Clickjacking: ¿Qué es y cómo prevenirlo?

Clickjacking (o secuestro de clicks) es un término que se acuñó hace pocos días y se usa para denominar a los sitios que, escondiendo o camuflando botones y diálogos, hacen que los navegantes acepten enviar información o instalar programas. Como imaginarás es un problema grave, que (para peor) está relacionado con la estructura básica de la Web. Imagina intentar entrar a tu correo electrónico y, en lugar de eso, permitir el acceso de tu ordenador a un maquiavélico ladrón.
Que no se roben tus clicks
Que no se roben tus clicks

Desde hace unos días, que el término clickjacking está en boca de todos: dos hackers (de los buenos) estuvieron experimentando e investigando el tema, para alertar a quienes tienen el poder evitar que tales prácticas se lleven a cabo. Uno de los problemas principales es que la Web no tiene control sobre la capacidad de hacer páginas con transparencias y “capas”.

Por eso, ¿qué es el clickjacking? El clickjacking, en su forma más simple, es -por ejemplo- poner botones invisibles u ocultos sobre otros botones. Esto puede tener consecuencias desastrosas si, por ejemplo, pinchas un botón creyéndolo inocente, pero en realidad está instalando un keylogger en tu ordenador. Lo peor de todo es que los navegadores, por la naturaleza de Internet, no pueden restringir cada sitio que use transparencias o contenido en capas.

Previniendo el secuestro de clics
Ahora bien, nos imaginamos que te estás preguntando, ¿qué puedo hacer para estar seguro? Bueno, los hackers que estuvieron investigando el tema están en contacto con gente como Giorgio Maone, creador de addon para Firefox NoScript. Este agregado permite bloquear scripts y otros contenidos potencialmente nocivos, de sitios Web no confiables. Maone, luego de entender básicamente como era el funcionamiento, agregó a la nueva versión de NoScript una tecnología que dio en llamar “ClearClick”.
NoScript te muestra qué hay debajo
NoScript te muestra qué hay debajo

ClearClick chequearía que no estamos usando un botón pensando que es otro. Mediante diferentes renderizaciones del sitio el agregado, chequearía que no estamos interactuando con controles escondidos en alguna parte o con transparencias raras. Si es así, nos avisaría.

De esta manera, los programas de protección -sin ser excesivamente paranoicos- podrían ayudar a protegernos de este tipo de fraude. Si bien los detalles completos de la investigación sobre clickjacking no están disponibles al público todavía, los investigadores dijeron que “si bien NoScript es una protección eficaz, puede ser algo complicado de usar para usuarios novatos”.

En todo caso, parece que deberemos conformarnos con eso hasta que los navegadores y la red misma se adapten a un ambiente cada vez más hostil.

la fuente

el cifrado WEP de las redes WiFi es totalmente ineficaz

wifiPor si había alguna duda, ya tenemos la demostración que faltaba: el cifrado WEP es totalmente ineficaz para impedir el acceso a los datos transmitidos a través de redes inalámbricas WiFi.
Continuar leyendo «el cifrado WEP de las redes WiFi es totalmente ineficaz»

Martin Varsavsky pretende una España totalmente WiFi

WIFIEl incombustible empresario hispanoargentino Martin Varsavsky vuelve a la carga. Desde hace un mes viene anunciando lo que él mismo describe como una revolución. FON, su nuevo proyecto, tiene como finalidad convertir España en «un país WiFi», es decir: que los miembros compartan sus conexiones WiFi para crear una comunidad, al más puro estilo de RedLibre, pero en todo el país. Una meta: llamadas de móviles gratuitas. Continuar leyendo «Martin Varsavsky pretende una España totalmente WiFi»