"Clickjacking" - nowy koszmar internautów
Dwóch ekspertów do spraw zabezpieczeń rozłożyło na czynniki pierwsze wielkie niebezpieczeństwo, jakie czyha na internautów. Na razie jednak go nie poznamy.
Omawiani eksperci odwołali zaplanowany na konferencję OWASP wykład poświęcony krytycznym lukom bezpieczeństwa w przeglądarkach i stronach WWW. Uzasadnieniem swojej decyzji wywołali poddenerwowanie wśród społeczności związanej z branżą. Na łamach swojego bloga jeden z prelegentów - Robert "RSnake" Hansen - przekonuje, że wykryte usterki są tak poważne, iż przed ich publikacją konieczna jest konsultacja z producentami oprogramowania.
Opracowywany przez Hansena i jego kolegę Jeremiaha Grossmana wykład nosi dźwięczny tytuł "Clickjacking" ("przechwytywanie kliknięć"). W opinii obu ekspertów specjalna kombinacja znalezionych luk umożliwia potencjalnemu napastnikowi skłonienie użytkownika do kliknięcia "czegoś prawie niewidocznego lub widocznego bardzo krótko" zamiast kliknięcia prawidłowego odnośnika. Taka usterka to nie lada gratka dla phisherów i nieoceniona pomoc w dokonywaniu kolejnych ataków. Jeden z problemów dotyczy "stron internetowych w ogóle" - pisze Grossman. Dodaje ponadto, że nie zamierza czekać, aż każdy z webmasterów zainstaluje odpowiednią aktualizację oprogramowania serwerowego i już prowadzi prace nad stworzeniem specjalnego mechanizmu dla przeglądarek mającego chronić użytkowników. Jego zdaniem clickjacking jest właściwie powszechnie znany, ale wciąż niedoceniany.
W pierwszym oficjalnym komunikacie organizatorów konferencji można było przeczytać, że wykład "został odwołany na skutek nacisków". Z kolei sformułowanie użyte przez Grossmana - jakoby odwołanie wykładu nastąpiło na życzenie producentów ("postponed by vendor request") - przywołuje nieprzyjemne skojarzenia ze sprawą Cisco kontra Michael Lynn. Przypomnijmy, że w 2005 roku potentat branży sieciowej podał do sądu autora wykładu wygłoszonego podczas konferencji BlackHat, a dotyczącego systemu operacyjnego IOS dla routerów. Natomiast Hansen zdecydowanie odżegnuje się od takich porównań, twierdząc, że rezygnacja z wykładu to jego własna decyzja.
Ponadto Hansen i Grossmann poinformowali, że nawiązali już współpracę z producentami oprogramowania - m.in. Microsoftem (sprawa dotyczy ponoć także przeglądarki IE8) i firmą Adobe - w celu wspólnego rozwiązania problemu przechwytywania kliknięć. Przedstawiciele Adobe'a przyznali na łamach firmowego bloga, że jeden z produktów firmy jest podatny na zagrożenia; podjęto już także działania zmierzające do wyeliminowania błędów.
Obaj niedoszli prelegenci to postacie doskonale znane w branży bezpieczeństwa informatycznego. W zeszłym roku odkryli między innymi usterkę w Firefoksie, która pozwalała napastnikom na odczyt historii surfowania internauty. Poza tym Hansen zorganizował na początku tego roku zawody na napisanie najkrótszego robaka XSS.
