Ongelma

Joitakin viikkoja sitten tietoturvaa käsittelevissä kirjoituksissa alkoi kiertää uusi nimi – "clickjacking". Asiasta tiedottivat eräät tietoturvaorganisaatiot, kuten US CERT , ja useat verkkopohjaiset uutistoimistot, ja sen oletettiin olevan seuraavien viikkojen suuri uusi uhka.

Hämmennys sai alkunsa, kun Jeremiah Grossmanin ja Robert "RSnake" Hansenin esitelmä, joka oli sovittu pidettäväksi 24. syyskuuta OWASP NYC AppSec 2008 -konferenssissa peruttiin. . Esitelmän nimenä oli "New 0-Day Browser Exploits: Clickjacking - yea, this is bad..." (Selainten 0-Day -aukkojen uudet hyväksikäytöt: Clickjacking – paha ongelma…). Grossman ja Hansen olivat havainneet uudenlaisen haavoittuvuuden, joka vaikutti lähes kaikkiin selaimiin. Myyjän pyynnöstä esitelmä kuitenkin peruutettiin ja siirrettiin myöhemmäksi.   

Grossmanin ja Hansenin 15. syyskuuta antamat viestit peruutettua esitelmää koskien löytyvät seuraavista linkeistä:

• Grossman
• Hansen

Clickjacking määriteltiin lyhyesti seuraavalla tavalla:

"Clickjackingin avulla hyökkääjä huijaa käyttäjää napsauttamaan jotakin, joka on juuri ja juuri näkyvissä tai joka näkyy vain hetkellisesti."

Kuten voit nähdä edellä mainituista linkeistä, Hansen ja Grossman eivät julkaisseet juurikaan yksityiskohtaisia tietoja haavoittuvuudesta/haavoittuvuuksista.

Konferenssissa pidettävän esitelmän peruuttamista pyytänyt myyjä oli ilmeisesti Adobe (peruuttamista pyysivät mahdollisesti myös muut myyjät). Adoben tietoturvaryhmä (Security Incident Response Team, PSIRT) on blogissaan esittänyt julkisen kiitoksen Grossmanille ja Hansenille.

Yksi keskustelunaiheista

Kuten arvata saattoi, seikka, että tietoturva-asiantuntijat olivat havainneet haavoittuvuuden ja ilmoittaneet siitä ongelman vaikutuspiiriin kuuluville myyjille, mutta eivät koko Internet-yhteisölle, johti tietojen julkituomista koskevaan yleiseen keskusteluun. Mikä on vastuullista julkituomista, edut ja haitat jne.

Tätä koskevia dilemmoja on käsitelty Normanin aiempien tietoturvatiedotteiden artikkeleissa, esimerkiksi viikon 40/2002  tietoturvatiedoissa, eikä aihetta käsitellä tässä kirjoituksessa.

Puheet ja spekulointi

Heti kun tämä kaikkia selaimia koskeva haavoittuvuus tuli julki, alkoi spekulointi. Yhtenä ongelmana oli, että täsmällistä tietoa oli saatavilla erittäin vähän. Lainauksia Grossmanilta ja Hansenilta:

• "Tällä hetkellä uhka koskee lähes kaikkia, jotka käyttävät Internet Explorerin viimeisimpiä versioita (mukaan lukien versio 8) ja Firefox 3:a." (Grossman)
• "(...) ainoa ratkaisu on poistaa käytöstä selaimen komentosarjat ja lisäominaisuudet." (Grossman)
• "Olemme keskustelleet tästä merkittävästä uhkatekijästä sekä Microsoftin että Mozillan edustajien kanssa, ja molemmissa ollaan yhtä mieltä siitä, että ongelma on vaikea eikä helppoa ratkaisua ole tällä hetkellä näköpiirissä." (Hansen)

Hakusana clickjacking antaa useita satojatuhansia tuloksia. Tässä on muutama linkki lisää, jotka saattavat auttaa antamaan käsityksen, mistä on kyse. Jotkut linkeistä antavat myös ehdotuksia, mitä voit tehdä suojautuaksesi uhalta (ainakin jossain määrin):

•  Clickjacking and NoScript  - Hackademix.net (kirjoittanut Giorgio Maone, joka on mm. Firefoxin NoScript -lisäominaisuuden tekijä)
• Clickjacking and Other Browsers (IE, Safari, Chrome, Opera) - Hackademix.net (kirjoittanut Giorgio Maone)
• Dealing with UI redress vulnerabilities inherent to the current web - ehdotus siitä, mitä clickjacking on/oli ja ehdotuksia ongelman ratkaisemiseksi (kirjoittanut Michal Zalewski)
• Researchers weigh "clickjacking" threat - SecurityFocus (kirjoittanut Robert Lemos)
• This Week in HTML 5 - Episode 7 - keskustelua Zalewskin edellä mainitusta kirjoituksesta (kirjoittanut Mark Pilgrim, Google
• Not Clicjacking (Almost Certainly) - kiinnostavia esimerkkejä pelottavista asioista, jotka eivät (kirjoittajan uskomuksen mukaan) ole clickjackingia (kirjoittanut Tod Beardsley)

Vaaran arviointi

Clickjacking-haavoittuvuuden aiheuttamaa vaaraa ei ole tietenkään mahdollista selvittää tarkkaan, koska riittävästi tietoa ei ole tuotu julki. Ei voida myöskään tietää, minkälaista työtä paikkausten tekeminen haavoittuviin selaimiin ja muihin sovelluksiin tuo mukanaan.

Tiedossa olevien tosiasioiden perusteella voidaan kuitenkin tehdä spekulatiivisia, tietoihin perustuvia arvauksia:

• Ongelma koskee selainmallin käyttöä, eikä selaimissa itsessään todennäköisesti ole suunnitteluvirhettä, vaan heikkoudet ovat toiminnoissa, joita selaimet tukevat.
• Verkkosivuja selaileva ei ole altis haavoittuvuudelle, ellei hän selaa sivustoja, jotka käyttävät haavoittuvuutta hyväkseen. Tämä on merkittävin lieventävä tekijä.
• Valitettavasti erittäin monet verkkosivustot aiheuttavat vaaran ilman, että sivustoista vastuussa olevat henkilöt tietävät sitä. Siksi on suuri mahdollisuus, että varovainenkin selailija ajautuu vaaran aiheuttavalle sivustolle.
• Selainongelman ratkaiseminen edellyttää todennäköisesti, että selaimiin on tehtävä merkittäviä parannuksia
• Selaimen tietoturvaa voidaan kiristää (riippuen jossain määrin käytössä olevasta selaimesta). Tämä johtaa kuitenkin usein selauskokemuksen ja/tai selaustoimintojen huononemiseen selailijan kannalta.

Lisätietoja on tulossa

Yksi clickjackingia koskeva asia on kuitenkin varma: emme vielä ole nähneet viimeisiä kirjoituksia aiheesta!