Είναι δύσκολο να αντισταθείτε στο να κάνετε κλικ σε έναν σύνδεσμο δωρεάν προσφοράς iPhone. Αλλά να είστε προσεκτικοί: το κλικ σας μπορεί εύκολα να παραβιαστεί και τα αποτελέσματα μπορεί να είναι καταστροφικά.
Το Clickjacking είναι μια μέθοδος επίθεσης, γνωστή και ως Διόρθωση διεπαφής χρήστη, επειδή ρυθμίζεται συγκαλύπτοντας (ή επανορθώνοντας) έναν σύνδεσμο με μια επικάλυψη που εξαπατά τον χρήστη να κάνει κάτι διαφορετικό από αυτό που πιστεύει.
Οι περισσότεροι χρήστες των κοινωνικών δικτύων απολαμβάνουν την ευκολία να παραμένουν συνδεδεμένοι σε αυτά ανά πάσα στιγμή. Οι εισβολείς θα μπορούσαν εύκολα να εκμεταλλευτούν αυτή τη συνήθεια για να αναγκάσουν τους χρήστες να κάνουν like ή να ακολουθήσουν κάτι χωρίς να το καταλάβουν. Για να γίνει αυτό, ένας εγκληματίας του κυβερνοχώρου θα μπορούσε να τοποθετήσει ένα δελεαστικό κουμπί –για παράδειγμα, με ένα ελκυστικό κείμενο, όπως «Δωρεάν iPhone – προσφορά περιορισμένου χρόνου»– στη δική του ιστοσελίδα και να επικαλύψει ένα αόρατο πλαίσιο με τη σελίδα του κοινωνικού δικτύου σε αυτό έναν τρόπο που ένα κουμπί “Μου αρέσει” ή “Κοινή χρήση” βρίσκεται πάνω από το κουμπί Δωρεάν iPhone.
Αυτό το απλό τέχνασμα clickjacking μπορεί να αναγκάσει τους χρήστες του Facebook να κάνουν like σε ομάδες ή σελίδες θαυμαστών χωρίς να το γνωρίζουν.
Το περιγραφόμενο σενάριο είναι αρκετά αθώο, με την έννοια ότι η μόνη συνέπεια για το θύμα είναι να προστεθεί σε μια ομάδα κοινωνικού δικτύου. Αλλά με κάποια επιπλέον προσπάθεια, η ίδια τεχνική θα μπορούσε να χρησιμοποιηθεί για να προσδιοριστεί εάν ένας χρήστης είναι συνδεδεμένος στον τραπεζικό του λογαριασμό και, αντί να του αρέσει ή να μοιράζεται κάποιο στοιχείο κοινωνικής δικτύωσης, θα μπορούσε να αναγκαστεί να κάνει κλικ σε ένα κουμπί που μεταφέρει χρήματα σε ο λογαριασμός ενός εισβολέα, για παράδειγμα. Το χειρότερο μέρος είναι ότι η κακόβουλη ενέργεια δεν μπορεί να εντοπιστεί, επειδή ο χρήστης ήταν νόμιμος συνδεδεμένος στον τραπεζικό λογαριασμό του και έκανε οικειοθελώς κλικ στο κουμπί μεταφοράς.
Επειδή οι περισσότερες τεχνικές clickjacking απαιτούν κοινωνική μηχανική, τα κοινωνικά δίκτυα γίνονται ιδανικοί φορείς επίθεσης.
Ας δούμε πώς χρησιμοποιούνται.
Πίνακας περιεχομένων
Clickjacking στο Twitter
Πριν από περίπου δέκα χρόνια, το κοινωνικό δίκτυο Twitter υπέστη μια μαζική επίθεση που διέδωσε γρήγορα ένα μήνυμα, το οποίο οδήγησε τους χρήστες να κάνουν κλικ σε έναν σύνδεσμο, εκμεταλλευόμενοι τη φυσική τους περιέργεια.
Τα tweets με το κείμενο “Μην κάνετε κλικ”, ακολουθούμενα από έναν σύνδεσμο, διαδόθηκαν γρήγορα σε χιλιάδες λογαριασμούς Twitter. Όταν οι χρήστες έκαναν κλικ στον σύνδεσμο και στη συνέχεια σε ένα φαινομενικά αθώο κουμπί στη σελίδα-στόχο, εστάλη ένα tweet από τους λογαριασμούς τους. Αυτό το tweet περιλάμβανε το κείμενο “Μην κάνετε κλικ”, ακολουθούμενο από τον κακόβουλο σύνδεσμο.
Οι μηχανικοί του Twitter διόρθωσαν την επίθεση clickjacking λίγο μετά την έναρξη της. Η ίδια η επίθεση αποδείχτηκε ακίνδυνη και λειτούργησε ως συναγερμός λέγοντας τους πιθανούς κινδύνους που ενέχουν οι πρωτοβουλίες clickjacking στο Twitter. Ο κακόβουλος σύνδεσμος οδήγησε τον χρήστη σε μια ιστοσελίδα με κρυφό iframe. Μέσα στο πλαίσιο υπήρχε ένα αόρατο κουμπί που έστελνε το κακόβουλο tweet από τον λογαριασμό του θύματος.
Clickjacking στο Facebook
Οι χρήστες της εφαρμογής Facebook για κινητές συσκευές εκτίθενται σε ένα σφάλμα που επιτρέπει στους χρήστες ανεπιθύμητης αλληλογραφίας να δημοσιεύουν περιεχόμενο με δυνατότητα κλικ στα χρονολόγιά τους, χωρίς τη συγκατάθεσή τους. Το σφάλμα ανακαλύφθηκε από έναν επαγγελματία ασφαλείας που ανέλυε μια καμπάνια ανεπιθύμητης αλληλογραφίας. Ο ειδικός παρατήρησε ότι πολλές από τις επαφές του δημοσίευαν έναν σύνδεσμο προς μια σελίδα με αστείες εικόνες. Πριν φτάσουν στις φωτογραφίες, ζητήθηκε από τους χρήστες να κάνουν κλικ σε μια δήλωση ενηλικίωσης.
Αυτό που δεν ήξεραν ήταν ότι η δήλωση ήταν κάτω από ένα αόρατο πλαίσιο.
Όταν οι χρήστες αποδέχθηκαν τη δήλωση, μεταφέρθηκαν σε μια σελίδα με αστείες εικόνες. Αλλά στο μεταξύ, ο σύνδεσμος δημοσιεύτηκε στο timeline των χρηστών στο Facebook. Αυτό ήταν δυνατό επειδή το στοιχείο του προγράμματος περιήγησης ιστού στην εφαρμογή Facebook για Android δεν είναι συμβατό με τις κεφαλίδες των επιλογών πλαισίου (παρακάτω εξηγούμε τι είναι) και επομένως επιτρέπει την επικάλυψη κακόβουλου πλαισίου.
Το Facebook δεν αναγνωρίζει το ζήτημα ως σφάλμα επειδή δεν επηρεάζει την ακεραιότητα των λογαριασμών των χρηστών. Επομένως, είναι αβέβαιο αν πρόκειται να διορθωθεί ποτέ.
Clickjacking σε μικρότερα κοινωνικά δίκτυα
Δεν είναι μόνο το Twitter και το Facebook. Άλλα λιγότερο δημοφιλή κοινωνικά δίκτυα και πλατφόρμες ιστολογίων έχουν επίσης ευπάθειες που επιτρέπουν το clickjacking. Το LinkedIn, για παράδειγμα, είχε ένα ελάττωμα που άνοιξε την πόρτα στους επιτιθέμενους να εξαπατήσουν τους χρήστες να μοιράζονται και να δημοσιεύουν συνδέσμους για λογαριασμό τους, αλλά χωρίς τη συγκατάθεσή τους. Πριν επιδιορθωθεί, το ελάττωμα επέτρεψε στους εισβολείς να φορτώσουν τη σελίδα LinkedIn ShareArticle σε ένα κρυφό πλαίσιο και να επικαλύψουν αυτό το πλαίσιο σε σελίδες με φαινομενικά αθώους και ελκυστικούς συνδέσμους ή κουμπιά.
Μια άλλη περίπτωση είναι το Tumblr, η δημόσια πλατφόρμα web blogging. Αυτός ο ιστότοπος χρησιμοποιεί κώδικα JavaScript για να αποτρέψει το clickjacking. Αλλά αυτή η μέθοδος προστασίας καθίσταται αναποτελεσματική, καθώς οι σελίδες μπορούν να απομονωθούν σε ένα πλαίσιο HTML5 που τις εμποδίζει να εκτελούν κώδικα JavaScript. Μια προσεκτικά κατασκευασμένη τεχνική θα μπορούσε να χρησιμοποιηθεί για την κλοπή κωδικών πρόσβασης, συνδυάζοντας το αναφερόμενο ελάττωμα με ένα πρόσθετο βοηθητικού προγράμματος περιήγησης κωδικού πρόσβασης: εξαπατώντας τους χρήστες να πληκτρολογήσουν ένα ψευδές κείμενο captcha, μπορούν να στείλουν ακούσια τους κωδικούς πρόσβασής τους στον ιστότοπο του εισβολέα.
Διασταυρούμενη πλαστογραφία αιτήματος
Μια παραλλαγή της επίθεσης clickjacking ονομάζεται παραχάραξη αιτημάτων μεταξύ τοποθεσιών ή εν συντομία CSRF. Με τη βοήθεια της κοινωνικής μηχανικής, οι εγκληματίες του κυβερνοχώρου κατευθύνουν επιθέσεις CSRF εναντίον τελικών χρηστών, αναγκάζοντάς τους να εκτελέσουν ανεπιθύμητες ενέργειες. Το διάνυσμα επίθεσης μπορεί να είναι ένας σύνδεσμος που αποστέλλεται μέσω email ή συνομιλίας.
Οι επιθέσεις CSRF δεν σκοπεύουν να κλέψουν τα δεδομένα του χρήστη επειδή ο εισβολέας δεν μπορεί να δει την απάντηση στο ψεύτικο αίτημα. Αντίθετα, οι επιθέσεις στοχεύουν αιτήματα που αλλάζουν κατάσταση, όπως αλλαγή κωδικού πρόσβασης ή μεταφορά χρημάτων. Εάν το θύμα έχει δικαιώματα διαχείρισης, η επίθεση έχει τη δυνατότητα να θέσει σε κίνδυνο μια ολόκληρη εφαρμογή web.
Μια επίθεση CSRF μπορεί να αποθηκευτεί σε ευάλωτους ιστότοπους, ιδιαίτερα σε ιστότοπους με τα λεγόμενα «αποθηκευμένα ελαττώματα CSRF». Αυτό μπορεί να επιτευχθεί εισάγοντας ετικέτες IMG ή IFRAME σε πεδία εισαγωγής που εμφανίζονται αργότερα σε μια σελίδα, όπως σχόλια ή σελίδα αποτελεσμάτων αναζήτησης.
Αποτροπή επιθέσεων πλαισίωσης
Τα σύγχρονα προγράμματα περιήγησης μπορούν να ενημερωθούν εάν ένας συγκεκριμένος πόρος επιτρέπεται ή όχι να φορτωθεί σε ένα πλαίσιο. Μπορούν επίσης να επιλέξουν να φορτώσουν έναν πόρο σε ένα πλαίσιο μόνο όταν το αίτημα προέρχεται από τον ίδιο ιστότοπο στον οποίο βρίσκεται ο χρήστης. Με αυτόν τον τρόπο, οι χρήστες δεν μπορούν να εξαπατηθούν να κάνουν κλικ σε αόρατα πλαίσια με περιεχόμενο από άλλους ιστότοπους και τα κλικ τους δεν παραβιάζονται.
Οι τεχνικές μετριασμού από την πλευρά του πελάτη ονομάζονται κατάρρευση πλαισίου ή θανάτωση πλαισίου. Αν και μπορεί να είναι αποτελεσματικά σε ορισμένες περιπτώσεις, μπορούν επίσης να παρακαμφθούν εύκολα. Αυτός είναι ο λόγος για τον οποίο οι μέθοδοι από την πλευρά του πελάτη δεν θεωρούνται βέλτιστες πρακτικές. Αντί για busting frame, οι ειδικοί σε θέματα ασφάλειας προτείνουν μεθόδους από την πλευρά του διακομιστή, όπως το X-Frame-Options (XFO) ή πιο πρόσφατες, όπως η Πολιτική ασφάλειας περιεχομένου.
Το X-Frame-Options είναι μια κεφαλίδα απόκρισης που οι διακομιστές ιστού περιλαμβάνουν σε ιστοσελίδες για να υποδείξουν εάν επιτρέπεται ή όχι σε ένα πρόγραμμα περιήγησης να εμφανίζει τα περιεχόμενά του μέσα σε ένα πλαίσιο.
Η κεφαλίδα X-Frame-Option επιτρέπει τρεις τιμές.
- DENY, που απαγορεύει την εμφάνιση της σελίδας μέσα σε ένα πλαίσιο
- SAMEORIGIN, το οποίο επιτρέπει την εμφάνιση της σελίδας μέσα σε ένα πλαίσιο, αρκεί να παραμένει στον ίδιο τομέα
- ALLOW-FROM URI, το οποίο επιτρέπει την εμφάνιση της σελίδας μέσα σε ένα πλαίσιο αλλά μόνο σε ένα καθορισμένο URI (Uniform Resource Identifier), π.χ., μόνο μέσα σε μια συγκεκριμένη, συγκεκριμένη ιστοσελίδα.
Οι πιο πρόσφατες μέθοδοι κατά του κρότου περιλαμβάνουν την Πολιτική Ασφάλειας Περιεχομένου (CSP) με την οδηγία για τους προγόνους του πλαισίου. Αυτή η επιλογή χρησιμοποιείται ευρέως στην αντικατάσταση του XFO. Ένα σημαντικό πλεονέκτημα του CSP σε σύγκριση με το XFO είναι ότι επιτρέπει σε έναν διακομιστή ιστού να εξουσιοδοτεί πολλούς τομείς να πλαισιώνουν το περιεχόμενό του. Ωστόσο, δεν υποστηρίζεται ακόμη από όλα τα προγράμματα περιήγησης.
Η οδηγία για τους προγόνους πλαισίων του CSP παραδέχεται τρεις τύπους τιμών: «none», για να αποτρέψει οποιονδήποτε τομέα από την εμφάνιση του περιεχομένου. “self”, για να επιτρέπεται στον τρέχοντα ιστότοπο να εμφανίζει το περιεχόμενο μόνο σε ένα πλαίσιο ή μια λίστα διευθύνσεων URL με χαρακτήρες μπαλαντέρ, όπως “*.some site.com”, “https://www.example.com/index.html,’ κ.λπ., για να επιτρέπεται μόνο το πλαίσιο σε οποιαδήποτε σελίδα αντιστοιχεί σε ένα στοιχείο από τη λίστα.
Πώς να προστατευτείτε από το clickjacking
Είναι βολικό να παραμένετε συνδεδεμένοι σε ένα κοινωνικό δίκτυο κατά την περιήγησή σας, αλλά εάν το κάνετε, πρέπει να είστε προσεκτικοί με τα κλικ σας. Θα πρέπει επίσης να προσέχετε τους ιστότοπους που επισκέπτεστε γιατί δεν λαμβάνουν όλοι τα απαραίτητα μέτρα για να αποτρέψουν το clickjacking. Σε περίπτωση που δεν είστε σίγουροι για έναν ιστότοπο που επισκέπτεστε, δεν πρέπει να κάνετε κλικ σε κανένα ύποπτο κλικ, όσο δελεαστικό κι αν είναι.
Ένα άλλο πράγμα που πρέπει να προσέξετε είναι η έκδοση του προγράμματος περιήγησής σας. Ακόμα κι αν ένας ιστότοπος χρησιμοποιεί όλες τις κεφαλίδες πρόληψης clickjacking που αναφέραμε προηγουμένως, δεν τα υποστηρίζουν όλα τα προγράμματα περιήγησης, επομένως φροντίστε να χρησιμοποιήσετε την πιο πρόσφατη έκδοση που μπορείτε να αποκτήσετε και ότι υποστηρίζει λειτουργίες κατά του κλικ.
Η κοινή λογική είναι μια αποτελεσματική συσκευή αυτοπροστασίας από το clickjacking. Όταν βλέπετε ασυνήθιστο περιεχόμενο, συμπεριλαμβανομένου ενός συνδέσμου που δημοσιεύτηκε από έναν φίλο σε οποιοδήποτε κοινωνικό δίκτυο, πριν κάνετε οτιδήποτε, θα πρέπει να αναρωτηθείτε εάν αυτό είναι το είδος περιεχομένου που θα δημοσίευε ο φίλος σας. Εάν όχι, θα πρέπει να προειδοποιήσετε τον φίλο σας ότι θα μπορούσε να έχει πέσει θύμα clickjacking.
Μια τελευταία συμβουλή: εάν είστε επιρροή ή απλώς έχετε πολύ μεγάλο αριθμό ακολούθων ή φίλων σε οποιοδήποτε κοινωνικό δίκτυο, θα πρέπει να διπλασιάσετε τις προφυλάξεις σας και να ασκήσετε μια υπεύθυνη συμπεριφορά στο διαδίκτυο. Γιατί αν γίνετε θύμα clickjacking, η επίθεση θα καταλήξει να επηρεάσει πάρα πολλούς ανθρώπους.