خطير جداً جداً: Clickjacking

[باحث عن المعرفة]

بدون مقدمات الموضوع خطير جداً جداً باختصار اذا كان لديك ميك وكاميرا وتستخدم مواقع مثل youtube فهناك احتمالية عالية جداً جداً جداً للهاكز لاخذ صور لك وتسجيل صوتك والاستيلاء على بريد الالكتروني أو حسابك في youtune وغيره

ولا يوجد حلّ فعّال حتى الان لهذه المشكلة إلا من خلال استخدام NoScript وهي اضافة لفيرفوكس وتعطيل الميك والكاميرا لحين ظهور حل فعّال اكثر مع هذه المشكلة.

الامر جدّ خطير ولو خطورته الشيء لتانيبت ورتبت ووضع شرحاً اكثر حول الموضوع. اعمل حالياً على بحث كامل حول الموضوع ولكن وجب التحذير.

ارجو من الاخوة في ادارة عرب هاردوير -وهي أول مرة لي اتوجه مباشرة إليهم- بالعمل الجدّي على نشر تحذير حول الموضوع للمستخدمين هنا وحتى المستخدمين العرب بشكل عام ليظلّ عرب هاردوير رائداً في توعية المستخدمين العرب في كل شيء وأهم شيء هو امنهم الشخصي.

لتفاصيل اكثر حول الموضوع

https://news.google.com/news?hl=en&q...-8&sa=N&tab=wn

https://blogs.zdnet.com/security/?p=1972

[C|EH]

شكرا على التحذير ، بالفعل الثغرة خطيرة ،،

الحمد لله لا يمكن ان اتصفح موقع بدون NoScript و HttpFox و ****ies monster،،

ياريت الاخوان ينتبهون للأمر ،،

[mohamed_career]

شكرا على التحذير

[Bahaa Hamam]

مشكور أخي علي التحذير ولكنني
لا استخدم اليوتوب ولا الشات
ولا الكاميرا ولا الميكروفون

[باحث عن المعرفة]

بارك الله فيكم إخواني على المرور.

اخي الصقر المصري حتى لو لم تكن تستخدم هذه المواقع فلأمر ليس مقتصراً على يوتوب وإنما كل الخدملت التي تشبه يوتوب وحتى كل المواقع التي تستعمل فلاش.

أهم ما في الأمر هو تحذير كل من تعرف بأهمية تأمين أنفسهم اثناء التصفح لأن الامر خطير.

[باحث عن المعرفة]

باختصار...هذه المقالة تغطي دراسة هامة جداً قام بهذه الدراسة خبيرا أمن المعلومات جيرميا جروسمان و روبرت هانسن حول ما يعرف بسرقة النقرة و clicclأو clickjacking لأنها تمسّ كلّ من يتعامل مع شبكة الإنترنت وبطريقة غير تقليدية، حيث أنّ الشخص الضحيّة لن يعرف أنه تمّ سرقة حسابه أو معلومات قبل فوات الآوان.

صفحات الإنترنت تعرف أين موقع كنت فيه (وبدون جافا سكريبت)، أين سجّلت دخول، ماذا شاهدت على يوتوب، والآن بإمكانهم رؤيتك وسماعك عبر ما يعرف ب Clickjacking + Adobe Flash. تفاصيل العملية التقنيّة لم يتم الإفصاح عنها بناءاً على طلب شركة Adobe. مسؤولية حلّ هذه المشكلة الأمنية لا تقع على عاتق المزود (شركة Adobe) فقط، بل تقع على عاتق الجميع من مزودي المتصفحات إلى أصحاب المواقع والمستخدمين كلهم لديهم حلولهم الخاصّة والتي تساعد في التقليل من أثر التهديد في حال فشل البعض في تأمين الحماية المطلوبة.

المشكلة في ال Clickjacking هو أنه يجعل من أي حاسوب موصول به ميك و ويب كاميرا جهاز مراقبة عن بعد بشكل مخفي عن صاحب الحاسوب وبنقرة فأرة واحدة. تخيل ماذا يعني هذا الأمر بالنسبة للحكومات (تجسس) والأفراد (لا خصوصية) إلخ...يقوم المهاجم (الهكر السيء) بإرسال بريد إلكتروني إلى الهدف وعندها يتمكن من أخذ صورة مباشرة لهذا الهدف مخترقاً طرق الحماية التقليدية التي تعمد على tokens. الفيديو المرفق يظهر مثال لهذه العملية.

الكشف عن هذا التهديد جاء في عرض ل OWASP، حيث وصفها أحد المشاركين بأنها 0-day" (في عالم الهكرز هو الهجوم من خلال استخدام ثغرة لم يتم إغلاقها أو عمل patch لها) وهو يصيب كل متصفحات الانترنت المعروفة باستثناء ما يشبه lynx (برنامج تصفح من خلال سطر الأوامر) ولا علاقة له بالجافا سكريبت بمعنى لو تمّ تعطيل خاصّية الجافا السكريبت إمكانية التأثر بال clickjacking لا تزال قائمة." حسب هانسن تمّت مناقشة الموضوع مع كلٍّ من مايكروسوف و موزيلا وكلتا الشركتين أجمعتا (بشكل منفصل) على أنها مشكلة وصعبة ولا يوجد لها حل بسيط الآن.

جورجي ماوني مطور NoScript (وهي إضافة يمكن تنصيبها على متصفح فايرفوكس) أرسل رسالة إلى موقع zdnet الشهير حول الموضوع وهذا باختصار ما قاله:

"اطلعت على معلومات تفصيليّة حول الثغرة وهي بالفعل مخيفة جدّاً. NoScript بالوضعية الإفتراضية يمكنها التغلب على غالبية سناريوهات الهجوم، لحماية 100% عن طريقة NoScript يجب أن يختار المستخدم خاصية Plugings | Forbid <IFRAME>"

أحد المسؤولين (لمزود يأثر هذا التهديد على منتج شركته) قال بأنه من شبه المستحيل إصلاحها بطريقة سلمية ( من عندي على الأقل في الوقت الحالي).

الفيديو

https://vimeo.com/1912736

مثال توضيحي آخر

https://www.breakingpointsystems.com...l-clickjacking

الحلّ المؤقت الآن:

1- عطل كل الإضافة ( Plugings ).
2- استخدام فايرفوكس مع NoScript.

كل الموقع مهددة حتى الشهيرة منها ولا تحتاج من المستخدم الضغط على وصلة في بريد إلكتروني فيكفي أن يكون الموقع الشهير يظهر إعلان على إحدى صفحاته ويكون هذا الاعلان من مصدر غير موثوق او تم اختراقه حتى ينجح المهاجم في استخدام الثغرة وبالتالي كن حذراً.

الموضوع خطير ولذلك ارجو من الإخوة الانتباه لهذا الموضوع ونشر المقال (من لديه أفضل فليتفضل مشكوراً) على نطاق واسع.

هناك وعد من شركة Adobe بحلّ الثغرة قبل نهاية الشهر الحالي.

المراجع

1- https://jeremiahgrossman.blogspot.co...-and-hear.html
2- https://blogs.zdnet.com/security/?p=1973
3- https://www.breakingpointsystems.com...l-clickjacking
4- https://en.wikipedia.org/wiki/Zero_day_attack
5- https://www.thetechherald.com/articl...end-of-October

والله من وراء القصد

[sharif_soper]

السلام عليكم اخي الباحث علي هذا التحذير وشكرا علي المقالة جزاك الله كل خير ياباشا

[cisco-boy]

شكرا على التحذير

[ameer_s]

شكرا جزيلا ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,