O Clickjacking permite que um cracker possa forjar um link, ou um botão de um determinado site, o que, obviamente pode trazer riscos e dores de cabeça.

A vulnerabilidade está presente em diversos navegadores como o Firefox, Opera, Internet Explorer entre outros, fazendo assim um maior estrago, e pelo que eu andei lendo ultimamente pelo assunto, pode acontecer do usuário malicioso ter acesso ao seu microfone e/ou webcam, devido a uma vulnerabilidade no Adobe Flash Player.

Por isso, sites de confiança, podem SIM estar infectados, com seus links e botões direcionando para sabe-se lá aonde... (imagine isso no site de um banco).

Já existem algumas "correções", que abaixo iremos conhecer.

Como é feito o Clickacking e qual são as possíveis correões

Um exemplo de um código que "infecta" um link seria este:


A saída seria isso: Mas como vocês podem ver, no cabeçalho da página está como ele iria direcionar para o meu site, o juniorlinux.com.br, isso você pode verificar na imagem acima, mas quando eu clico, olha só para onde ele é direcionado: Bastante interessante, porém perigoso!

Uma das poucas formas realmente testadas e garantidas contra este tipo de ataque é fazer o uso do bom e velho Lynx, para quem não tem ele, pode instalá-lo via apt-get, para isso use o comando:

# apt-get install lynx

Só que como a vida não é fácil, ele é em modo de texto, e por isso muitos sites não vão rodar corretamente, então nós teremos de apelar para os complementos e plugins.

Eu já dei uma dica aqui no Viva o Linux sobre o NoScript, um complemento para Firefox, o que é uma ótima solução, bastante eficiente, porém, não é 100%

Esta minha dica sobre o NoScript pode ser visitada em: NoScript - Proteção quando o assunto e XSS e Clickjacking

E a Adobe, que não podia ficar fora dessa, por ser também um foco de ataque, publicou em seu blog uma "possível solução" para o clickjacking, você pode verificar isso nos links:

• http://blogs.adobe.com/psirt/2008/10/clickjacking_security_advisory.html
• http://www.adobe.com/support/security/advisories/apsa08-08.html

Conclusão

Como vimos nesta dica, há algumas formas de se proteger do ataque Clickjacking, porém, como nada é 100%, eu não garanto nada. A internet é um ambiente pouco seguro, onde novas vulnerabilidades podem ser descobertas a qualquer momento, e como consequência, quando não tomamos cuidado com esse tipo de coisa, o prejuízo pode ser grande.

As vezes muitos deixam de instalar esses plugins e complementos, pois acham que por visitarem o site de sempre estão seguros, mas não é por aí não... medidas de segurança sempre são bem vindas, procure sempre verificar os certificados de segurança, procurar por atualizações dos seus programas, como navegadores por exemplo, verificar por novos complementos que ajudam na segurança em sites como:

• http://br.mozdev.org/firefox/extensoes

Porque segurança nunca é demais, procure sempre tomar as medicas de segurança cabíveis, e você terá menos dor de cabeça.

Referências:

• http://en.wikipedia.org/wiki/Clickjacking
• https://addons.mozilla.org/pt-BR/firefox/addon/722
• http://br.mozdev.org/firefox/caixa
• http://br.mozdev.org/firefox/seguranca
• http://br.mozdev.org/firefox/https

Att Andre S. Rosa Junior
www.juniorlinux.com.br