Malware di Superfish di Lenovo Proprietari di laptop di Lenovo Attenzione: il tuo dispositivo potrebbe avere malware preinstallato Proprietari di laptop Lenovo Attenzione: il tuo dispositivo potrebbe avere malware preinstallato Il produttore cinese di computer Lenovo ha ammesso che laptop consegnati a negozi e consumatori alla fine del 2014 avevano preinstallato malware. Leggi di più ha suscitato molto scalpore nella scorsa settimana. Non solo il produttore di laptop ha spedito computer con adware installato, ma ha reso questi computer altamente vulnerabili agli attacchi. Puoi sbarazzarti di Superfish ora, ma la storia non è finita. Ci sono molte più app là fuori di cui preoccuparsi.
Cattura Superfish
Lenovo ha rilasciato uno strumento per sbarazzarsi di Superfish e Microsoft ha aggiornato il suo software anti-virus per catturare e rimuovere il fastidio. Altri fornitori di software antivirus sicuramente seguiranno rapidamente. Se possiedi un laptop Lenovo e non hai fatto nulla per sbarazzarti di Superfish, dovresti farlo immediatamente!
Se non te ne sbarazzi, sarai molto più suscettibile agli attacchi man-in-the-middle che ti fanno sembrare che stai comunicando con un sito Web sicuro quando in realtà stai comunicando con un utente malintenzionato. Superfish fa questo in modo che possa ottenere maggiori informazioni sugli utenti e iniettare annunci nelle pagine, ma gli attaccanti possono trarre vantaggio da questo buco.
Come funziona SSL Hijacking?
Superfish utilizza un processo chiamato dirottamento SSL per ottenere dati crittografati dagli utenti. Il processo è in realtà abbastanza semplice. Quando ti connetti a un sito sicuro, il tuo computer e il server eseguono una serie di passaggi:
- Il tuo computer si connette al sito HTTP (insicuro).
- Il server HTTP ti reindirizza alla versione HTTPS (sicura) dello stesso sito.
- Il tuo computer si connette al sito HTTPS.
- Il server HTTPS fornisce un certificato che fornisce un'identificazione positiva del sito.
- La connessione è completata.
Durante un attacco man-in-the-middle, i passaggi 2 e 3 sono compromessi. Il computer dell'aggressore funge da ponte tra il computer e il server sicuro, intercettando tutte le informazioni passate tra i due, potenzialmente incluse password, dettagli della carta di credito o altri dati sensibili. Una spiegazione più completa può essere trovata in questo grande articolo sugli attacchi man-in-the-middle Cos'è un attacco Man-in-the-Middle? Il gergo della sicurezza ha spiegato cos'è un attacco man-in-the-middle? Il gergo della sicurezza ha spiegato Se hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo che fa per te. Leggi di più .
Lo squalo dietro il pesce: Komodia
Superfish è un componente del software Lenovo, ma è costruito su un framework già esistente, creato da una società chiamata Komodia. Komodia mette a disposizione diversi strumenti, molti dei quali sono costruiti intorno all'obiettivo di intercettare il traffico internet crittografato con SSL, decrittografarlo rapidamente e consentire all'utente di fare varie cose, come filtrare i dati o monitorare la navigazione crittografata.
Komodia afferma che il loro software può essere utilizzato per cose come il controllo parentale, filtrando informazioni potenzialmente rivelatrici da e-mail crittografate e iniettando pubblicità in browser che limitano il tipo di estensioni che vengono aggiunte. Ovviamente, esistono buoni e cattivi usi potenziali di questo software, ma il fatto che decifri il traffico SSL senza darti l'idea che non stai più navigando in sicurezza è molto preoccupante.
Per farla breve, Superfish ha utilizzato un certificato di sicurezza con password singola. Cos'è un certificato di sicurezza del sito Web e perché dovresti preoccuparti? Cos'è un certificato di sicurezza del sito Web e perché dovresti aver cura di te? Leggi altro, nel senso che chiunque avesse la password per quel certificato avrebbe accesso a qualsiasi traffico monitorato da Superfish. Quindi cosa è successo dopo che Superfish è stato scoperto? Qualcuno ha decifrato la password e l'ha pubblicata, lasciando vulnerabile un numero enorme di possessori di laptop Lenovo.
Un ricercatore di sicurezza ha riportato in un post del blog che la password era "komodia". Seriamente.
Ma Superfish non è l'unico software che utilizza i framework di Komodia. Un ricercatore di sicurezza di Facebook ha recentemente scoperto oltre una dozzina di altri software che utilizzano la tecnologia Komodia, il che significa che un numero enorme di connessioni SSL potrebbe essere compromesso. Ars Technica ha riferito che oltre 100 clienti, incluse le aziende Fortune 500, utilizzano anche Komodia. E un certo numero di altri certificati sono stati sbloccati con la password "komodia".
Altri dirottatori SSL
Mentre Komodia è un grande pesce nel mercato del dirottamento SSL, ce ne sono altri. PrivDog, un servizio di Comodo che sostituisce gli annunci dei siti Web con annunci attendibili, è risultato avere una vulnerabilità che potrebbe consentire anche attacchi man-in-the-middle. I ricercatori dicono che la vulnerabilità di PrivDog è persino peggiore di Superfish.
Questo non è poi così raro. Un sacco di software libero viene fornito in bundle con altri adware e altre cose che in realtà non vuoi (How-To Geek ha pubblicato un grande esperimento su questo), e molti di loro usano il dirottamento SSL per ispezionare i dati che stai inviando connessioni crittografate. Fortunatamente, almeno alcuni di essi sono un po 'più intelligenti sulle pratiche dei certificati di sicurezza, il che significa che non tutti i dirottatori SSL causano buchi di sicurezza grandi quanto quelli creati da Superfish o PrivDog.
A volte ci sono buone ragioni per dare a un'app l'accesso alle tue connessioni criptate. Ad esempio, se il tuo software antivirus non può decodificare le tue comunicazioni con un sito HTTPS, non sarebbe in grado di impedire al malware di infettare il tuo computer tramite una connessione sicura. Il software di controllo parentale ha anche bisogno di accedere a connessioni sicure, o i bambini potrebbero semplicemente usare HTTPS per bypassare il filtro dei contenuti.
Ma quando l'adware controlla le connessioni crittografate e le apre per attaccare, dovresti essere preoccupato.
Cosa fare?
Sfortunatamente, molti attacchi man-in-the-middle devono essere prevenuti con misure sul lato server, il che significa che potresti essere esposto a questi tipi di attacchi senza saperlo. Tuttavia, puoi prendere una serie di misure per tenerti al sicuro. Filippo Valsorda ha creato un'app Web che cerca Superfish, Komodia, PrivDog e altri software di disabilitazione SSL sul tuo computer. Questo è un buon punto di partenza.
Dovresti anche prestare attenzione agli avvisi sui certificati, ricontrollare le connessioni HTTPS, fare attenzione al Wi-Fi pubblico ed eseguire software antivirus aggiornato. Verifica quali estensioni del browser sono installate nel tuo browser e sbarazzati di quelle che non riconosci. Fai attenzione quando scarichi software gratuito, dato che un sacco di adware è incluso in esso.
Oltre a ciò, la cosa migliore che possiamo fare è comunicare la nostra rabbia alle aziende che producono e utilizzano questa tecnologia, come Komodia. Il loro sito web è stato recentemente rimosso, presumibilmente da un attacco denial-of-service distribuito What Is a DDoS Attack? [MakeUseOf Explains] Che cos'è un attacco DDoS? [MakeUseOf Explains] Il termine DDoS sibila quando il cyber-attivismo impenna la sua testa in massa. Questi tipi di attacchi fanno notizia internazionale a causa di molteplici ragioni. I problemi che scatenano quegli attacchi DDoS sono spesso controversi o altamente ... Leggi di più, suggerendo che molte persone sono state veloci nell'esprimere il loro disappunto. È ora di chiarire che il dirottamento SSL è completamente inaccettabile.
Cosa ne pensi del dirottamento SSL adware? Pensi che dovremmo chiedere alle aziende di fermare questa pratica? Dovrebbe essere legale? Condividi i tuoi pensieri qui sotto!
Crediti immagine: cartone animato Shark Via Shutterstock, connessione sicura HTTPS firmare via Shutterstock.