Ricerca in FOLBlog

Nov 172008
 
closeQuesto articolo è stato pubblicato 8 anni 10 mesi 9 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

image

Robert Hansen e Jeremiah Grossman, due ricercatori americani, hanno recentemente messo in evidenza un nuovo e allarmante sistema di attacco contro i browser.
Si tratta del Clickjacking (letteralmente “scippo dei click”), una nuova minaccia potenzialmente molto pericolosa che consiste nel catturare con l’inganno il click del mouse ridirigerlo su un oggetto diverso da quello che l’utente intendeva cliccare.

Si tratta di una vulnerabilità cosiddetta zero-day (gli zero-day o 0day sono tipi d’attacchi informatici che sfruttano bug software non ancora noti  ai produttori del software ne’ tanto meno agli utenti e per il quale non esistono patch.
Tutti i browser in circolazione sono affetti da questa grave vulnerabilità e solo i browser molto vecchi e quelli puramente testuali ne sono immuni (esempio Lynx e Links).

Come funziona il Clickjacking?
L’hacker può agire in due modi differenti:

1) Manipolare un Javascript in modo da modificare il collegamento ad un indirizzo esterno;
2)
Creare Inner Frame trasparenti, cioè delle cornici html invisibili all’utente, capaci di collegare una parte della pagina ad un sito web diverso.

Esempi: l’utente fa click su un link per accedere ad una pagina web e questa sua azione viene ridiretta a sua insaputa su un pulsante per attivare una certa azione.

Oppure, pensiamo ad un utente con router wireless autenticato per poter andare su un sito legittimo; in questo caso l’hacker potrebbe creare un iframe che ridirige il click dell’utente su un pulsante che invia un comando al router router, ad esempio quello di cancellare tutte le regole che riguardano il firewall, esponendo il computer ad un possibile attacco su più larga scala.

O ancora potrebbe nascondere in un iframe un programma che l’utente potrebbe avviare cliccandoci inconsapevolmente sopra.

Insomma, sfruttando questa vulnerabilità, è possibile costringere l’utente a fare quasi qualunque cosa all’interno di una pagina web.
Anche al momento questo meccanismo viola semplicemente le regole della privacy e viene utilizzato per scopi pubblicitari, e fino ad ora i più colpiti sono soprattutto i siti di giochi interattivi in flash, in cui l’utente si trova ad usare di più il mouse e quindi aumenta il rischio di click ‘rubati’.

Come difendersi dal Clickjacking?
Il Clickjacking sfrutta un difetto strutturale sul modo in cui funziona il browser, non può essere risolto con una semplice patch.
Anche le ultime versioni d’Internet Explorer (compresa la versione 8), Safari, Opera  e Firefox 3 sono vulnerabili.
L’unica cosa che si può fare è quella di  disabilitare gli script del browser ed i plugin.

Oppure (per fortuna c’è un oppure…..) l’unica difesa efficace consiste nell’utilizzare Firefox abbinato al estensione NoScript.

Perché ho parlato di Clickjacking?
Perché oggi, utilizzando la dashboard di WordPress ho avuto una sorpresina:

Oooopssss.....

Ora, sperando che si tratti solo di un falso allarme, non posso che ringraziare NoScript che mi ha rilevato la potenziale minaccia.

Technorati Tag: ,,,sicurezza,

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: