Saltatu nabigazio-menua eta joan edukira

EROSKI CONSUMER, kontsumitzailearen egunkaria

Bilatzailea

Fundazioaren logotipoa

EROSKI CONSUMERen kanalak


Artikulu hau itzulpen automatikoko sistema batek itzuli du. Informazio gehiago, hemen.

Euskarara itzultzeko sistemek aurrerapen handiak izan dituzte azken urteotan, baina oraindik badute zer hobetua. Hobekuntza horren parte izan nahi? Aukeratu esaldi osoak nahieran, eta klikatu hemen.

Clickjacking: klik baten engainua

Webgune maltzur batera sartzean erabiltzaileei eraso egitean oinarritutako delitu-teknika da.

Zer da “clickjacking”-a? estratagema bat erabiltzailea esteka edo botoi baten gainean sakatuz itxuraz ez du kalterik egiten, baina, berez, beste lotura batean egiten du hirugarrenek kontrolatua. Mehatxua da honen ahultasuna ustiatzen duen segurtasun informatikoa: sistema eragilea edo erabiltzailearen nabigatzailea, orrialde bat aurkeztuta faltsua da, eta ekintza bat egitera gonbidatzen zaitu sistemaren kontrola.

Eraso hauek zulo baten bila dabiltza
erabiltzailearen sistema, nahiz eta, oro har, ekintza baten aurretik
berrespena edo irekitzen dituen erabiltzailearen beste ekintza bat
zaurgarritasunerako ateak. Hori lortzeko,
kalterik egiten ez duen gunea dela simulatzen duen webgunea,
hiperesteka edo botoi bat sakatzen duen erabiltzailea.
Berehala, sistemaren infekzioa eta
erabiltzaileak aurreikusi gabeko ekintzak egitea,
zibergaizkileek kontrola hartzen dute. Horrela,
erabiltzailearen informazio pertsonala zabaltzea edo
nahi ez diren mezuak ordenagailutik masiboki bidaltzea.


Batzuetan, zibergaizkileek ez dute zulorik ere erabiltzen
sistemaren segurtasuna; pultsazio hutsa eragiten dute
erabiltzaileak inkestak, bozketa-sistemak manipulatzeko
edo spama sare sozial bateko gainerako kontaktuetara bidaltzea,
internauta jabetu da egin duen ekintzaz.’


Batzuetan, zibergaizkileek erabiltzailearen pultsazioa eragiten dute inkestak manipulatzeko edo spama masiboki bidaltzeko

Kode maltzurrak orrialde batekin kamuflatzen dira
kanpoko webgunea, kalterik egiten ez duena eta geruza baten barruan dagoena, edo
“iframe”,
erabiltzaileari erakusten zaion orriaren azpian ikusezina.
Zibergaizkileek bat egiten dute erabiltzaileak duen eremu batean
orriko elementu batekin ekintza bat egitea
kamuflatuta, erasoa abiarazteko.
Adibidez,
blog hau adibide gisa erakusten da, ulertzeko
mota honetako erasoak, albiste-sistema bateko bozketa
beste web orri bateko botoi gorria dela simulatuz.


Clickjacking-en aurkako babesa

“Clickjacking”-etatik babesteko,
Segurtasuna arriskuan jartzen duen beste edozein arrisku
erabiltzaileen ordenagailua, garrantzitsuena
sistema eragilea eta web nabigatzaileak eguneratu dira azken egunetan
bertsioak. Hala ere, horrek ez du esan nahi ehuneko ehunean libre egongo denik.
teknika maltzur horietatik. Erabiltzaile hauek bakarrik:
testu moduko nabigatzaileak erabiltzen dituzte, hala nola Lynx, Links eta W3M
salbu, nabigatzaile horiek ez baitute ez aplikaziorik ez aplikaziorik exekutatzen
javascript-en egindako elementuak.


Firefox-en, erabiltzaileek NoScript luzapena instala dezakete, bertara sartzean web orri batek exekutatuko duen guztia kontrolatzeko

Firefox edo Opera bezalako nabigatzaile batzuek
aparteko babesa, defentsa gehiago emateko
eraginkorra da “clickjacking”-en erasoen aurrean. Firefox-en,
erabiltzaileek NoScript luzapena instala dezakete,
web orri batek exekutatuko duen guztia kontrolatzeko
bertara sartzean, hala nola Javascript kodeak, luzapenak eta
flash-etan egindako objektuak. NoScript-ek honela funtzionatzen du:
zerrendak
zuriak; hau da, erabiltzaileak eskuz gehitzen ditu
exekutatzeko baimena duten konfiantzazko web guneak
kode horietatik. Gainerako guneetan, erabiltzaileak
orri horietan egiten den ekintza bakoitza baliozkotzea.


Operan, konponbide errazena hau da:
“Bistaratu informazioa
iframesen” luzapenak konfiguratzearen bidez.
Horretarako, nabigatzailearen barratik “opera:config”-era sartzen da.
edo “aukera guztiak” ataletik aterata,
“Edukiak”, Tresnak menuaren barruan.


“Clickjacking” sare sozialetan

Joan den otsailaren 12an laster zabaldu zen
Twitter
orri bat zen txantxa erako esteka
ingelesezko testuarekin botoi bat zuela simulatzen zuen webgunea
“Don’t click” (ez egin klik). Botoi faltsua
mezu bat argitaratzeko esteka zen,
automatikoa botoia sakatzean, erabiltzailearen kontuan
web orri bererako esteka eskaintzen zuen Twitter.

Horrelako erasoek kolokan uzten dute beste internautengan duten konfiantza lotura bat sakatzean eta ekintza ezezagunak egitean.

Erasoak funtziona zezan, erabiltzaileak
Twitter saioa aktibatuta, beste fitxa batean
nabigatzailea. Ekintza honek oso eragin birala lortu zuen
ordu gutxi, bidaltzen
milaka mezu “mikroblogging” plataforma ezagunean.
“Txantxa” hori, autoreek kalifikatu dutenez,
-en bidez
blogger frantses batek argitaratutako artikulua,
ekintza masibo bat egiteko aukerak aipatu zituen
sare sozial honetan.


Arazoa konpondu zen
azkar, Twitter sortu dutenengatik,
mekanismo berriak garatu dira ekintza hori berriro gerta ez dadin
etorkizunean errepikatzeko. Hala ere, kasu honetan,
eraso ez-kaltegarri batena
erabiltzaileentzat, zalantzan jartzen du
Twitter barruko beste internauta batzuk
helburu ezezagun batekin lotzea eta ekintzak egitea.

Hau interesa dakizuke:

Infografiak | Argazkiak | Ikerketak