സുരക്ഷാ വിദഗ്ദ്ധര്‍ അതീവ ഗുരുതരമായ ഒരു പുതിയ സുര‍ക്ഷാ മുന്നറിയിപ്പ് നല്‍കിയിരിയ്ക്കുന്നു. ഇത് വെറും മറ്റൊരു സുരക്ഷാ മുന്നറിയിപ്പല്ല. മൈക്രോസോഫ്റ്റ് ഇന്റര്‍നെറ്റ് എക്സ്പ്ലോറര്‍, മോസില്ല ഫയര്‍ ഫോക്സ്, ആപ്പ്ള്‍ സഫാരി, ഒപേര, അഡോബ് ഫ്ലാഷ് എന്നിങ്ങനെ എല്ലാ പ്രമുഖ ഡെസ്ക് ടോപ് പ്ലാറ്റ്ഫോമുകളേയും ബാധിയ്ക്കുന്ന ഒരു ബ്രൌസര്‍ സുരക്ഷാ പാളിച്ചയാണ് ഈ പുതിയ വെല്ലുവിളി.


ക്ലിക്ക് ജാക്കിങ് എന്ന് വിളിയ്ക്കുന്ന ഈ പുതിയ ഭീഷണിയെ പറ്റി ഇത് കണ്ടുപിടിച്ച റോബര്‍ട്ട് ഹാന്‍സന്‍, ജെറെമിയ ഗ്രോസ്മാന്‍ എന്നീ സുരക്ഷാ വിദഗ്ദ്ധര്‍ ന്യൂ യോര്‍ക്കില്‍ ഇക്കഴിഞ്ഞ ദിവസങ്ങളില്‍ (സെപ്റ്റംബര്‍ 22 - 25) നടന്ന ഒരു ഉന്നത തല കമ്പ്യൂട്ടര്‍ സുരക്ഷാ വിദഗ്ദ്ധരുടെ സമ്മേളനത്തില്‍ പരാമര്‍ശിക്കാന്‍ തീരുമാനി ച്ചിരുന്നതാണ്. OWASP NYC AppSec 2008 Conference എന്നായിരുന്നു ഈ സമ്മേളനത്തിന്റെ പേര്. OWASP എന്നത് സ്വതന്ത്ര സോഫ്റ്റ്വെയര്‍ എന്ന ആശയം പ്രോത്സാഹിപ്പിയ്ക്കുന്ന ഒരു ആഗോള കമ്പ്യൂട്ടര്‍ സുരക്ഷാ സമൂഹമാണ്. Open Web Application Security Project Foundation എന്ന ഒരു ലാഭ രഹിത കൂട്ടായ്മയാണ് ഈ പ്രോജക്റ്റിനു പിന്നില്‍.




എന്നാല്‍ അഡോബ് ഉള്‍പ്പടെയുള്ള ചില കമ്പനികളുടെ അഭ്യര്‍ത്ഥന മാനിച്ച് ഇവര്‍ ഇത് സമ്മേളനത്തില്‍ വെളിപ്പെടുത്തിയില്ല. ഇതിന് ഇവരോടുള്ള അഡോബിന്റെ കൃതജ്ഞത ഇവിടെ രേഖപ്പെടു ത്തിയിട്ടുണ്ട്.





ഇത്രയും പറഞ്ഞത് ഈ ഭീഷണിയുടെ ഗൌരവം ബോധ്യപ്പെടുത്താനാണ്.




ഇവര്‍ ഇത് ഈ സമ്മേളനത്തില്‍ വെളിപ്പെടുത്താ തിരുന്നത് അഡോബ് അടക്കമുള്ള കമ്പനികളുടെ അഭ്യര്‍ത്ഥന പ്രകാരം ആണെന്ന് പറഞ്ഞല്ലോ. എന്നാല്‍ ഈ കമ്പനികള്‍ ഇവരോട് ആവശ്യപ്പെട്ടിരുന്നത് ഈ ഭീഷണിയെ തടുക്കാന്‍ ആവശ്യമായ സുരക്ഷാ ഒട്ടിച്ചേര്‍ക്കലുകള്‍ (security patches) ഇവര്‍ ഉടനെ പുറത്തിറക്കും എന്നും അതു വരെ തങ്ങളുടെ ഉപഭോക്താക്കളെ അനാവശ്യമായ ഭീതിയില്‍ പെടുത്തരുത് എന്നും ആയിരുന്നു. ഇത് ന്യായമായ ആവശ്യമാണ് എന്ന് കണ്ടാണ് ഇവര്‍ ഇതിന് സമ്മതിച്ചതും.




എന്നാല്‍ ഈ ഭീഷണിയെ പറ്റി കൂടുതല്‍ പഠിച്ചപ്പോള്‍ ഭീതിദമായ മറ്റൊരു സത്യം ഇവര്‍ക്ക് വെളിപ്പെട്ടു. ഇത് എല്ലാവരും കരുതിയത് പോലെ ഒരു ചെറിയ പ്രശ്നമല്ല. വളരെ ദൂര വ്യാപകമായ പ്രത്യാഘാതങ്ങള്‍ ഉള്ളതാണ് എന്നും കേവലം ചില ഒട്ടിച്ചേര്‍ക്കലുകള്‍ കൊണ്ട് പരിഹരിയ്ക്കാവുന്ന ഒരു പ്രശനമല്ല ഇത് എന്നും ആണ് ലോകത്തെ ഏറ്റവും കഴിവുറ്റ സുരക്ഷാ വിദഗ്ദ്ധരുടെ അഭിപ്രായം.




എന്താണ് ക്ലിക്ക് ജാക്കിങ് എന്ന് പറയാം. നിങ്ങള്‍ ക്ലിക്ക് ജാക്ക് ചെയ്യപ്പെട്ട ഒരു വെബ് സൈറ്റ് സന്ദര്‍ശിച്ചു എന്നിരിയ്ക്കട്ടെ. ആ വെബ് സൈറ്റില്‍ ഒളിപ്പിച്ചു വെച്ച ലിങ്കുകളില്‍ നിങ്ങളറിയാതെ തന്നെ നിങ്ങളെ കൊണ്ട് ക്ലിക്ക് ചെയ്യിപ്പിയ്ക്കു ന്നതിനെയാണ് ക്ലിക്ക് ജാക്കിങ് എന്ന് പറയുന്നത്. എന്നു വെച്ചാല്‍ നിങ്ങള്‍ ഏതെങ്കിലും ലിങ്കില്‍ ക്ലിക്ക് ചെയ്താല്‍ ആ ക്ലിക്കിനെ ഹൈജാക്ക് ചെയ്ത് ആ സൈറ്റില്‍ ഒളിപ്പിച്ചു വെച്ചിരിയ്ക്കുന്ന ഉപദ്രവകാരിയായ ലിങ്കുകളിലേയ്ക്ക് തിരിച്ചു വിടുന്ന ഏര്‍പ്പാട്.




സാധാരണ ഗതിയില്‍ ഇത്തരമൊരു അപകടത്തെ ഒഴിവാക്കാന്‍ ജാവാസ്ക്രിപ്റ്റ് നിര്‍വീര്യ മാക്കിയാല്‍ മതിയാവു മായിരുന്നു.




എന്നാല്‍ ഈ ഭീഷണിയ്ക്ക് ജാവാസ്ക്രിപ്റ്റുമായി ബന്ധമേ ഇല്ല എന്നതാണ് ഇതിന്റെ പ്രത്യേകത. എന്നാല്‍ ഇങ്ങനെ ഗതി തിരിച്ചു വിടുന്ന ക്ലിക്കിനെ ഒരു ജാവാസ്ക്രിപ്റ്റ് കോഡിലേയ്ക്ക് തിരിച്ചു വിടാനാവുകയും ചെയ്യും.




അഡോബിന്റെ ഫ്ലാഷ് ബാനറുകള്‍ വെബ് സൈറ്റുകളില്‍ സര്‍വ്വ സാധാരണമാണ്. വെബ് സൈറ്റുകളിലെ പരസ്യങ്ങള്‍ പലപ്പോഴും ഫ്ലാഷ് ആയിരിയ്ക്കും. എന്നാല്‍ പല പ്രമുഖ വെബ് സൈറ്റുകളിലുമുള്ള ഇത്തരം പരസ്യങ്ങളില്‍ ക്ലിക്ക് ജാക്കിങ് നടന്നിട്ടുണ്ട്. ഇതില്‍ Newsweek, Digg, MSNBC.com എന്നീ സൈറ്റുകളും പെടുന്നു. ഈ സൈറ്റുകളില്‍ ഇത്തരം ആക്രമണത്തിന് വിധേയമായവരുടെ കമ്പ്യൂട്ടറിന്റെ ക്ലിപ്ബോര്‍ഡ് മെമ്മറിയില്‍ ഒരു ഉപദ്രവ കാരിയായ വെബ്സൈറ്റിന്റെ അഡ്രസ് കയറ്റി ഈ കമ്പ്യൂട്ടറുകളുടെ ക്ലിപ്ബോര്‍ഡ് ഹാക്കര്‍മാര്‍ കൈവശ പ്പെടുത്തിയത്രെ. ഈ അഡ്രസ് ക്ലിപ്ബോര്‍ഡില്‍ നിന്ന് ഡിലീറ്റ് ചെയ്യാനുമാവില്ല. അതോടെ നമ്മുടെ കമ്പ്യൂട്ടറിന്റെ കോപ്പി ചെയ്യാനുള്ള കഴിവ് നഷ്ടപ്പെടുന്നു. പിന്നീട് ബ്രൌസര്‍ റീസ്റ്റാര്‍ട്ട് ചെയ്യുകയോ എന്നിട്ടും ശരിയായില്ലെങ്കില്‍ കമ്പ്യൂട്ടര്‍ തന്നെ റീസ്റ്റാര്‍ട്ട് ചെയ്യുകയോ വേണ്ടി വരും ഇത് ശരിയാവാന്‍.




ക്ലിക്ക്ജായ്ക്കിന്റെ പ്രായോഗിക സാധ്യതയ്ക്ക് ഒരു ഉദാഹരണം ഇവിടെയുണ്ട്:
(സൂക്ഷിയ്ക്കുക: ഈ ലിങ്കില്‍ ക്ലിക്ക് ചെയ്യുന്നതോടെ നിങ്ങളുടെ ക്ലിപ്ബോര്‍ഡ് ക്ലിക്ക്ജാക്ക് ചെയ്യപ്പെടും. നിങ്ങളുടെ ആന്റി വൈറസ് പ്രോഗ്രാം ഇത് ഒരു വൈറസ് ആണെന്ന് മുന്നറിയിപ്പ് തന്നേയ്ക്കാം. ഇത് ഒരു ഡെമോ മാത്രമായതിനാല്‍ വേറെ പ്രശ്നമൊന്നും ഉണ്ടാവില്ല. എന്നാ‍ല്‍ ക്ലിപ്ബോര്‍ഡ് തിരിച്ചു ലഭിയ്ക്കണമെങ്കില്‍ ബ്രൌസര്‍ റീസ്റ്റാര്‍ട്ട് ചെയ്യേണ്ടി വരും.)




ഇതിന്റെ അപകട സാധ്യതകള്‍ ഭയാനകമാണ്. ഇന്റര്‍നെറ്റിന്റെ സുരക്ഷാ സംവിധാനത്തെ തന്നെ ഇത് തകിടം മറിയ്ക്കുന്നു. നിങ്ങള്‍ ചെയ്യുന്ന ഒരു ക്ലിക്ക് അത് ഉണ്ടാക്കുന്ന പരിണിത ഫലങ്ങളുടെ ഉത്തരവാദിത്തം നിങ്ങളിലാക്കുന്നു. ക്ലിക്ക് നിങ്ങള്‍ ചെയ്തതാണെങ്കില്‍ അത് നിങ്ങള്‍ അറിഞ്ഞു ചെയ്യുന്ന ഒരു പ്രവര്‍ത്തിയായി കണക്കിലാക്കിയാണ് പല സുരക്ഷാ തീരുമാനങ്ങളും നയങ്ങളും രൂപകല്‍പ്പന ചെയ്യപ്പെട്ടിരിയ്ക്കുന്നത്. ഈ ഒരു കണക്ക് കൂട്ടലിനെ ഈ ഭീഷണി തകിടം മറിയ്ക്കുന്നു.




ചുരുക്കത്തില്‍, കള്ളന്മാര്‍ക്കും കൊള്ളക്കാര്‍ക്കും പരിപൂര്‍ണ്ണ സ്വാതന്ത്ര്യ ത്തോടെ വിഹരിയ്ക്കാനാവുന്ന ഒരു നിയമ വാഴ്ച്ച യില്ലാത്ത അരാജകത്വം വാഴുന്ന ഇടമായി ഇന്റര്‍നെറ്റ് മാറും എന്ന് വേണമെങ്കില്‍ നമുക്ക് കടന്ന് ചിന്തിയ്ക്കാ നാവുന്നതാണ് ഈ ഭീഷണിയുടെ സാധ്യത.




ഹാന്‍സനും ജെറെമിയയും ഈ സുരക്ഷാ പിഴവിനെ പറ്റി മൈക്രോ സോഫ്റ്റുമായും മോസില്ലയുമായും ചര്‍ച്ച നടത്തുകയുണ്ടായി.




എന്നാല്‍ രണ്ട് കമ്പനിയ്ക്കാരും ഇത് അത്ര പെട്ടെന്ന് പരിഹരിയ്ക്കാന്‍ ആവില്ല എന്ന് തന്നെയാണ് അഭിപ്രായപ്പെട്ടത്.




ഇന്റര്‍നെറ്റ് എക്സ്പ്ലോററിന്റെ ഏറ്റവും പുതിയ വേര്‍ഷനായ IE8 ഉം ഫയര്‍ഫോക്സിന്റെ ഏറ്റവും പുതിയ വേര്‍ഷനായ Firefox 3യും ഈ ഭീഷണിയ്ക്ക് വിധേയമാണ്.




ക്ലിക്ക് ജായ്ക്കിങ്ങിന്റെ ഒരു പ്രശ്നം ഇതിന്റെ അനേകം സാധ്യതകളില്‍ ഓരോന്നിനും ഓരോ പരിഹാര മാര്‍ഗ്ഗങ്ങള്‍ ആവശ്യമാണ് എന്നതാണ്. ഒരു പരിഹാരം വെബ്സൈറ്റുകളില്‍ തന്നെ നേരിട്ട് ചെയ്യാവുന്ന പരിഹാര ക്രിയകളാണ്.




എന്നാല്‍ ലോകത്തിലുള്ള എല്ലാ സൈറ്റുകളും മാറ്റി നിര്‍മ്മിയ്ക്കുവാന്‍ ആവശ്യപ്പെടുന്നത് പ്രായോഗികമല്ല. ഒരൊറ്റ ബ്രൌസര്‍ പരിഹാര ക്രിയ കൊണ്ട് എല്ലാ പഴുതുകളും അടയ്ക്കാനുമാവില്ല. എല്ലാ ഭീഷണികളും പരിഹരിയ്ക്കാന്‍ കഴിഞ്ഞില്ലെങ്കിലും ഏറ്റവും ഗൌരവ തരമായ പ്രശ്നങ്ങള്‍ പ്രമുഖ ബ്രൌസര്‍ കമ്പനികള്‍ പരിഹരിയ്ക്കുന്നത് വരെ ഇങ്ങനെ ഒരു ഭീഷണിയെ കുറിച്ച് കൂടുതല്‍ വിവരങ്ങള്‍ ഇവര്‍ വെളിപ്പെടുത്താ തിരുന്നത് ഏറെ വിവേക പൂര്‍ണ്ണമായ ഒരു തീരുമാനം ആയിരുന്നു എന്ന് വിദഗ്ദ്ധര്‍ വിലയിരുത്തുന്നു.




ഇനി ഇതില്‍ നിന്നും തല്‍ക്കാലം രക്ഷപ്പെടാന്‍ നമുക്ക് എന്ത് ചെയ്യാനാവും എന്ന് നോക്കാം.




lynx എന്ന ബ്രൌസറിന് ഈ ഭീഷണി ബാധകമല്ല എന്ന് പറയപ്പെടുന്നു. എന്നാല്‍ ഇത് ഒരു ടെക്സ്റ്റ് ബ്രൌസറാണ്. lynx ഇവിടെ നിന്നും ലഭ്യമാണ് .





പിന്നെ നമുക്ക് ചെയ്യാവുന്ന രണ്ട് കാര്യങ്ങളാണുള്ളത്. ഒന്ന്, ബ്രൌസറിന്റെ സ്ക്രിപ്റ്റിങ് ശേഷി ഇല്ലാതാക്കുക. രണ്ട്, എല്ലാ പ്ലഗ്-ഇന്‍സും നിര്‍വീര്യമാക്കുക.




ഫയര്‍ഫോക്സ് അതിന്റെ noScript എന്ന പ്ലഗ് ഇന്‍ ഉപയോഗിച്ചു കൊണ്ട് പ്രവര്‍ത്തിപ്പിയ്ക്കുന്നതും ഈ ഭീഷണി ഒരു പരിധി വരെ തടുക്കാന്‍ സഹായിയ്ക്കും എന്ന്‍ വിദഗ്ദ്ധര്‍ പറയുന്നു. നൂറ് ശതമാനം സുരക്ഷിത ത്വത്തിന് “Plugins - Forbid iframe” എന്ന ഓപ്ഷന്‍ കൂടി ഉപയോഗിയ്ക്കുക.




noScript ഇവിടെ നിന്നും ലഭ്യമാണ്

ഫയര്‍ ഫോക്സ് ഇവിടെ നിന്നും ലഭ്യമാണ്

Labels: hacking