Hepimizin sik sik önüne çikan, günümüzde ummayacagimiz sitelerde bile tuzagina düstükten sonra ancak farkedebildigimiz bir suistimal/saldiri teknigini sizlere hatirlatmak istedim. Teknigin adi esasen çok orjinal, çok seviyorum, iyi bir üretim: ClickJacking.
ClickJacking yeni bir terim sayilir, adi Eylül 2008′de bir konferansta kondu. Yeni bir saldiri türü idi bu, tüm browserlarda bulunan açiklari kullanarak sayfada o an görüntülüyor oldugunuz herhangi bir baglantiya (linke) sahip metnin veya resmin (ve artik Flash dosyalarinin da) bu hedef baglantisini manipüle ederek hackerin sizi istedigi siteye dogru çekmesi isine ClickJacking denildi.
Sonrasinda kavramin içine aslinda uzun zamandir uygulamada olan bazi yöntemler de dahil edildi; bunlara da suistimal diyelim. Örnegin size evet/hayirli ya da OK/Iptalli bir soru soran kutu yüzünden bilgisayariniza istemediginiz zararlilarin (malware) girmesi gibi. Ya da web sitesinin sag alt kösesinden yükselen güzel bir kizin MSN’de online olduguna dair küçük MSN pencerecigine tiklayarak bir numara çevirici (dialer) indirmeniz gibi. Ya da bir Windows penceresi gibi görünen tam bir resmin sag üst kösesindeki X dügmesinden pencereyi kapatmaya çalisirken aslinda resmin içindeki linke tikliyor olmaniz gibi. Örnekler çogaltilabilir; 10′larca browser penceresi açilmasindan tutun webcam ile mikrofonunuzun ele geçirilmesine kadar gidebilir. Sonuçta bu atak ne bir Cross-Site Scripting (XSS) atagi ne de cross-site request forgery (XRSF) atagidir, ancak browser manipülasyonu ile istenilen zararli kodlar, masum baglantilara tiklamaniz yüzünde sizin bilgisayarinizda çalismaktadir.
Peki nasil korunabiliriz? Adobe, Flash yama seviyesini kontrol edecek bir güncellemeyi çoktan yayinladi ama bu yama Microsoft uygulamalarini kapsamiyor, diger uygulamalar için çalismakta. Web tarayicinizi korumak ise biraz daha zor çünkü henüz bilmedigimiz potansiyel açiklar ve bunlari kullanabilecek birçok atak parametresi var. Su an için en temiz yöntem Firefox ve üzerine kurabileceginiz No-Script eklentisi. Bu eklentinin ClearClick özelligi sayesinde sayfadaki transparan ya da gizli pencereleri görebilir, ve bir script çalistirilmaya çalisildiginda engellenmesini saglayabilirsiniz.
ClickJacking bir tuzak; ama tarayicinizin bunu anlamasi mümkün degil. Tiklamalariniz sonucunda çalistirilacak script, sizin kendi talebinizmis gibi algilanip web tarayiciniz tarafindan bu talep yerine getirilecektir. Dolayisiyla neye tikladiginiza sizin dikkat etmeniz ve bu tuzaga düsmemeniz gerekmektedir.
