nov 2008 22:46:28 +0000

“Clickjacking” está en las noticias últimamente. Para los no iniciados, es un conjunto de técnicas descubiertas por Jeremiah Grossman y Robert Hansen, que permite a un atacante la captura transparente de los clicks que realiza el usuario, obligandolo a hacer todo tipo de cosas desagradables que van desde la adaptación de la configuración de seguridad involuntariamente a visitar sitios web con código malicioso.

Los vectores de este ataque incluyen todos los principales navegadores y Flash. En colaboración con Adobe, los descubridores retrasaron el debate público para permitir que la creación de un parche. En el intervalo de tiempo, otros investigadores han hecho revelaciones parciales, pero esta es su oportunidad de unirse al co-descubridor Jeremiah Grossman de Black Hat en un webcast que mostrará esta tecnica en profundidad, Traiga sus preguntas – que tendrán un espacio para hacerlas después de la charla.

El webcast se realizara MAÑANA 20 DE NOVIEMBRE a la 4:00 pm ET/1:00 pm PT hora de Estados Unidos, tiene un cupo limitado de asistentes, tendrás que registrarte en este enlace para poder asistir, no olviden realizar las pruebas de su navegador para ver si cumple con todos los requerimientos necesarios para asistir a esta charla.

Actualizado 4PM Hora colombiana
Ya empezo la charla, los que quieran las diapositivas pueden descargarlas de este enlace.

Mas Información:
Pagina del Webcast

También puede interesarte...

Explicación de Clickjacking con Ejemplos Prácticos

DragoN — Wed, 08 Oct 2008 02:48:18 +0000

Ya se conocen los pormenores del Clickjacking la vulnerabilidad descubierta por Jeremiah Grossman y Robert Hansen que tanto ha dado de que hablar en la red.

Estaba empezando a escribir sobre este bug basado en la explicación de Robert Hansen cuando veo en el blog de Jose Carlos Norte una explicación simple, detallada, con ejemplos…. y como últimamente ando un poco corto de tiempo mejor les doy el enlace…

Guya.net ha sacado un video en el que se utiliza el Clickjacking para permitir (sin darnos cuenta) el acceso de nuestra webcam a una animacion flash..

Tambien ha publicado su demo para que comprobemos nosotros mismos..

Giorgio Maone (creador de NoScript) ha sacado una nueva versión de su excelente extencion para Firefox que nos protege del Clickjacking en el Navegador estrella de la Fundación Mozilla.. (para otros navegadores ver estas recomendaciones)

Para Mas Información:
Clickjacking Details

También puede interesarte...

Clickjacking

DragoN — Sat, 27 Sep 2008 08:03:35 +0000

Clickjacking es el tema “de moda”, una vulnerabilidad descubierta por Jeremiah Grossman y Robert Hansen que afecta a TODOS los navegadores actuales (menos a links, lynkx y parecidos) y permite a un atacante tomar control de los vínculos que nuestro navegador con solo visitar una sitio malicioso. El bug no tiene relación con JavaScript así que deshabilitarlo no ayudará de mucho.

El problema es grave y no parece resolverse con un simple parche, con esta vulnerabilidad un atacante puede forzar a hacer click en cualquier vinculo (sitios con virus, spyware… o anuncios…) sin que el usuario se dé cuenta de lo que está sucediendo.

Para poner un ejemplo sencillo un atacante podría por ejemplo obligarnos a visitar enlaces de AdSense (aumentando las ganancias del usuario malicioso), se podría ofertar automáticamente en sitios como MercadoLibre o eBay, robar nuestra información personal, bancaria, etc… Con el hecho de hacernos visitar la url que ellos decidan las acciones que nos podemos realizar sin darnos cuenta solo son limitadas por la imaginación del atacante.

Jeremiah Grossman y Robert Hansen , ya se han puesto en contacto con las empresas responsables de los principales navegadores Microsoft, Mozilla y Apple para solucionar el problema aunque advierten que no hay una solución sencilla hasta el momento pero están trabajando en una.

Algunas cosas que podemos hacer para protegernos:

Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
- Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
- Escribir “opera:config” en la barra de direcciones. Buscar “Extensions” y deshabilitar “iFrames” (…aunque yo no encuentro “iFrames” en mi Opera 9.50 para Linux!?).
Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Para Mas Información:
Clickjacking
Adobe Product Security Incident Response Team (PSIRT)
Clickjacking: ¿un secreto a voces?
Clickjacking
Clickjacking and NoScript