Clickjacking

Notiziola di ieri:

http://blogs.zdnet.com/security/?p=1972

http://blogs.zdnet.com/security/?p=1973

http://www.heise-online.co.uk/security/Is-clickjacking-the-next-threat–/news/111570

http://news.softpedia.com/news/Critical-Clickjacking-Vulnerabilities-Affecting-All-Browsers-Being-Kept-Secret-93678.shtml

http://www.darkreading.com/document.asp?doc_id=163928&f_src=darkreading_section_296

http://www.webadminblog.com/index.php/2008/09/24/new-0day-browser-exploit-clickjacking-owasp-appsec-nyc-2008/

http://www.breakingpointsystems.com/community/blog/clickjacking

http://jeremiahgrossman.blogspot.com/2008/09/cancelled-clickjacking-owasp-appsec.html

In pratica: un team di ricercatori americani che si occupano di sicurezza ha trovato una vulnerabilità che affligge tutti i browser e che permette a chi gestisce un sito di far clickare l’utente dove vuole, costringendolo, di fatto, ad agire sotto il suo controllo mentre si trova sulle pagine del suo sito.

La tecnica usata viene chiamata clickjacking (“autostop dei click”, “scippo dei click” o qualcosa del genere).

La scoperta di questa vulnerabilità risale al 15 di Settembre ma è stata mantenuta semi-segreta fino a ieri su richiesta di Adobe (che ha una grave vulnerabilità, correlata a questa, in uno dei suoi prodotti – quasi certamente Flash – ed ha chiesto tempo per correggerla).

Cos’è il Clickjacking

In buona sostanza, il clickjacking consiste nell’appropriarsi dei click che l’utente esegue su un oggetto A (che si trova all’interno di una pagina web) e redirigerli, a sua insaputa, sull’oggetto B. L’oggetto B si trova dentro la stessa pagina web ma potrebbe non essere visibile.

Ad esempio, l’utente potrebbe essere indotto a fornire una grande quantità di click mettendogli a disposizione un giochino scritto in Adoble Flash. I click dell’utente (anche solo una parte di essi) potrebbero essere rediretti verso un pulsante invisibile, nascosto dentro un IFRAME, e usati per fargli sottoscrivere l’abbonamento ad una newsletter o cose simili.

Con questa tecnica si può portare l’utente a svolgere qualunque operazione desiderata senza che l’utente stesso se ne possa accorgere.

C’è da Preoccuparsi?

Si, abbastanza.

Questa tecnica NON può essere usata per costringervi ad acquistare la vostra ottava Fiat Punto e tenere in vita la FIAT contro la vostra volontà. L’hacker dovrebbe disporre del numero di un conto corrente su cui addebitarvi l’acquisto per poterlo fare. Non rischiate quindi nulla di “concreto”.

Il sito della vostra banca (l’unico che abitualmente tratta i vostri dati finanziari) è, ovviamente, sicuro.

Tuttavia, questa vulnerabilità riguarda tutti i browser e non può essere corretta in tempi brevi. Di conseguenza è un problema molto serio per Internet. Non è possibile sapere adesso che uso ne faranno gli “hacker” domani o fra dieci giorni. Potrebbero inventarsi applicazioni pericolose che ora non riusciamo ad immaginare.

Per esempio, tutti i siti a cui siete soliti dare il vostro numero di carta di credito potrebbero usare questa tecnica per vendervi qualcosa contro la vostra volontà. Non c’è da dubitare di Amazon, ovviamente, ma forse di certi altri siti (porno…) si può legittimamente dubitare.

Quali browser ne sono afflitti?

Tutti.

Più esattamente, tutti quelli che supportano il tag IFRAME ed alcune altre funzionalità, tra cui JavaScript. Sia Microsoft Internet Explorer (tutte le versioni posteriori alla 4.0, fino alla 8.0) che Mozilla Firefox (tutte le versioni) sono vulnerabili. Opera, Goggle Chrome, Konqueror, Safari e molti altri browser sono vulnerabili.

Uno dei pochi che non è vulnerabile è il browser “solo testo” Lynx (ed il suo equivalente Links) perchè non supportano le funzionalità necessarie. Purtroppo, i browser di questo tipo sono pressochè inutilizzabili sulla moderna Internet.

La vulnerabilità in questione può essere sfruttata con più facilità se è attivo JavaScript ma non richiede JavaScript per essere sfruttata. Lo si può fare anche senza. È solo un po’ meno comodo. Disabilitare JavaScript, quindi, NON risolve il problema (ma lo attenua).

Come ci si difende?

Usando un browser che non supporti le funzionalità necessarie all’exploit, come Lynx (e sopportando pazientemente un WWW in modo solo testo).

Oppure, disabilitando sia lo scripting JavaScript che la funzionalità IFRAME del browser. Se usate Mozilla Firefox dovete installare il plug-in NoScript di Giorgio Maone ed attivare (dalla pagina delle preferenze del plug-in) la funzionalità “Forbid <IFRAME>”.

Se usate un altro browser dovete chiedere a qualcun’altro come sia risovibile questo problema perchè io non he proprio idea.

Chi deve “mettere la pezza”?

I produttori dei browser (Microsoft, Mozilla, Opera, KDE, Gnome, etc.). Gli sviluppatori di siti web e gli amministratori dei siti non possono farci granchè.

Conclusioni

Cercherò di tenervi aggiornati.

Nel frattempo, state in campana. Usate Firefox, installate NoScript ed disabilitate l’IFRAME.

Cercate di tenervi aggiornati di vostra iniziativa, anche. Leggete i magazine del Web e magari iscrivetevi a qualche newsletter sulla sicurezza.

Alessandro Bottoni

Annunci
Comments
5 Responses to “Clickjacking”
  1. guiodic ha detto:

    cracker, non hacker… te li vedi Torvalds e Stallman a fregarti le chiavi di accesso del tuo conto on-line ?

  2. alessandrobottoni ha detto:

    Piccolo aggiornamento: ho trovato in Rete un demo di clickjacking. Lo trovate qui:

    http://www.planb-security.net/notclickjacking/iframetrick.html

    Buon divertimento.

  3. alessandrobottoni ha detto:

    Alcuni altri articoli che ne parlano:

    http://www.01net.it/01NET/HP/0,1254,0_ART_92084,00.html?lw=10000;7
    (Questo è il primo articolo su questo tema apparso in lingua italiana, a quanto pare)

    http://virtualblog.splinder.com/post/18522034/Allarme+Clickjacking,+problema

    http://browsers.about.com/b/2008/09/26/how-big-of-a-threat-is-clickjacking.htm

    http://securitywatch.eweek.com/exploits_and_attacks/us_cert_weighs_in_on_clickjacking.html
    (A quanto pare, anche l’US CERT comincia a rendersi conto del pericolo, inzialmente sottovalutato da molti.)

    Buona lettura

  4. Ste_95 ha detto:

    I miei complimenti, tra tutte le news che ho letto, questa è la più completa!

Trackbacks
Check out what others are saying...
  1. […] buona sostanza, così come viene tradotto da Alessandro Bottoni sul suo blog in una bella guida sul fenomeno tra le più complete in circolazione, per clickjacking […]



Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: