Τι είναι το Pastejacking; Γιατί δεν πρέπει να κάνετε copy paste από τον ιστό;

Ο ευκολότερος τρόπος για να αποκτήσετε οποιοδήποτε κείμενο και εικόνες από έναν ιστότοπο είναι να το επιλέξετε, να το αντιγράψετε χρησιμοποιώντας τα CTRL+C και στη συνέχεια να το επικολλήσετε χρησιμοποιώντας CTRL+V . Τι γίνεται αν το επικολλημένο υλικό δεν είναι αυτό που αντιγράψατε από τον ιστότοπο; Σίγουρα θα ξανακάνεις copy-paste και τα αποτελέσματα μπορεί να είναι τα ίδια. Είναι ριψοκίνδυνο, και θα μιλήσουμε γιατί.

Ένα γρήγορο παράδειγμα είναι ότι αντιγράφετε μια εντολή από έναν ιστότοπο και την επικολλάτε στην κονσόλα. Αποδεικνύεται ότι η εντολή άλλαξε και αυτό βλάπτει τα δεδομένα σας. Είναι κάτι λάθος με τον τρόπο που κάνεις copy paste; Ή μήπως είναι κάτι κακόβουλο; Αυτό το άρθρο μιλάει για το τι είναι το Pastejacking – η τέχνη της αλλαγής όσων αντιγράφετε από ιστοσελίδες.

παστεγιάρισμα

Τι είναι το Pastejacking

Σχεδόν όλα τα προγράμματα περιήγησης επιτρέπουν στους ιστότοπους να εκτελούν εντολές στους υπολογιστές των χρηστών. Αυτή η δυνατότητα μπορεί να επιτρέψει σε κακόβουλους ιστότοπους να καταλάβουν το πρόχειρο των υπολογιστών σας. Δηλαδή, όταν αντιγράφετε κάτι και το επικολλάτε στο πρόχειρό σας, ο ιστότοπος μπορεί να εκτελέσει μία ή περισσότερες εντολές χρησιμοποιώντας το πρόγραμμα περιήγησής σας. Η μέθοδος μπορεί να χρησιμοποιηθεί για την αλλαγή των περιεχομένων του Πρόχειρου . Αν και μπορεί να μην είναι πολύ επικίνδυνο αν απλώς αντιγράφετε στο Σημειωματάριο(Notepad) ή στο Word κ.λπ., θα μπορούσε να είναι πρόβλημα για τον υπολογιστή σας εάν επικολλήσετε κάτι απευθείας στη Γραμμή εντολών(Command Prompt) .

Οι ιστότοποι εκτελούν εντολές όταν ο χρήστης κάνει κάτι συγκεκριμένο – όπως όταν πατάτε ένα συγκεκριμένο πλήκτρο ή κάνοντας δεξί κλικ στο ποντίκι. Όταν πατάτε CTRL+C στο πληκτρολόγιό σας, ενεργοποιείται η λειτουργία εντολών του ιστότοπου. Μετά από μια μικρή αναμονή, ας πούμε 800 ms, επικολλά κάτι κακόβουλο στο πρόχειρό σας. Η αναμονή είναι να σας αφήσουμε να χρησιμοποιήσετε το CTRL+V για να επικολλήσετε το αρχικό κείμενο που αντιγράψατε. Ορισμένοι ιστότοποι ενδέχεται να παρακολουθούν το CTRL+V και να το χρησιμοποιούν για να ενεργοποιήσουν μια εντολή που αλλάζει τα περιεχόμενα του προχείρου.

Μπορούν επίσης να παρακολουθούν τις κινήσεις του ποντικιού. Εάν δεν χρησιμοποιείτε το πληκτρολόγιο, αλλά χρησιμοποιείτε το μενού περιβάλλοντος για να αντιγράψετε, τότε μπορούν επίσης να ενεργοποιήσουν εντολές για να αντικαταστήσουν τα περιεχόμενα του προχείρου σας.

Εν ολίγοις, το Pastejacking είναι μια μέθοδος που χρησιμοποιούν κακόβουλοι ιστότοποι για να αναλάβουν τον έλεγχο του πρόχειρου των υπολογιστών σας και να αλλάξουν το περιεχόμενό του σε κάτι επιβλαβές χωρίς να το γνωρίζετε.(In short, Pastejacking is a method that malicious websites employ to take control of your computers’ clipboard and change its content to something harmful without your knowledge.)

Γιατί το Pastejacking είναι επιβλαβές

Ας υποθέσουμε ότι(Suppose) κάνετε αντιγραφή επικόλλησης από έναν ιστότοπο στο Microsoft Word . Όταν πατάτε CTRL+C ή CTRL+V , ο ιστότοπος τοποθετεί λίγες εντολές στο πρόχειρό σας που μπορούν να δημιουργήσουν και να εκτελέσουν επιβλαβείς μακροεντολές.

Το χειρότερο είναι όταν επικολλάτε περιεχόμενο απευθείας σε μια κονσόλα όπως το παράθυρο PowerShell ή Command Prompt . Οι χρήστες Mac(Mac) έχουν κάποια ασφάλεια εάν χρησιμοποιούν iTerm . Είναι μια εξομοίωση που επιτρέπει στους χρήστες Mac να αντικαταστήσουν την προεπιλεγμένη κονσόλα. Όταν χρησιμοποιείτε το iTerm, ρωτά τους χρήστες εάν θέλουν πραγματικά να επικολλήσουν κάτι που περιέχει χαρακτήρα «νέας γραμμής». Οι χρήστες μπορούν στη συνέχεια να επιλέξουν «Ναι» ή «Όχι» ανάλογα με το τι κάνουν.

Ο χαρακτήρας Newline(Newline character) είναι στην πραγματικότητα το μισό του πλήκτρου Enter . Το πλήκτρο Enter απεικονίζεται, γενικά με ένα βέλος που φαίνεται να προέρχεται από την επάνω γραμμή προς την κάτω γραμμή και μετά προς τα αριστερά. Το πλήκτρο Enter είναι ένας συνδυασμός χαρακτήρων Newline (αλλαγή στην επόμενη γραμμή) και Return (διαβάστε "επιστροφή στην αριστερή θέση x,0" όπως στις γραφομηχανές). Όταν πατάτε το πλήκτρο Enter , εκτελείται οποιαδήποτε εντολή σε αυτήν τη γραμμή κονσόλας. Εξαρτάται από την κονσόλα να ζητήσει επιβεβαίωση.

Η γραμμή εντολών των Windows δεν ζητά επιβεβαίωση στην περίπτωση των περισσότερων εντολών. (Windows)Ζητάει επιβεβαίωση μόνο σε περίπτωση που χρησιμοποιείτε εντολή DEL ή FORMAT . Για εντολές όπως RENAME κ.λπ., δεν θα ζητήσει επιβεβαίωση. Δεν έχω χρησιμοποιήσει πολύ το Powershell , οπότε δεν ξέρω πώς γίνονται δεκτές οι εντολές εκεί.

Σε κάθε περίπτωση, εάν ο ιστότοπος τοποθετεί εντολές στο πρόχειρό σας με το πλήκτρο Enter ( /n/r όπου /n είναι νέα γραμμή και /r είναι επιστροφή μεταφοράς), η κονσόλα ή οποιαδήποτε προγραμματιζόμενη εφαρμογή εκτελεί απευθείας τις εντολές. Εάν αυτές οι εντολές είναι επιβλαβείς, μπορούν να προκαλέσουν όλεθρο στο μηχάνημά σας και στο δίκτυό σας.

Διαβάστε: Δακτυλικά αποτυπώματα επισκεψιμότητας ιστότοπου(Website Traffic Fingerprinting) .

Πώς να αποφύγετε το Pasteacking

Εάν είστε OS X , μπορείτε να χρησιμοποιήσετε τον εξομοιωτή iTerm για ασφάλεια. Θα σας ζητήσει σε περίπτωση που γίνει παστέικ με ήδη προσαρτημένο σύνολο χαρακτήρων Enter .

Οι χρήστες των Windows(Windows) πρέπει να ελέγξουν τι έχει τοποθετηθεί στο πρόχειρο των υπολογιστών σας. Για να το κάνετε αυτό, πρώτα επικολλήστε τα περιεχόμενα στο Σημειωματάριο(Notepad) . Επικολλά το πρόχειρο ως κείμενο μόνο και σας επιτρέπει να δείτε τι υπάρχει στο πρόχειρο. Αν δείτε τι αντιγράψατε, μπορείτε να προχωρήσετε και να το επικολλήσετε όπου θέλετε. Σημαίνει ένα επιπλέον βήμα, αλλά είναι καλύτερο από το να λάβετε Pastejacked(Pastejacked) . Να θυμάστε(Remember) ότι η χρήση του Word για τον έλεγχο του προχείρου μπορεί να είναι επικίνδυνη, καθώς μπορεί επίσης να προγραμματιστεί χρησιμοποιώντας μακροεντολές κ.λπ.

Να θυμάστε(Remember) ότι η χρήση του Word για τον έλεγχο του προχείρου μπορεί να είναι επικίνδυνη, καθώς μπορεί επίσης να προγραμματιστεί χρησιμοποιώντας μακροεντολές κ.λπ. Το Σημειωματάριο(Notepad) δεν είναι προγραμματιζόμενο και ως εκ τούτου είναι ασφαλές να ελέγχετε τα περιεχόμενα του προχείρου. Φυσικά, δεν θα δείτε τη μορφή, τις γραμματοσειρές και τα στυλ κ.λπ. καθώς τα περιεχόμενα επικολλούνται ως απλό κείμενο.

Για τις εικόνες, αν και δεν είμαι σίγουρος, νομίζω ότι το δεξί κλικ και η επιλογή « Αποθήκευση ως…(Save As…) » είναι καλύτερο από τη χρήση της εντολής « Αντιγραφή ».(Copy)

Διαβάστε επίσης: (Also read:) Κλοπή δεδομένων προχείρου – Σκληρύνετε τη ρύθμιση ασφαλείας στον Internet Explorer .



About the author

Είμαι μηχανικός υλικού και προγραμματιστής λογισμικού με πάνω από 10 χρόνια εμπειρίας στις πλατφόρμες Apple και Google. Οι δεξιότητές μου έγκεινται στην ανάπτυξη αποτελεσματικών, φιλικών προς τον χρήστη λύσεων σε δύσκολα προβλήματα μηχανικής. Είχα εμπειρία με συσκευές MacOS και iOS, καθώς και με χειριστήρια πληκτρολογίου και ποντικιού. Στον ελεύθερο χρόνο μου, μου αρέσει να κολυμπάω, να παρακολουθώ τένις και να ακούω μουσική.



Related posts