Académique Documents
Professionnel Documents
Culture Documents
CLICK
JACKING
INTRODUCCION
La seguridad, en informtica como en otras reas, se basa en la
proteccin de activos. Estos activos pueden ser elementos tan tangibles
como un servidor o una base de datos, o pueden ser la reputacin de
una empresa. Generalmente podemos evaluar la seguridad de un activo
en base a tres aspectos principales que no necesitan explicacin:
integridad, disponibilidad, confidencialidad.
Estos tres aspectos a su vez dependen de otros tres elementos
principales que engloban prcticamente todos los distintos controles que
se pueden establecer en un sistema informtico:
Autenticacin: los clientes de nuestras aplicaciones o servicios deben ser
identificados de forma nica, sean usuarios finales, otros servicios o
computadoras externas.
Autorizacin: no solo es necesario saber quines acceden a nuestros
activos, tambin es necesario establecer que es lo que pueden hacer
con ellos. Un nivel de autorizacin dado determina qu tipo de
operaciones o transacciones puede efectuar un cliente dado sobre un
recurso dado.
Registro y Auditoria: luego de efectuada una operacin, es importante
que esta sea registrada adecuadamente, en particular es esencial si
queremos evitar el repudio de transacciones efectuada por un cliente.
Todos estos conceptos son especialmente vlidos en el entorno de
Internet, y particularmente importantes dado el crecimiento explosivo de
los servicios y aplicaciones accesibles a travs de Internet. Si bien
cuando se habla de la seguridad de aplicaciones web se deben
considerar no slo las amenazas externas a la compaa sino tambin
las internas (administradores malintencionados, usuarios que provocan
accidentes, etc.), en el presente trabajo nos enfocaremos principalmente
en
las
externas,
por
ser
(generalmente)
las
ms
peligrosas
MARCO TEORICO
El clickjacking es uno de los temas de moda en lo que ha seguridad
informtica se refiere, los descubridores Jeremiah Grossman y Robert
Hansen an no han presentado muchos detalles sobre la vulnerabilidad,
pero vamos a intentar conocer en que se basa.
Supongamos que tienes una web, y que como toda Web incluye
vnculos, banners, publicidad,..., ahora imaginemos que un atacante
pueda colocar un elemento invisible sobre dicho vnculo de tal manera
que cuando hagas clic sobre lo que crees es el vnculo que ests viendo
en la pgina en realidad ests haciendo clic sobre el cdigo introducido
por un atacante.
Es decir, que el clickjacking permite a los atacantes ocultar elementos
maliciosos dentro del contenido de una pgina legtima, robndole los
clics de los usuarios y permitiendo ejecutar cdigo malicioso que infecte
al usuario.
Como hemos comentado no se sabe con seguridad como se realiza un
ataque de clickjacking, puesto que los investigadores se reservan los
detalles, pero un reconocido investigador de Google, Michal Zalewski,
ofrece un ejemplo de cmo puede llevarse a cabo:
Supongamos que una pgina maliciosa en el dominio A crea un IFRAME
que apunta a una aplicacin que est en dominio B, con la que un
usuario se puede autenticar a travs de cookies. La pgina del dominio A
puede entonces crear elementos para ocultar sin problemas cualquier
elemento de la pgina excepto un botn en la pgina del dominio B, tal
Qu es Clickjacking?
Clickjacking es una tcnica maliciosa que engaa a los usuarios de la
web y permite revelar informacin confidencial de estos o tomar el
control de sus computadores, simplemente haciendo clics en pginas
web que parecen inofensivas. La vulnerabilidad se presenta en casi
todos los navegadores y plataformas.
La vulnerabilidad fue descubierta por Jeremiah Grossman y Robert
Hansen, quienes al principio no dieron detalles para no difundir la
tcnica, pero s se comunicaron con empresas importantes como
Microsoft, Mozilla, Apple y Adobe para advertirlos.
El problema es tan grave que el atacante podra hasta tomar imgenes
de nuestra webcam sin que nosotros nos imaginemos, o lograr que un
usuario haga clic sobre un botn, pero en realidad estaramos haciendo
clic en un enlace malicioso.
Existen
mltiples
tcnicas
de
Clickjacking,
empleando
diferentes
que,
en
este
caso,
ESET
NOD32
detecta
como
Win32/TrojanDownloader.Small.OFV.
El cdigo mostrado en la parte inferior realiza justamente esta accin:
por un lado se abre una ventana al usuario con las polticas de
privacidad
del
banco
autntico
(comando
window.open)
href)
que
en
realidad
es
el
malware
mencionado.
Este
Por
ejemplo,
la
tcnica
mostrada
puede
mejorarse
CUESTIONARIO
1. Defina con sus propias palabras, Que es ClickJacking?
El clickjacking es uno de los nuevos ataques que aprovechan las
vulnerabilidades de navegadores y otros productos web, como es el caso
de
plugins
complementos
para
navegadores,
que
permite
al
mltiples
tcnicas
de
Clickjacking,
empleando
diferentes