El problema

Pocas semanas atrás comenzó a circular un nuevo en las alertas de seguridad: "clickjacking". Desde entonces, algunas organizaciones de seguridad, (como US CERT ), así como diversas agencias de noticias por Internet, han venido destacándolo como importante y nueva amenaza.

Todo empezó cuando el 24 de septiembre se canceló una conferencia prevista de Jeremiah Grossman y Robert "RSnake" Hansen en la Conferencia OWASP NYC AppSec 2008 . La conferencia llevaba por nombre "New 0-Day Browser Exploits: Clickjacking - yea, this is bad...". Grossman y Hansen habían descubierto una nueva vulnerabilidad que afectaba prácticamente a todos los exploradores. No obstante, la conferencia fue cancelada (pospuesta) a petición del proveedor. 

Los mensajes de Grossman y Hansen acerca del evento cancelado están aquí:

• Grossman
• Hansen

Clickjacking fue definido brevemente como:

"El clickjacking permite al intruso engañar al usuario para que haga clic en un elemento apenas o momentáneamente visible."

Como puede verse en los enlaces precedentes, Hansen y Grossman no publicaron demasiados detalles acerca de la o las vulnerabilidades.

El proveedor que les pidió que no presentasen la conferencia fue, al parecer, Adobe (y posiblemente también otros). El equipo de respuesta a incidentes de seguridad (PSIRT) de Adobe hizo público  un agradecimiento a Grossman y a Hansen en su bitácora.

Una discusión

Como era de esperar, el hecho de que unos expertos en seguridad descubrieran una vulnerabilidad y lo informasen a los proveedores afectados, y no a la comunidad de Internet en general, provocó una discusión generalizada acerca de la divulgación. Qué se entiende por divulgación responsable, sus pros y sus contras, etc., etc.

Algunos dilemas sobre el particular fueron tratados en anteriores artículos de Información de seguridad de Norman, como por ejemplo en la semana 40 de 2002, y no serán tratados en este artículo..

Talks and speculation

Immediately after information about this cross-browser vulnerability was disclosed, speculation started. One problem was that very little specific information was available.  According to Grossman and Hansen

• "En este momento están afectado prácticamente todos los usuarios de las versiones más recientes de Internet Explorer (incluyendo la versión 8) y de Firefox 3". (Grossman)
• "(...) la única solución consiste en desactivar las secuencias de comandos y complementos del explorador". (Grossman)
• "Hemos hablado sobre la vulnerabilidad con Microsoft y Mozilla, y coinciden en que se trata de un difícil problema que por el momento no tiene fácil solución". (Hansen)

Realizando una búsqueda del término “clickjacking” se obtienen centenares de miles de resultados. A continuación presentamos algunos vínculos adicionales que pueden resultar útiles para entender de qué se trata. Algunos de ellos también incluyen sugerencias para protegerse (al menos, en cierta medida):

• Clickjacking and NoScript , en Hackademix.net (por Giorgio Maone, autor de, por ejemplo, el complemento NoScript de Firefox)
• Clickjacking and Other Browsers (IE, Safari, Chrome, Opera), en Hackademix.net (por Giorgio Maone)
• Dealing with UI redress vulnerabilities inherent to the current web, a suggestion about what clickjacking is/was and several proposals for solving the issue (por Michal Zalewski)
• Researchers weigh "clickjacking" threat, en SecurityFocus (por Robert Lemos)
• This Week in HTML 5 - Episode 7; debate sobre el artículo de Zalewski antes mencionado (por Mark Pilgrim, Google)
• Not Clicjacking (Almost Certainly) - some intriguing examples of scary stuff other than (what the autor believes is) clickjacking (por Tod Beardsley)

Evaluación del peligro

Obviamente, no ha sido posible evaluar exactamente el peligro de esta vulnerabilidad ya que no se ha publicado suficiente información. Tampoco puede nadie saber qué se está haciendo por preparar parches para los exploradores y otras aplicaciones afectadas por esta vulnerabilidad.

No obstante, con la información que se conoce, es posible hacer algunas especulaciones prudentes:

• El problema afecta de manera importante la implementación del diseño del explorador, y posiblemente no se trate de un defecto de los propios exploradores sino más bien de las funciones compatibles con los mismos.
• Un explorador no es vulnerable a menos que navegue por sitios web que aprovechen la vulnerabilidad. Se trata de un importante factor mitigador.
• Lamentablemente, muchos sitios web están afectados sin saberlo sus responsables. Por consiguiente, incluso los usuarios prudentes se exponen al visitar los sitios web afectados.
• Para resolver este problema de los exploradores, posiblemente sea necesaria una importante modificación de la programación.
• Es posible reforzar la seguridad del explorador (en función del que se esté utilizando). No obstante, a menudo esto supondrá una merma de la experiencia de navegación y/o de las funcionalidades disponibles para el usuario.

Próximamente más información

Una cosa segura acerca del clickjacking: ¡todavía no se ha dicho la última palabra sobre este problema!