Clickjacking

Clickjacking (klik-lapurreta edo klik-bahiketa) Internet erabiltzaileak engainatzeko malware teknika da, informazio pribatua eskuratzeko edo hauen ordenagailuen kontrola lortzeko erabili ohi dena, eta iruzurrezko web-orri batean klikatuz abiarazten dena. Horrelako eraso batean, hainbat tresna erabiliz (script, iframe, CSS eta testu-kutxak), erasotzaileak erabiltzailearen datuak biltzeko ahalmena lortzen du bere menpe dagoen geruza batean, eta hainbat metodoren ondorioz erabiltzailearentzat ikusezin geratzen dena.

Deskripzioa[aldatu | aldatu iturburu kodea]

Clickjackingaren eraginkortasuna HTML web-orri baten kaltegabetasunari esker dator, ustekabeko ekintzak burutzea ahalbidetzen dituztenak. Teknika hau aurrera eramateko hainbat metodo daude:

Guztiz ikusezina: biktimaren edukiaren zati bat 1x1-ko iframe batean sartzean datza eraso hau, erabiltzeak ikustea saihesten duena. Orduan, erasotzaileak iframe-a kurtsorearen azpian zentratzen du, erabiltzaileak klik egin dezan.
Erakusle jasoerak: interfaze fidagarriaren gainean div etiketa flotatzaile bat sortzen da. CSS-aren pointer-events propietatea ‘none’ bezala erabiliz, jasoerak div honetan gertatzen dira, informazio guztia jasotzen duena.
Ebaketa: ‘onartu’ eta ‘itxi’ botoiak izan ezik, beste guztia ezkutatzean datza. Gainera, ezkutatutako horren ordez, erasotzaileak beste galdera bat jartzen du erabiltzaileak ikus dezan. Eraso honen aldaera bezala ere aurki daiteke banakako hitzen ordezkapena, sekzio osoarena baino.
Gainezarpen gardena: leiho fidagarriaren gainean geruza garden bat sortzen da. Honek erabiltzaileak behean dagoen edukian klik egiten ari dela pentsatzea eragiten du. Klik bakoitza gordetzen da leiho gardenean, hau baita goiko aldean dagoen edukia.

Clickjacking kategoriak[aldatu | aldatu iturburu kodea]

Klasikoa: web-orrien geruza ikusezinetaz baliatzen da.
Like-lapurreta: Facebook-en tresnez baliatzen da.
Habiaduna: Google+ inguruan erabilitako metodoetaz baliatzen da.
Kurtsore-lapurreta: kurtsorearen itxura eta lokalizazioa aldatzen dituzten gertaeretaz baliatzen da.
Sagu-lapurreta: urruneko "RF link" bat erabiliz teklatua edo sagua konektatzen dituzten konexioetaz baliatzen da.
Bilatzaile-gabea: web-bilatzaileetatik kanpo lantzeko joerez baliatzen da.
Cookie-lapurreta: bilatzaile baten cookieen lorpenetaz baliatzen da.
Fitxategi-lapurreta: erasotutako gailua fitxategi-zerbitzari bezala muntatzeko gai da.
Pasahitz-kudeatzailearekiko erasoa: web-bilatzaileen betetze automatikoen akatsez baliatzen da.

Prebentzioa[aldatu | aldatu iturburu kodea]

Erabiltzaile atalean[aldatu | aldatu iturburu kodea]

NoScript[aldatu | aldatu iturburu kodea]

Mozilla Firefox-era gehi daitekeen add-on bat, ikusezin dauden pantailetan klikatzea saihesten duena.

NoClickjack[aldatu | aldatu iturburu kodea]

Google Chrome, Mozilla Firefox, Opera eta Microsoft Edge erabiltzen dutenentzako add-on bat, benetazko iframe-ekin talka egin gabe.

GuardedID[aldatu | aldatu iturburu kodea]

NoClickjack-ekin batera lan egiten duen babeserako produktu komertziala, kasu honetan Internet Explorer bilatzailearentzat.

Gazelle[aldatu | aldatu iturburu kodea]

Internet Explorer abiapuntutzat hartuta, Microsoft Research-ek egindako bilatzailea da, bere clickjacking-aren kontrako babes propioak dituena. Hemen, leiho baten edukiak beste baten gainean jar daitezke soilik ikusgarriak badira.

Intersection Observer v2[aldatu | aldatu iturburu kodea]

Elementu baten ikusgarritasunaren kontzeptua sortzen du, horrela, elementuak noiz dauden estalita jakitea ahalbidetzen du.

Zerbitzari atalean[aldatu | aldatu iturburu kodea]

Framekiller[aldatu | aldatu iturburu kodea]

Webgune jabeak haien erabiltzaileak babesteko erabili dezaketen JavaScript "snippet" bat. Baina hau ez da guztiz hutsezina, batez ere Internet Explorer erabiltzean, non iframe segurtasuna erraz alda daitekeen.

<IFRAME SECURITY=restricted>

X-Frame-Options[aldatu | aldatu iturburu kodea]

2009an Internet Explorer 8 bilatzailean sortutako HTTP goiburu bat, clickjacking-aren kontrako babes partziala eskaintzen zuena, eta beste bilatzaileek(Safari, Firefox, Chrome eta Opera) barneratu zutena denbora gutxira.

Content Security Policy[aldatu | aldatu iturburu kodea]

frame-ancestors zuzentarauak edukiaren txertaketak baimendu edo ezeztatu ditzake zuzenean, X-Frame-Options zaharkituz. Biak goiburu bezala aurkitzean, hau izango litzateke lehentasuna duena.

Historia[aldatu | aldatu iturburu kodea]

Clickjacking terminoa ingelesetik hartuta dago, Jeremiah Grossman eta Robert Hansenen esku sortua 2008an,^[1] UI redressing bezala ere ezagutu zena. Ordezkoaren nahasketa arazoaren^[2] aldaera bezala ikus daiteke clickjackinga. 2011ko Europar Batasunaren pribatutasun zuzentaraua, cookien legea bezala ezagutzen dena, erabiltzaileen datuak gordetzen dituzten webgune guztiak abisu bat jarri behar dutela esaten du. Azken aldian, abisu hau moldatzean oinarritzen den erasoa aurkitu da, abisuaren klika lapurtzeko eta beste webgune desberdin bat irekitzeko. Antzemandako erasoak ikusgarri ez den publizitatea barneratzen dute pribatutasunaren abisuan. Abisuaren edozein tokian klik eginda, publizitatearen webgunera bidaltzen dituzte erabiltzaileak.^[3]

Erreferentziak[aldatu | aldatu iturburu kodea]

↑ «SecTheory - Internet Security» web.archive.org 2016-06-02 (Noiz kontsultatua: 2023-11-14).
↑ «clickjacking: The Confused Deputy rides again!» waterken.sourceforge.net (Noiz kontsultatua: 2023-11-14).
↑ (Ingelesez) News, SecurityWeek. (2016-01-08). «EU Cookie Law Abused in Clickjacking Campaign» SecurityWeek (Noiz kontsultatua: 2023-11-14).

Kanpo estekak[aldatu | aldatu iturburu kodea]

UNAM-CERT Txantiloi:Wayback Subdirección de Seguridad de la Información UNAM-CERT (noticias, documentos, información para usuarios, revista .Seguridad, alertas de seguridad, Malware UNAM, Honeynet UNAM, etc.)
CORP: A Browser Policy to Mitigate Web Infiltration Attacks. December 2014, Bruhadeshwar Bezawada.
CAPEC-103: Clickjacking. Common Attack Pattern Enumeration and Classification (CAPEC)
Clickjacking. Mozilla.org
Clickjacking: Attacks and Defenses. Actas del 21.º Simposio de Seguridad de USENIX. Agosto 2012.Microsoft. Lin-Shung Huang, Alex Moshchuk, Helen Wang, Stuart Schechter, Collin Jackson.
Amenaza Clickjacking .World Wide Web Consortium

Datuak: Q163231

[1] «SecTheory - Internet Security» web.archive.org 2016-06-02 (Noiz kontsultatua: 2023-11-14).

[2] «clickjacking: The Confused Deputy rides again!» waterken.sourceforge.net (Noiz kontsultatua: 2023-11-14).

[3] (Ingelesez) News, SecurityWeek. (2016-01-08). «EU Cookie Law Abused in Clickjacking Campaign» SecurityWeek (Noiz kontsultatua: 2023-11-14).

[1]

[2]

[3]