Lifelock te protege del ClickJacking

Traducido de ha.ckers.org:

"Bien, ahora ya he visto todo. Ahora cuando creía que no me podía quedar mas asombrado me encuentro con esto. Aparentemente, Lifelock te puede proteger del ClickJacking. Para todos aquellos de vosotros que no lo recordeis, Lifelock es un servicio que te protege tu identidad, excepto por esa vez que no lo hizo. Así es como Lifelock te protege del ClickJacking...

Te logeas en el firewall/router de tu casa y te olvidas desloguear. Entonces navegas por alguna página comprometida y alguien te hace clickjacking (da igual el navegador que uses, no se de que navegador habla el comentario de Lifelock ya que ninguno se ha llegado a parchear aun) y te cambian el servidor DNS por uno que controla el atacante. Ahora cualquier página que veas está siendo filtrada (man in the middle). Pero en vez de coger todas las páginas, el atacante coge Google Adwords, desde que pueden hacer XSS en cada dominio, y por lo tanto pueden sacar tajada de ello.

Después, el atacante empieza a robar las credenciales de tus cuentas, y desafortunadamente, no eres muy bueno poniendo distintas contraseñas para cada cuenta. Además, desde que ellos poseen cada página que vas y como raramente parcheas Adobe Flash, ahora ellos están escuchando el micrófono a través de otro ClickJacking. Ahora, como dices por teléfono todos tus datos bancarios con el banco, empresas de tarjetas de crédito, etc te van a poder robar todos los datos...

Ahora, el atacante empieza a conocer donde trabajas y se cuela en tu correo usando webmail. Tan pronto como tiene acceso sobre toda tu vida, te instala un malware en lo que tu crees que es una descarga normal de Internet. Ahora, con su nuevo keylogger/malware instalado tiene acceso a la VPN corporativa y tiene acceso a todas las cuentas y ficheros que tu tienes acceso.

Entonces comienzan a sacara dinero de tus cuentas, a atacar a tu empresa, y a usar tu máquina como un servidor de pornografía infantil desde que ellos pueden poner tu ordenador en una DMZ, habiendo comprometido antes el firewall/router via fuerza bruta usando su malware. Por último, solo por diversión, te comprometen la cuenta de LifeLock, desde que logueas en la máquina comprometida, y hacen una petición para cancelarla en tu nombre.

Después de llegar la policía a tu casa y arrestarte por la proliferación de pornografía infantil (por supuesto, tu mujer te deja por la misma razón), y por el supuesto espionaje industrial contra tu propia empresa. Te das cuenta de que tu cuenta del banco está en números rojos, y tu identidad ha desaparecido, al menos tienes a alguien que te puede ayudar en la ayuda telefónica de LifeLock. Suerte reconstruyendo tu vida...Estoy seguro de que serán muy comprensivos con un pervertido que está esperando que le metan en chirona y que ha cancelado la cuenta de LifeLock.

Si, esto es un escenario exagerado y dramático, pero también lo es la afirmación de LifeLock. En su defensa probablemente dirán que se referían a identificar al ladrón, no a cualquiera de las otras posibilidades relacionadas con ClickJacking o de la seguridad mundial que es lo que importa. Pero...¿no es esa la cuestión?. Si no lo coges, probablemente no deberías de aparentar o fingir. Los consumidores no notan la diferencia, pero un hacker si lo hace."

Bonita historia, ¿no?.

Un saludo a todos