Bloques de extensión de Firefox Ataque Web peligroso

Un popular gratuito La herramienta de seguridad para el navegador Firefox se ha actualizado para bloquear hoy uno de los problemas de seguridad más peligrosos y problemáticos que enfrenta la Web.

NoScript es una pequeña aplicación que se integra en Firefox. Bloquea las secuencias de comandos en lenguajes de programación como JavaScript y Java para que no se ejecuten en páginas web que no sean de confianza. Los guiones podrían usarse para lanzar un ataque en una PC.

La última versión de NoScript, la versión 1.8.2.1, detendrá el llamado "clickjacking", donde una persona que navega por la Web hace clic en un enlace malicioso e invisible sin Al darse cuenta, dijo Giorgio Maone, un investigador de seguridad italiano que escribió y mantiene el programa.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Clickjacking se conoce desde hace varios años pero llama la atención nuevamente después dos investigadores de seguridad, Robert Hansen y Jeremiah Grossman, advirtieron el mes pasado de nuevos escenarios que podrían comprometer la privacidad de una persona o, incluso peor, robar dinero de una cuenta bancaria.

Desafortunadamente, el clickjacking es posible debido a una característica de diseño fundamental en HTML que permite a los sitios web incrustar contenido de otras páginas web, dijo Maone. Casi todos los navegadores web son vulnerables a un ataque de clickjack.

"Es algo muy difícil de solucionar porque es parte del tejido mismo de la Web y del navegador", dijo Maone.

El contenido incrustado puede ser invisible, pero una persona todavía puede interactuar sin saberlo. Un ataque de clickjacking lo aprovecha al engañar a un usuario para que haga clic en un botón que parece hacer alguna función, pero en realidad hace algo completamente diferente.

Clickjacking también se puede lograr manipulando los complementos de otras aplicaciones, como Adobe. Programa Flash y Silverlight de Microsoft. Por ejemplo, los investigadores en los últimos días han demostrado que es posible que un ataque de clickjacking encienda la cámara web y el micrófono de una persona sin su conocimiento.

En un aviso el martes, Adobe dijo que emitirá un parche para Flash para fines de el mes.

La nueva mejora de NoScript, llamada ClearClick, puede detectar si hay un elemento incrustado oculto dentro de la página web. Luego muestra un mensaje de advertencia que le pregunta al usuario si aún desea hacer clic en él.

Maone dijo que es probable que ClearClick detenga todos los intentos de clickjacking. NoScript es solo para el navegador Firefox, por lo que los usuarios de Internet Explorer de Microsoft, el navegador más utilizado en el mundo, son vulnerables.

Los propietarios de sitios web, sin embargo, pueden dar un paso para evitar que sus usuarios caigan víctimas. Maone dijo. Los programadores pueden usar una secuencia de comandos en sus sitios web que comprueba si una página web está incrustada en otra página. Si es así, la secuencia de comandos obliga a la buena página web en el frente, evitando clickjacking, dijo Maone.

La técnica se llama "framebusting". El servicio de pagos en línea de Ebay, PayPal, que es frecuentemente atacado por los ciberdelincuentes, ya ha implementado FrameBusting, dijo Maone. NoScript permitirá que se ejecute un script de framebusting, dijo Maone.

"Lo mejor que puede pasar es que los propietarios de sitios web comiencen a pensar con más cuidado sobre la seguridad", dijo Maone. "Es importante que los propietarios de los sitios web difundan la noticia de que deberían implementar el framebusting".

Clickjacking es un problema serio y potencialmente a largo plazo para los desarrolladores de navegadores. Dado que el ataque es habilitado por una característica dentro de HTML, exige cambios a la especificación HTML.

Los grupos de estándares web están trabajando actualmente en HTML 5, una especificación que incorporará nuevas características en el lenguaje de programación para acomodar futuros diseños web. Pero el proceso de estándares se mueve lentamente, y los cambios en HTML podrían romper las páginas web existentes, dijo Maone.

"Para el usuario, me temo que no hay ninguna solución pero NoScript por el momento", dijo.