Dois pesquisadores de segurança, Robert Hansen, fundador e CEO da SecTheory, e Jeremiah Grossman, CTO da WhiteHat Security, apresentaram a nova classe de vulnerabilidade chamada clickjacking.
Mas, afinal, quão assustadora é essa nova técnica? Estamos falando de uma ameaça real ou apenas outro vetor teórico de ataque? E o que deve ser feito para que você proteja os computdores de sua empresa ou mesmo o PC que se tem em casa?
Confira, a seguir, sete perguntas e respostas que vão ajudá-lo a saber mais sobre o tema.
O que é clickjacking?
Não há uma explicação clara sobre o clickjacking, até por que Hansen e Grossman estão fazendo segredo dos detalhes mais profundos. Em entrevista ao Computerworld (EUA), Grossman resumiu: "Pense em qualquer botão em qualquer site. Podem ser os botões do Digg, banners de CPC, da Netflix.... A lista é quase infinita. Imagine que o ataque ‘sequestra’ esse botão, ou seja, o usuário clica no botão pensando estar tudo bem, mas na verdade ele clica no que o cracker escolheu".
Em português, clickjacking permite que crackers escondam programas maliciosos abaixo de um botão legítimo em um portal legítimo.
Clickjacking é algo novo?
Não. Ele é similar ao cross-site request forgery (pedido falso entre sites) - um tipo de vulnerabilidade que é conhecido desde os anos 1990. Vulnerabilidades de CSRF foram apresentadas em grandes portais como o do New York Times e YouTube.
Coincidentemente ou não, a Mozilla lançou uma correção recente contra o clickjacking, uma falha parecida com aquela que a Microsoft corrigiu no Internet Explorer em 2003 e em 2004.
Como um ataque de clickjacking funciona?
Apesar das poucas informações, o pesquisador de segurança Michal Zalewski que trabalha no Google, deu um exemplo. "Uma página maliciosa A pode criar um IFRAME apontando para uma aplicação no site B, um portal legítimo, no qual o usuário é autenticado via cookies. Aí, o cracker colocaria um botão no domínio B que, por parecer legítimo, enganaria o usuário e o faria instalar algo indesejado”, escreveu Zalewski em uma mensagem em fórum.
Em outras palavras, o cracker engana os usuários e os faz visitar páginas maliciosas (ou baixar malware) contaminando pequenos botões em um site legítimo.
O clickjacking é muito ruim?
"Os criminosos podem fazer muitas coisas ruins com ele," disse Grossman em um post publicado duas semanas atrás.
Mas não são todos os especialistas que estão convencidos de que é uma vulnerabilidade crítica. "O mais difícil é descobrir o que é possível fazer com isso," escreveu Dave Aitel, CTO da Immunity, em mensagem para um fórum.
Como fazer para evitar a prática?
Não muito, por enquanto.
Com a escassez de informação, a única alternativa é buscar o Lynx, um navegador que permite apenas texto, criado na idade das trevas da internet: 1992. Mas eliminar o conteúdo gráfico para evitar o clickjacking não é uma resposta aceitável.
Hansen afirma que a combinação do Firefox com o NoScript, uma extensão que bloqueia JavaScript, Flash e Java content, mantém a segurança em "quase 99,99% dos casos."
Com o gratuito NoScript, no entanto, vários portais se tornam inutilizáveis. O criador da extensão, Giorgio Maone, escreveu um post sobre como evitar o clickjacking.
Quando o clickjacking vai ser corrigido?Pergunta difícil. Hansen não tem idéia - ainda que ele ache que a única solução para os maiores navegadores (da Microsoft, Mozilla, Apple, Opera, Google) seja construir a proteção dentro das aplicações.
"Os únicos que podem corrigir isso são as empresas de navegadores," diz.
Ele e Grossman entraram em contato com a Microsoft, Mozilla e Apple (empresas que possuem mais de 98% do mercado de navegadores). "Estamos todos trabalhando em soluções," disse Hansen, mas ele afirmou que não tem certeza de que eles estão priorizando o problema.
Quando vamos saber mais sobre o clickjacking?
Em pouco tempo. Hansen e Grossman afirmaram que vão lançar quase todos os resultados das suas pesquisas (incluindo o código da prova de conceito) quando a Adobe enviar a correção para o problema de clickjacking no Flash.
Nenhum comentário:
Postar um comentário