COMPUTERWORLD - O portal voz do mercado de TI e Comunicação

A central de whitepapers de tecnologia da COMPUTERWORLD

Segurança

Nova vulnerabilidade crítica: Você sabe o que é Clickjacking?

Quase todos os navegadores estão vulneráveis ao novo tipo de ataque, mas os detalhes são escassos.

Computerworld, EUA

09 de outubro de 2008 - 07h00

página 1 de 1

Dois pesquisadores de segurança descobriram uma nova classe de vulnerabilidades, o "clickjacking," que atinge todos os grandes navegadores.

De acordo com Robert Hansen, fundador e CEO da SecTheory, e Jeremiah Grossman, CTO da WhiteHat Security, apresentaram a nova classe de vulnerabilidade chamada clickjacking. Algumas reportagens já foram feitas sobre isso.

Mas, afinal, quão assustadora é essa nova técnica? Estamos falando de uma ameaça real ou apenas outro vetor teórico de ataque? E o que deve ser feito para que você proteja a sua empresa?

Complemento (add-on) do Firefox auxilia no combate ao clickjacking.

Confira, a seguir, perguntas e respostas do FAQ sobre clickjacking.

O que é clickjacking?

Não há uma explicação clara sobre o clickjacking, até por que Hansen e Grossman estão fazendo segredo dos detalhes mais profundos.

Em entrevista ao Computerworld, EUA, Grossman resumiu: "Pense em qualquer botão em qualquer site. Podem ser os botões do Digg, banners de CPC, da Netflix.... A lista é quase infinita. Imagine que o ataque ‘sequestra’ esse botão, ou seja, o usuário clica no botão pensando estar tudo bem, mas na verdade ele clica no que o cracker escolheu."

Em português, clickjacking permite que crackers escondam programas maliciosos abaixo de um botão legítimo em um portal legítimo.

Clickjacking é algo novo?

Não. Ele é similar ao cross-site request forgery (pedido falso entre sites) - um tipo de vulnerabilidade que é conhecido desde os anos 90. Vulnerabilidades de CSRF foram apresentadas em grandes portais como o do New York Times e YouTube.

Coincidentemente ou não, a Mozilla lançou uma correção recente contra o clickjacking, uma falha parecida com aquela que a Microsoft corrigiu no Internet Explorer em 2003 e em 2004.

Como um ataque de clickjacking funciona?

Apesar das poucas informações, o pesquisador de segurança Michal Zalewski que trabalha no Google, deu um exemplo. "Uma página maliciosa A pode criar um IFRAME apontando para uma aplicação no site B, um portal legítimo, no qual o usuário é autenticado via cookies. Aí, o cracker colocaria um botão no domínio B que, por parecer legítimo, enganaria o usuário e o faria instalar algo indesejado”, escreveu Zalewski em uma mensagem em fórum.

Em outras palavras, o cracker engana os usuários e os faz visitar páginas maliciosas (ou baixar malware) contaminando pequenos botões em um site legítimo.

O clickjacking é muito ruim?

"Os criminosos podem fazer muitas coisas ruins com ele," disse Grossman em um post publicado duas semanas atrás.

Mas não são todos os especialistas que estão convencidos de que é uma vulnerabilidade crítica. "O mais difícil é descobrir o que é possível fazer com isso," escreveu Dave Aitel, CTO da Immunity, em mensagem para um fórum.

Como fazer para evitar a prática?

Não muito, por enquanto.

Com a escassez de informação, a única alternativa é buscar o Lynx, um navegador que permite apenas texto, criado na idade das trevas da internet: 1992. Mas eliminar o conteúdo gráfico para evitar o clickjacking não é uma resposta aceitável.

Hansen afirma que a combinação do Firefox com o NoScript, uma extensão que bloqueia JavaScript, Flash e Java content, mantém a segurança em "quase 99,99% dos casos."

Com o gratuito NoScript, no entanto, vários portais se tornam inutilizáveis. O criador da extensão, Giorgio Maone, escreveu um post sobre como evitar o clickjacking.

Quando o clickjacking vai ser corrigido?

Pergunta difícil. Hansen não tem idéia - ainda que ele ache que a única solução para os maiores navegadores (da Microsoft, Mozilla, Apple, Opera, Google) seja construir a proteção dentro das aplicações.

"Os únicos que podem corrigir isso são as empresas de navegadores," diz.

Ele e Grossman entraram em contato com a Microsoft, Mozilla e Apple (empresas que possuem mais de 98% do mercado de navegadores). "Estamos todos trabalhando em soluções," disse Hansen, mas ele afirmou que não tem certeza de que eles estão priorizando o problema.

Quando vamos saber mais sobre o clickjacking?

Em pouco tempo. Hansen e Grossman afirmaram que vão lançar quase todos os resultados das suas pesquisas (incluindo o código da prova de conceito) quando a Adobe enviar a correção para o problema de clickjacking no Flash.

Widgets Computerworld

Coloque a Computerworld no seu site
Newsletters Computerworld

Assine as newsletters da Computerworld

As mais lidas

Dia

Semana

Mês

Cloud computing é difícil?

O ITBOARD materializa a nova plataforma de conversas do Século XXI. Concentra o diálogo sobre tecnologia e inovação movido a tweets de quem está imerso nesses assuntos. ENTRE NA CONVERSA

Copyright 2012 Now!Digital Business Ltda. Todos os direitos reservados.
A reprodução total ou parcial de qualquer meio ou forma sem expressa autorização por escrito da Now!Digital Business Ltda. é proibida. Computerworld é uma propriedade da International Data Group, Inc., licenciado pela Now!Digital Business Ltda.