Thema

Seit ein paar Wochen kursiert in Veröffentlichungen zum Thema „IT-Sicherheit“ ein neuer Begriff: „Clickjacking“. Einige Unternehmen und Organisationen, die im Bereich Sicherheit tätig sind – z. B. US CERT und verschiedene Online-Nachrichtenagenturen, berichteten bereits über diese vermeintlich große und neue Gefahr.

Die „Clickjacking“-Geschichte begann, als die Sicherheitsexperten Jeremiah Grossman und Robert „RSnake“ Hansen einen am 24. September geplanten Vortrag auf der OWASP-Konferenz zu kritischen Sicherheitslücken in einer Reihe von Internet-Browsern und in Websites zurückzogen und mit ihrer Begründung für einige Aufregung in der Security-Gemeinde sorgten. Der Vortrag trug den Titel „New 0-Day Browser Exploits: Clickjacking - yea, this is bad...“. Grossman und Hansen hatten eine neue Sicherheitslücke entdeckt, die nahezu alle Browser betrifft. Der geplante Vortrag wurde schließlich auf Wunsch betroffener Hersteller abgesagt (verschoben).   

Die Blog-Beiträge vom 15. September von Grossman und Hansen bezüglich der abgesagten Vorträge finden Sie hier:

• Grossman
• Hansen

Clickjacking wurde demnach so definiert:

"Clickjacking ermöglicht es einem Angreifer, unter Ausnutzung bestimmter Sicherheitslücken, den Anwender dazu zu bringen, statt auf den gewünschten, legitimen Link auf etwas kaum oder nur sehr kurz Sichtbares klicken zu lassen."

Wie Sie über die oben genannten Links feststellen werden, gaben Hansen und Gross kaum Details über die Schwachstelle(n) preis.

Bei dem Hersteller, der darum bat, die Informationen nicht auf der Konferenz zu präsentieren, handelte es sich offenbar um Adobe (möglicherweise jedoch noch weitere Hersteller). In seinem Konzern-Blog dankte das Security Incident Response Team (PSIRT) von Adobe den Experten Grossman und Hansen öffentlich für ihre Sicherheitswarnung.

Diskussionspunkt

Wie zu erwarten war, entfachte die Vorgehensweise der Sicherheitsexperten, nämlich zuerst die betreffenden Hersteller, nicht aber die Internet-Gemeinde über die entdeckten Schwachstellen zu informieren, eine allgemeine Diskussion. Wie ist verantwortliches Handeln beim Entdecken von derart kritischen Schwachstellen zu verstehen, was sind die Vor- und Nachteile usw.

Einige dieser Punkte wurden bereits in früheren Artikeln und Sicherheitsinformationen von Norman diskutiert, siehe z. B. Beiträge aus der Woche 40/2002, und werden hier nicht eingehender behandelt.

Verlautbarungen und Spekulationen

Unmittelbar nachdem erste Informationen über die Browser-übergreifenden Schwachstellen durchsickerten, begannen die Spekulationen. Ein Hauptprobleme bestand darin, dass nur sehr wenige konkrete Informationen verfügbar waren. Grossman und Hansen erklärten in verschiedenen Veröffentlichungen:

• „Derzeit sieht es so aus, als ob nahezu jeder Anwender bedroht ist, der die neuesten Versionen von Internet Explorer (einschließlich Version 8) und Firefox 3 verwendet.“ (Grossman)
•  „(...) die einzige Gegenmaßnahme besteht darin, das Scripting und die Plugins des Browsers zu deaktivieren.“ (Grossman)
• „Wir haben diese Problematik mit Microsoft und Mozilla besprochen, und beide Unternehmen bestätigen unabhängig voneinander, dass es sich um ein ernstes Problem handelt, für das kurzfristig keine einfache Lösung in Sicht ist.“ (Hansen)

Bei der Suche nach dem Begriff „Clickjacking“ wird man mit hunderttausenden von Ergebnissen konfrontiert. Wir haben für Sie einige Links zu Artikeln zusammengestellt, mit denen Sie sich einen guten Überblick über die Problematik verschaffen können. Einige dieser Links enthalten auch Vorschläge dazu, wie Sie sich (zumindest bis zu einem gewissen Grad) schützen können:

• Clickjacking and NoScript - Hackademix.net (von Giorgio Maone, Autor des NoScript Plug-ins für Firefox)
• Clickjacking and Other Browsers (IE, Safari, Chrome, Opera) - Hackademix.net (von Giorgio Maone)
• Dealing with UI redress vulnerabilities inherent to the current web - Der Artikel beschreibt, was „Clickjacking“ ist bzw. war und nennt verschiedene Lösungsansätze (von Michal Zalewski)
• Researchers weigh "clickjacking" threat - SecurityFocus (von Robert Lemos)
• This Week in HTML 5 - Episode 7 - Diskussion der oben erwähnten Veröffentlichung von Zalewski (von Mark Pilgrim, Google)
• Not Clicjacking (Almost Certainly) - Einige faszinierende Beispiele erschreckender Möglichkeiten, die (nach Meinung des Autors) aber nicht dem Clickjacking zuzurechnen sind (von Tod Beardsley)

Einschätzung der Gefahren

Da noch keine detaillierten Informationen über diese Internet-Schwachstellen vorliegen, ist es nicht möglich, die Risiken genau einzuschätzen. Ebenso wenig lässt sich abschätzen, wie viel Arbeit nötig sein wird, um Patches für die von der Schwachstelle bedrohten Browser und andere Anwendungen zu entwickeln.

Mit den derzeit vorliegenden Fakten lässt sich aber soviel feststellen:

• Das Problem betrifft wichtige Implementierungen von Browser-Anwendungen, beruht aber wahrscheinlich nicht auf Entwicklungsfehlern innerhalb der Browser, sondern hängt mit der Funktionalität zusammen, die die Browser unterstützen.
• Ein Surfer ist keinen Gefahren ausgesetzt, solange er nicht auf Websites surft, die sich die Schwachstellen zunutze machen. Dadurch ist die Lage nicht so kritisch, wie sie gelegentlich dargestellt wird.
• Leider sind außerordentlich viele Websites ohne Wissen der Verantwortlich von der Gefahr betroffen. Dadurch ergibt sich wahrscheinlich auch für vorsichtige Internetsurfer ein hohes Gefahrenpotenzial.
• Zur Lösung des Browserproblems sind wahrscheinlich umfangreiche Programmierarbeiten nötig.
• Die Browsersicherheit lässt sich (je nach verwendetem Browser in unterschiedlichem Maße) verbessern. Dabei müssen vom Anwender jedoch meist Einschränkungen hinsichtlich Benutzerfreundlichkeit und Funktionalität in Kauf genommen werden.

Weitere Informationen folgen

Nur eines ist sicher: zum Thema „Clickjacking“ ist das letzte Wort noch nicht gesprochen bzw. geschrieben worden!