Un vistazo completo de tu ordenador hecho desde el navegador

|

Internet ya es de por sí un lugar donde resulta difícil mantener la privacidad.

Por si fuera poco, dos investigadores de seguridad acaban de revelar unos nuevos métodos para espiar a los usuarios de la web a través de los navegadores.

Durante una presentación en DEFCON 17, una conferencia para hackers celebrada en Las Vegas la semana pasada, los investigadores mostraron una serie de métodos para vigilar a la gente online, a pesar de las herramientas de privacidad que emplean la mayoría de los navegadores.


Robert Hansen, director general y fundador de la compañía de seguridad de internet SecTheory, y Joshua Abraham, asesor de seguridad de la compañía Rapid7, también dedicada a la seguridad, hicieron una demostración de cómo realizar todo tipo de operaciones, desde obtener detalles del software que se está ejecuntando en el sistema de un usuario hasta conseguir el control absoluto del ordenador.

Si el atacante es capaz de convencer al usuario para que visite una web que él controla, quizá mediante un vínculo en un mail, es posible realizar una serie de ataques en el navegador del usuario.

Los ataques funcionaron con una participación mínima por parte del usuario y, en uno de los casos, sin participación alguna.

“Tu privacidad depende del sitio que estés visitando y del navegador que utilices,” afirma Hansen, que pone énfasis en que los usuarios no pueden confiar en los controles de privacidad de los navegadores para mantenerse seguros.

“Los botones de privacidad [de los navegadores] son sólo una protección básica,” afirma. En muchos casos, están diseñados principalmente para situaciones benignas, tales como proteger la privacidad de un usuario frente a los otros miembros de la casa. Para un atacante determinado, sin embargo, Hansen señala que estas protecciones de privacidad no son suficientes.

Hansen y Abraham demostraron cómo un atacante es capaz de recabar información detallada acerca de un usuario y su sistema mediante una variedad de trucos muy simples.

Por ejemplo, si se persuade a un usuario para que corte y pegue una dirección web en particular en la barra de navegación, el atacante es capaz de descubrir el nombre de usuario de la persona y el nombre asignado al ordenador, y acceder a los archivos de ese sistema. Otros ataques similares son capaces de detectar qué plug-ins tiene instalados el usuario en su ordenador.

Este tipo de información se puede utilizar para diseñar un ataque concreto contra un usuario en particular, señala Abraham. Al saber los plug-ins que el usuario tiene instalados, por ejemplo, resulta más fácil entrar en un sistema a través de los errores en el software.

Hansen y Abraham alertaron acerca de problemas de seguridad relacionados con Google Safe Browsing, una extensión muy comúnmente utilizada con el navegador Firefox y diseñada para advertir a los usuarios de las páginas web maliciosas.

Los investigadores afirman que la herramienta ejecuta bien esa tarea, pero también emite una cookie que hace un seguimiento de todas las webs que el usuario visita. Esta información podría ser revelada si, por ejemplo, un gobierno requiriese los datos.

Fuente: Technology Review

ARTICULOS ANTERIORES:

 

©2010 Genera tu Ingreso | Diseño de Luis Santos *Cel.: (809) 517-1725 * Para:Genera tu Ingreso *San Fco. de Macorís, Rep. Dom.