Artikulu hau itzulpen automatikoko sistema batek itzuli du. Informazio gehiago, hemen.

Euskarara itzultzeko sistemek aurrerapen handiak izan dituzte azken urteotan, baina oraindik badute zer hobetua. Hobekuntza horren parte izan nahi? Aukeratu esaldi osoak nahieran, eta klikatu hemen.

Clickjacking: klik baten engainua

Webgune maltzur batera sartzean erabiltzaileei eraso egitean oinarritutako delitu-teknika da.
Egilea: Antonio Delgado 2009-ko martxoak 10
Img clickjacking portada
Imagen: Phil Whitehouse

Zer da “clickjacking”-a? estratagema bat erabiltzailea esteka edo botoi baten gainean sakatuz itxuraz ez du kalterik egiten, baina, berez, beste lotura batean egiten du hirugarrenek kontrolatua. Mehatxua da honen ahultasuna ustiatzen duen segurtasun informatikoa: sistema eragilea edo erabiltzailearen nabigatzailea, orrialde bat aurkeztuta faltsua da, eta ekintza bat egitera gonbidatzen zaitu sistemaren kontrola.

Eraso hauek zulo baten bila dabiltza erabiltzailearen sistema, nahiz eta, oro har, ekintza baten aurretik berrespena edo irekitzen dituen erabiltzailearen beste ekintza bat zaurgarritasunerako ateak. Hori lortzeko, kalterik egiten ez duen gunea dela simulatzen duen webgunea, hiperesteka edo botoi bat sakatzen duen erabiltzailea. Berehala, sistemaren infekzioa eta erabiltzaileak aurreikusi gabeko ekintzak egitea, zibergaizkileek kontrola hartzen dute. Horrela, erabiltzailearen informazio pertsonala zabaltzea edo nahi ez diren mezuak ordenagailutik masiboki bidaltzea.

Batzuetan, zibergaizkileek ez dute zulorik ere erabiltzen sistemaren segurtasuna; pultsazio hutsa eragiten dute erabiltzaileak inkestak, bozketa-sistemak manipulatzeko edo spama sare sozial bateko gainerako kontaktuetara bidaltzea, internauta jabetu da egin duen ekintzaz.’

Batzuetan, zibergaizkileek erabiltzailearen pultsazioa eragiten dute inkestak manipulatzeko edo spama masiboki bidaltzeko

Kode maltzurrak orrialde batekin kamuflatzen dira kanpoko webgunea, kalterik egiten ez duena eta geruza baten barruan dagoena, edo “iframe”, erabiltzaileari erakusten zaion orriaren azpian ikusezina. Zibergaizkileek bat egiten dute erabiltzaileak duen eremu batean orriko elementu batekin ekintza bat egitea kamuflatuta, erasoa abiarazteko. Adibidez, blog hau adibide gisa erakusten da, ulertzeko mota honetako erasoak, albiste-sistema bateko bozketa beste web orri bateko botoi gorria dela simulatuz.

Clickjacking-en aurkako babesa

“Clickjacking”-etatik babesteko, Segurtasuna arriskuan jartzen duen beste edozein arrisku erabiltzaileen ordenagailua, garrantzitsuena sistema eragilea eta web nabigatzaileak eguneratu dira azken egunetan bertsioak. Hala ere, horrek ez du esan nahi ehuneko ehunean libre egongo denik. teknika maltzur horietatik. Erabiltzaile hauek bakarrik: testu moduko nabigatzaileak erabiltzen dituzte, hala nola Lynx, Links eta W3M salbu, nabigatzaile horiek ez baitute ez aplikaziorik ez aplikaziorik exekutatzen javascript-en egindako elementuak.

Firefox-en, erabiltzaileek NoScript luzapena instala dezakete, bertara sartzean web orri batek exekutatuko duen guztia kontrolatzeko

Firefox edo Opera bezalako nabigatzaile batzuek aparteko babesa, defentsa gehiago emateko eraginkorra da “clickjacking”-en erasoen aurrean. Firefox-en, erabiltzaileek NoScript luzapena instala dezakete, web orri batek exekutatuko duen guztia kontrolatzeko bertara sartzean, hala nola Javascript kodeak, luzapenak eta flash-etan egindako objektuak. NoScript-ek honela funtzionatzen du: zerrendak zuriak; hau da, erabiltzaileak eskuz gehitzen ditu exekutatzeko baimena duten konfiantzazko web guneak kode horietatik. Gainerako guneetan, erabiltzaileak orri horietan egiten den ekintza bakoitza baliozkotzea.

Operan, konponbide errazena hau da: “Bistaratu informazioa iframesen” luzapenak konfiguratzearen bidez. Horretarako, nabigatzailearen barratik “opera:config”-era sartzen da. edo “aukera guztiak” ataletik aterata, “Edukiak”, Tresnak menuaren barruan.

“Clickjacking” sare sozialetan

Joan den otsailaren 12an laster zabaldu zen Twitter orri bat zen txantxa erako esteka ingelesezko testuarekin botoi bat zuela simulatzen zuen webgunea “Don’t click” (ez egin klik). Botoi faltsua mezu bat argitaratzeko esteka zen, automatikoa botoia sakatzean, erabiltzailearen kontuan web orri bererako esteka eskaintzen zuen Twitter.

Horrelako erasoek kolokan uzten dute beste internautengan duten konfiantza lotura bat sakatzean eta ekintza ezezagunak egitean.

Erasoak funtziona zezan, erabiltzaileak Twitter saioa aktibatuta, beste fitxa batean nabigatzailea. Ekintza honek oso eragin birala lortu zuen ordu gutxi, bidaltzen milaka mezu “mikroblogging” plataforma ezagunean. “Txantxa” hori, autoreek kalifikatu dutenez, -en bidez blogger frantses batek argitaratutako artikulua, ekintza masibo bat egiteko aukerak aipatu zituen sare sozial honetan.

Arazoa konpondu zen azkar, Twitter sortu dutenengatik, mekanismo berriak garatu dira ekintza hori berriro gerta ez dadin etorkizunean errepikatzeko. Hala ere, kasu honetan, eraso ez-kaltegarri batena erabiltzaileentzat, zalantzan jartzen du Twitter barruko beste internauta batzuk helburu ezezagun batekin lotzea eta ekintzak egitea.