Το IE8's Clickjacking Fix Δεν είναι πολύ βοήθεια, οι εμπειρογνώμονες λένε

Η Microsoft κυκλοφόρησε την τεχνολογία ως μέρος δοκιμαστικής έκδοσης -generation Internet Explorer 8, λέγοντας ότι η εταιρεία είχε αναπτύξει "έτοιμη για τον καταναλωτή" προστασία για μια επίθεση γνωστή ως clickjacking. Στο clickjacking, οι επιτιθέμενοι χρησιμοποιούν ειδικό προγραμματισμό στο Διαδίκτυο για να ξεγελάσουν τα θύματα κάνοντας κλικ στο κουμπί Web χωρίς να το καταλάβουν. Η επίθεση είναι δύσκολο να τραβηχτεί, αλλά στη χειρότερη περίπτωση, το clickjacking μπορεί να κάνει κάποια πολύ άσχημα πράγματα, όπως η εκτέλεση χρηματιστηριακών συναλλαγών στις οικονομικές τοποθεσίες Web, η αλλαγή των παραμέτρων του δρομολογητή ή του τείχους προστασίας, ή ακόμα και να αναγκάσει κάποιον να κατεβάσει ανεπιθύμητο λογισμικό. το πρόβλημα είναι τόσο τεράστιο που οι εμπειρογνώμονες της ασφάλειας ανησυχούν ότι η προσέγγιση της Microsoft, η οποία λειτουργεί μόνο όταν οι υπεύθυνοι ανάπτυξης ιστοσελίδων προσθέτουν ειδικές ετικέτες στις σελίδες τους που εμποδίζουν την κατάχρηση των δικών τους κουμπιών στο Web, ενδέχεται να καταλήξουν στους χρήστες του IE σε μια ψευδή αίσθηση ασφάλειας. [

] "Δεν είναι μια λύση για το clickjacking από οποιοδήποτε τμήμα της φαντασίας. Είναι ένας ασαφώς ελαφρυντικός παράγοντας για τους πολύ λίγους ανθρώπους που χρησιμοποιούν το IE8", δήλωσε ο Robert Hansen, Διευθύνων Σύμβουλος του συμβούλου SecTheory και ενός από τους ανθρώπους που ανέφεραν για πρώτη φορά το ζήτημα στη Microsoft. "Αλλά είναι ενδιαφέρον ότι το παίρνουν σοβαρά."

Ενώ κάποιες τοποθεσίες Web σίγουρα θα χρησιμοποιήσουν την τεχνολογία της Microsoft για να αποτρέψουν τους IE τους επισκέπτες από το να χτυπήσουν με clickjacking, υπάρχουν απλά πάρα πολλοί άλλοι τομείς όπου ο κώδικας HTML είναι απίθανο να είναι οι επικαιροποιημένοι και οι χάκερ θα μπορούσαν να εκτοξεύσουν επιθέσεις - στοχεύοντας σε διαχειριστικές διεπαφές δρομολογητών ή σε εταιρικές εφαρμογές ή πηγαίνοντας μετά από τοποθεσίες Web που δεν έχουν πάρει γύρω από την εφαρμογή της επιδιόρθωσης της Microsoft. "Αυτή είναι μια λύση η οποία, ακόμη και αν ο καθένας αποφασίσει ότι αυτός είναι ο σωστός τρόπος για να κάνει τα πράγματα, θα εξακολουθήσει να χρειάζεται χρόνια και χρόνια εκπαίδευσης», δήλωσε ο Hansen.

Ακόμη χειρότερα, ορισμένοι χρήστες ενδέχεται να πιστεύουν εσφαλμένα ότι προστατεύονται από απλά επειδή χρησιμοποιούν το IE, σύμφωνα με τον Giorgio Maone, τον προγραμματιστή του plugin Firefox NoScript, που θεωρείται γενικά η καλύτερη προστασία από πολλές επιθέσεις που βασίζονται στο Web, συμπεριλαμβανομένου του clickjacking. "Τα κακά νέα για τους ενθουσιώδες IE είναι ότι δεν έχουν καμία μαγεία" έξω από το κουτί "προστασία», έγραψε στο blog του την Τρίτη. "Είναι αλήθεια ότι δεν απαιτεί κανένα πρόσθετο πρόγραμμα περιήγησης … αλλά έρχεται με ακόμα πιο αυστηρή απαίτηση: όλοι οι χώροι που πρέπει να προστατευθούν πρέπει να έχουν ήδη υιοθετήσει μια νέα ιδιόκτητη χάκερ, δηλαδή κάτι που ο τελικός χρήστης δεν μπορεί να επαληθεύσει, πόσο μάλλον να επιβάλουμε. "

Το NoScript επιτρέπει στους χρήστες να εμποδίζουν επιλεκτικά τη χρήση γλωσσών δέσμης ενεργειών στο πρόγραμμα περιήγησης Firefox. Επειδή το clickjacking απαιτεί δέσμες ενεργειών, η επίθεση δεν λειτουργεί όταν είναι ενεργοποιημένη η λειτουργία NoScript.

Για μήνες, η προσθήκη του Maone ήταν η πιο γνωστή τεχνολογία για την παρεμπόδιση του clickjacking. Με τον κώδικα δοκιμής IE 8, ωστόσο, η Microsoft έχει τελικά την δική της εναλλακτική λύση.

Για να βοηθήσει την κατάσταση, η Maone αναπτύσσει μια δυνατότητα συμβατότητας, ώστε οι χρήστες του NoScript να μπορούν να επωφεληθούν από τον ίδιο κώδικα Web που χρησιμοποιείται από τον IE τώρα ασκεί πιέσεις για να συμπεριλάβει αυτό το χαρακτηριστικό σε μια επερχόμενη έκδοση του Firefox.

Οι Hansen και Maone επέκρινε επίσης τη Microsoft για την παρακράτηση τεχνικών λεπτομερειών της τεχνολογίας. "Παρόλο που το έκαναν αυτό, δεν έδωσαν οδηγίες για το πώς θα το χρησιμοποιήσουν πραγματικά", δήλωσε ο Hansen.

Σε μια δήλωση που έστειλε με ηλεκτρονικό ταχυδρομείο, η Microsoft δήλωσε ότι σχεδίαζε να παρουσιάσει μια θέση στο blog σχετικά με το anti-clickjacking να παρουσιάσει κάποια στιγμή αυτή την εβδομάδα και ότι είχε συνεργαστεί με όλους τους σημαντικούς προμηθευτές προγραμμάτων περιήγησης "για να λάβουμε σχόλια και πληροφορίες σχετικά με την εφαρμογή της ετικέτας clickjacking προτού αποστείλουμε τον Internet Explorer 8 RC1."

Αυτή η δημοσίευση μπορεί να είναι χρήσιμη. Όπως συμβαίνει τώρα, φαίνεται ότι "το χαρακτηριστικό δεν επιτρέπει στον χρήστη να προστατεύσει τον εαυτό του", δήλωσε ο Jeremiah Grossman, επικεφαλής της τεχνολογίας με το White Hat Security.

Ο Hansen δήλωσε ότι οι προγραμματιστές της Microsoft πρότειναν για πρώτη φορά το IE8 clickjacking να διορθωθεί πριν από αρκετούς μήνες, όταν για πρώτη φορά περιέγραψε το πρόβλημα σε αυτούς. "Το απέρριψα ως μια μακροπρόθεσμη και βιώσιμη λύση για το clickjacking", δήλωσε.