ESET Latinoamérica – Laboratorio
« ESET en el Technology Day Nicaragua
Se comienza a utilizar ClickJacking para engañar usuarios »

Prevención en navegadores ante ataques ClickJacking

Octubre 7, 2008 7:31 pm

Al comenzar a utilizarse ClickJacking para engañar e infectar usuarios, una de las preguntas que inmediatamente viene a colación es ¿de qué manera podemos prevenir este ataque? Por eso en ESET hemos desarrollado esta pequeña guía de configuración para cada navegador.

La cuestión se centra en deshabilitar algunas funcionalidades en los navegadores como la ejecución de componentes JavaScript, plugins o ActiveX, entre otros. Veamos cómo hacerlo en los navegadores más utilizados.

Firefox

En Firefox, la solución se basa en instalar una extensión llamada NoScript. Para ello, una vez instalada la extensión, en el icono de NoScript ubicado en el extremo derecho de la barra de tareas, debemos hacer clic y permitir el acceso a la página web deseada, tal como se muestra en la imagen:


En el caso que NoScript detecte un ataque del tipo ClickJacking, aparecerá una ventana informando de esta situación al usuario:


Con esta configuración, en el navegador Firefox se evita por completo el ataque de ClickJacking.

Nota: Es muy importante tener en cuenta que una vez instalada, esta extensión restringirá el acceso a determinadas secciones de las páginas web. En consecuencia, se debe permitir sólo el acceso y ejecución de las páginas en las que se confía. En el caso que no se conozca la confiabilidad del sitio es preferible dejar la configuración por defecto de la extensión.

Internet Explorer

Nos dirigimos hacia el menú Herramientas y seleccionamos el ítem Opciones de Internet. En la ventana que se abre, hacemos clic en la solapa Seguridad, seleccionamos Internet y el Nivel de seguridad para esta zona lo colocamos en Alto.


Cabe aclarar que esta configuración no garantiza una protección total contra ataques ClickJacking, pero mejora la seguridad del navegador.

Opera

En este navegador, debemos ingresar a las configuraciones seleccionando Herramientas en la barra de menú, y luego elegir Opciones. En ese momento visualizarán una ventana como la que se muestra a continuación:

Configuración en Opera

Aquí, desde la solapa Avanzado, debemos seleccionar la opción Contenido y luego deshabilitar las opciones que se muestran en la captura. Para aumentar aún más la seguridad de este navegador, podemos deshabilitar algunos parámetros. En la barra de direcciones de Opera, escribimos opera:config, seleccionamos la opción Extensions y deshabilitamos las configuraciones por defecto. A continuación una captura:

Con esta configuración, en el navegador Opera se evita por completo el ataque de ClickJacking.

Safari

De una manera similar podemos fortalecer la seguridad en el navegador Safari seleccionando en la barra de menú la opción Edición y luego Preferencias. Desde la solapa Seguridad debemos deshabilitar las opciones de la sección Contenido web.

Esta configuración no garantiza una protección total contra ataques ClickJacking, pero mejora la seguridad del navegdor.

Chrome

A diferencia de los otros navegadores, Chrome necesita ejecutarse de una forma especial que se debe realizar bajo línea de comandos, lo cual no lo transforma en una de las mejores opciones, más aún porque no permite deshabilitar etiquetas iframe. La línea que se debe escribir es la siguiente:

chrome.exe -disable-javascript -disable-java -disable-plugins

Si fuera necesario se podría realizar un acceso directo con este comando para evitar tener que escribirlo cada vez que se desee ejecutar el navegador.

Nuevamente, esta configuración no garantiza una protección total contra ataques ClickJacking pero mejora la seguridad del navegador.

Como alternativa a los navegadores visuales mencionados, utilizar navegadores en modo texto como Links, Lynx o w3m, podría ser una buena opción, aunque esto es recomendable sólo para usuarios con mayores conocimientos técnicos.

Como puede ver, los diferentes navegadores ofrecen diferentes alternativas y grados de protección que pueden prevenir que seamos víctimas de este tipo de ataques.

Jorge

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4.92
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame



Categorias: Alertas, Educación, Tutoriales
16 Comentarios »

16 Comentarios en “Prevención en navegadores ante ataques ClickJacking”

  1. Waapit.com » Blog Archive » El secuestro de clicks, Protéjanse del Clickjacking. dijo:
    10-8-2009 a las 9:44 pm

    [...] ESET, ADOBE FLASH PLAYER Post Relacionados2 Diciembre 2008 — ¿Quienes utilizan el navegador más [...]

  2. Protegiéndonos del Clickjacking (VII): Valoración personal « YOTTABYTE dijo:
    18-3-2009 a las 3:30 pm

    [...] y en la sabiduría de quien escribe en el blog de ESET, más concretamente en esta entrada: http://blogs.eset-la.com/laboratorio/2008/10/07/prevencion-navegadores-ataques-clickjacking/ Escrito en [...]

  3. Protegiéndonos del Clickjacking (II): Internet Explorer « YOTTABYTE dijo:
    18-3-2009 a las 1:33 pm

    [...] (para todos los posteriores artículos, este incluído): http://blogs.eset-la.com/laboratorio/2008/10/07/prevencion-navegadores-ataques-clickjacking/ Escrito en [...]

  4. ClickJacking nuevo modo de phishing dijo:
    10-10-2008 a las 9:09 am

    [...] Eset [...]

  5. » Blog Archive » ClickJacking dijo:
    10-10-2008 a las 8:19 am

    [...] Para ver una guía de configuración completa de los navegadores web mencionados y otros como Safari y Chrome, se puede visitar el blog del laboratorio de ESET para Latinoamérica en http://blogs.eset-la.com/laboratorio/2008/10/07/prevencion-navegadores-ataques-clickjacking [...]

  6. JoseGustavo dijo:
    9-10-2008 a las 7:59 pm

    Si se desactiva el javascript se desactiva para todas las páginas seria muy molesto activarlas para cada una de ellas

  7. El ClickJacking: La nueva moda de los hackers dijo:
    9-10-2008 a las 5:00 pm

    [...] Más información en: Blog Laboratorio ESET [...]

  8. La nueva forma de realizar ataques web se llama ClickJacking dijo:
    9-10-2008 a las 1:55 pm

    [...] Más Información | Blog Laboratorio ESET [...]

  9. ClickJacking - Una nueva amenaza en la Internet | Tecnología Diaria dijo:
    9-10-2008 a las 4:42 am

    [...] El ESET de Nicaragua ha dejado un artículo que trata justamente de esto, navegadores haciendo frente a este ClickHacking, así que si lo desean revisar pueden hacer clic en este enlace. [...]

  10. Evita el ClickJacking - Capital Visual dijo:
    8-10-2008 a las 11:09 pm

    [...] la liga al artículo y estoy seguro que muchos de nuestros lectores nos podrán ayudar con algunas otras [...]

  11. Cómo evitar el ClickJacking dijo:
    8-10-2008 a las 10:25 pm

    [...] la liga al artículo y estoy seguro que muchos de nuestros lectores nos podrán ayudar con algunas otras [...]

  12. Cristian Borghello dijo:
    8-10-2008 a las 2:56 pm

    Hola W3BZurF3R:

    Coincidimos en que la seguridad se logra con sentido común y educación de los usuarios. Con respecto a tu búsqueda en Google, los métodos descriptos corresponden a lo que sucedía antes que Maone (el autor de NoScript) lanzara la versión que protege ante ataques ClickJacking. De todos modos nada dice que no aparezcan nuevos vectores de ataques y por eso el post dice “podría” proteger. Ante esta nueva situación volvemos a la importancia de la educación.

    Cristian

  13. Shadow Security - ‘Seguridad de Internet’: podría ser un contrasentido dijo:
    8-10-2008 a las 2:02 pm

    [...] (vea guía de configuración de los navegadores web) [...]

  14. Netmedia » Blog Archive » Pasos para proteger tu navegador del clickjacking dijo:
    8-10-2008 a las 1:11 pm

    [...] http://blogs.eset-la.com/laboratorio/2008/10/07/prevencion-navegadores-ataques-clickjacking/ [...]

  15. W3BZurF3R dijo:
    8-10-2008 a las 12:51 pm

    La seguridad es un estado mental… Incluso utilizando NoScript( No permitir JavaScript) es posible inyectar y modificar objetos de html para que hagan las funciones de otro componente como iframe. Para muestra un boton… Google “Bypassing NoScript Iframe Protection.”

    Happy Hacking

  16. ClickJacking, nueva t dijo:
    8-10-2008 a las 12:50 pm

    [...] otros como Safari y Chrome, se puede visitar el blog del laboratorio de ESET para Latinoam

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.