 |
Clickjecking и likejeckung
|
|
|
|
Clickjacking является вредоносной технологией обмана WEB-пользователей с целью получения конфиденциальной информации или осуществления перехвата управления машиной при кликаньи ссылки кажущейся совершенно безопасными WEB-страниц Fredrick Lane (2008-10-08). "Web Surfers Face Dangerous New Threat: 'Clickjacking'". Эта уязвимость проявляется для многих броузеров и ОС, реализация атаки имеет форму кода или скрипта, исполняемого без ведома пользователя. Смотри также Sumner Lemon (2008-09-30). "Business Center: Clickjacking Vulnerability to Be Revealed Next Month"
Термин Clickjacking был предложен Jeremiah Grossman и Robert Hansen в 2008 году. Этот вид атак можно рассматривать в качестве примера проблемы Confused deputy ("запутавшийся заместитель") (смотри Robert McMillan (2008-09-17). "At Adobe's request, hackers nix 'clickjacking' talk").
Довольно обширный комментарий на тему можно найти по адресу http://raz0r.name/news/opublikovany-podrobnosti-ataki-clickjacking/. "Реализация атаки состоит в следующем: некий сайт A имеет в себе IFRAME, адресом которого является сайт B, к которому пользователь имеет доступ на основе авторизационных данных Cookie. Злонамеренный сайт A перекрывает страницу с сайта B таким образом, чтобы оставить видимым конкретный элемент, например, кнопку “Удалить аккаунт”, “Добавить друга” и т.д. Сайт A может иметь такой интерфейс, который позволял бы рассматривать элемент с сайта B, как часть сайта A, побуждая пользователя нажать на него. Тем самым пользователь подвергается опасности совершения абсолютно непредполагаемых им действий, которые выгодны злоумышленнику. Добиться такого “перекрывания” интерфейса другого сайта можно с помощью метода CSS Overlay. Конечно все это выглядит мягко говоря не совсем практично, но возможности Clickjacking не ограничивается лишь подобным примером атаки. Кроме того, возможна (точнее была возможна в связи с выходом патча) атака, при которой пользователь, нажимая на определенные области экрана, в дружелюбной игре, может поменять настройки Flash таким образом, что его компьютер превратился бы в настоящую станцию слежения с помощью веб-камеры или микрофона (разумеется, если таковые устройства подключены к компьютеру). Именно этот способ был раскрыт независимо от Гроссмана и Хансена, в следствие чего последний был вынужден снять завесу тайны с Clickjacking в своем блоге лишь недавно." По этому же адресу приведены и фрагменты программ, реализующих подобные атаки.
|
|
|
Атака Clickjacking (кража кликов), известная также как UI Redressing (фальсификация идентичности пользователя), возможна не из-за ошибки в программе, но благодаря выполнению неожиданных действий WEB-страницей, кажущейся безобидной.
Страница с clickjacking вынуждает пользователя выполнить нежелательные действия, кликая мышкой на замаскированной ссылке. На такой странице-ловушке атакер помещает набор фальшивых кнопок, затем загружает поверх предыдущей другую страницу в виде прозрачного слоя. Пользователь думает, что он кликает на видимой кнопке, в то время как действия выполняются на скрытой странице. В результате пользователь выполняет действия, которые он совершенно и не думал делать. Что важно, практически невозможно отследить такие операции, так как пользователь был аутентифицирован совершенно на другой странице. Следует заметить, что для реализации атаки нужна технология iframe.
В последнее время появилась разновидность clickjecking - likejecking. Эта разновидность атаки используется в социальной сети Facebook. Атака сопряжена со злонамеренным использованием кнопки "Like". Атака впервые описана Corey Ballou в статье 'How to "Like" Anything on the Web (Safely)'. Смотри Cohen, Richard (05/31/2010). "Facebook Work - "Likejacking"". Sophos, а также http://www.sophos.com/blogs/sophoslabs/?p=9783. Retrieved 2010-06-05.
|
|
|
Например, пользователь мог играть в игру, где он должен был нажимать на некоторую кнопку, но в скрытом виде поверх игры была загружена другая страница, например, web-mail. Почтовая программа загружается в скрытую iframe, а кнопки игры по месту совпадают с кнопками почтового сервиса. Пользователь при этом, нажав на одну из кнопок игры, может, например, стереть все содержимое своего почтового ящика.
Простым средством противодействия является использование JavaScript, блокирующего использование HTML-фреймов. Но в последнее время разрабатываются версии Clickjacking, которые не требует фреймов. Впрочем, утверждается, что IE8 детектирует сайты, которые могут представлять подобную угрозу.
Атаки Salami используются для совершения финансовых преступлений. Ключевым моментом здесь является то, что воздействие на работу атакуемой программы делается малозаметным. Например, сотрудник банка вводит программу в серверы, которая снимает незначительную сумму денег со счета каждого клиента. Никто из владельцев счетов вероятнее всего не заметят неавторизованного изъятия денег, особенно если эти изъятия не будут запротоколированы, а сотрудник банка будет получать заметный доход ежемесячно.
Примером такой атаки может служить случай, когда сотрудник одного банка в США, будучи уволенным, установил логическую бомбу в компьютерной системе банка.
Логическими бомбами называются программы, которые активируются при наступлении определенного события. Логическая бомба была запрограммирована брать по 10 центов со всех счетов клиентов банка и класть эту сумму на счет владельца счета, который является последним в списке клиентов по алфавиту. Позднее он открыл счет в банке на имя Ziegler. Утечка со счетов была столь незначительна, что ни клиенты, ни сотрудники банка этого не заметили.
Все открылось, когда в банке появился клиент по фамилии Zygler. Он был очень удивлен, обнаружив заметный рост счета каждый месяц. Так этот фокус был раскрыт. Данный пример не является сетевой атакой, но он хорошо демонстрирует особенности данного вида атак.
XML-бомба – это XML-документ, который содержит:
· слишком много байт
· слишком много символов (один символ необязательно соответствует одному байту...) слишком большую глубину вложений
|
|
|
· слишком много элементов
· слишком много дочерних элементов
· слишком много атрибутов
· слишком много имен
· слишком длинные имена, префиксы, значения элементов
· рекурсивное вложение элементов
· слишком много открывающих и закрывающих тэгов (слишком много стэковых операций)
Ссылки
1. "Cyberthieves Silently Copy Your Password" The New York Times, http://www.nytimes.com/2006/02/27/technology/27hack.html?ex=1163998800&en=5599d5982c64f082&ei=5070
2. Symantec Internet Security Report, Vol. IX, March 2006, p. 71
3. "Protecting Corporate Assets from E-mail Crimeware," Avinti, Inc., p.1, http://www.avinti.com/download/market_background/whitepaper_email_crimeware_protection.pdf
4. CSI/FBI Computer Crime and Security Survey 2005, p.15
Смотри также "Crimeware: Understanding New Attacks and Defenses, by Markus Jakobsson and Zulfikar Ramzan", published by Addison-Wesley / Symantec Press, 2008
Pharming
В последнее время появилась еще одна разновидность атаки, называемая Pharming. Сначала машина жертвы заражается специализированным кодом при случайном или спровоцированном посещении определенного сайта. Заражение может быть произведено с использованием неубранных уязвимостей Internet Explorer или любым другим способом. После этого при попытке хозяина зараженной машины подключиться, например, к сайту своего банка (при этом предполагается, что он печатает URL совершенно корректно, или извлекает его из списка часто используемых URL, что снимает всякие сомнения в правильности адреса - ведь клиент им пользовался десятки раз), соединение происходит с жульническим сайтом, который внешне не отличим от настоящего. Сходного результата хакер может добиться, видоизменив содержимое кэша DNS или атакуя сам DNS-сервер клиента. Клиент, ничего не подозревая, может ввести свое имя, пароль, номер кредитной карты и PIN-код, после чего может произойти “разрыв связи” (ведь злоумышленник уже получил то, что хотел), может быть проведена и полная имитация транзакции, которая на самом деле не осуществлена, или средства будут переведены на “счет очень офшорного банка”. Некоторые эксперты относят эту разновидность атак к категории phishing.
BHO
BHO (Browser Helper Object) - небольшие программы, которые мониторируют посещаемые WEB-страницы, включают рекламу или перадресуют запросы, производят автоматически обновление browser или экспортируют данные. Этот тип программ можно отнести к spyware.
|
|
|
На текущий момент число машин, содержащих в себе один или более объектов типа spyware, удваивается каждый год.
Поведение различных видов PUP показано на рис. 10. (По материалам McAffe System (октябрь 2005).
Рис. 10. Поведение различных PUP
(BHO - Browser Helper Object)
Для иллюстрации актуальности проблемы приведу следующие данные. Представители TJX Companies Inc. признали в среду (28 марта 2007), что данные по крайней мере о 45.7 миллионов кредитных и дебитных карт были украдены за последние 18 месяцев хакерами, которым удалось проникнуть в их сеть. Это крупнейшее похищение данных за всю историю.
По данным компании IDC spyware занимает 4-ю позицию по вредоносности. На первом месте по нанесенному вреду находится программные уязвимости (78000 пострадавших машин), наименьший ущерб из числа проанализированных угроз получен от adware (Save Now - 14000 пострадавших машин). По данным ФБР spyware наносит ущерб бизнесу в США на уровне 67 млрд. долларов в год (2007 год).
| Если раньше борьба за безопасность разворачивалась на уровнях L3-L4, то теперь она переместилась на прикладной уровень и новые Firewall должны это учитывать. |
Старые Firewall в новых условиях уже не могут обеспечить требуемый уровень безопасности. Адекватные разработки начали появляться на рынке. Новый подход получил название Negative Security Model. В этом подходе вредоносный трафик блокируется, если окажется идентифицирован. Идентификация при этом происходит на уровне поля данных, а не только заголовков пакетов. Но по своей природе данная модель противодействия атакам реактивна и для того, чтобы она могла работать, нужно составить описание сигнатуры атаки.
Среди угроз Web 2.0 можно назвать:
· Вредоносные программы, сопряженные с Web.
· RSS обновления реального времени с вредоносными JavaScript внутри.
· XSS (Cross Site Scripting), например, червь MySpace. В некоторых случаях эта атака позволяет обойти систему контроля доступа.
· CSRF (Cross Site Request Forgery) - кража данных в среде Java, например, Gmail. Смотри http://www.veracode.com/security/csrf.
· Обход фильтров XSS.
· Экспоненциальные атаки XSS - без ограничения на число атакуемых WEB-сайтов.
· Фальсификация заголовков запросов с использованием FLASH.
· Черные ходы медийных файлов (JavaScript).
|
|
|
