traducción del inglíés al español
Los peligros de 'Cookiejacking' IE: Lo que usted necesita saber
Por Tony Bradley, PCWorld 28 de mayo 2011 6:02
Un investigador de seguridad ha descubierto una forma de secuestro de la información sensible de las cookies en Internet Explorer. La tíécnica del 'cookiejacking' podría exponer a las credenciales de Facebook, Twitter, Gmaiil, u otros servicios en línea, pero Microsoft no lo consideran una amenaza grave. Por lo tanto, es el cielo que cae, es el investigador de seguridad viene el lobo, o es el riesgo real en algún punto intermedio.
El investigador de seguridad de Rosario Valotta demostrado recientemente la "cookiejacking" tíécnica, y cuenta con detalles del ataque en su blog. La amenaza del 'cookiejacking, y defecto subyacente de día cero afectan a todas las versiones de Internet Explorer se ejecuta en cualquier versión de Windows, por lo que el grupo de víctimas potenciales es significativo.
'Cookiejacking' podría permitir a un atacante captura el credentials.What Facebook es una cookie?
Una cookie es un pequeño archivo de texto utilizado por un navegador Web o una aplicación para almacenar información como las preferencias de sitio, o credenciales de cuentas de usuario para la autenticación de sitio.
¿Quíé es 'Cookiejacking?
La tíécnica aprovecha una falla que pasa por alto la protección de la zona de seguridad en Internet Explorer para permitir que el atacante para capturar el contenido de las cookies que no deben ser expuestos.
Lo que está en riesgo?
La mayoría de los archivos de texto contienen texto que sería de poco valor. Pero, si usted está conectado a un sitio como Facebook, Twitter, o Gmail, se utilizan cookies para almacenar información de cuenta de usuario necesarios para autenticar por lo que no tiene que entrar en varias ocasiones. Si un atacante puede apropiarse de estas "cookies", que podría suplantar o acceso a datos sensibles en el sitio afectado o servicio.
¿Es una amenaza grave?
El ataque no es trivial de lograr. El verdadero 'cookiejacking' es sólo una pieza de un rompecabezas más grande que requiere tíécnicas diferentes de ataque, y engañando al usuario para que convertirse en un participante dispuesto.
Jerry Bryant de Microsoft minimizó la amenaza sobre la base de la complejidad del ataque y el nivel de interacción con el usuario requiere para que funcione. "Con el fin de eventualmente ser impactado el usuario debe visitar un sitio web malicioso, se convenció de hacer clic y arrastrar elementos por la página y el atacante tendría que dirigirse a un cookie en el sitio web que el usuario se registra ya en."
Mientras todo eso es cierto, sin embargo, muchos usuarios, haga clic en la casilla que dice "me mantienen conectado" para que no se tiene que introducir las credenciales de usuario cada vez que visitan un sitio como Facebook, y en realidad es bastante sencillo para atraer a usuarios a hacer clic. Valotta creado un juego en Facebook donde desnudan a los usuarios una mujer desnuda haciendo clic en su ropa para quitarla. Voila! Un partido como íéste sin duda sería conseguir que los usuarios hacer clic.
¿Quíé debe hacer?
Así, el cielo no está cayendo. La ejecución exitosa de un ataque de "cookiejacking 'para extraer las credenciales sensible tiene una buena cantidad de interacción con el usuario, y los usuarios informados con suerte no saben lo suficiente para perseguir el conejo por el agujero.
Al mismo tiempo, Valotta no está llorando lobo. La tíécnica del 'cookiejacking' funciona con poca cooperación por parte del usuario, y con más de 500 millones de usuarios en Facebook jugar todo tipo de juegos tontos, no es una exageración pensar que un número significativo de usuarios podría ser de ingeniería social a caer para el ataque.
Microsoft no tiene en cuenta el tema 'cookiejacking a ser una amenaza lo suficientemente grande como para justificar una urgencia, fuera de la actualización de seguridad de banda para Internet Explorer, pero es supuestamente trabajando en una solución que estarán disponibles durante los próximos meses. Mientras tanto, tomar algunas precauciones con un poco de sentido común adicional, y no ir haciendo clic en las cosas sólo porque alguien se lo pida.
