L'argomento

Da alcune settimane un nuovo termine ha iniziato a circolare nei documenti relativi alla sicurezza: "clickjacking". Alcuni organizzazioni per la sicurezza, ad esempio la  US CERT , così come varie agenzie di stampa su Web hanno indicato il clickjacking come la nuova, grande minaccia si sarebbe presentata nelle settimane successive.

Le voci hanno iniziato a circolare quando è stato annullato un intervento, pianificato per il 24 settembre, di Jeremiah Grossman & Robert "RSnake" Hansen nella Conferenza OWASP AppSec 2008 a New York. Il titolo dell'intervento era "New 0-Day Browser Exploits: Clickjacking - yea, this is bad..." (Clickjacking: la nuova, devastante vulnerabilità dei browser). Grossman e Hansen avevano individuato una nuova vulnerabilità, che interessava quasi tutti i browser. Tuttavia, l'intervento era stato annullato (rinviato) a seguito della richiesta di un produttore.   

Qui di seguito sono riportati gli interventi del 15 settembre forniti da Grossman e Hansen relativi agli interventi annullati:

• Grossman
• Hansen

Clickjacking è stato brevemente definito nel modo seguente:

"Il clickjacking (letteralmente furto di click) consente agli aggressori di ingannare un utente portandolo a fare clic su qualcosa appena o momentaneamente visibile."

Come è possibile notare dai collegamenti riportati sopra, Hansen e Grossman non hanno pubblicato molti dettagli sulle vulnerabilità.

Il produttore, che aveva richiesto l'annullamento dell'intervento nella conferenza, era apparentemente Adobe (o, forse, erano anche altri produttori). Il PSIRT (Security Incident Response Team) della Adobe ha  pubblicamente Grossman e Hansen sul proprio blog.

Il dibattito

Com'era prevedibile, la scoperta di una vulnerabilità da parte di alcuni esperti della sicurezza e la loro decisione di informare i produttori interessati e non la comunità Internet in generale, ha innescato un ampio dibattito sulla divulgazione. Ad esempio, cosa sia una divulgazione responsabile, pro e contro e così via.

Alcune problematiche relative a questo argomento sono state discusse nei precedenti articoli sulle Informazioni sulla sicurezza di Norman (consultare ad esempio quelli della settimana 40/2002 e non saranno argomento di questo documento.

Interventi e ipotesi

Immediatamente dopo la divulgazione delle informazioni su questa vulnerabilità rilevata su vari browser, è iniziata l'elaborazione di varie ipotesi. Un primo problema era la scarsa disponibilità di informazioni specifiche. Secondo Grossman e Hansen

• "Al momento il problema interessa tutti gli utenti delle versioni più recenti di Internet Explorer (inclusa la versione 8) e Firefox 3 (Grossman)
• (...) il solo modo per correggere il problema è disabilitare script e plugin dei browser. (Grossman)
• "Abbiamo discusso l'elevato grado di preoccupazione con Microsoft e con Mozilla e queste aziende sono entrambe d'accordo sul fatto che si tratti al momento di un problema di difficile risoluzione." (Hansen)

La ricerca del termine clickjacking ha prodotto varie centinaia di migliaia di risultati. Di seguito vengono forniti alcuni ulteriori collegamenti che potrebbero essere utili per comprendere l'entità e la natura del problema. Alcuni di questi collegamenti forniscono anche suggerimenti sulle azioni da intraprendere per proteggersi da questa minaccia (almeno fino a un certo punto):

• Clickjacking and NoScript - Hackademix.net (di Giorgio Maone, autore, ad esempio, del plugin NoScript per Firefox)
• Clickjacking and Other Browsers (IE, Safari, Chrome, Opera) - Hackademix.net (di Giorgio Maone)
• Dealing with UI redress vulnerabilities inherent to the current web - una proposta di definizione del clickjacking e varie proposte per la risoluzione del problema (di Michal Zalewski)
• Researchers weigh "clickjacking" threat - SecurityFocus (di Robert Lemos)
• This Week in HTML 5 - Episode 7 - discussione dell'intervento riportato sopra di Zalewski (di Mark Pilgrim, Google)
• Not Clicjacking (Almost Certainly) - alcuni esempi interessanti di tipi di minacce diverse dal clickjacking (come ritenuto dall'autore) (di Tod Beardsley)

Stima del pericolo

Ovviamente non è possibile stabilire con precisione il pericolo derivante da questa vulnerabilità, poiché non sono state divulgate sufficienti informazioni. Non è neanche possibile ipotizzare la quantità di lavoro necessario per la creazione di patch per i browser e altre applicazioni interessate dalla vulnerabilità.

Tuttavia, allo stato attuale delle conoscenze, è possibile avanzare alcune ipotesi plausibili:

• Il problema riguarda una rilevante implementazione della progettazione dei browser e probabilmente non si tratta di una falla di progettazione nei browser stessi, ma piuttosto nelle funzionalità supportate dai browser.
• Un navigatore in rete non è vulnerabile a meno che non visiti dei siti Web potenzialmente vulnerabili. Questo è uno dei principali fattori di attenuazione del rischio.
• Purtroppo, molti siti Web sono compromessi senza che le persone responsabili del sito ne siano consapevoli. Ciò significa che anche navigatori molto attenti possono finire su un sito Web compromesso.
• Per risolvere il problema nei browser, probabilmente sarà necessaria la riscrittura di gran parte del codice.
• È possibile rafforzare la sicurezza dei browser (più o meno a seconda del browser utilizzato). Tuttavia, in tal modo si produrrà spesso un peggioramento dell'esperienza di navigazione e/o delle funzionalità disponibili per il navigatore in rete.

Futura disponibilità di ulteriori informazioni

C'è una sola certezza sul clickjacking: questa non è l'ultima parola su questo argomento!