باحث عن المعرفة » فلاش http://www.mtafran.com {وقل ربي زدني علماً} Mon, 06 Jun 2011 04:41:48 +0000 en hourly 1 http://wordpress.org/?v=3.1.3 ثغرة ال Clickjacking الخطيرة http://www.mtafran.com/2008/10/the-dangerous-clickjackin/ http://www.mtafran.com/2008/10/the-dangerous-clickjackin/#comments Sat, 11 Oct 2008 06:00:55 +0000 باحث http://www.mtafran.com/?p=114 أكمل قراءة التدوينة ]]> باختصار…هذه المقالة تغطي دراسة هامة جداً قام بهذه الدراسة  خبيرا أمن المعلومات جيرميا جروسمان و روبرت هانسن حول ما يعرف بسرقة النقرة و clicclأو clickjacking لأنها تمسّ كلّ من يتعامل مع شبكة الإنترنت وبطريقة غير تقليدية، حيث أنّ الشخص الضحيّة لن يعرف أنه تمّ سرقة حسابه أو معلومات قبل فوات الآوان.

صفحات الإنترنت تعرف أين موقع كنت فيه (وبدون جافا سكريبت)، أين سجّلت دخول، ماذا شاهدت على يوتوب، والآن بإمكانهم رؤيتك وسماعك عبر ما يعرف ب Clickjacking + Adobe Flash. تفاصيل العملية التقنيّة لم يتم الإفصاح عنها بناءاً على طلب شركة Adobe. مسؤولية حلّ هذه المشكلة الأمنية لا تقع على عاتق المزود (شركة Adobe) فقط، بل تقع على عاتق الجميع من مزودي المتصفحات إلى أصحاب المواقع والمستخدمين كلهم لديهم حلولهم الخاصّة والتي تساعد في التقليل من أثر التهديد في حال فشل البعض في تأمين الحماية المطلوبة.

المشكلة في ال Clickjacking هو أنه يجعل من أي حاسوب موصول به ميك و ويب كاميرا جهاز مراقبة عن بعد بشكل مخفي عن صاحب الحاسوب وبنقرة فأرة واحدة. تخيل ماذا يعني هذا الأمر بالنسبة للحكومات (تجسس) والأفراد (لا خصوصية) إلخ…يقوم المهاجم (الهكر السيء) بإرسال بريد إلكتروني إلى الهدف وعندها يتمكن من أخذ صورة مباشرة لهذا الهدف مخترقاً طرق الحماية التقليدية التي تعمد على tokens. الفيديو المرفق يظهر مثال لهذه العملية.

الكشف عن هذا التهديد جاء في عرض ل OWASP، حيث وصفها أحد المشاركين بأنها 0-day” (في عالم الهكرز هو الهجوم من خلال استخدام ثغرة لم يتم إغلاقها أو عمل patch لها) وهو يصيب كل متصفحات الانترنت المعروفة باستثناء ما يشبه lynx (برنامج تصفح من خلال سطر الأوامر) ولا علاقة له بالجافا سكريبت بمعنى لو تمّ تعطيل خاصّية الجافا السكريبت إمكانية التأثر بال clickjacking لا تزال قائمة.” حسب هانسن تمّت مناقشة الموضوع مع كلٍّ من مايكروسوف و موزيلا وكلتا الشركتين أجمعتا (بشكل منفصل) على أنها مشكلة وصعبة ولا يوجد لها حل بسيط الآن.

جورجي ماوني مطور NoScript (وهي إضافة يمكن تنصيبها على متصفح فايرفوكس) أرسل رسالة إلى موقع zdnet الشهير حول الموضوع وهذا باختصار ما قاله:

“اطلعت على معلومات تفصيليّة حول الثغرة وهي بالفعل مخيفة جدّاً. NoScript بالوضعية الإفتراضية يمكنها التغلب على غالبية سناريوهات الهجوم، لحماية 100% عن طريقة NoScript يجب أن يختار المستخدم خاصية Plugings | Forbid <IFRAME>”

أحد المسؤولين (لمزود يأثر هذا التهديد على منتج شركته) قال بأنه من شبه المستحيل إصلاحها بطريقة سلمية ( من عندي على الأقل في الوقت الحالي).

الفيديو

فيديو توضيحي

مثال توضيحي آخر

http://www.breakingpointsystems.com/community/blog/clickjacking/real-clickjacking

الحلّ المؤقت الآن:

1- عطل كل الإضافة ( Plugings ).
2- استخدام فايرفوكس مع NoScript.

كل الموقع مهددة حتى الشهيرة منها ولا تحتاج من المستخدم الضغط على وصلة في بريد إلكتروني فيكفي أن يكون الموقع الشهير يظهر إعلان على إحدى صفحاته ويكون هذا الاعلان من مصدر غير موثوق او تم اختراقه حتى ينجح المهاجم في استخدام الثغرة وبالتالي كن حذراً.

الموضوع خطير ولذلك ارجو من الإخوة الانتباه لهذا الموضوع ونشر المقال (من لديه أفضل فليتفضل مشكوراً) على نطاق واسع.

هناك وعد من شركة Adobe بحلّ الثغرة قبل نهاية الشهر الحالي.

المراجع

1- http://jeremiahgrossman.blogspot.com/2008/10/clickjacking-web-pages-can-see-and-hear.html
2- http://blogs.zdnet.com/security/?p=1973
3- http://www.breakingpointsystems.com/community/blog/clickjacking/real-clickjacking
4- http://en.wikipedia.org/wiki/Zero_day_attack
5- http://www.thetechherald.com/article.php/200841/2215/Adobe-promises-Clickjacking-fix-before-the-end-of-October

والله من وراء القصد

Post to Delicious Post to Digg Post to Reddit Post to StumbleUpon

]]> http://www.mtafran.com/2008/10/the-dangerous-clickjackin/feed/ 1