Superfish non è stato ancora catturato: spiegato il dirottamento SSL

Annuncio pubblicitario

Il malware Superfish di Lenovo Proprietari dei laptop Lenovo Attenzione: il dispositivo potrebbe avere malware preinstallatoIl produttore cinese di computer Lenovo ha ammesso che i laptop spediti ai negozi e ai consumatori alla fine del 2014 avevano malware preinstallato. Leggi di più ha suscitato molto scalpore nella scorsa settimana. Il produttore di laptop non solo ha fornito computer con adware installato, ma ha reso questi computer altamente vulnerabili agli attacchi. Ora puoi sbarazzarti di Superfish, ma la storia non è finita. Ci sono molte altre app di cui preoccuparsi.

Superfish da cattura

Lenovo ha rilasciato a strumento che elimina Superfishe Microsoft ha aggiornato il suo software antivirus per rilevare e rimuovere il fastidio. Altri fornitori di software antivirus sicuramente seguiranno rapidamente. Se possiedi un laptop Lenovo e non hai preso provvedimenti per sbarazzarti di Superfish, dovresti farlo immediatamente!

Se non ti sbarazzi di esso, sarai molto più suscettibile agli attacchi man-in-the-middle che lo rendono sembra che stai comunicando con un sito Web sicuro quando in realtà stai comunicando con un utente malintenzionato. Superfish lo fa in modo che possa ottenere maggiori informazioni sugli utenti e iniettare annunci nelle pagine, ma gli aggressori possono sfruttare questa buca.

Come funziona il dirottamento SSL?

Superfish utilizza un processo chiamato dirottamento SSL per ottenere i dati crittografati degli utenti. Il processo è in realtà abbastanza semplice. Quando ti connetti a un sito sicuro, il tuo computer e il server eseguono una serie di passaggi:

1. Il computer si connette al sito HTTP (non sicuro).
2. Il server HTTP ti reindirizza alla versione HTTPS (sicura) dello stesso sito.
3. Il computer si connette al sito HTTPS.
4. Il server HTTPS fornisce un certificato, fornendo un'identificazione positiva del sito.
5. La connessione è stata completata

Durante un attacco man-in-the-middle, i passaggi 2 e 3 sono compromessi. Il computer dell'attaccante funge da ponte tra il tuo computer e il server sicuro, intercettandone uno qualsiasi informazioni trasmesse tra i due, inclusi potenzialmente password, dettagli della carta di credito o altro dati sensibili. Una spiegazione più completa può essere trovata in questo ottimo articolo sugli attacchi man-in-the-middle Che cos'è un attacco man-in-the-middle? Spiegazione del gergo sulla sicurezzaSe hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo per te. Leggi di più .

Lo squalo dietro il pesce: Komodia

Superfish è un software Lenovo, ma è costruito su un framework già esistente, creato da una società chiamata Komodia. Komodia crea una serie di strumenti diversi, molti dei quali costruiti attorno all'obiettivo di intercettare Internet crittografato con SSL traffico, decodificandolo rapidamente e consentendo all'utente di fare varie cose, come filtrare i dati o monitorare crittografati la navigazione.

Komodia afferma che il loro software può essere utilizzato per cose come il controllo parentale, filtrando potenzialmente rivelando informazioni da e-mail crittografate e l'iniezione di annunci nei browser che limitano il tipo di estensioni che sono aggiunto. Ovviamente, esistono buoni e cattivi usi potenziali per questo software, ma il fatto che lo sia decifrare il tuo traffico SSL senza darti alcun indizio che non stai più navigando in modo sicuro molto preoccupante.

Per farla breve, Superfish ha usato una sola password certificato di sicurezza Che cos'è un certificato di sicurezza del sito Web e perché dovresti preoccuparti? Leggi di più , il che significa che chiunque avesse la password per quel certificato avrebbe accesso a qualsiasi traffico monitorato da Superfish. Cosa è successo dopo la scoperta di Superfish? Qualcuno ha decifrato la password e l'ha pubblicata, lasciando vulnerabili un numero enorme di proprietari di laptop Lenovo.

Un ricercatore di sicurezza segnalato in un post sul blog che la password era "komodia". Sul serio.

Ma Superfish non è l'unico software che utilizza i framework Komodia. Un ricercatore di sicurezza di Facebook ha recentemente scoperto oltre una dozzina di altri software che utilizzano la tecnologia Komodia, il che significa che un enorme numero di connessioni SSL potrebbe essere compromesso. Ars Technica ha riferito che oltre 100 clienti, tra cui aziende Fortune 500, usano anche Komodia. E numerosi altri certificati sono stati anche sbloccati con la password "komodia".

Altri dirottatori SSL

Mentre Komodia è un grande pesce nel mercato del dirottamento SSL, ce ne sono altri. È stato riscontrato che PrivDog, un servizio Comodo che sostituisce gli annunci dei siti Web con annunci attendibili, presenta una vulnerabilità che può consentire anche attacchi man-in-the-middle. I ricercatori affermano che la vulnerabilità di PrivDog è persino peggiore di Superfish.

Non è neanche così raro. Un sacco di software gratuito viene fornito in bundle con altri adware e altre cose che in realtà non si desidera (How-To Geek ha pubblicato un grande esperimento su questo) e molti di loro utilizzano il dirottamento SSL per ispezionare i dati che stai inviando tramite connessioni crittografate. Fortunatamente, almeno alcuni di loro sono un po 'più intelligenti riguardo alle pratiche dei certificati di sicurezza, nel senso che non tutti i dirottatori SSL causano falle di sicurezza grandi quanto quelle create da Superfish o PrivDog.

A volte ci sono buoni motivi per dare a un'app l'accesso alle tue connessioni crittografate. Ad esempio, se il tuo software antivirus non è in grado di decrittografare le tue comunicazioni con un sito HTTPS, non sarebbe in grado di impedire ai malware di infettare il tuo computer tramite una connessione sicura. Il software di controllo parentale ha anche bisogno di accedere a connessioni sicure, altrimenti i bambini potrebbero semplicemente utilizzare HTTPS per bypassare il filtro dei contenuti.

Ma quando l'adware monitora le tue connessioni crittografate e le apre agli attacchi, dovresti preoccuparti.

Cosa fare?

Sfortunatamente, molti attacchi man-in-the-middle devono essere prevenuti con misure lato server, il che significa che potresti essere esposto a questo tipo di attacchi senza saperlo. Tuttavia, puoi prendere una serie di misure per tenerti al sicuro. Filippo Valsorda ha creato un app web che cerca Superfish, Komodia, PrivDog e altri software di disabilitazione SSL sul tuo computer. Questo è un buon punto di partenza.

È inoltre necessario prestare attenzione agli avvisi sui certificati, ricontrollare le connessioni HTTPS, prestare attenzione al Wi-Fi pubblico ed eseguire software antivirus aggiornati. Controlla quali estensioni del browser sono installate nel tuo browser ed elimina quelle che non riconosci. Fai attenzione quando scarichi software gratuito, poiché molti adware sono inclusi in esso.

Oltre a ciò, la cosa migliore che possiamo fare è comunicare la nostra rabbia alle aziende che producono e utilizzano questa tecnologia, come Komodia. Il loro sito web è stato recentemente rimosso, presumibilmente da un attacco denial-of-service distribuito Che cos'è un attacco DDoS? [MakeUseOf Explains]Il termine DDoS sibila ogni volta che il cyber-attivismo alza la testa in massa. Questo tipo di attacchi fanno notizia a livello internazionale a causa di molteplici ragioni. I problemi che fanno scattare quegli attacchi DDoS sono spesso controversi o altamente ... Leggi di più , suggerendo che molte persone hanno espresso rapidamente il loro dispiacere. È tempo di chiarire che il dirottamento SSL è completamente inaccettabile.

Cosa ne pensi dell'adware di hijacking SSL? Pensi che dovremmo chiedere alle aziende di interrompere questa pratica? Dovrebbe essere legale? Condividi i tuoi pensieri qui sotto!

Crediti immagine: Cartone animato squalo Via Shutterstock, Connessione sicura HTTPS accedi tramite Shutterstock.