Domů > Odborné články > Základní vzdělávání > Clickjacking aneb Víte, na co „klikáte“?
Odborný článek

Clickjacking aneb Víte, na co „klikáte“?

1. 4. 2011 Základní vzdělávání
Autor
Mgr. René Szotkowski Ph.D.

Anotace

Příspěvek je orientován na u nás málo známý a poměrně nový způsob útoku na počítač připojený k internetu zvaný clickjacking. Clickjacking představuje metodu (soubor metod) umožňující útočníkovi na dálku ovládat počítač a získávat důvěrná data.

Úvod

Svět, ve kterém dnes žijeme, je nazýván informačním. Je ovládán reklamou, moderní technikou, informačními a komunikačními technologiemi a médii, mezi nimiž má bezesporu nejvýznamnější postavení internet. Virtuální prostředí prezentované globálním systémem sítí navzájem propojených počítačů a nabízející komunikaci bez hranic, zábavu či odreagování. Zejména je však ceněn coby studnice volně dostupných informací.

Současná mládež jej považuje za zcela přirozený zdroj a prostředek zábavy, který využívá nejen doma, ale i ve škole. S nadsázkou by se dokonce dalo říci, že už si život bez něj nedokáže ani představit.

Internet a jeho nebezpečí

Pro internet i pro svět reálný, hmotný je příznačné, že skýtá mnohá a často skrytá nebezpečí. Se vzrůstající frekvencí slýcháme o zneužití naší elektronické identity, o kyberšikaně, dětské pornografii, sociálním inženýrství, závadném obsahu atp.

Na počítač připojený k internetu je vedeno množství nejrůznějších útoků, např. spam (nevyžádaná pošta), vir (počítačový program, který šíří sám sebe bez vědomí uživatele), bho (sledování činnosti v Internet Exploreru), hijacker (program měnící nastavení počítače), exploid (programy využívající známých bezpečnostních děr v operačních systémech ke spouštění škodlivého softwaru), dialer (aplikace schopná přesměrovat připojení k internetu), rootkit (aplikace maskující činnost nežádoucích programů), adware (software na nevyžádanou reklamu), spyware (aplikace umožňující nepozorovaně sledovat práci uživatele), hacking (neoprávněné vnikání do cizího softwaru), hoax (poplašná zpráva), phising (získávání údajů například prostřednictvím falešných www stránek), pharming (přesměrování na falešné stránky) apod. Ve výčtu bychom mohli pokračovat, zaměříme se však na u nás málo známý způsob útoku na on-line připojený počítač zvaný clickjacking.

Clickjacking

Clikjacking lze charakterizovat jako metodu (soubor metod) útoku na počítač připojený k internetu prostřednictvím podstrčeného škodlivého kódu umístěného na útočné www stránce.

Útočná stránka je zpravidla zhotovena tak, aby co možná nejlépe nalákala a přiměla uživatele k prohlížení jejího obsahu. Zdánlivě působí bezpečným dojmem, ale pod „důvěryhodnými“ daty skrývá řídící prvky (jiné stránky, odkazy, formuláře, aplikace), které agresorovi umožní zneužití počítače pomocí nežádoucí interakce uživatele s www stránkou. Postup je takový, že útočník skrze vnořený plovoucí rám, tzv. iframe, vkládá do stránky rám přesné velikosti a zobrazuje v něm stránku jinou, modifikovanou, atraktivní. Snaží se tak přivábit internetového uživatele, aby na ni klikal, třeba na určité tlačítko či obrázek. Podaří-li se mu záměr, může kupříkladu bez jeho vědomí ovládnout celý počítač.

Problematika clickjackingu je známá již několik let. Jako první na tento způsob ataku na osobní počítač upozornili v roce 2008 dva vědci zabývající se počítačovou bezpečností – Robert Hansen a Jeremiah Grossman (1) – a zveřejnili podrobný scénář konkrétního nasazení clickjackingu ohrožujícího data uživatelů internetu.

Clickjacking – příklady útoků

Způsobů, jak může clickjacking napadnout počítač připojený k internetu je celá řada. Nejčastěji je uváděn příklad, kdy útočník změnil nastavení videopřehrávače a ovládl tak na počítači připojenou kameru nebo mikrofon. Nepozorovaně tak sledoval dění před kamerou, popřípadě odposlouchával vedenou konverzaci, aniž by uživatel cokoliv tušil. Tuto možnost útoku popsal a díky demonstračnímu videu názorně předvedl na svém blogu bezpečnostní specialista Guy Aharonovsky (2). Vytvořil fiktivní webovou stránku a umístil na ni JavaScriptovou hru s ukrytým kódem, který by při spuštění a hraní hry (klikání na množství tlačítek) dovolil agresorovi bez vědomí uživatele změnit nastavení Settings Manageru Flash Playeru tak, aby na dálku mohl ovládat a kontrolovat webovou kameru nebo mikrofon počítače.

Jiným a v současné době velmi aktuálním dokladem je clickjackingový útok cílený na uživatele Facebooku, na nějž poukázal Krzysztof Kotowicz (3). K útoku je využívána škodlivá webová stránka http://fb.59.to. Útočník si zřizuje falešný účet na Facebooku a uživatele láká zajímavým, event. vtipným obsahem (např. vtipné obrázky).

Jakmile uživatel na odkaz klikne, automaticky je přesměrován na stránku http://fb.59.to zobrazující falešný, tzv. Turingův, test, který jej vyzývá k vyhledání a následnému prokliknutí modrého tlačítka.

Modrým tlačítkem uživatel nevědomky povoluje sdílení odkazu svého účtu a vybízí i své přátele, sdílející jeho účet, ke stejnému kliknutí. Při této operaci je typické přesměrování na YouTube video, spouštějící se přibližně za 12 sekund. Uživatel tak získává iluzi, že odměnou za nalezení správného tlačítka je právě spuštěné video. Účelem tohoto útoku bylo, jak se zdá, získat co nejvíce lidí k tomu, aby si prohlédli zmíněnou ukázku, v budoucnu by však tento postup mohl sloužit k mnohem nebezpečnějším cílům.

Možnosti ochrany před clickjackingem

Ochrana proti clickjackingovému útoku je vzhledem k šíři možného zneužití tohoto fenoménu značně složitá. Clickjacking je v podstatě schopen napadnout jakýkoliv internetový prohlížeč, Internet Explorerem počínaje a Operou konče; pouze prohlížeče umožňující zobrazení samotného textu, např. Lynx, tvoří výjimku a nemohou být atakovány. Na clickjacking lze mimo JavaScript, vnořený do plovoucího rámu iFrame, narazit i ve Flash prezentacích, kaskádových stylech, ActiveX komponentech aj. Ovšem i za těchto okolností existuje několik možností ochrany, které si dále uvedeme.

Nejprve se zaměříme na aktivní prvky proti samotnému clickjackingu, které bývají implementovány v některých webových prohlížečích, přičemž prvním z nich, který se začal vybraným formám clickjacjkingového útoku bránit, byl Mozilla Firefox. Ten umožňuje instalaci zásuvného modulu (doplňku) NoScript (http://noscript.net/), zajišťujícího blokaci JavaScriptu, Flash aj. pluginů tak, aby byly spuštěny jen na stránkách považovaných za důvěryhodné. Verze Firefox 3.6.9 dokonce obsahuje i podporu http hlavičky, tzv. „X-FRAME-OPTIONS“, což znamená, že pokud je odeslána webová stránka se zmíněnou hlavičkou, nedojde z bezpečnostních důvodů k jejímu zobrazení – v HTML elementu nebude iFrame promítnut (4). Hlavička „X-FRAME-OPTIONS“ je v současné době implementována také v Google Chrome 2, Apple Safari 4.0, Opera 10.6 a Internet Explorer 8. Posledně jmenovaný prohlížeč Internet Explorer 8 rovněž disponuje tzv. SmartScreen filtrem, chránícím do určité míry uživatele proti některým formám útoku včetně clickjackingu.

V případě, že užíváme aplikaci Adobe Flash Player a chceme zamezit nechtěnému odposlouchávání prostřednictvím mikrofonu a webkamery, je nutno mít nainstalovánu aktuální verzi tohoto programu, minimálně verzi 10. Dále je vhodné dle doporučení společnosti Adobe provést jistá nastavení v panelu Global Privacy Settings, který nalezneme na http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager02.html. Veškerá nastavení v tomto panelu provádíme prostřednictvím záložek ve správci nastavení pro Adobe Flash Player. Důležitá je pro nás záložka „Globální nastavení osobních údajů“ (zcela vlevo), ve které můžeme použití mikrofonu a kamery dočasně povolit (tlačítko „Vždy se dotázat…“) nebo zcela zakázat (tlačítko „Vždy odmítnout…“).

Závěr

S ohledem na rychlý vývoj a zdokonalování komunity uživatelů internetu lze očekávat mnohem více propracovanější a sofistikovanější clickjackingové útoky na naše počítače. Částečně uklidňujícím faktem však je, že jsou společnosti zabývající se vývojem a distribucí prohlížečů internetu s těmito riziky seznámeny a podnikají kroky k jejich eliminaci.

Stejně si však na závěr dovolíme jednu otázku: „Víte, na co klikáte?

Literatura a použité zdroje

[1] – HANSEN, Robert; GROSSMAN, Jeremiah. Clickjacking. 2008. [cit. 2011-04-01]. Dostupný z WWW: [http://www.sectheory.com/clickjacking.htm].
[2] – AHARONOVSKY, Guy. Webcam ClickJacking. 2008. [cit. 2011-04-01]. Dostupný z WWW: [http://www.youtube.com/watch?v=gxyLbpldmuU].
[3] – KOTOWICZ, Krzysztof. New Facebook clickjacking attack in the wild - fb.59.to. 2009. [cit. 2011-04-01]. Dostupný z WWW: [http://blog.kotowicz.net/2009/12/new-facebook-clickjagging-attack-in.html].
[4] – VEČEŘA, Zdeněk. Firefox 3.6.9 přichází s ochranou proti ClickJackingu. 2010. [cit. 2011-04-01]. Dostupný z WWW: [http://www.zive.cz/bleskovky/firefox-369-prichazi-s-ochranou-proti-clickjackingu/sc-4-a-153681/default.aspx].

Licence

Všechny články jsou publikovány pod licencí Creative Commons BY-NC-ND.

Autor
Mgr. René Szotkowski Ph.D.

Hodnocení od uživatelů

Jana Kneřová
3. 4. 2011, 19:48
Díky za tento článek. Na témata kolem bezpečí na internetu běží diskuze. http://diskuze.…hp?f=489 . Můžeme si tam popovídat o našich zkušenostech.

Váš komentář

Pro vložení komentáře je nutné se nejprve přihlásit.

Článek není zařazen do žádného seriálu.

Téma článku:

Prevence / sociální a patologické jevy