¡Cuidado! Los últimos drivers de Nvidia pueden dañar tu PC
Nueva tecnología de Microsoft diseñada para proteger a los usuarios de Internet Explorer de un nuevo y poderoso ataque basado en la web no solucionará el problema, dijeron expertos en seguridad el martes.
Microsoft lanzó la tecnología como parte de una versión de prueba de su próximo lanzamiento "candidato" -generación del navegador Internet Explorer 8, diciendo que la compañía había desarrollado protección "lista para el consumidor" para un ataque conocido como clickjacking. En el clickjacking, los atacantes usan programación web especial para engañar a las víctimas para que hagan clic en los botones web sin darse cuenta. El ataque es difícil de lograr, pero en el peor de los casos, el clickjacking puede hacer algunas cosas muy desagradables, como ejecutar transacciones bursátiles en sitios web financieros, cambiar configuraciones de enrutadores o cortafuegos, o incluso forzar a alguien a descargar software no deseado. El problema es tan amplio que los expertos en seguridad se preocupan de que el enfoque de Microsoft, que solo funciona cuando los desarrolladores de sitios web agregan etiquetas especiales a sus páginas para evitar que sus propios botones web se usen incorrectamente, puede dar a los usuarios de IE una falsa sensación de seguridad.
[Más información: cómo eliminar el malware de su PC con Windows]
"No es una solución para hacer clickjack por ningún lado de la imaginación. Es un factor vagamente atenuante para las pocas personas que usan IE8", dijo Robert Hansen, CEO de la consultoría SecTheory, y una de las personas que primero informaron el problema a Microsoft. "Pero es interesante que lo tomen en serio".Si bien algunos sitios web seguramente utilizarán la tecnología de Microsoft para evitar que sus visitantes de IE sean afectados por el "clickjacking", simplemente hay demasiadas áreas donde es poco probable que el código HTML sea actualizado y los piratas informáticos podrían lanzar ataques, dirigidos a las interfaces administrativas o aplicaciones corporativas del enrutador, o dirigirse a los sitios web que no han logrado implementar el arreglo de Microsoft. "Esta es una solución que, incluso si todos deciden que esta es la forma correcta de hacer las cosas, aún tomará años y años de educación", dijo Hansen.
Peor aún, algunos usuarios podrían pensar erróneamente que están protegidos del atacar solo porque están usando IE, según Giorgio Maone, el desarrollador del complemento Firefox NoScript, que generalmente se considera la mejor protección contra muchos ataques basados en web, incluido el clickjacking. "Las malas noticias para los entusiastas de IE son que no tienen ninguna protección mágica 'fuera de la caja'", escribió en su blog el martes. "Es cierto, no requiere ningún 'complemento de navegador' … pero viene con un requisito aún más estricto: todos los sitios que se deben proteger ya deben haber adoptado un nuevo hack propietario, es decir, algo que ningún usuario final puede verificar, y mucho menos hacer cumplir. "
NoScript permite a los usuarios bloquear de forma selectiva el uso de lenguajes de scripts en el navegador Firefox. Como el clickjacking requiere secuencias de comandos, el ataque no funciona cuando NoScript está habilitado.
Durante meses, el complemento de Maone ha sido la tecnología más conocida para evitar el clickjacking. Sin embargo, con el código de prueba IE 8, Microsoft finalmente tiene su propia alternativa.
Para ayudar a la situación, Maone está desarrollando una característica de compatibilidad para que los usuarios de NoScript puedan aprovechar el mismo código web utilizado por IE, y ahora está presionando para que esta característica se incluya en una próxima versión de Firefox.
Hansen y Maone también criticaron a Microsoft por retrasar los detalles técnicos de la tecnología. "A pesar de que implementaron eso, no han dado una guía sobre cómo usarlo realmente", dijo Hansen.
En un comunicado enviado por correo electrónico, Microsoft dijo que planeaba publicar una publicación en el blog sobre el anti-clickjacking función en algún momento de esta semana y que había funcionado con todos los principales proveedores de navegadores "para obtener comentarios e información sobre nuestra implementación de la etiqueta clickjacking antes de enviar Internet Explorer 8 RC1."
Esa publicación podría ser útil. Tal como están las cosas ahora, parece que "la característica no permite al usuario protegerse", dijo Jeremiah Grossman, director de tecnología de White Hat Security.
Hansen dijo que los desarrolladores de Microsoft propusieron por primera vez su corrección de clickjocking IE8 hace varios meses cuando les describió el problema por primera vez. "Lo descarté como una solución viable a largo plazo para hacer clickjacking", dijo.
Los expertos dicen que probablemente no importe si el próximo presidente de Estados Unidos realmente usa tecnología de la información.
El próximo presidente de EE. UU. Podría dar forma a la seguridad cibernética, las iniciativas de investigación gubernamental, las leyes de propiedad intelectual y los servicios de comunicaciones por cable e inalámbricas de manera que afecten tanto a los ejecutivos de TI empresariales como a los ciudadanos promedio. Sin embargo, algunos expertos dicen que podría manejar todo esto sin tener Twitter, mensajes de texto o incluso usar una PC, aunque su familiaridad con las tecnologías de la informaci
Los registros de salud electrónica no son suficientes, dicen los expertos
Los médicos dicen que también se necesitan mejores EHR y una mejor interoperabilidad
Los problemas de IP podrían estar disminuyendo IBM-Sun Talks, dicen los expertos
Una gran cantidad de acuerdos de patentes y licencias asunto complejo.