Clickjacking: budeme se bát?

Ostatní | 09.12.08

Clickjacking představuje nebezpečí pro každého uživatele, který pro prohlížení internetu používá některý z rozšířenějších internetových prohlížečů. Bohužel není vůbec snadné se clickjackingu vyhnout.





Co je clickjacking?


Clickjacking umožňuje hackerům a útočníkům ukrýt pod zcela standardním obsahem webové stránky škodlivý materiál. Ten pak kupříkladu může překrývat tlačítka na webové stránce, takže si uživatel po jejich stisku myslí, že klepe na neškodný odkaz nebo funkci, zatímco ve skutečnosti klepne na něco, co je dílem hackera.

Jak se proti clickjackingu bránit?

V současnosti toho příliš dělat nemůžete. Z mála konkrétních rad, které se objevily, jedna svým způsobem po vás chce, abyste se vzdali používání internetu v té podobě, jak jej používáte doposud, a ostatní velmi výrazně ovlivní váš způsob prohlížení internetových stránek.

První způsob ochrany spočívá v přechodu na prohlížeč Lynx (více o něm zde), což je textový internetový prohlížeč šířený jako Open Source. Jeho používáním se však vracíte někam k počátkům rozvoje internetu pro běžné uživatele, přesněji řečeno k roku 1992. Lynx je program známý spíše ve světě Unixu/Linuxu, i když samozřejmě existují verze pro Windows i Mac OS X.





Clickjacking v Lynxu nemá žádnou šanci, a to jednoduše proto, že neobsahuje žádný vizuální obsah, který by mohl útočník překrýt škodlivým kódem. Na druhou stranu brouzdání po internetu v textovém internetovém prohlížeči skutečně patří někam do minulého století. Podle Hansena však velmi dobrou úroveň zabezpečení (hovoří o úspěšnosti až 99,99%) získáte kombinací Firefoxu a jeho doplňku NoScript.

Použití NoScriptu má samozřejmě i svoje nevýhody: zakázáním vám neznámých skriptů a pluginů dojde k tomu, že mít omezeno prohlížení řady internetových stránek, popřípadě se vám budou tyto stránky zobrazovat tak, že budou pro vás nepoužitelné.

I provozovatelé svých internetových stránek mohou provést opatření k tomu, aby se uživatelé jejich stránek stali oběťmi clickjackingu. Alespoň to tvrdí Giorgio Maone, italský výzkumný pracovník v oblasti zabezpečení, který je autorem doplňku NoScript a sám se stará o jeho další vývoj. Vývojáři webů mohou použít na svých stránkách skript, který zkontroluje, zda není jejich internetová stránka vložena do nějaké jiné internetové stránky. Pokud by tomu tak bylo, pak by skript jejich nezávadnou stránku přesunul do popředí, čímž by se zabránilo clickjackingu.

Tato metoda se označuje jako frame-busting. Používá ji kupříkladu i služba PayPal od firmy eBay, která slouží pro provádění plateb na internetu. K tomuto kroku přistoupila už jen proto, že se stává velmi častým cílem internetových útočníků.

Kdy problémy s clickjackingem zmizí?

Některé firmy zabývající se vývojem aplikací, jako například firma Adobe, zkoušejí do svých produktů implementovat různé opravy tak, aby reagovaly na aktuální situaci. Nicméně Hansen tvrdí, že jediným řešením je integrace dostatečně silné ochrany před clickjackingem přímo do nejrozšířenějších internetových prohlížečů. Ostatně hovoří o tom, že jediný, kdo může na clickjacking zareagovat v plném rozsahu, jsou právě pouze výrobci internetových prohlížečů.

Hansen i Grossman spolupracují s Micorosftem, Mozillou i firmou Apple. Celkem tak pokrývají 98 procent podílu všech prohlížečů na trhu. Hansen říká, že všichni pracují na řešení problému clickjackingu, i když na druhou stranu si vůbec není jistý tím, jakou prioritu tato řešení mají před ostatními úkoly, jimiž se jednotlivé týmy okolo internetových prohlížečů zabývají.















Komentáře