Superfish еще не пойман: объяснение взлома SSL

Рекламное объявление

Вредоносная программа Lenovo Superfish Владельцы ноутбуков Lenovo остерегаются: на вашем устройстве может быть предустановлено вредоносное ПОКитайский производитель компьютеров Lenovo признал, что на ноутбуках, поставляемых в магазины и потребителям в конце 2014 года, предустановлено вредоносное ПО. Подробнее вызвал настоящий переполох на прошлой неделе. Производитель ноутбуков не только поставлял компьютеры с установленным рекламным ПО, но и делал эти компьютеры очень уязвимыми для атак. Вы можете избавиться от Superfish сейчас, но история еще не закончена. Есть намного больше приложений, чтобы беспокоиться о них.

Ловля Суперфиши

Lenovo выпустила инструмент, который избавляется от Superfish, и Microsoft обновила свое антивирусное программное обеспечение, чтобы поймать и удалить неприятности. Другие поставщики антивирусного программного обеспечения обязательно последуют за вами. Если у вас есть ноутбук Lenovo, и вы не предприняли никаких шагов, чтобы избавиться от Superfish, вы должны сделать это немедленно!

Если вы не избавитесь от этого, вы будете гораздо более восприимчивы к атакам «человек посередине», которые делают его похоже, что вы общаетесь с защищенным веб-сайтом, когда фактически общаетесь с злоумышленником. Superfish делает это так, чтобы он мог получать больше информации о пользователях и вставлять рекламу на страницы, но злоумышленники могут воспользоваться этой дырой.

Как работает угон SSL?

Superfish использует процесс под названием SSL hijacking для получения зашифрованных данных пользователей. Процесс на самом деле довольно прост. Когда вы подключаетесь к защищенному сайту, ваш компьютер и сервер проходят ряд шагов:

1. Ваш компьютер подключается к HTTP (небезопасному) сайту.
2. HTTP-сервер перенаправляет вас на HTTPS (безопасную) версию того же сайта.
3. Ваш компьютер подключается к сайту HTTPS.
4. Сервер HTTPS предоставляет сертификат, обеспечивающий положительную идентификацию сайта.
5. Соединение завершено.

Во время атаки «человек посередине» шаги 2 и 3 скомпрометированы. Компьютер злоумышленника служит мостом между вашим компьютером и защищенным сервером, перехватывая любые информация, передаваемая между ними, возможно, включая пароли, данные кредитной карты или любые другие конфиденциальные данные. Более полное объяснение можно найти в этом отличная статья о нападениях "человек посередине" Что такое атака «человек посередине»? Безопасность Жаргон объяснилЕсли вы слышали об атаках типа «человек посередине», но не совсем уверены, что это значит, эта статья для вас. Подробнее .

Акула за рыбой: Комодия

Superfish является частью программного обеспечения Lenovo, но он построен на уже существующей платформе, созданной компанией Komodia. Komodia выпускает ряд различных инструментов, большинство из которых построены вокруг перехвата SSL-шифрованного интернета. трафика, быстро расшифровывая его и позволяя пользователю выполнять различные действия, такие как фильтрация данных или мониторинг зашифрованных просмотр.

Komodia заявляет, что их программное обеспечение может использоваться для таких вещей, как родительский контроль, фильтрация потенциально выявляет информация из зашифрованных писем и вставка рекламы в браузеры, которые ограничивают виды расширений, которые добавлено. Очевидно, что хорошие и некоторые плохие потенциальные возможности использования этого программного обеспечения существуют, но тот факт, что это расшифровывать ваш трафик SSL без подсказки, что вы больше не просматриваете безопасный очень волнуюсь

Короче говоря, Superfish использовал один пароль сертификат безопасности Что такое сертификат безопасности веб-сайта и почему вас это должно волновать? Подробнее Это означает, что любой пользователь, имеющий пароль к этому сертификату, будет иметь доступ к любому трафику, который отслеживается Superfish. Так что же случилось после того, как Superfish был обнаружен? Кто-то взломал пароль и опубликовал его, оставив уязвимым огромное количество владельцев ноутбуков Lenovo.

Исследователь безопасности сообщили в блоге что пароль был «комодия». Шутки в сторону.

Но Superfish - не единственное программное обеспечение, использующее фреймворки Komodia. Исследователь безопасности Facebook недавно обнаружил, что более десятка других программ используют технологию Komodia, а это означает, что может быть взломано огромное количество SSL-соединений. Ars Technica сообщила что более 100 клиентов, включая компании из списка Fortune 500, также используют Komodia. Также был разблокирован ряд других сертификатов паролем «Комодия».

Другие угонщики SSL

В то время как Komodia - крупная рыба на рынке угона SSL, есть и другие. Было установлено, что PrivDog, сервис Comodo, который заменяет рекламу с веб-сайтов на доверенные, имеет уязвимость, которая может допускать атаки типа «человек посередине». Исследователи говорят, что уязвимость PrivDog даже хуже, чем Superfish.

Это тоже не редкость. Многие бесплатные программы поставляются в комплекте с другими рекламными и другими вещами, которые вам на самом деле не нужны (How-To Geek опубликовал отличный эксперимент на этом), и многие из них используют перехват SSL для проверки данных, отправляемых по зашифрованным соединениям. К счастью, по крайней мере, некоторые из них немного умнее в своей практике сертификатов безопасности, Это означает, что не каждый угонщик SSL вызывает такие большие дыры в безопасности, как те, что создаются Superfish или PrivDog.

Иногда есть веские причины предоставить приложению доступ к вашим зашифрованным соединениям. Например, если ваше антивирусное программное обеспечение не может расшифровать ваши соединения с HTTPS-сайтом, оно не сможет предотвратить заражение вашего компьютера вредоносным ПО через защищенное соединение. Программное обеспечение для родительского контроля также нуждается в доступе к защищенным соединениям, иначе дети могут просто использовать HTTPS для обхода фильтрации содержимого.

Но когда рекламное ПО отслеживает ваши зашифрованные соединения и открывает их для атак, вы должны быть обеспокоены.

Что делать?

К сожалению, многие атаки «человек посередине» должны быть предотвращены с помощью серверных мер, что означает, что вы можете подвергаться атакам такого рода, не зная об этом. Тем не менее, вы можете принять ряд мер, чтобы обезопасить себя. Филиппо Вальсорда создал веб-приложение который ищет на вашем компьютере Superfish, Komodia, PrivDog и другое ПО, отключающее SSL. Это хорошее место для начала.

Также следует обратить внимание на предупреждения сертификатов, перепроверить соединения HTTPS, быть осторожным в общедоступной сети Wi-Fi и запускать новейшее антивирусное программное обеспечение. Проверьте, какие расширения браузера установлены в вашем браузере, и избавьтесь от тех, которые вы не можете распознать. Будьте осторожны при загрузке бесплатного программного обеспечения, так как оно содержит много рекламного ПО.

Кроме того, лучшее, что мы можем сделать, - это сообщить о своем гневе компаниям, которые производят и используют эту технологию, таким как Komodia. Их сайт был недавно закрыт, предположительно распределенная атака типа «отказ в обслуживании» Что такое DDoS-атака? [MakeUseOf Объясняет]Термин DDoS свистит, когда кибер-активизм поднимает голову в массовом порядке. Подобные атаки попадают в международные заголовки по нескольким причинам. Проблемы, которые запускают эти DDoS-атаки, часто являются спорными или весьма ... Подробнее , предполагая, что многие люди поспешили выразить свое недовольство. Настало время прояснить, что перехват SSL совершенно недопустим.

Что вы думаете о захвате SSL рекламного ПО? Как вы думаете, мы должны призвать компании прекратить эту практику? Должно ли это быть даже законно? Поделитесь своими мыслями ниже!

Кредиты изображений: Мультфильм акула Via Shutterstock, HTTPS защищенное соединение, вход через Shutterstock.