Navegadores ainda não estão protegidos contra o clickjacking.

Por Vinicius Cherobino, editor assistente do COMPUTERWORLD Sequestro dos clicks. Este é, em resumo, o que está por traz da técnica hacker conhecida como clickjacking. A prática causou reverberações em segurança da informação por conta das possibilidades e gravidade dos ataques que pode possibilitar. Com o clickjacking, um criminoso pode acessar a câmera de vídeo e o microfone de laptops, abrir e manipular documentos críticos no disco rígido da máquina, alterar botões internos no navegador (como o login do internet banking, por exemplo), entre muitas outras coisas. Você conhece o clickjacking? Em entrevista exclusiva por e-mail, Jeremiah Grossman, presidente da empresa de segurança White Hack e um dos pesquisadores que identificou a vulnerabilidade, falou ao COMPUTERWORLD sobre a técnica hacker e o que foi feito para controlá-la. Além disso, Grossman comentou sobre a migração das vulnerabilidades, que estão deixando os sistemas operacionais para serem exploradas nos navegadores, as tendências de defesa em 2009 e como a crise financeira está afetando a segurança nas empresas. Confira! COMPUTERWORLD - Desde o anúncio feito no início de outubro, o que as maiores empresas de software fizeram para erradicar o clickjacking? Foi suficiente? Jeremiah Grossman - A Microsoft, através de uma nova funcionalidade no Internet Explorer 8, é a única empresa de navegadores que tomou alguma medida contra o clickjacking. Ainda que seja positiva, a iniciativa não é ampla para todo o mercado. Por enquanto, o NoScript – popular complemento para o Firefox – segue como a melhor forma de proteção contra o clickjacking. CW – Quão séria é a ameaça do clickjacking hoje? JG – Se você analisar apenas a possibilidade de ter a sua máquina invadida usando a técnica, a possibilidade é baixa. Até agora, nenhuma atividade maliciosa explorando a técnica foi confirmada oficialmente. No entanto, isso pode mudar a qualquer momento, especialmente por que o clickjacking continua sendo algo que um cracker pode tirar proveito e ter amplo acesso à máquina invadida. CW – Até o XP, a maioria dos ataques explorava brechas nos sistemas operacionais. Hoje, na era do cloud computing, estes ataques estão concentrados nos navegadores. Como você vê a mudança na maneira pela qual as vulnerabilidades são exploradas hoje? JG – Se você analisar qualquer relatório atual de segurança, a maior parte dos ataques é baseada em web. Isso significa que eles ou invadem um site ou exploram uma falha em um navegador. A tendência nesse sentido é que as coisas devem ficar piores antes de melhorarem. CW – Como resposta à crise financeira, quais projetos de segurança foram cortados do orçamento? Você acredita que a segurança da informação vai sofrer mais com os cortes motivados pela crise financeira? JG – Ao falar com um grande número de empresas, grandes e pequenas, [serão mais atingidos] os softwares de segurança corporativa que demandam envolvimento contínuo de profissionais de tecnologia. Além disso, todos os projetos estão passando por análise profunda de viabilidade, especialmente aqueles que são novos. Se um projeto novo, ou mesmo existente, não tiver um resultado direto para os negócios, ele corre enorme risco de não sobreviver. CW – Quais serão os tópicos mais quentes de segurança em 2009? JG – Resumidamente, segurança web, segurança na nuvem e virtualização, nesta ordem. Todos esses tópicos estão interelacionados e vão gerar impacto uns nos outros no futuro.