- Entrou
- Mai 10, 2007
- Mensagens
- 5,696
- Gostos Recebidos
- 0
Uma das mais recentes tendências na indústria da segurança informática é o "clickjacking". Este termo define um tipo de ataque que, não sendo necessariamente novo, está a ter um ressurgimento nos últimos tempos, depois de terem surgido alguns trabalhos que demonstram a sua eficiência face a utilização actual da Internet. A natureza deste tipo de ataque é aparentemente simples: levar o utilizador a fazer clique num determinado botão (que pode servir para submeter informação, dar autorização para a execução de um código executável, etc.), fazendo com que esse propósito seja ocultado do utilizador, mascarando uma página com outra.
Trata-se de um ataque simples, com resultados imediatos. Por exemplo, foi recentemente demonstrado como, através de um aparentemente inocente jogo em que o utilizador tinha de clicar o mais rapidamente possível em botões que iam surgindo no ecrã, é possível de forma bastante simples ter acesso à webcam e ao microfone de um utilizador que possua estes recursos e tenha instalada a última versão do Adobe Flash.
Mas as aplicações desta técnica são inúmeras, sendo que existem hipóteses muito mais perigosas do que a mera apropriação da webcam. Desde que possa ser feito com recurso a um browser, pode ser emulado com recurso ao clickjacking. Outra aplicação proposta por um dos consultores que divulgou inicialmente o problema explicava como, em teoria, um utilizador malicioso poderia desligar a firewall de um router através de um ataque do género, abrindo a porta para todo o tipo de actividades maliciosas subsequentes. Ou pensemos por exemplo num ataque aos serviços de um banco on-line: depois de o utilizador estar ligado, esta técnica pode ser utilizada para, por exemplo, serem efectuadas transferências de dinheiro sem que o utilizador se aperceba.
Não é de aplicação simples (teria de ser um ataque direccionado, que infelizmente são cada vez mais comuns), mas não tem sido isso que tem impedido os hackers de nos últimos anos terem causado prejuízos de muitos milhões de euros a utilizadores individuais e empresas de todo o mundo.
Existem casos, inclusivamente em Portugal, de malware combinado com ataques de phishing para furtar informação financeira e dinheiro aos utilizadores, pelo que adicionar esta técnica ao portfólio dos ciber-criminosos abriria ainda mais possibilidades de sucesso.
O mais grave do clickjacking é que não há propriamente uma solução simples para a sua resolução. As diferentes técnicas utilizadas para um ataque deste género são perfeitamente inocentes por si e podem ser aplicadas de forma legítima num normal projecto de webdesign. É a sua conjugação num determinado ambiente muito específico que dita a perigosidade das mesmas, o que torna extremamente difícil a sua detecção ou a prevenção destes ataques sem que a experiência de utilização da Internet sofra. Por exemplo, é possível desabilitar a execução de scripts ou de ficheiros Flash no browser (em alguns casos é necessário recorrer a extensões ou plug-ins), embora a maioria dos sites actualmente dependa bastante destes componentes. Autorizar a execução deste tipo de conteúdo apenas em sites fidedignos é uma boa medida, mas exige um grande esforço do utilizador na configuração e não existe salvaguarda se uma página que autorizámos for atacada e nela for introduzidos componentes maliciosos. Assim, o problema só poderá desaparecer por completo se forem repensadas algumas normas e questões importantes no funcionamento da Web e dos browsers. Até lá, as empresas fabricantes de soluções anti-malware têm mais um tipo de ameaças com que se preocupar.
Torna-se por isso cada vez mais fundamental optar por uma solução de segurança com funcionalidades de análise comportamental e de inspecção do tráfego Web. Estas características podem desempenhar um papel muito importante na mitigação do clickjacking até que browsers e tecnologias sejam actualizados.
Trata-se de um ataque simples, com resultados imediatos. Por exemplo, foi recentemente demonstrado como, através de um aparentemente inocente jogo em que o utilizador tinha de clicar o mais rapidamente possível em botões que iam surgindo no ecrã, é possível de forma bastante simples ter acesso à webcam e ao microfone de um utilizador que possua estes recursos e tenha instalada a última versão do Adobe Flash.
Mas as aplicações desta técnica são inúmeras, sendo que existem hipóteses muito mais perigosas do que a mera apropriação da webcam. Desde que possa ser feito com recurso a um browser, pode ser emulado com recurso ao clickjacking. Outra aplicação proposta por um dos consultores que divulgou inicialmente o problema explicava como, em teoria, um utilizador malicioso poderia desligar a firewall de um router através de um ataque do género, abrindo a porta para todo o tipo de actividades maliciosas subsequentes. Ou pensemos por exemplo num ataque aos serviços de um banco on-line: depois de o utilizador estar ligado, esta técnica pode ser utilizada para, por exemplo, serem efectuadas transferências de dinheiro sem que o utilizador se aperceba.
Não é de aplicação simples (teria de ser um ataque direccionado, que infelizmente são cada vez mais comuns), mas não tem sido isso que tem impedido os hackers de nos últimos anos terem causado prejuízos de muitos milhões de euros a utilizadores individuais e empresas de todo o mundo.
Existem casos, inclusivamente em Portugal, de malware combinado com ataques de phishing para furtar informação financeira e dinheiro aos utilizadores, pelo que adicionar esta técnica ao portfólio dos ciber-criminosos abriria ainda mais possibilidades de sucesso.
O mais grave do clickjacking é que não há propriamente uma solução simples para a sua resolução. As diferentes técnicas utilizadas para um ataque deste género são perfeitamente inocentes por si e podem ser aplicadas de forma legítima num normal projecto de webdesign. É a sua conjugação num determinado ambiente muito específico que dita a perigosidade das mesmas, o que torna extremamente difícil a sua detecção ou a prevenção destes ataques sem que a experiência de utilização da Internet sofra. Por exemplo, é possível desabilitar a execução de scripts ou de ficheiros Flash no browser (em alguns casos é necessário recorrer a extensões ou plug-ins), embora a maioria dos sites actualmente dependa bastante destes componentes. Autorizar a execução deste tipo de conteúdo apenas em sites fidedignos é uma boa medida, mas exige um grande esforço do utilizador na configuração e não existe salvaguarda se uma página que autorizámos for atacada e nela for introduzidos componentes maliciosos. Assim, o problema só poderá desaparecer por completo se forem repensadas algumas normas e questões importantes no funcionamento da Web e dos browsers. Até lá, as empresas fabricantes de soluções anti-malware têm mais um tipo de ameaças com que se preocupar.
Torna-se por isso cada vez mais fundamental optar por uma solução de segurança com funcionalidades de análise comportamental e de inspecção do tráfego Web. Estas características podem desempenhar um papel muito importante na mitigação do clickjacking até que browsers e tecnologias sejam actualizados.