Prevenir el clickjacking con Javascript

www.teegrid.com

Prevenir el clickjacking consiste en evitar que nuestra página sea cargada dentro de otra mediante unframe o iframe, esto para prevenir el robo de contenido así como evitar el uso de nuestra página para forzar a los visitantes a realizar clicks maliciosos. Entonces el objetivo es evitar que nuestra página pueda ser cargada dentro de otra utilizando frames o iframes.

Que es Clickjacking?

El clickjacking consiste en cargar una página dentro de otra utilizando un iframe y sobre ella mostrar otra página oculta con transparencia, de forma tal que si hacemos click en un botón para buscar estaremos indirectamente haciendo click sobre otra página para propósitos maliciosos.

Prevenir Clickjacking - Primer Método

La idea básica para prevenir que nuestra página sea cargada dentro de otra con frames o iframes es verificar la propiedad location del frame actual es igual al del frame superior. Si no son iguales estas propiedades es síntoma que nuestra página se esta cargando dentro de otra por lo tanto redireccionamos al url de nuestra web.

El método anterior por lo general es suficiente en la mayoría de los casos, pero existen técnicas para saltarse esta verificación, por ejemplo utilizar iframes anidados o generar errores de Javascript con lo cual se detiene cualquier verificación con javascript adicional. En el artículo Busting frame busting: a study of clickjacking vulnerabilities at popular sites se explica las múltiples formas de evitar el Frame Busting.

Prevenir Clickjacking - Segundo Método

Una forma sencilla de prevenir el uso de nuestras páginas en otros sitios es primero ocultar todo el contenido de nuestra web utilizando estilos. Luego de ello verificamos si la propiedad location del frame actual y el superior son iguales en cuyo caso volvemos visible todo el contenido de nuestro web en caso contrario redireccionamos a nuestra url.

Primero colocamos el siguiente código en el header para ocultar el contenido.

Al final del contenido colocamos el siguiente código, el cual verifica si el frame actual es igual al frame superior para volver visible el contenido.

De esta forma si el atacante de alguna forma genera un error de javascript o utiliza frames anidados solo se mostrará una página en blanco, una validación sencilla pero muy eficiente para evitar que nuestra web sea utilizada por terceros.

read more

Una invasión' cibernética a EEUU costaría dos años y 100 millones de dólares.

La organización de una invasión informática de EEUU es posible si se disponen de dos años y 100 millones de dólares, según un especialista informático, que ha presentado un modelo en la conferencia de 'hackers' Defcon en Las Vegas.

Charlie Miller, investigador en Independent Security Evaluators y que ha pasado cinco años trabajando en la Agencia de Serguridad Nacional de EEUU (NSA), afirmó que su modelo era fruto de un encargo supuesto de Corea del Norte. "Hice lo que si Corea del Norte me hubiera pedido orquestar un ataque cibernético contra Estados Unidos, trabajé en condiciones reales", comentó.

Miller afirmó que había recibido una solicitud del Centro de Excelencia en Ciberdefensa de Estonia para que diseñara medios de defensa contra un ataque cibernético similar al modelo que ha presentado. El investigador presentó sus conclusiones en una reunión de la OTAN en el país báltico el pasado mes de junio.

"Sabía que era fácil, pero no sabía lo dañino que podría llegar a ser", comentó con ironía, y afirmó que Estados Unidos era "muy vulnerable" a un ataque cibernético generalizado. Sobre todo, señaló, teniendo en cuenta que 100 millones de dólares es una minucia en comparación con todo lo que se gasta para protegerse de una catástrofe.

Su estrategia se centró en la distribución de la electricidad, la banca, las telecomunicaciones y otros elementos de la infraestructura tecnológica del país. El 'ciberejército' constaría sólo de un centenar de 'soldados' entre comandos de élite y estudiantes aficionados a la informática.

Una de las claves, según Miller, es entrar furtivamente en las redes y establecer 'cabezas de playa' en los sistemas informáticos durante un periodo de tiempo de dos años antes de la 'invasión general'.

"Una vez transcurridos esos dos años, no hay nada que hacer", se jactó Miller. "No obstante, durante ese periodo de preparación, aún puede descubrirse lo que está pasando y actuar contra el problema".

El experto aseguró que un sólo objetivo, como la bolsa de valores o una red militar se pueden ocupar por un coste menor.

Miller optó por Corea del Norte para establecer el escenario porque este país tiene la ventaja de estar tan islada de la tecnología que una invasión de Internet lo dejaría relativamente indemne.

Problema 'real'

Según él, algunos países ya están haciendo lo que pueden para poder orquestar una invasión de Internet a escala general, y afirmó que existen dos soluciones: "Limitar nuestra dependencia a Internet o hacer esfuerzos para descubrir y encontrar los medios políticos para detenerlos".

No obstante, para él, los mejores expertos informáticos capaces de realizar este tipo de ataque se refrenan por cuestiones de patriotismo y moral. "Podrían tener miedo de ser asesinados", justificó, "algo que, por otro lado, parece un pensamiento bastante realista".

El presidente de la National security corporation, Mark Harding, apuntó cómo Estados Unidos no está preparado para contrarrestar tales ataques. "Algunos dicen que pueden tumbar Internet y es verdad que pueden hacerlo", admitió, y añadió: "No lo hacen porque creen en las virtudes de no dañar o robar cosas que no les pertenecen; si esta mezcla de moral y disciplina desaparece es más fácil pasarse al lado oscuro".

read more

Ejecutivo de Telcel deja en evidencia a Apple

Marco Quatorze, director de Servicios de Valor Agregado de la operadora mexicana Telcel dejó en evidencia el argumento de Apple sobre que el ‘antennagate‘ del iPhone 4 es un problema de software, justo unos días antes del lanzamiento de este terminal en México.

El directivo realizó unas declaraciones al portal CanalMX, en las que -y respondiendo a si los aparatos puestos a la venta eran los mismos que sufren la polémica anomalía de recepción- afirmó: “Sí, son los mismos que se venden en EU. El problema es la antena que viene en la carcasa del aparato. La funda la dará Apple gratuitamente, entrando a su página web y enviando un registro para que se las hagan llegar”.

La compañía de Cupertino siempre ha negado un problema de hardware para explicar las deficiencias que muchos usuarios han podido constatar en el uso del iPhone 4, concretamente en la pérdida de señal experimentada al agarrar el aparato de determinada manera (lo que se ha dado en llamar exageradamente como “abrazo de la muerte”). Las declaraciones de Quatorze confirmarían que, efectivamente, se trata de un problema de hardware y no del software, ya que el ejecutivo está suficientemente bien posicionado como para conocer el tema de primera mano.

Por otra parte, también declaró que cuando estén disponibles nuevas unidades del teléfono con el problema solucionado, estas serán puestas a la venta y que los usuarios que hayan adquirido una defectuosa tendrán opción de realizar el cambio. Todo parece indicar, pues, que aunque Apple no admita el problema, es consciente de él y trabaja para solucionarlo o ya lo ha conseguido.

read more

Oracle denuncia a Google por uso inapropiado de la licencia de Java

La multinacional de las bases de datos detenta en su poder toda la propiedad intelectual de Sun Microsystems tras la operación de compra de esta, y no ha dudado en aprovechar su control sobre la tecnología de Java para arrastrar a Google a los tribunales.

Según argumenta Oracle la compañía del buscador basó su máquina virtual Dalvik (un componente de Android) en Java, pero sin licenciar la tecnología de forma adecuada a Sun u Oracle. Google, por su parte, se defiende argumentando que Dalvik es un desarrollo nuevo realizado partiendo de cero, y que no se basa en ningún software.

La máquina virtual Dalvik es la que ejecuta los programas en un smartphone equipado con Android, permitiendo con ello que las aplicaciones sean compatibles entre terminales (al no ejecutarse directamente contra el hardware si no sobre un intérprete) e interponiendo un nuevo nivel de seguridad que limita las acciones de posibles programas maliciosos.

El enfrentamiento ya ha provocado el abandono por parte de Google de la JavaOne, la conferencia para desarrolladores de este lenguaje de programación a la que la compañía del buscador llevaba años acudiendo.

En su demanda, Oracle llega a exigir que se eliminen todas las copias de Android existentes en el mercado, algo a todas luces imposible pero que tal vez se haya incluido para forzar a Google a negociar. Además de buscar una parte del pastel de las licencias de Android (y, de esta forma, monetizar Java),Oracle parece estar lanzando una clara advertencia a las demás compañías informáticas.

Los casos legales de patentes relacionadas con el sector tecnológico tampoco son raros, lo que ha llevado a algunas personas a apoyar la abolición o, por lo menos, reformulación del sistema de patentes actualmente en vigor.

read more