Clickjacking: La amenaza fantasma

Fecha: 12 de octubre de 2008

Una nueva amenaza con tintes apocalípticos se cierne sobre la red o quizás una amenaza más, aunque envuelta en un aire de misterio que la ha posicionado por encima del resto de amenazas habituales. Parece diferente a las demás porque puede obligar a que se modifiquen los hábitos de programación tal como los conocemos hasta ahora, aunque la experiencia de la «vacuna» (de momento sólo para navegadores firefox) lleva más a pensar a que van a variar las pautas en lo que a navegación se refiere. Los detalles de la amenaza y de su forma de funcionamiento no han sido desvelados públicamente (tal como hace el CERT desde el 88 y tal como parece más lógico), aunque sí conocemos su forma de funcionamiento. En este post hay algunas especualaciones que pueden parecer más o menos lógicas sobre su funcionamiento, aunque de lo que he podido leer, lo mejor me ha parecido este mail de Michal Zalewsk, los artículos del web de Giorgo Maone, autor de la única vacuna conocida para navegadores Firefox («ClearScript«) y este otro artículo en español con ejemplos y un análisis bastante detallado.

En principio el clickjacking consiste en que el usuario hace aparentemente click sobre un lugar que está viendo en una página web y en realidad lo está haciendo sobre otro enlace controlado por terceros (aparentemente mediante la superposición de capas utilizando un frame oculto). Esto abre un mundo de posibilidades para posibles fraudes, estafas, robo de credenciales, etc. Por ejemplo, al pulsar sobre el botón de nuestro banco favorito nos podría salir una ventanita que nos indique que se va a instalar una aplicación necesaria para la comunicación, etc, etc, que al final instalaría un troyano o algo por el estilo que sería el comienzo de una amenaza que pasaría desapercibida.

Hay un cierto halo de misterio en torno al clickjacking. Por ejemplo, el pasado 24 de septiembre, en el marco de las conferencias de seguridad OWASP, Jeremiah Grossman y Robert Hansen, iban a ofrecer una conferencia sobre Clickjacking en la que iban a desvelar las vulnerabilidades que afectaban a los navegadores web más importantes. Sin embargo la conferencia fue cancelada a petición de Adobe, de cuyo software y concretamente Flash se especula que provienen gran parte de los problemas. La anulación de la conferencia les valió incluso un agradecimiento oficial por parte de la compañía.

La protección contra el clickjacking está bastante bien resumida en este post de kriptópolis:

1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking. Esta funcionalidad creada por Giorgio Maone se denomina ClearScript y se puede descargar aquí.
2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
   • Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
   • Escribir «opera:config» en la barra de direcciones. Buscar «Extensions» y deshabilitar «iFrames».
4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Como podemos ver, una buena parte del mercado de los navegadores está sencillamente indefenso ante esta nueva amenaza. Para dudas o preguntas concretas se puede consultar este faq.

En definitiva, una amenaza, parece que de las serias, que no hace más que volver a ratificar el clásico dicho de que ningún sistema es seguro al 100%. De todas formas la aparición de amenazas de este tipo me lleva a preguntarme por la existencia de otras que ni siquiera conocemos a día de hoy o que estén en manos de hackers y ante las que estemos auténticamente indefensos por desconocimiento ante todo.

La seguridad no es un tema, en mi opinión, que preocupe a los fabricantes más allá de su propio prestigio e imagen ante los usuarios. La complejidad de los códigos y arquitecturas actuales ha llevado a los fabricantes a adoptar una actitud reactiva más que proactiva con respecto a los agujeros de seguridad. Es decir, no hay fabricantes que inviertan en descubrir sus propios agujeros de seguridad para ir tapándolos. No conozco el caso de fabricantes que contraten equipos de hackers para que irrumpan en sus sistemas en los laboratorios de manera que se puedan ir parcheando las aplicaciones incluso con posterioridad a su lanzamiento. La actitud actual es de respuesta más o menos rápida cuando ocurre algo, de taller mecánico vamos. «… Dígame usted qué le está fallando que pongo a mis equipos a investigar cómo evitarlo …«. Además, estoy convencido de que nos encontramos ante un problema que irá a más y que no va a tener solución, aunque nuestro consuelo siempre será lo que la mayoría pensamos: «¿me va a tocar precisamente a mi con la cantidad de gente que hay en la red?». Pero como dice el anuncio de la lotería: «cuidado, que toca«.

Anuncio publicitario

Google Chrome, todos contra todos

Fecha: 7 de septiembre de 2008

Pocas veces una noticia de tecnología ha tenido tanto eco en los medios convencionales como el lanzamiento de Google Chrome el pasado martes 2 de septiembre en su versión beta. Chrome es mucho más que un navegador, es la herramienta que empieza a cerrar el círculo de la  multitud de aplicaciones que ya en la actualidad Google pone a disposición de sus usuarios.

Hasta ahora los usuarios de gmail, google calendar, google docs, google desktop, o cualquier de las aplicaciones que se pueden encontrar en Google Labs tenían que utilizar herramientas fuera de Google para poder acceder a las mismas (Explorer o Firefox). La nueva estrategia de Google para llegar al desktop del usuario empieza por Chrome, pero esto es sólo el principio. No es ningún secreto que los sistemas operativos en los proximos años serán online y estarán centrados en los navegadores web (los famosos WebOS). Chrome pone la primera piedra para llegar al GoogleOS. El camino será largo y complicado para Google ya que Microsoft y Apple entre otros no se lo van a poner fácil, pero en Google gustan de cocinar las cosas a fuego lento y sus estrategias suelen estar bastante bien pensadas para ir ganando mercado muy poco a poco.

No es ninguna temeridad pensar en el horizonte de 5 años en ordenadores con sistema operativo Google repletos de aplicaciones que se ejecutan online en las granjas de servidores de Google, y en un horizonte de unos pocos de años más en ordenadores con marca Google (como de hecho ya ocurre con los servidores que pueden comprar las empresas como motores de búsqueda internos con tecnología Google).

Centrándonos ya en el propio Google Chrome, hay varios aspectos que me gustaría destacar de este excelente navegador:

• Lo primero que destacaría es que lleva el sello de Google. Es una aplicación ligera por encima de todo, sin florituras gráficas, sencilla de manejar, flexible y segura. En el acid3 test, siendo una beta tenemos ya resultados del 78/100 frente a Firefox 71/100 o Explorer 14/100 (hay que destacar aquí que todavía está lejos de Opera -91/100- o de Safari4 – 100/100-).
• Incorpora opciones nunca vistas en navegadores ya consolidados como la ejecución independiente de pestañas que hace que unas no bloqueen a otras, o la navegación de incógnito que no deja rastro en el historial ni en las cookies sobre las páginas que se visitan cuando se utiliza esta modalidad (que nadie diga que no la encuentra útil …)
• El uso de memoria RAM es digno de estudio. Si comparamos con el uso que hacen otros navegadores Chrome es siempre el campeón (por mínimo consumo). Esto se puede ver utilizando la opción «about:memory» en la misma barra de navegación de Chrome. Por cierto que las posibilidades de los comando about son bastante interesantes (con huevo de pascua incluido con el comando about:internets).
• Profundizando en temas técnicos, el asalto que ha realizado Google a funciones tradicionalmente confinadas a los sistemas operativos es una declaración de intenciones sobre el Google OS. Mediante una barra de tareas se puede ver qué pestañas están consumiendo más recursos y se pueden eliminar las que se consideren.
• Ojo con la clausula 17 del agreement que todo el mundo acepta sin leer cuando se instala la aplicación. Mediante la aceptación de esa claúsula que casi nadie habrá leido se da vía libre a Google para insertar tanta publicidad como consideren oportuno a través de Chrome.
• Aunque podemos decir que es una herramienta segura, en la primera semana desde su lanzamiento se han detectado ya agujeros de seguridad. Es de esperar una rápida reacción de Google en este sentido.

En definitiva, Chrome es un paso adelante de Google hacia la conquista de los desktops de los usuarios y hacia la consolidación de Google como una herramienta única para la experiencia del usuario en Internet. Hasta ahora Google ha hecho las cosas bastante bien, pero es posible que Chrome sea su apuesta más arriesgada a la vez que notoria. Si Chrome triunfa, el producto más extendido de Microsoft estará en apuros, lo que podría cambiar a Internet tal como la conocemos hoy en día.

Mozilla Ubiquity, la navegación más lógica

Fecha: 31 de agosto de 2008

Mozilla ha lanzado ubiquity (sólo para versiones 3 o superior de Mozilla Firefox sin incluir las betas con las que no es compatible). El objetivo de ubiquity es facilitar la navegación del usuario haciéndola más lógica e intuitiva.

Empecemos desde cero, lo primero es instalar ubiquity como un complemento más. Si se dejan las opciones por defecto, ubiquity se ejecuta presionando ctrl+espacio. Tras esto aparece una ventana en la esquina superior izquierda del navegador en el que podemos introducir una lista bastante larga de comandos que el navegador ejecuta. El primer ejemplo que nos presentan es la utilización de wikipedia. Si tecleamos «wikipedia» seguida de la palabra que queramos nos hará una búsqueda automática en wikipedia sin necesidad de visitar el web. Si la palabra que introducimos no tiene nada que ver con la larga lista de comandos de ubiquity, se realizará una búsqueda automática en google, wikipedia, imdb y yahoo.

Ubiquity tiene comandos para realizar acciones en flickr, youtube, yahoo, google, digg, ebay, etc. Puede hacer operaciones matemáticas si se utiliza el operador «calc» delante de la expresión matemática, convertir a PDF, o texto enriquecido con «convert», enviar un correo a través de la cuenta de gmail con el comando «mail», mapear cualquier dirección en google maps con «map» o realizar abreviaturas de combinaciones de estos comandos.

Aunque ya hubo intentos en su día de realizar aplicaciones de este tipo utilizando línea de comandos, ubiquity es el primer intento serio de integrar la línea de comandos para tener una navegación más intuitiva (una vez que se está familiarizado con los comandos eso sí). Tras visionar el video de demo que ofrece Mozilla e instalar la aplicación, podemos decir que ubiquity es una aplicación bien conseguida para estar en su primera versión y que sienta un cierto precedente hacia la navegación del futuro que debe dirigirse hacia la interpretación del lenguaje natural del usuario y su coyuntura personal (ubiquity todavía no ha hecho nada en este aspecto porque no hay posibilidad de personalizar casi nada).

Un buen paso de Mozilla en la guerra de los navegadores. La respuesta de Microsoft, si es que la hay, chocará con la habitual dificultad de Explorer para incorporar extensiones, no porque no lo pueda hacer sino porque sus usuarios están mucho menos habituados a utilizarlas y por tanto si no viene de serie difícilmente la van a utilizar e incorporar. Las extensiones pueden ser la clave en la guerra de los navegadores, y ese terreno lo tiene totalmente ganado Firefox en la actualidad.

La guerra de los navegadores: Firefox 3 vs Internet Explorer 8

Fecha: 20 de julio de 2008

Source: Genbeta

Target: Mozilla Firefox y Microsoft Internet Explorer 8

La guerra de navegadores es algo tan antiguo como la propia Internet. Desde el primer navegador (ViolaWWW), el mítico Mosaic que el estudiante Marc Andressen realizó como proyecto fin de carrera, pasando por la guerra entre Netscape y Microsoft, hasta la actual guerra por los usuarios entre Microsoft y Mozilla. Hasta ahora Microsoft ha conseguido ganar claramente esta batalla desde que sacó del mercado a Mosaic, en gran medida por el dominio de su sistema operativo Windows.

Pero Microsoft tiene un problema importante desde hace ya algún tiempo con Firefox. El porqué hay que buscarlo sobre todo en los complementos, esas pequeñas aplicaciones que le podemos añadir a nuestro navegador y nos permiten hacer cosas que el navegador no permite de serie. Firefox tiene muchos más complementos que Explorer, adicionalmente éstos son más fáciles de instalar y son siempre gratuitos. Todo esto a pesar de que los complementos han sido una de las prioridades en el desarrollo de Explorer 8. Un golpe bajo de la nueva versión de Microsoft es que cuando se instala pregunta si el usuario quiere que se busquen extensiones similares a las que se tienen instaladas para Firefox (el caso es que Firefox tiene muchas más extensiones que Explorer, así que el resultado será, en cualquier caso, cuestionable). Partiendo de la base que para el usuario experimentado los complementos resultan indispensables, y que para el usuario medio los complementos son cada vez más importantes, Firefox tiene cartas ganadoras en esta partida que dura ya años.

La gestión de las descargar y los marcadores es otro de los aspectos importantes de la comparativa. Explorer 8 prácticamente no se ha preocupado de este aspecto, por lo que Firefox sigue conservando una clara diferencia. Lo único que podemos destacar en este sentido es la incorporación de la tecnología de webslices, que permite descargar partes de una página web.

Con respecto a las pruebas para desarrolladores, Explorer 8 ha progresado al pasar el test Acid2, pero está muy lejos en Acid3 (18/100) de llegar al nivel de Firefox (71/100). El Acid3 es un test desarrollado para ver si un navegador respeta las especificaciones de los estándares web desarrollados por el W3C. Es decir, nos indica si el navegador cumple con los estándares generales de desarrollo de web. En función de la salida de nuevos estándares, hay nuevas versiones del test. La versión actual del test es la 3. Que un navegador cumple total o parcialmente el test quiere decir que mostrará con mayor o menor fiabilidad la página web tal como fueron programadas exactamente (respetando estilos, fuentes, etc).

En definitiva, estamos ante un intento que empieza a ser desesperado por parte de Microsoft de plantarle cara a una aplicación que le está superando claramente y que va inclinando poco a poco la balanza de su parte. Esta vez Microsoft lo tiene mucho más complicado que en batallas anteriores, y de hecho no tiene cartas ganadoras esta vez. Su último intento está muy lejos de llegar al nivel de su rival, por lo menos en esta primera Beta 1 que está disponible en el mercado.