H νέα απειλή που δεν αντιμετωπίζεται ακόμα κι από τα πιο σύγχρονα antivirus, έχει σχέση με την …κλοπή των κλικ σας. Το όνόμα της; Clickjacking
1. TI EINAI TOYTO;
Καλή ερώτηση. Θα λέγαμε ότι μοιάζει με ένα είδος οπτικής εξαπάτησης, καθώς οι χρήστες κάνουν κλικ σε κάτι που βλέπουν σε ένα site, αλλά, στην πραγματικότητα, κάνουν κλικ σε κάτι άλλο, στο οποίο θέλει να τους οδηγήσει ένας υποκλοπέας.
2. ΚΑΙΝΟΥΡΓΙΟ ΦΡΟΥΤΟ;
Όχι. Επιθέσεις που θυμίζουν πολύ το clickjacking έχουν αναφερθεί από το 1990. Μόλις πριν λίγους μήνες, δε, η Mozilla έκλεισε στον Firefox ένα κενό ασφαλείας τύπου clickjacking, που ήταν παραλλαγή ενός αντίστοιχου κενού ασφαλείας στον ΙΕ, το οποίο η Microsoft είχε αντιμετωπίσει το 2003.
3. Η JAVASCRIPT ΔΙΕΥΚΟΛΥΝΕΙ
Η ενεργοποίηση της JavaScript σε έναν Web browser μπορεί να διευκολύνει τις επιθέσεις clickjacking, ωστόσο τέτοιες επιθέσεις μπορούν να γίνουν ακόμα κι αν αυτή δεν είναι ενεργοποιημένη.
4. ΠΟΣΟ ΚΑΚΟ ΕΙΝΑΙ;
Η απάντηση είναι διττή και εξαρτάται και εξαρτάται από τις προθέσεις του επιτιθεμένου. Υπό συνθήκες μπορεί να γίνει πολύ κακό. Και τα άσχημα νέα είναι ότι κανένας browser δεν είναι άτρωτος.
5. LYNX: Η ΑΠΟΛΥΤΗ ΠΡΟΣΤΑΣΙΑ
Θα λέγαμε ότι δεν υπάρχει αποτελεσματικός τρόπος να προστατευτεί κανείς. Με μια μικρή εξαίρεση: μπορείτε να χρησιμοποιήσετε τον Lynx, έναν open source browser που λειτουργεί μόνο σε περιβάλλον κειμένου. Ποιος, όμως, θα απαρνηθεί το γραφικό περιβάλλον ενός σύγχρονου browser;
6. ΑΛΛΟΣ ΤΡΟΠΟΣ;
Ένας πιο λογικός τρόπος προστασίας για τους χρηστές του firefox είναι ο συνδυασμός του firefox με το noscript [tinyurl.com/4kzrlb], ένα extension που μπλοκάρει την εκτέλεση javascript flash και java.Το αντίτιμο: κάποια sites μπορεί να μην λειτουργούν σωστά ή να μην εμφανίζουν τίποτα.
7. ΕΝΑ DEMO
Ο προγραμματιστής Flash, Guy Aharonovsky ανέβασε στη διεύθυνση tinyurl.com/53bzez ένα demo, στο οποίο φαίνεται ότι ο χρήστης αλλάζει εν αγνοία του τις ρυθμίσεις του Flash, επιτρέποντας στους επιτιθεμένους να αποκτήσουν πρόσβαση στο μικρόφωνο και σε μία web cam.
8. ΚΙ ΑΛΛΟ ΕΝΑ DEMO
O ειδικός σε θέματα ασφάλειας Ισραηλινός Avin Raff έχει ανεβάσει στη διεύθυνση tinyurl.com/6dxnwt ένα demo μέσω του οποίου δείχνει πως με το κλικ στο link μιας αθώας εν γένει σελίδας ο χρηστής μπορεί να γίνει, εν άγνοια του follower του Avin Raff στο Twitter.
9. ZHTEITAI ΛΥΣΗ
Ανεξάρτητα από τα μέτρα προφύλαξης που μπορεί να πάρει κανείς, μόνο οι κατασκευαστές των σύγχρονων browsers μπορούν να δώσουν λύση στο πρόβλημα. Το θετικό είναι ότι όλοι δουλεύουν για τη λύση. Το αρνητικό είναι ότι δεν ξέρουμε πόσο μεγάλη προτεραιότητα έχουν δώσει σε αυτό το θέμα.
10. ΤΟ BLOG TOY HANSEN
Αναλυτικές πληροφορίες και ενημέρωση για το clickjacking μπορείτε να βρείτε στο blog του Robert Hansen ενός από τους δυο ερευνητές που έφεραν το θέμα στη δημοσιότητα στη διεύθυνση tinyurl.com/453ljh.
ΑΛΛΑ ΑΥΤΟ ΤΟ ΞΕΡΑΤΕ. . .
Το πρόβλημα του clickjacking ανακαλύφθηκε και αναφέρθηκε από δύο ερευνητές, τους Robert Hansen και Jeremiah Grossman στη διάσκεψη ασφάλειας OWASP [Οpen Web Application Security Project, tinyurl.com/4ss5zd] που έλαβε χώρα στη Νέα Υόρκη, τέλη Σεπτεμβρίου του 2008.
Από μαθητές της Α
