Web Application Security Clickjacking – Client- und Server-Systeme vor Mausklick-Raub schützen

Autor / Redakteur: Wieland Alge / Stephan Augsten

Clickjacking ist eine besonders heimtückische Art der Internet-Attacke, denn der Nutzer bekommt davon in der Regel überhaupt nichts mit. In diesem Beitrag befassen wir uns mit der technischen Raffinesse des Mausklick-Raubs sowie möglichen Client- und Server-seitigen Gegenmaßnahmen.

Firmen zum Thema

Hinterhältig: Clickjacking lässt sich nur schwer erkennen, aber immerhin verhindern.
Hinterhältig: Clickjacking lässt sich nur schwer erkennen, aber immerhin verhindern.
( Archiv: Vogel Business Media )

Im Internet ist „Ich sehe was, was Du nicht siehst” kein Kinderspiel. Wenn ein Hacker dort durch JavaScript – auch für geübte Internet-User unsichtbar – Mausklicks raubt, nennen das Experten Clickjacking.

Bei dieser etwa seit September 2008 bekannten Form der Internet-Kriminalität wird der User verführt, eine scheinbar unverfängliche Webseite zu besuchen. Entsprechende Webseiten sind so programmiert oder manipuliert, dass jeder Klick – ganz egal wohin – eine Attacke auslöst.

Facebook – das prominenteste Clickjacking-Opfer

Betroffen und gefährdet sind potenziell alle Internet-Nutzer – zuhause und am Arbeitsplatz. Auf eine Gruppe von Nutzern haben es die Kriminellen aber besonders abgesehen: Die Facebook-Gemeinde ist mit weltweit 500 Millionen Nutzern (Stand Juli 2010) nicht nur besonders groß und eng vernetzt. Ihre Mitglieder sind meist jung, schnell, vertrauen ihren Freunden und sind quasi ständig eingeloggt.

Der „Gefällt mir“-Button gehört zu den beliebtesten, millionenfach geklickten Schaltflächen im Facebook-Universum. Das ist auch den Cyberkriminellen nicht entgangen. Schauen wir uns den Prozess einer Clickjacking-Attacke also am Beispiel eines Facebook-Users an.

Inhalt

  • Seite 1: Facebook – das prominenteste Clickjacking-Opfer
  • Seite 2: Ablauf einer Clickjacking-Attacke
  • Seite 3: Client- und Server-seitige Clickjacking-Killer

Ablauf einer Clickjacking-Attacke

Als Wegbereiter fürs Clickjacking dient eine Nachricht, die zum Beispiel einen Link auf kostenlose Produkte, Prominenten-News oder andere „attraktive“ Angebote enthält. Unser Adressat erhält nun eine Mail mit dem Link auf „Neueste Tipps von Krake Paul“. Klickt er auf den Link, gelangt er automatisch auf eine korrupte Zwischen-Webseite, die ihn beispielsweise mit der Frage „Glaubst Du, Paul hat wieder recht?“ nochmals zu einem Klick verleitet.

Ab jetzt ist es völlig egal, wohin der User klickt, denn hinter der gesamten Seite liegt ein unsichtbarer iFrame mit einem JavaScript, um unbemerkt dem Mauszeiger des Users zu folgen. Der Anwender wird also, egal ob er auf Ja, Nein, den Rand oder sonst einen Bereich klickt, immer den Angriff auf seine Facebook-Seite auslösen.

Weil die meisten „Facebooker“ ständig online sind, wird, nachdem der User auf die manipulierte Seite geklickt hat, in seinem Profil der gleiche Link publiziert „Neuste Tipps von Krake Paul“. Darunter der „Gefällt mir“ Button. Die Meldung mit dem Link erscheint in allen News-Feeds der Kontakte des Opfers. Klickt nun einer der Freunde auf diesen Link, wird auch er auf die Fake-Seite weitergeleitet – und der Zyklus startet von vorn.

Der „geraubte“ Klick kann darüber hinaus unterschiedliche Intentionen und Folgen haben. Der Angreifer kann Schadprogramme verbreiten oder schlicht nur nerven. Werden aber die aktuellen Möglichkeiten des Clickjacking mit ausgefeilteren Technologien wie beispielsweise Cross-Site Request Forgery (CSFR) Angriffen oder mit Trojanern kombiniert, die Passwörter auslesen, wird das potenzielle Ausmaß des Clickjacking deutlich.

Für die betroffene Anwendung ist es dabei nahezu unmöglich, festzustellen, dass die Anfrage ein Schwindel war. Denn der gesamte Vorgang ist für die Applikation, auf der die Attacke beginnt, „legal“: er wurde vom User selbst initiiert und während einer gültigen Session ausgeführt.

Die jüngste Welle von Attacken über die führende Social Media Plattform sollte IT-Chefs nun aufhorchen lassen: Obwohl Clickjacking nur über den Client läuft, kann auch auf der Server-Seite ein übersichtliches Schutzkonzept wirkungsvoll helfen und das Problem schon an der Quelle verhindern.

Inhalt

  • Seite 1: Facebook – das prominenteste Clickjacking-Opfer
  • Seite 2: Ablauf einer Clickjacking-Attacke
  • Seite 3: Client- und Server-seitige Clickjacking-Killer

Aktuelle Browser-Patches installieren

Im Grunde liegt die beste Lösung, um Clickjacking zu verhindern, im Browser selbst. Seine Funktionen müssten so verbessert werden, dass er versteckte iFrames und schädliche JavaScripts aufspürt und verhindert. Die meisten der großen Browser-Anbieter haben bereits damit begonnen, Mechanismen gegen Clickjacking zu integrieren.

Der Mozilla Firefox hat das Plug-In NoScript, das verhindert, dass von untrusted Domains Skripts eingeschleust werden.

Microsoft Internet Explorer 8, Apple Safari 4 und Google Chrome 2 können prüfen, ob auf einer eigebunden Seite der HTTP-Header X-FRAME-OPTIONS existiert. Webseiten-Betreiber können dann festlegen, ob die Seite beispielsweise in einem Frame dargestellt werden darf oder nicht.

Auf den Clients sollte deshalb stets der aktuellste Browser-Patch installiert sein, damit die Fortschritte der Anbieter auch für das eigene Unternehmen genutzt werden. Doch das ist nur der Anfang. Bis die Browser zuverlässig vor Clickjacking schützen, wird noch einige Zeit vergehen. Deshalb müssen IT-Verantwortliche heute erst einmal selbst die bestmögliche Vorsorge treffen. Ein 5-Punkte-Programm reduziert die Risiken.

Anti-Spam-Maßnahmen: Clickjacking beginnt damit, dass der User auf gefährliche Webseiten gelockt wird. Das geschieht in vielen Fällen über eine Spam- oder gefälschte E-Mails Der wichtigste Ansatzpunkt ist es daher, einen wirksamen Spamschutz zu installieren, um Clickjacking schon an der Quelle abzublocken.

Web Traffic filtern: Web-Filter können potenzielle Schadseiten blockieren oder User zumindest davon abhalten, gefährliche Seiten zu besuchen, die möglicherweise Clickjacking-Code beinhalten.

Webapplikationen vor Clickjacking-Scripts schützen: Web Application Firewalls (WAF) können den gesamten Website-Inhalt nach verdächtigen Scripts durchforsten und machen es Angreifern unmöglich, die Scripts auf Ihrer Webseite einzuschleusen.

Webanwendungs-Formulare schützen: WAFs können in HTTP-Formularen Nonces (Tokens) platzieren. So wird es für Angreifer fast unmöglich, Formular-Updates durchzuführen. WAFs können auch den Input von Formular-Parametern prüfen, um schädlichen Input fernzuhalten, der an die Web-Server geschickt wird.

Nutzer regelmäßig ausloggen: Webapplikationen, bei denen der User ständig eingeloggt bleiben kann – wie im Falle von Facebook – sind sehr anfällig für Clickjacking-Attacken. Deshalb sollten Anwender in regelmäßigen Abständen abgemeldet werden.

„Traue keinem Client“, lautet ein Mantra von Webprogrammierern – und Clickjacking bestätigt es: Die Attacke wird vom User nur angestoßen und läuft dann ausschließlich über den Client. Doch Maßnahmen in der Netzwerk-Infrastruktur können Clients wirksam davor schützen, überhaupt in die Falle zu laufen. „Ich sehe was, was du nicht siehst“ kann dann der Hacker dann mit sich alleine spielen.

Dr. Wieland Alge ist Geschäftsführer DACH bei Barracuda Networks.

Inhalt

  • Seite 1: Facebook – das prominenteste Clickjacking-Opfer
  • Seite 2: Ablauf einer Clickjacking-Attacke
  • Seite 3: Client- und Server-seitige Clickjacking-Killer

(ID:2046726)