Quase todos os navegadores estão vulneráveis ao novo tipo de ataque, mas os detalhes são escassos.
Dois pesquisadores de segurança descobriram uma nova classe
de vulnerabilidades, o “clickjacking,” que atinge todos os grandes
navegadores.
De acordo com Robert Hansen, fundador e CEO da SecTheory, e
Jeremiah Grossman, CTO da WhiteHat Security, apresentaram a nova classe de
vulnerabilidade chamada clickjacking. Algumas reportagens já foram feitas sobre
isso.
Mas, afinal, quão assustadora é essa nova técnica? Estamos
falando de uma ameaça real ou apenas outro vetor teórico de ataque? E o que
deve ser feito para que você proteja a sua empresa?
Complemento (add-on) do Firefox auxilia no combate ao clickjacking.
Confira, a seguir, perguntas e respostas do FAQ sobre
clickjacking.
O que é clickjacking?
Não há uma explicação clara sobre o clickjacking, até por
que Hansen e Grossman estão fazendo segredo dos detalhes mais profundos.
Em entrevista ao Computerworld, EUA, Grossman resumiu: “Pense
em qualquer botão em qualquer site. Podem ser os botões do Digg, banners de CPC,
da Netflix…. A lista é quase infinita. Imagine que o ataque ‘sequestra’ esse
botão, ou seja, o usuário clica no botão pensando estar tudo bem, mas na
verdade ele clica no que o cracker escolheu.”
Em português, clickjacking permite que crackers escondam programas
maliciosos abaixo de um botão legítimo em um portal legítimo.
Clickjacking é algo novo?
Não. Ele é similar ao cross-site request forgery (pedido falso
entre sites) – um tipo de vulnerabilidade que é conhecido desde os anos 90.
Vulnerabilidades de CSRF foram apresentadas em grandes
portais como o do New York Times e YouTube.
Coincidentemente ou não, a Mozilla lançou uma correção
recente contra o clickjacking, uma falha parecida com aquela que a Microsoft
corrigiu no Internet Explorer em 2003 e em 2004.
Como um ataque de clickjacking funciona?
Apesar das poucas informações, o pesquisador de segurança
Michal Zalewski que trabalha no Google, deu um exemplo. “Uma página
maliciosa A pode criar um IFRAME apontando para uma aplicação no site B, um
portal legítimo, no qual o usuário é autenticado via cookies. Aí, o cracker
colocaria um botão no domínio B que, por parecer legítimo, enganaria o usuário e
o faria instalar algo indesejado”, escreveu Zalewski
em uma mensagem em fórum.
Em outras palavras, o cracker engana os usuários e os faz
visitar páginas maliciosas (ou baixar malware) contaminando pequenos botões em
um site legítimo.
O clickjacking é muito ruim?
“Os criminosos podem fazer muitas coisas ruins com ele,”
disse Grossman em um post publicado duas semanas atrás.
Mas não são todos os especialistas que estão convencidos de
que é uma vulnerabilidade crítica. “O mais difícil é descobrir o que é
possível fazer com isso,” escreveu Dave Aitel, CTO da Immunity, em
mensagem para um fórum.
Como fazer para evitar a prática?
Não muito, por enquanto.
Com a escassez de informação, a única alternativa é buscar o
Lynx, um navegador que permite apenas texto, criado na idade das trevas da internet:
1992. Mas eliminar o conteúdo gráfico para evitar o clickjacking não é uma resposta aceitável.
Hansen afirma que a combinação do Firefox com o NoScript, uma
extensão que bloqueia JavaScript, Flash e Java content, mantém a segurança em “quase
99,99% dos casos.”
Com o gratuito NoScript, no entanto, vários portais se
tornam inutilizáveis. O criador da extensão, Giorgio Maone, escreveu um post sobre
como evitar o clickjacking.
Quando o clickjacking vai ser corrigido?
Pergunta difícil. Hansen não tem idéia – ainda que ele ache
que a única solução para os maiores navegadores (da Microsoft, Mozilla, Apple,
Opera, Google) seja construir a proteção dentro das aplicações.
“Os únicos que podem corrigir isso são as empresas de
navegadores,” diz.
Ele e Grossman entraram em contato com a Microsoft, Mozilla e
Apple (empresas que possuem mais de 98% do mercado de navegadores). “Estamos
todos trabalhando em soluções,” disse Hansen, mas ele afirmou que não tem
certeza de que eles estão priorizando o problema.
Quando vamos saber mais sobre o clickjacking?
Em pouco tempo. Hansen e Grossman afirmaram que vão lançar quase todos os resultados das suas pesquisas (incluindo o código da prova de conceito) quando a Adobe enviar a correção para o problema de clickjacking no Flash.
