Clickjacking - uma breve análise sobre o assunto

Publicado por André em 24/02/2010

[ Hits: 10.059 ]

Blog: http://127.0.0.1

 


Clickjacking - uma breve análise sobre o assunto



O Clickjacking permite que um cracker possa forjar um link, ou um botão de um determinado site, o que, obviamente pode trazer riscos e dores de cabeça.

A vulnerabilidade está presente em diversos navegadores como o Firefox, Opera, Internet Explorer entre outros, fazendo assim um maior estrago, e pelo que eu andei lendo ultimamente pelo assunto, pode acontecer do usuário malicioso ter acesso ao seu microfone e/ou webcam, devido a uma vulnerabilidade no Adobe Flash Player.

Por isso, sites de confiança, podem SIM estar infectados, com seus links e botões direcionando para sabe-se lá aonde... (imagine isso no site de um banco).

Já existem algumas "correções", que abaixo iremos conhecer.

Como é feito o Clickacking e qual são as possíveis correões

Um exemplo de um código que "infecta" um link seria este:

<a id="opa" href="http://www.juniorlinux.com.br/">Clique para visitar o site juniorlinux.com.br</a>
<script>
   document.getElementById("opa").onclick = function()
   {this.setAttribute("href", "http://www.vivaolinux.com.br/");}
</script>

A saída seria isso:
Linux: Clickjacking - Uma breve análise sobre o assunto
Mas como vocês podem ver, no cabeçalho da página está como ele iria direcionar para o meu site, o juniorlinux.com.br, isso você pode verificar na imagem acima, mas quando eu clico, olha só para onde ele é direcionado:
Linux: Clickjacking - Uma breve análise sobre o assunto
Bastante interessante, porém perigoso!

Uma das poucas formas realmente testadas e garantidas contra este tipo de ataque é fazer o uso do bom e velho Lynx, para quem não tem ele, pode instalá-lo via apt-get, para isso use o comando:

# apt-get install lynx

Só que como a vida não é fácil, ele é em modo de texto, e por isso muitos sites não vão rodar corretamente, então nós teremos de apelar para os complementos e plugins.

Eu já dei uma dica aqui no Viva o Linux sobre o NoScript, um complemento para Firefox, o que é uma ótima solução, bastante eficiente, porém, não é 100%

Esta minha dica sobre o NoScript pode ser visitada em: NoScript - Proteção quando o assunto e XSS e Clickjacking

E a Adobe, que não podia ficar fora dessa, por ser também um foco de ataque, publicou em seu blog uma "possível solução" para o clickjacking, você pode verificar isso nos links:

Conclusão

Como vimos nesta dica, há algumas formas de se proteger do ataque Clickjacking, porém, como nada é 100%, eu não garanto nada. A internet é um ambiente pouco seguro, onde novas vulnerabilidades podem ser descobertas a qualquer momento, e como consequência, quando não tomamos cuidado com esse tipo de coisa, o prejuízo pode ser grande.

As vezes muitos deixam de instalar esses plugins e complementos, pois acham que por visitarem o site de sempre estão seguros, mas não é por aí não... medidas de segurança sempre são bem vindas, procure sempre verificar os certificados de segurança, procurar por atualizações dos seus programas, como navegadores por exemplo, verificar por novos complementos que ajudam na segurança em sites como:
Porque segurança nunca é demais, procure sempre tomar as medicas de segurança cabíveis, e você terá menos dor de cabeça.

Referências:
Att Andre S. Rosa Junior
www.juniorlinux.com.br

Outras dicas deste autor

DNS forwarding - um DNS universal

Switch em C, e se a opção for inválida?

Brincando com IP no PHP

Nasm - um ótimo compilador Assembler

Geany - Ferramenta de qualidade para desenvolvimento

Leitura recomendada

Iniciando com o YUM, gerenciador de pacotes

Estrutura dos níveis de diretórios do Linux e Unix

Solução para a falta de codecs do Ubuntu (e mais)

Nota Fiscal Eletrônica com Squid / Autenticação

Flash player em plataforma 64 bits (instalando com .deb)

  

Comentários
[1] Comentário enviado por reideer em 25/02/2010 - 08:41h

Pena que não é viável desativar scripts, pois hoje em dia é quase impossível encontrarmos um site que não tenha seu funcionamento baseado em javascript .



Contribuir com comentário