Naprawianie ClickJacking przez IE8 nie pomaga, eksperci mówią

Nowa technologia firmy Microsoft zaprojektowana w celu ochrony użytkowników przeglądarki Internet Explorer przed potężnym nowym atakiem opartym na sieci Web nie rozwiąże problemu, jak stwierdzili we wtorek eksperci ds. Zabezpieczeń.

Microsoft udostępnił tę technologię w ramach wcześniejszej wersji testowej kolejnego wydania wydania - przeglądarka Internet Explorer 8, twierdząc, że firma opracowała ochronę "dla konsumentów" przed atakiem znanym jako "klikanie po kliknięcia". W przypadku kradzieży kliknięć atakujący używają specjalnego programowania sieci Web do oszukiwania ofiar w klikaniu przycisków internetowych, nie zdając sobie z tego sprawy. Atak jest trudny do pokonania, ale w najgorszym wypadku kliknięcie może zrobić bardzo nieprzyjemne rzeczy, takie jak wykonywanie transakcji giełdowych na finansowych stronach internetowych, zmiana konfiguracji routera lub zapory, a nawet zmuszanie kogoś do pobrania niechcianego oprogramowania.

Problem jest tak ogromny, że eksperci od bezpieczeństwa obawiają się, że podejście Microsoftu, które działa tylko wtedy, gdy twórcy stron internetowych dodają specjalne znaczniki do swoich stron, które uniemożliwiają niewłaściwe użycie ich przycisków internetowych, może w końcu dać użytkownikom IE fałszywe poczucie bezpieczeństwa.

[Dalsza lektura: Jak usunąć złośliwe oprogramowanie ze swojego komputera z Windows]

"To nie jest rozwiązanie do klikania w dowolny obszar wyobraźni, to bardzo męczący czynnik dla nielicznych użytkowników IE8" - powiedział Robert Hansen, CEO firmy konsultingowej SecTheory oraz jednej z osób, które po raz pierwszy zgłosiły tę kwestię firmie Microsoft. "Ale to ciekawe, że traktują to poważnie."

Podczas gdy niektóre witryny internetowe będą z pewnością korzystać z technologii Microsoftu, aby uniemożliwić odwiedzającym IE trafienie poprzez kliknięcie, jest po prostu zbyt wiele innych obszarów, w których kod HTML jest mało prawdopodobny zaktualizowane i hakerzy mogą przeprowadzać ataki - atakując interfejsy administracyjne routera lub aplikacje korporacyjne lub przechodząc do witryn sieci Web, które nie zostały wprowadzone w celu wdrożenia poprawki Microsoftu. "Jest to rozwiązanie, które nawet jeśli wszyscy zdecydują, że jest to właściwy sposób, nadal będzie wymagać wielu lat nauki", powiedział Hansen.

Co gorsza, niektórzy użytkownicy mogą błędnie myśleć, że są chronieni przed atakują tylko dlatego, że używają IE, zgodnie z Giorgio Maone, twórcą wtyczki Firefox NoScript, która jest ogólnie uważana za najlepszą ochronę przed wieloma atakami internetowymi, w tym za klikanie. "Złą wiadomością dla entuzjastów IE jest to, że nie mają żadnej magicznej ochrony", napisał na swoim blogu we wtorek. "To prawda, że ​​nie wymaga żadnego" dodatku do przeglądarki "… ale wiąże się z jeszcze bardziej rygorystycznym wymogiem: wszystkie witryny, które mają być chronione, muszą już zaadoptować nowy, zastrzeżony hack, czyli coś, czego żaden użytkownik końcowy nie może zweryfikować, pozwól samemu wymusić. "

NoScript pozwala użytkownikom na selektywne blokowanie używania języków skryptowych w przeglądarce Firefox. Ponieważ clickjacking wymaga skryptowania, atak nie działa, gdy włączony jest NoScript.

Od wielu miesięcy wtyczka Maone jest najbardziej znaną technologią do powstrzymywania klikania. Jednak przy pomocy kodu testowego IE Microsoft ma wreszcie swoją własną alternatywę.

Aby pomóc w tej sytuacji, Maone opracowuje funkcję kompatybilności, aby użytkownicy NoScript mogli korzystać z tego samego kodu WWW używanego przez IE, oraz teraz lobbuje, aby ta funkcja została uwzględniona w nadchodzącej wersji Firefoksa.

Hansen i Maone skrytykowali również Microsoft za trzymanie się technicznych szczegółów tej technologii. "Mimo, że zaimplementowali to, nie udzielili wskazówek, jak go właściwie używać" - powiedział Hansen.

W oświadczeniu przesłanym pocztą elektroniczną Microsoft poinformował, że planuje opublikować post na blogu o anty-klikaniu. w tym tygodniu i że współpracował ze wszystkimi głównymi dostawcami przeglądarek "w celu uzyskania opinii i wprowadzenia na temat implementacji tagu clickjacking przed wysłaniem programu Internet Explorer 8 RC1."

Ten post może być pomocny. W obecnej sytuacji wygląda na to, że "funkcja nie pozwala użytkownikowi chronić się" - powiedział Jeremiah Grossman, dyrektor ds. Technologii w White Hat Security.

Hansen powiedział, że programiści Microsoftu po raz pierwszy zaproponowali ich naprawę kliknięć IE8 kilka miesięcy temu, kiedy po raz pierwszy opisał im problem. "Odrzuciłem to jako nie długoterminowe, możliwe do rozwiązania rozwiązanie problemu klikania" - powiedział.