Os casos típicos de clickjacking envolvem um falso website, extremamente credível em termos de aparência e conteúdos, que é mostrado aos utilizadores com o intuito de os convencer a clicar num botão que lhes dará acesso a algo atractivo, como um download gratuito. Mas este falso website é como que uma máscara, aplicada sobre aquele que se encontra de facto activo. Normalmente, a página escondida pertence à administração de uma conta previamente acedida pelo mesmo utilizador, numa rede social, ou de um endereço de e-mail, etc. Nessa página então mascarada, o botão que supostamente daria acesso ao prometido download, na realidade vai desactivar ou reformular a password existente, retirando ao utilizador o seu controlo sem que este se aperceba de imediato.
O referido caso da Adobe, em particular, resultou de uma utilização abusiva do gestor de configuração do Flash Player, necessário para a visualização correcta dos inúmeros conteúdos Web desenvolvidos no formato com o mesmo nome. Um dos separadores dessa aplicação refere-se à privacidade de websites, e permite autorizar automaticamente a visualização de todos conteúdos Flash nos sites pretendidos, assim como o acesso dos mesmos à webcam e microfone presentes no computador sem pedirem permissão. Ao ocultarem essa janela com conteúdos falsos e aplicando técnicas de engenharia social para atrair o interesse das potenciais vítimas, os atacantes conseguiram ganhar o controlo das suas webcams e microfones para as espiarem físicamente sem o seu conhecimento. Um dos ataques mais comuns neste caso, englobava um jogo em que o utilizador deveria seguir com o seu rato um botão em constante movimento no ecrã, tentando clicar nele. Um desses cliques accionava precisamente a opção de autorizar sempre o acesso àqueles recursos no computador do utilizador.
O sucesso de um ataque de clickjacking exige então três componentes essenciais. Primeiro, conteúdos embutidos. A acção pretendida que se encontra numa página não controlada pelo atacante, tem que estar embutida, de forma oculta ou mascarada, na página controlada por este, o que é possível recorrendo a código iframe. Em segundo, capacidades de ocultação. Os conteúdos pertencentes a terceiros, incluíndo o botão de reset de passwords, não serão visíveis apesar de se encontrarem activos. Isso é possível ajustando os níveis de opacidade, que permitem alterar a transparência dos objectos. Uma opacidade de nível zero, coloca um elemento gráfico totalmente transparente. Por fim, capacidades de layering, ou sobreposição. Os conteúdos controlados pelo atacante encontram-se sobrepostos aos conteúdos de terceiros, que não controlam directamente, ficando ambos posicionados de modo a garantir que os respectivos botões ficam alinhados com precisão. Isto é possível manipulando as propriedades de z-index, que definem a profundidade dos elementos numa página Web. Neste caso, os conteúdos de terceiros terão um valor de z-index superior aos do atacante, tornando visível apenas o botão "Go" destinado ao suposto download, em vez do botão "OK" destinado ao reset da password, que será efectivamente o clicado e activado.
Resumindo, ao combinar uma variedade de técnicas de formatação de HTML legítimas, o clickjacking contribui para o sucesso das comuns técnicas de engenharia social, fazendo passar qualquer tipo de conteúdo que se pretenda por algo credível e atractivo para os utilizadores. A partir do momento em que se consegue influenciá-los a clicarem onde se deseja, os potenciais ataques que podem ser realizados tornam-se virtualmente ilimitados. Desde levar um utilizador a transferir dados para um site controlado pelo atacante, a garantir o acesso a uma conta da vítima protegida por autenticação, toda a privacidade pode ser facilmente colocada em causa.
E se a Adobe solucionou o problema adicionando código que impede a manipulação do seu gestor de configurações com código iframe, o clickjacking continua a ser perfeitamente viável mesmo na maioria dos browsers Web modernos, já que praticamente todos consideram como padrão as propriedades acima mencionadas (z-index, opacidade, iframes). Individualmente, são ferramentas poderosas que permitem criar aplicações Web verdadeiramente impressionantes. Mas quando combinadas e utilizadas para fins maliciosos, podem ser facilmente transformadas em vectores de ataque viáveis, não explorando vulnerabilidades, mas antes abusando de funcionalidades legítimas para outras finalidades que não aquelas para as quais originalmente foram desenvolvidas.
Os browsers, mesmo incluindo todos os pacotes de correcções disponíveis, não conseguem proteger contra esta ameaça porque nestes casos funcionam simplesmente como é suposto. Na Panda Security, alertamos frequentemente para o facto de que a mera desactivação de scripts nos browsers não é uma solução viável, apesar de muitos a julgarem suficiente. Basicamente porque a grande maioria das aplicações Web modernas necessita de JavaScript para funcionar correctamente. As empresas necessitam de soluções avançadas de controlo e monitorização dos acessos e do tráfego Web, como o Panda Cloud Internet Protection, que permite um controlo granular sobre a execução de conteúdos activos, como JavaScript, Flash e outros plugins comuns, incorporando paralelamente controlos específicos para identificar e bloquear ataques como os de clickjacking.
Os utilizadores particulares devem garantir a sua segurança com soluções antivírus avançadas, com funcionalidades de filtragem de conteúdos, como as que se encontram incluídas em toda a gama de consumo 2012 da Panda Security.
HomePage : Panda Security
Resumindo, ao combinar uma variedade de técnicas de formatação de HTML legítimas, o clickjacking contribui para o sucesso das comuns técnicas de engenharia social, fazendo passar qualquer tipo de conteúdo que se pretenda por algo credível e atractivo para os utilizadores. A partir do momento em que se consegue influenciá-los a clicarem onde se deseja, os potenciais ataques que podem ser realizados tornam-se virtualmente ilimitados. Desde levar um utilizador a transferir dados para um site controlado pelo atacante, a garantir o acesso a uma conta da vítima protegida por autenticação, toda a privacidade pode ser facilmente colocada em causa.
E se a Adobe solucionou o problema adicionando código que impede a manipulação do seu gestor de configurações com código iframe, o clickjacking continua a ser perfeitamente viável mesmo na maioria dos browsers Web modernos, já que praticamente todos consideram como padrão as propriedades acima mencionadas (z-index, opacidade, iframes). Individualmente, são ferramentas poderosas que permitem criar aplicações Web verdadeiramente impressionantes. Mas quando combinadas e utilizadas para fins maliciosos, podem ser facilmente transformadas em vectores de ataque viáveis, não explorando vulnerabilidades, mas antes abusando de funcionalidades legítimas para outras finalidades que não aquelas para as quais originalmente foram desenvolvidas.
Os browsers, mesmo incluindo todos os pacotes de correcções disponíveis, não conseguem proteger contra esta ameaça porque nestes casos funcionam simplesmente como é suposto. Na Panda Security, alertamos frequentemente para o facto de que a mera desactivação de scripts nos browsers não é uma solução viável, apesar de muitos a julgarem suficiente. Basicamente porque a grande maioria das aplicações Web modernas necessita de JavaScript para funcionar correctamente. As empresas necessitam de soluções avançadas de controlo e monitorização dos acessos e do tráfego Web, como o Panda Cloud Internet Protection, que permite um controlo granular sobre a execução de conteúdos activos, como JavaScript, Flash e outros plugins comuns, incorporando paralelamente controlos específicos para identificar e bloquear ataques como os de clickjacking.
Os utilizadores particulares devem garantir a sua segurança com soluções antivírus avançadas, com funcionalidades de filtragem de conteúdos, como as que se encontram incluídas em toda a gama de consumo 2012 da Panda Security.

{mosgoogle}