Ο Robert Hansen, ιδρυτής και πρόεδρος της SecTheory LLC και ο Jeremiah Grossman, υπεύθυνος του τεχνολογικού τμήματος της WhiteHat Security Inc, αναφέρθηκαν στη συγκεκριμένη απειλή την περασμένη εβδομάδα σε παρουσίαση στη Νέα Υόρκη.....
Τι είναι, όμως, ακριβώς το clickjacking;
Μιλάμε για μια απειλή του είδους «τρέξτε να σωθείτε» ή για ακόμα έναν από τους συνηθισμένους κινδύνους που παραμονεύουν στο διαδίκτυο; Και τι μπορούμε να κάνουμε για να προστατευτούμε;
Οι ερωτήσεις αναρίθμητες. Οι απαντήσεις λιγοστές!
Ας τα πάρουμε όμως με τη σειρά. Τι ακριβώς είναι το clickjacking; Καλή ερώτηση, η απάντηση όμως είναι λίγο δύσκολη να δοθεί αφού οι εν λόγω ερευνητές δεν αποκάλυψαν πολλά για τη φύση του. Σύμφωνα, όμως, με πηγές μάθαμε τα εξής. Σκεφτείτε ένα κουμπί, οποιοδήποτε κουμπί, που θα μπορούσε να εμφανιστεί σε κάποιο website, πάνω στο οποίο θα μπορούσατε να κάνετε κλικ (εξ ου και το «click» στη λέξη). Έπειτα αναλογιστείτε μια επίθεση η οποία θα βρίσκεται κρυμμένη πίσω από αυτά τα κουμπιά, ώστε όταν ο χρήστης πατήσει πάνω στην φαινομενικά άκακη επιλογή να παραπέμπεται εκεί όπου ο απατεώνας θέλει να τον στείλει.
Με απλά λόγια, το clickjacking επιτρέπει στους hackers και τους απατεώνες να κρύβουν κακόβουλο κώδικα κάτω από το περιεχόμενο του νόμιμου site.
Είναι καινούρια η «μόδα» του clickjacking; Όχι δεν είναι! Είναι παρόμοιο με απειλές όπως όταν ορισμένα site «ζητά» να συμπληρωθεί ένα ερωτηματολόγιο ή ένα μήνυμα που ειδοποιεί το χρήστη ότι έχει κερδίσει «πλούσια» δώρα. Αυτό στην ουσία αποτελεί τη βιτρίνα η οποία κρύβει επιβλαβές λογισμικό που εγκαθίστανται στον υπολογιστή εν αγνοία μας. Αυτού του είδους η απειλή είναι γνωστή από τις αρχές του ’90 ενώ το clickjacking υποπτεύονται οι ειδικοί ότι υπάρχει εδώ και μερικά χρόνια.
Κατά σύμπτωση –ή όχι- η Mozilla κυκλοφόρησε ένα patch για τον Firefox που αφορά αποκλειστικά στη συγκεκριμένη απειλή, κάτι που η Microsoft είχε τοποθετήσει στον ΙΕ το 2003 και αργότερα το 2004.
Όπως τόνισε ο Michal Zalewski –ερευνητής που δουλεύει πλέον για την Google Inc.- «μία σελίδα Web (που φιλοξενείται κάτω από ένα Άλφα site) μπορεί να περιέχει κακόβουλο κώδικα ικανό να δημιουργήσει ένα «παράθυρο» iFRAME τέτοιο, ώστε αυτό να παραπέμπει σε μία εφαρμογή σε ένα άλλο, Βήτα site - στο οποίο ο χρήστης έχει ήδη εγκεκριμένη πρόσβαση μέσω cookies». «Η σελίδα που βρίσκεται στο προσκήνιο μπορεί να καλύπτει τα περιεχόμενα του iFrame με γραφικά, αφήνοντας να φαίνεται μόνο ένα κουμπί επιλογής στο Βήτα domain, όπως π.χ. «Διαγραφή όλων» ή «Προσέθεσε τον Bob ως φίλο» κλπ. Η σελίδα αυτή μπορεί να προβάλλει δικά της, παραπλανητικά γραφικά που δίνουν την εντύπωση ότι εκτελούν μία τελείως διαφορετική λειτουργία στο Άλφα site, προσκαλώντας τον χρήστη να πατήσει το σχετικό πλήκτρο».
Με άλλα λόγια ο hacker παραπλανεί το χρήστη να επισκεφτεί μια κακόβουλη σελίδα –μέσω των γνωστών τρόπων- και μετά κρύβει τον επιβλαβή κώδικα κάτω από αυτό που φαίνεται σαν το αληθινό περιεχόμενο του νόμιμου site.
Τι μπορείτε να κάνετε για να προστατευτείτε; Δυστυχώς στην προκειμένη φάση, όχι πολλά.
Ο πιο ασφαλής τρόπος προστασίας είναι να ξεχάσετε το internet που ξέρετε ή να γυρίσετε σελίδα πίσω στον μεσαίωνα του διαδικτύου!
Ο πρώτος τρόπος προστασίας είναι να γυρίσετε στο Lynx, έναν ανοιχτού κώδικα text-only browser ο οποίος μας γυρίζει παραπάνω από μια δεκαπενταετία πίσω. Παρόλο που ο Lynx είναι πιο γνωστός μέσω του Unix/Linux περιβάλλοντος, υπάρχουν εκδόσεις για τα Mac OS X και Windows. Αφού το Lynx διαβάζει μόνο κείμενο, τυχόν clickjacking επιθέσεις δεν θα έχουν απολύτως καμία επίπτωση μιας και δεν υπάρχει γραφικό περιεχόμενο το οποίο θα μπορούσε να εκμεταλλευτεί ο hacker. Αλλά text-only browsing;!! Άουτς!
Ένας άλλος καλός τρόπος –και υποθέτουμε αποτελεσματικός- είναι ο συνδυασμός του Firefox με το NoScript, ένα extension που εμποδίζει JavaScript, Flash και Java περιεχόμενο. Όμως, παρόλο που το NoScript φαίνεται να αποτελεί μια καλή λύση –και διανέμεται δωρεάν- έχει και αυτό τα μειονεκτήματά του. Εκτός αν ο χρήστης ενεργοποιήσει χειροκίνητα το switch-off-by-default περιεχόμενο, πολλά sites θα είναι είτε παντελώς άχρηστα –γιατί πολύ απλά δεν θα ανοίγουν- είτε θα έχουν περιορισμένη πρόσβαση.
Στο μεταξύ η Adobe Systems Inc., δουλεύει πάνω σε ένα διορθωτικό για Flash.
Πότε θα γνωρίζουμε περισσότερα για αυτή τη νέα διαδικτυακή απειλή; Υποθέτουμε σύντομα, αφού ο Hansen και ο Grossman διαβεβαίωσαν το κοινό ότι θα δημοσιεύσουν σχεδόν ολόκληρη την έρευνά τους, μόλις η Adobe κυκλοφορήσει το patch.
http://apolitistosteki.blogspot.com/2011/03/clickjacking.html