Privacy Policy

Ricerca in FOLBlog

Nov 172008
 

image

Robert Hansen e Jeremiah Grossman, due ricercatori americani, hanno recentemente messo in evidenza un nuovo e allarmante sistema di attacco contro i browser.
Si tratta del Clickjacking (letteralmente “scippo dei click”), una nuova minaccia potenzialmente molto pericolosa che consiste nel catturare con l’inganno il click del mouse ridirigerlo su un oggetto diverso da quello che l’utente intendeva cliccare.

Si tratta di una vulnerabilità cosiddetta zero-day (gli zero-day o 0day sono tipi d’attacchi informatici che sfruttano bug software non ancora noti  ai produttori del software ne’ tanto meno agli utenti e per il quale non esistono patch.
Tutti i browser in circolazione sono affetti da questa grave vulnerabilità e solo i browser molto vecchi e quelli puramente testuali ne sono immuni (esempio Lynx e Links).

Come funziona il Clickjacking?
L’hacker può agire in due modi differenti:

1) Manipolare un Javascript in modo da modificare il collegamento ad un indirizzo esterno;
2)
Creare Inner Frame trasparenti, cioè delle cornici html invisibili all’utente, capaci di collegare una parte della pagina ad un sito web diverso.

Esempi: l’utente fa click su un link per accedere ad una pagina web e questa sua azione viene ridiretta a sua insaputa su un pulsante per attivare una certa azione.

Oppure, pensiamo ad un utente con router wireless autenticato per poter andare su un sito legittimo; in questo caso l’hacker potrebbe creare un iframe che ridirige il click dell’utente su un pulsante che invia un comando al router router, ad esempio quello di cancellare tutte le regole che riguardano il firewall, esponendo il computer ad un possibile attacco su più larga scala.

O ancora potrebbe nascondere in un iframe un programma che l’utente potrebbe avviare cliccandoci inconsapevolmente sopra.

Insomma, sfruttando questa vulnerabilità, è possibile costringere l’utente a fare quasi qualunque cosa all’interno di una pagina web.
Anche al momento questo meccanismo viola semplicemente le regole della privacy e viene utilizzato per scopi pubblicitari, e fino ad ora i più colpiti sono soprattutto i siti di giochi interattivi in flash, in cui l’utente si trova ad usare di più il mouse e quindi aumenta il rischio di click ‘rubati’.

Come difendersi dal Clickjacking?
Il Clickjacking sfrutta un difetto strutturale sul modo in cui funziona il browser, non può essere risolto con una semplice patch.
Anche le ultime versioni d’Internet Explorer (compresa la versione 8), Safari, Opera  e Firefox 3 sono vulnerabili.
L’unica cosa che si può fare è quella di  disabilitare gli script del browser ed i plugin.

Oppure (per fortuna c’è un oppure…..) l’unica difesa efficace consiste nell’utilizzare Firefox abbinato al estensione NoScript.

Perché ho parlato di Clickjacking?
Perché oggi, utilizzando la dashboard di WordPress ho avuto una sorpresina:

Oooopssss.....

Ora, sperando che si tratti solo di un falso allarme, non posso che ringraziare NoScript che mi ha rilevato la potenziale minaccia.

Technorati Tag: ,,,sicurezza,

Articoli simili:

  6 Risposte a “Contro Clickjacking solo il duo Firefox NoScript”

Commenti (4) Pingbacks (2)
  1. Usando Mozilla Firefox Mozilla Firefox 3.0.4 con Windows Windows XP

    Disabilitare gli script di una pagina e cosa idiota, uno si ritrova con una pagina statica, senza la possibilità di aprire eventuali info in popup, o vedere videoclips o sentire musica.
    Non credo sia questa la soluzione.
    a me personalmente “Clickjacking” non da fastidio più di tanto e nella natura delle cose, gli unici script che mi danno fastidio sono quelli che mi bloccano il browser.
    gli Iframes poi sono utili, quasi tutti gli usano e impensabile eliminarli, il Noscript di Firefox lo avevo provato, ma disinstallato quasi subito, uno script che va bene per chi va a spasso.

  2. Usando Mozilla Firefox Mozilla Firefox 3.1b2 con Windows Windows Vista

    @ valvasev:
    Mi limito ad osservare che probabilmente non hai ben chiara la funzione di NoScript (che è quella di consentire di scegliere quali script far eseguire) ne’ cosa sia il clickjacking ed i rischi potenziali che vi si celano.

  3. Usando Mozilla Firefox Mozilla Firefox 3.0.5 con Windows Windows XP

    @ valvasev:
    Enrico ha gia’ risposto: disattivare gli script globalmente e’ insensato, meglio usare Noscript che permette di abilitarli o meno selettivamente, per ogni sito.
    Se alcuni siti che frequenti sono fortemente basati su Javascript allora autorizzi loro (e solo loro) all’esecuzione e memorizzi la scelta (“Permetti”, non “Permetti temporaneamente”); inoltre Noscript riconosce anche gli script che disegnano oggetti trasparenti sovrapposti agli elementi della pagina con lo scopo di intercettare il click ed aprire un sito diverso da quello previsto (clickjacking).
    Scritto questo, l’unico “problema” con Noscript e’ la creazione manuale della lista dei siti autorizzati (la prima volta: se si reinstalla il browser basta salvare la lista ed importarla) ma non baratterei mai questo inconveniente con la protezione offerta.

    Edward

  4. Usando Mozilla Firefox Mozilla Firefox 3.0.4 con Windows Windows XP

    Probabilmente e come dici tu, come o detto Noscript, lo usato subito per fare una prova non lo tenuto molto l’estensione nel Browser, non o neanche smanettato per comprenderne tutte le funzioni.
    Una cosa e certa e noioso navigare senza l’uso degli script, in quanto hanno molte funzioni non solo quello di creare condizioni come quello di “Clickjacking,” che generalmente quelli che ne fanno un uso più accentuato sono siti “Porno, cracker, e Top100”.
    riprovo a rimettere l’estensione su Firefox per rivedere più profondamente l’uso.
    Comunque non passa giorno che prendo 2/3 virus troyan al giorno, meno male che o un Antivirus, che mi blocca la connessione al sito in tempo reale, sempre aggiornato.
    senza l’uso di script, diciamo Buoni, la rete sarebbe parecchio ridimensionata a pagine statiche, senza nessun effetto, sarebbe meglio leggere un libro.
    Ciao !

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: