Clickjacking: Cơn ác mộng của ngành bảo mật

Sau sự kiện Robert Hansen và Jeremiah Grossman khám phá ra hàng loạt lỗi mới trong cơ sở hạ tầng internet như trình duyệt, website và những plug-in phổ biến dẫn tới hàng tá nguy cơ bảo mật ảnh hưởng đến mọi người dùng web, một thuật ngữ bảo mật mới ra đời: clickjacking.

Robert Hansen (nhà sáng lập và điều hành hãng SecTheory) và Jeremiah Grossman (giám đốc công nghệ tại hội nghị Whitehat Security) đặc biệt nhấn mạnh những khám phá của mình về mức độ nguy hiểm đối từ clickjacking, thuật ngữ ám chỉ một nguy cơ bảo mật thật sự đe dọa ngành công nghiệp bảo mật hiện nay.

Nó diễn ra qua việc lừa đảo mọi người click vào một liên kết với vẻ ngoài “trong sạch” trong một trình duyệt, ví dụ như một nút nhấn để lưu 1 bài báo online đang đọc vào mạng xã hội lưu trữ Digg chứ không chỉ đơn thuần là nhấn vào các liên kết lừa đảo như trước đây tin tặc hay sử dụng. Cách thức đã thay đổi và cả Hansen cùng Grossman đều cho rằng hầu hết các trình duyệt đều không đương đầu được với clickjacking.

Một cuộc tấn công clickjacking có thể dựa trên một thiết kế cơ bản trong HTML cho phép các website nhúng nội dung từ các trang web khác. Nội dung nhúng có thể được ẩn và người dùng web hoàn toàn không biết đang tương tác với nó. Một dạng thức khác của clickjacking lại nhằm vào những plug-in phổ biến hiện nay là Adobe Flash Player hay Microsoft Silverlight. Thực chất, clickjacking đã xuất hiện từ một vài năm trước nhưng từ sau những khám phá mới của Hansen và Grossman thì clickjacking mới lộ rõ khả năng thực sự của mình.

“Có nhiều dạng clickjacking” - Hansen bày tỏ sự lo âu của mình về mối nguy cơ của clickjacking khá đa dạng. “Một vài loại yêu cầu quyền truy cập cross-domain, một số khác lại không. Một vài loại bao phủ toàn bộ các trang bên trên 1 trang, một vài tin tặc sẽ dùng iframe để đưa bạn click vào một điểm. Một số khác yêu cầu JavaScript và một số lại không”.

Hansen đã lên 1 danh sách 12 trường hợp có thể khai thác clickjacking trong trình duyệt, plug-in và website. Tuy nhiên, đây không phải là tất cả.

Adobe Flash Player là nạn nhân tầm cỡ của clickjacking. Ý tưởng khai thác clickjacking dựa trên những nhân tố ẩn của Flash dẫn dắt người đến các trang web giả mạo. Hãng Adobe đang ráo riết nghiên cứu trên lỗi này trước khi nó bị phát tán công khai và không quên bày tỏ sự cảm kích Hansen và Grossman đã giữ kín lỗi nguy hiểm này. Trước mắt, người dùng web nên theo sự hướng dẫn thiết lập của Adobe cho Flash Player để tránh những cuộc tấn công từ clickjacking trước khi có bản vá chính thức được phát hành:

Truy xuất vào khung Global Privacy Settings của Adobe Flash Player Settings Manager tại đây rồi chọn nút “Always deny”. Nhấn tiếp vào “Confirm” để xác nhận trong hộp thoại kết quả.


Theo hướng dẫn mũi tên để thiết lập an toàn cho Flash Player

Tham khảo thêm phần hướng dẫn tại đây để cho phép các website tin cậy truy xuất webcam và microphone, chọn Website Privacy Settings từ Settings Manager.


Thiết lập website tin cậy cho Flash Player

Các trường hợp còn lại đều được theo dõi đánh dấu mức độ sửa chữa lỗi cũng như mô tả. Có thể tham khảo thêm tại đây để biết chi tiết về 12 trường hợp clickjacking.

Cả 2 chuyên gia bảo mật này đã liên lạc với 3 hãng Microsoft, Mozilla và Apple đang sở hữu 3 trình duyệt web phổ biến nhất hiện nay là Microsoft Internet Explorer, Mozilla FireFox lẫn Apple Safari để cảnh báo về nguy cơ bảo mật từ clickjacking.

Tuy vậy, Mozilla sẽ bớt được một phần gánh nặng về bản vá lỗi khi người dùng FireFox có thể sử dụng plug-in NoScript để ngăn chặn các cuộc tấn công từ clickjacking và không may cho các trình duyệt còn lại như IE vì NoScript chỉ tương thích với FireFox. Phiên bản NoScript 1.8.2.1 mới nhất với tên gọi “ClearClick” vừa được nâng cấp sẽ có khả năng ngăn chặn các cuộc tấn công clickjacking bằng cách nhận dạng các nhân tố ẩn hay nhúng trong trang web. Xuất hiện cảnh báo khi người dùng web vẫn muốn click lên chúng.


Cài đặt NoScript trên FireFox sẽ phần nào ngăn chặn được các script nhúng
hay ẩn trong trang web bằng cách hiển thị những cảnh báo

Những webmaster cũng nên thực hiện các biện pháp ngăn ngừa clickjacking cho khách truy cập website như sử dụng một script trên website của mình để kiểm tra nếu một trang web được nhúng vào một trang khác. Nếu có, script sẽ buộc trang web “sạch” lên phía trước.

Thứ Sáu, 10/10/2008 09:16
31 👨 243
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp