Clickjacking: una nuova minaccia:TONY-PC

Clickjacking: una nuova minaccia

,


Clickjacking, letteralmente "dirottamento di click". E' questo il nome dell'ultima minaccia comparsa su internet. Esso non è altro che un sistema per sfruttare una vulnerabilità nota degli attuali browser, di tutti quelli che supportano Javascript e Flash. Questo sistema permetterebbe ad un utente malintenzionato di prendere il controllo dei link presenti all'interno di una pagina Web (in modo specifico in un iFrame, in un oggetto flash o in uno script Java) e di reindirizzare i click effettuati dai navigatori verso contenuti malevoli. Attraverso tale sistema infatti possono essere effettuate diverse azioni a danno dell'ignaro utente, come inserire nel pulsante clickato un tag che comanda allo stesso di mandare un ordine al router, ad esempio per cancellare tutte le regole che riguardano il firewall, avvantaggiando così notevolmente un possibile attacco. Il tutto in maniera del tutto invisibile e non rilevabile. L'unica difesa al momento è tenersi lontani da siti sospetti o potenzialmente a rischio, evitare di usare applicazioni flash che trovate in alcuni siti, tipo quei giochini simpatici che spesso attirano la nostra attenzione, anche solo come passatempo. Disabilitare JavaScript è una soluzione parziale, in quanto come già detto è possibile trovare un codice di clickjacking anche negli iFrame. Il mio consiglio è di utilizzare Firefox e di installare il plug-in "NoScript" che disabilita JavaScript, facendo attenzione a spuntare anche la voce "Forbid IFRAME".
Questi accorgimenti saranno utili per proteggere la vostra sicurezza nell'attesa che gli sviluppatori dei vari browsers rilascino una patch per correggere questa vulnerabilità. Il che non avverrà molto presto.

Link: NoScript Firefox plug-in


Ti è piaciuto l'articolo? Iscriviti ai feed per tenerti sempre aggiornato sui nuovi articoli del blog! Per sapere cosa sono i feed, clicca qui!

Articoli correlati per categorie:




6 commenti:

eineki ha detto...

Non mi sembra che si tratti di una novità. Il pericolo, e le potenzialità della tecnica dell'Iframe sono conosciute da tempo, immagino da quando il tag è stato introdotto, tanto che ci sono diverse librerie che li usano da anni, una che uso normalmente è jsrs, per ovviare, ad esempio, al supporto di xhttprequest che non è presente su tutti i browser.

Quello che mi sembra invece palesemente errato, è invece il passaggio

[ ... un tag che comanda allo stesso di mandare un ordine al router, ad esempio per cancellare tutte le regole che riguardano il firewall, avvantaggiando così notevolmente un possibile attacco ...]

Magari mi sbaglio ma non vedo possibilità di iniettare codice nell'interfaccia web di un router (immagino che ti riferissi ad apparati di questo tipo visto che gli altri non sono assolutamente raggiungibili con il solo javascript) se non dopo che lo stesso sia stato compromesso, ed a quel punto l'utilità della tecnica decade

Tony_Montana87 ha detto...

Innanzitutto grazie per il commento! Fa piacere che utenti così preparati seguano il mio blog.
Veniamo alla questione da te sollevata:
Il problema di fondo è che questa vulnerabilità, nonostante fosse conosciuta da quando è stato introdotto l'iframe, è stata usata per scopi malevoli solo in tempi recentissimi. Ora io non sono un programmatore, però mi sono informato abbastanza su quest'argomento, e gli usi potenziali di questa tecnica sono per ora inimmaginabili. Si può andare dal semplice furto del click per fare soldi attraverso adsense o simili fino a quanto da me descritto nel post. La parte che tu critichi è stata argomento di studio di due ricercatori americani, Robert Hansen e Jeremiah Grossman. quindi non è una cosa che mi sono inventato al momento di scrivere. A tale scopo ti invito a leggere l'articolo originale dedicato a quest'argomento:
http://www.pcworld.com/article/151611/security_research_warns_of_clickjacking_browser_flaw.html

Saluti!

eineki ha detto...

Continuo ad essere scettico, e continuo a pensare che l'exploit sul router non sia applicabile se non in particolari situazioni.

Aspettiamo il rilascio di maggiori informazioni quando decideranno di farlo per approfondire la notizia

Tony_Montana87 ha detto...

No no, è possibile. Esiste una tecnica chiamata "Drive by pharming" che consente di sferrare attacchi contro i router domestici attraverso una semplice pagina web contenente del codice Javascript scritto appositamente.
Tecnica che è stata studiata anche da Symantec, che ha rilasciato anche un'animazione in flash per spiegarne il funzionamento:
http://www.symantec.com/avcenter/reference/drive-by-pharming-animation.html
Per gli iFrame esiste un worm, abba stanza famoso, se non erro chiamato "Bofra" o qualcosa del genere.
Poi è molto semplice cambiare la password di accesso alla configurazione del router perche' ,a parte questo nuovo codice, se si prova con uno scanner qualunque (ad esempio network scanner che e' pure gratuito) a verificare un po di grupppi di indirizzi IP in rete troverete centinaia di router che hanno la porta 80 in ascolto con attiva l'amministrazione da remoto dei parametri, e tutti quanti hanno anche la solita password di default per accedervi. Se contiamo poi che molti hanno anche l'SNMP attivo non c'è neppure bisogno di cercare di capire di che modello di router si tratta, per usare la relativa password. Basta una decina di minuti per trovarne qualche centinaio...

[sito_web] ha detto...

e quindi che consigliate di fare??

(avendo un router wifi mi preoccupo)

Tony_Montana87 ha detto...

C'è poco da fare al momento, se non seguire le precauzioni che ho descritto nel post. In attesa che rilascino qualche patch o aggiornamento che risolva questo problema.