Clickjacking

Clickjacking (klik-lapurreta edo klik-bahiketa) Internet erabiltzaileak engainatzeko malware teknika da, informazio pribatua eskuratzeko edo hauen ordenagailuen kontrola lortzeko erabili ohi dena, eta iruzurrezko web-orri batean klikatuz abiarazten dena. Horrelako eraso batean, hainbat tresna erabiliz (script, iframe, CSS eta testu-kutxak), erasotzaileak erabiltzailearen datuak biltzeko ahalmena lortzen du bere menpe dagoen geruza batean, eta hainbat metodoren ondorioz erabiltzailearentzat ikusezin geratzen dena.

Clickjacking kasu bat, non leiho batean beste geruza ikusezin bat txertatzen den erabiltzailearen klika lapurtzeko.

Deskripzioa

Clickjackingaren eraginkortasuna HTML web-orri baten kaltegabetasunari esker dator, ustekabeko ekintzak burutzea ahalbidetzen dituztenak. Teknika hau aurrera eramateko hainbat metodo daude:

1. Guztiz ikusezina: biktimaren edukiaren zati bat 1x1-ko iframe batean sartzean datza eraso hau, erabiltzeak ikustea saihesten duena. Orduan, erasotzaileak iframe-a kurtsorearen azpian zentratzen du, erabiltzaileak klik egin dezan.
2. Erakusle  jasoerak: interfaze fidagarriaren gainean div etiketa flotatzaile bat sortzen da. CSS-aren pointer-events propietatea ‘none’ bezala erabiliz, jasoerak div honetan gertatzen dira, informazio guztia jasotzen duena.
3. Ebaketa: ‘onartu’ eta ‘itxi’ botoiak izan ezik, beste guztia ezkutatzean datza. Gainera, ezkutatutako horren ordez, erasotzaileak beste galdera bat jartzen du erabiltzaileak ikus dezan. Eraso honen aldaera bezala ere aurki daiteke banakako hitzen ordezkapena, sekzio osoarena baino.
4. Gainezarpen gardena: leiho fidagarriaren gainean geruza garden bat sortzen da. Honek erabiltzaileak behean dagoen edukian klik egiten ari dela pentsatzea eragiten du. Klik bakoitza gordetzen da leiho gardenean, hau baita goiko aldean dagoen edukia.

Clickjacking kategoriak

• Klasikoa: web-orrien geruza ikusezinetaz baliatzen da.
• Like-lapurreta: Facebook-en tresnez baliatzen da.
• Habiaduna: Google+ inguruan erabilitako metodoetaz baliatzen da.
• Kurtsore-lapurreta: kurtsorearen itxura eta lokalizazioa aldatzen dituzten gertaeretaz baliatzen da.
• Sagu-lapurreta: urruneko "RF link" bat erabiliz teklatua edo sagua konektatzen dituzten konexioetaz baliatzen da.
• Bilatzaile-gabea: web-bilatzaileetatik kanpo lantzeko joerez baliatzen da.
• Cookie-lapurreta: bilatzaile baten cookieen lorpenetaz baliatzen da.
• Fitxategi-lapurreta: erasotutako gailua fitxategi-zerbitzari bezala muntatzeko gai da.
• Pasahitz-kudeatzailearekiko erasoa: web-bilatzaileen betetze automatikoen akatsez baliatzen da.

Prebentzioa

Erabiltzaile atalean

NoScript

Mozilla Firefox-era gehi daitekeen add-on bat, ikusezin dauden pantailetan klikatzea saihesten duena.

NoClickjack

Google Chrome, Mozilla Firefox, Opera eta Microsoft Edge erabiltzen dutenentzako add-on bat, benetazko iframe-ekin talka egin gabe.

GuardedID

NoClickjack-ekin batera lan egiten duen babeserako produktu komertziala, kasu honetan Internet Explorer bilatzailearentzat.

Gazelle

Internet Explorer abiapuntutzat hartuta, Microsoft Research-ek egindako bilatzailea da, bere clickjacking-aren kontrako babes propioak dituena. Hemen, leiho baten edukiak beste baten gainean jar daitezke soilik ikusgarriak badira.

Intersection Observer v2

Elementu baten ikusgarritasunaren kontzeptua sortzen du, horrela, elementuak noiz dauden estalita jakitea ahalbidetzen du.

Zerbitzari atalean

Framekiller

Webgune jabeak haien erabiltzaileak babesteko erabili dezaketen JavaScript "snippet" bat. Baina hau ez da guztiz hutsezina, batez ere Internet Explorer erabiltzean, non iframe segurtasuna erraz alda daitekeen.

<IFRAME SECURITY=restricted>

X-Frame-Options

2009an Internet Explorer 8 bilatzailean sortutako HTTP goiburu bat, clickjacking-aren kontrako babes partziala eskaintzen zuena, eta beste bilatzaileek(Safari, Firefox, Chrome eta Opera) barneratu zutena denbora gutxira.

Content Security Policy

frame-ancestors zuzentarauak edukiaren txertaketak baimendu edo ezeztatu ditzake zuzenean, X-Frame-Options zaharkituz. Biak goiburu bezala aurkitzean, hau izango litzateke lehentasuna duena.

Historia

Clickjacking terminoa ingelesetik hartuta dago, Jeremiah Grossman eta Robert Hansenen esku sortua 2008an,^[1] UI redressing bezala ere ezagutu zena. Ordezkoaren nahasketa arazoaren^[2] aldaera bezala ikus daiteke clickjackinga. 2011ko Europar Batasunaren pribatutasun zuzentaraua, cookien legea bezala ezagutzen dena, erabiltzaileen datuak gordetzen dituzten webgune guztiak abisu bat jarri behar dutela esaten du. Azken aldian, abisu hau moldatzean oinarritzen den erasoa aurkitu da, abisuaren klika lapurtzeko eta beste webgune desberdin bat irekitzeko. Antzemandako erasoak ikusgarri ez den publizitatea barneratzen dute pribatutasunaren abisuan. Abisuaren edozein tokian klik eginda, publizitatearen webgunera bidaltzen dituzte erabiltzaileak.^[3]

Erreferentziak

1. ↑ «SecTheory - Internet Security» web.archive.org 2016-06-02 (Noiz kontsultatua: 2023-11-14).
2. ↑ «clickjacking: The Confused Deputy rides again!» waterken.sourceforge.net (Noiz kontsultatua: 2023-11-14).
3. ↑ (Ingelesez) News, SecurityWeek. (2016-01-08). «EU Cookie Law Abused in Clickjacking Campaign» SecurityWeek (Noiz kontsultatua: 2023-11-14).

Kanpo estekak

• UNAM-CERT Txantiloi:Wayback Subdirección de Seguridad de la Información UNAM-CERT (noticias, documentos, información para usuarios, revista .Seguridad, alertas de seguridad, Malware UNAM, Honeynet UNAM, etc.)
• CORP: A Browser Policy to Mitigate Web Infiltration Attacks. December 2014, Bruhadeshwar Bezawada.
• CAPEC-103: Clickjacking. Common Attack Pattern Enumeration and Classification (CAPEC)
• Clickjacking. Mozilla.org
• Clickjacking: Attacks and Defenses. Actas del 21.º Simposio de Seguridad de USENIX. Agosto 2012.Microsoft. Lin-Shung Huang, Alex Moshchuk, Helen Wang, Stuart Schechter, Collin Jackson.
• Amenaza Clickjacking .World Wide Web Consortium