Jag har sedan jag läste en artikel, ”9 av 10 Windows-användare i riskzonen för Adobe-buggen”, på IDGs sajt för ett år sedan velat att skriva en artikel om begreppet ”Clickjacking”.

Ungefär två(!) månader efter artikeln så uppmärksammades samma problem åter i en annan artikel på IDG, ”Clickjacking – det nya hotet mot webbläsare”.

Clickjacking är en metod avsedd att lura webbanvändarna att avslöja konfidentiell information, eller att få dem utföra en uppgift utan att de själva märker det.

Här kommer en kort sammanfattning från Wikipedia (på engelska, det finns ännu ingen svensk översättning):

A clickjacked page tricks a user into performing undesired actions by clicking on a concealed link. On a clickjacked page, the attackers show a set of dummy buttons, then load another page over it in a transparent layer. The users think that they are clicking the visible buttons, while they are actually performing actions on the hidden page. The hidden page may be an authentic page, and therefore the attackers can trick users into performing actions which the users never intended to do and there is no way of tracing such actions later, as the user was genuinely authenticated on the other page.

For example, a user might play a game in which they have to click on some buttons, but another authentic page like a Webmail site from a popular service is loaded in a hidden iframe on top of the game. The iframe will load only if the user has saved the password for its respective site. The buttons in the game are placed such that their positions coincide exactly with the ”select all” mail button and then the ”delete mail” button. The consequence is that the user unknowingly deleted all the mail in their folder while playing a simple game. Other known exploits have been tricking users to enable their Webcam and microphone through Flash (which has since been corrected by Adobe), tricking users to make their social networking profile information public, making users follow someone on Twitter, etc.

Clickjackad Adobe Flash Player

Inställningar för Adobe Flash Player

Som framgår av Wikipedia så kunde man använda ”Clickjacking” för att slå på den ovetande användarens webbkamera och mikrofon via inställningarna för Adobes Flash Player.

Denna information gick dock inte att finna i någon av IDGs artiklar. Inte heller i en annan artikel på samma tema publicerad kort därefter skrev man tydligt om denna säkerhetsmiss, trots att artikel hette just ”Varning: Så lätt kapar hackare din webbkamera”. Dessutom publicerades denna artikel EFTER att Adobe hade lanserat en uppgradering för att förhindra diverse clickjacking-attacker, då metoden var känd länge!

Den enda som man kunde göra för att finna mer utförlig information var att följa länken till en utländsk sajt under en av de nämnda artiklarna på IDG, Computerworld, eller googla på termerna ”clickjacking” och ”adobe flash”. Detta resulterade i massor av träffar på artiklar på utländska sajter.

Clickjackade svenska medier

Så varför publiceras artiklar på IDG med rubriker som ”Så lätt kapar hackare din webbkamera” utan att ge utförlig information om metoden och hur man förhindrar den, och varför först efter att en uppgradering hade gjorts tillgänglig?

Min uppfattning är att svenska medier inte vill ”avslöja” för mycket om hur diverse illasinnade metoder fungerar, gissningsvis av juridiska och/eller moraliska skäl. De vill troligen inte sprida information om brottsliga handlingar vidare, eller förknippas med ”sensationsjournalistik” a la Aftonbladet.

Samma information går dock alldeles utmärkt att finna på seriösa utländska medier med hjälp av en sökning och ett par klick.Det är ju inte informationen i sig som är brottslig, utan användning av denna information.

Och om man översätter information från en annan sajt, borde man inte då åtminstone inkludera delar som är väsentligare än ”en bugg i Adobes Flash som gör det möjligt att ta kontroll över en användare dator genom att använda skadlig kod i en Flash-animation”?

En annan sida av myntet

Dessutom finns en annan sida av myntet. När utländska medier skriver så flitigt om detta problem så sätter de press på det berörda företaget att ta fram en lösning så snart som möjligt. Men svenska mediers ”försiktiga” attityd skyddar knappast datoranvändarna, utan förhindrar användarna från att sätta press på de berörda företagen när väsentlig information inte förmedlas på ett effektivt sätt.

Mediernas roll är inte längre att översätta och samtidigt förkorta utländska artiklar som det passar dem. Den eran är borta sedan länge.

Clickjacking: Ett exempel

Omröstning:

 Loading ...

Många gånger kan man läsa på internet att ett betalprogram oftast är bättre än ett gratis alternativ. Frågan är om det stämmer när det gäller ett av de viktigaste programmen, dvs. antivirusprogrammen.

Inte enligt testerna…

Microsoft släpper ett antivirusprogram för privata användare, med namnet ”Microsoft Security Essentials”, som än så länge inte är tillgängligt för svenska datoranvändare (läs mer).

Enligt en artikel på IDGs hemsida så är tanken med ett gratis antivirusprogram från Microsoft följande:

Microsofts inställning är att det är bättre med ett enkelt skydd som är gratis än att inte ha något skydd alls. Enligt företaget finns det alltför många användare som saknar uppdaterat skydd antingen för att de inte har råd eller för att de tycker att antivirusprogram tynger ner datorn för mycket.

En ”säkerhetsexpert”, vars företag (förstås) är återförsäljare för betalda antivirusprogram, verkar dock inte tro på att ett gratis alternativ kan jämföras med betalvarianter:

För folk som inte vill lägga pengar på säkerhetsprogram är Security Essentials säkert ett bra alternativ. Man glöm inte att gratis antivirusskydd inte har samma funktioner som kommersiella produkter.

Sanningen

Foto: Stock.xchng

Att ett gratis antivirusprogram inte har samma funktioner som kommersiella produkter är en sanning med modifikation.

De mest populära och effektiva antivirusprodukterna kommer i både gratis- och betalversioner. Både varianterna använder dock samma uppdateringar för virusdatabaser, och uppdateras med samma intervaller.

Skillnaderna mellan olika varianter kan sammanfattas enligt följande:

1. Vissa gratisvarianter saknar utökade funktioner, som skydd mot malware och övervakning av utsatta tjänster, t ex skanning av inkommande och utgående mail. Gratisvarianter skyddar dock alltid mot virus och inkluderar de viktigaste funktionerna, dvs. sk. ”realtidsskanning” och manuell skanning.

   Det finns dessutom gott om gratis anti-malwareprogram. Microsofts Windows Vista och Windows 7 kommer för övrigt med Windows Defender, som också går  att ladda ner om man använder en annan version av Windows.

2. En del betalversioner innehåller en brandvägg, en funktion som saknas i gratisvarianter. Idag finns det dock en pålitlig brandvägg i så gott som alla populära operativsystem, vare sig det handlar om Windows, Linux eller Mac OS X.

3. En del gratisvarianter visar reklambanners, eller sk. ”nag screens” där man uppmanar användarna att köpa den betalvarianten. Dock finns det en del mycket bra alternativ som inte använder dessa marknadsföringsmetoder.

Vad säger testerna?

På följande sajter kan man hitta opartiska testresultat för de mest kända antivirusprogrammen:

• http://www.av-comparatives.org/comparativesreviews/main-tests (Rapport i PDF-format)

• http://www.sunbelt-software.com/ihs/alex/Results_2D2008m3b_US.htm

• http://virusinfo.info/index.php?page=testseng

Efter ha läst testerna kan man lätt konstatera att tre antivirusprogram toppar listorna när det gäller hög pålitlighet och kompetens; Avira, Avast och AVG.

Avira är det enda programmet som saknar skydd mot malware. Dessutom använder det sk. ”nag screens”, dvs. fönster med uppmaningar om att köpa dess betalversion.

Både Avast och AVG innehåller skydd mot malware även i gratisversionerna, men saknar en inbyggd brandvägg. Avsaknaden av en brandvägg är dock inget stort bekymmer, vilket redan konstaterades ovan.

Mer läsning:

• CSO: Panda släpper gratis moln-antivirus

Omröstning:

 Loading ...