Malware Superfish da Lenovo Proprietários de Laptop Lenovo Cuidado: Seu Dispositivo Pode Ter Malware Pré-Instalado Proprietários de Laptop Lenovo Cuidado: Seu Dispositivo Pode Ter Malware Pré-instalado A fabricante chinesa de computadores Lenovo admitiu que laptops enviados para lojas e consumidores no final de 2014 tinham malware pré-instalado. Leia mais causou bastante agitação na semana passada. O fabricante de laptops não apenas disponibilizava computadores com adware instalado, como também tornava esses computadores altamente vulneráveis a ataques. Você pode se livrar do Superfish agora, mas a história não acabou. Há muito mais aplicativos para se preocupar.
Captura de Superfish
A Lenovo lançou uma ferramenta que se livra do Superfish, e a Microsoft atualizou seu software antivírus para capturar e remover o incômodo. Outros provedores de software antivírus certamente seguirão rapidamente. Se você possui um laptop Lenovo e não tomou medidas para se livrar do Superfish, você deve fazê-lo imediatamente!
Se você não se livrar dele, ficará muito mais suscetível a ataques man-in-the-middle, fazendo com que pareça que você está se comunicando com um site seguro quando, de fato, estiver se comunicando com um invasor. O Superfish faz isso para obter mais informações sobre os usuários e inserir anúncios nas páginas, mas os invasores podem tirar proveito desse furo.
Como o seqüestro de SSL funciona?
O Superfish usa um processo chamado sequestro de SSL para acessar os dados criptografados dos usuários. O processo é realmente muito simples. Quando você se conecta a um site seguro, seu computador e o servidor passam por várias etapas:
- Seu computador se conecta ao site HTTP (inseguro).
- O servidor HTTP redireciona você para a versão HTTPS (segura) do mesmo site.
- Seu computador se conecta ao site HTTPS.
- O servidor HTTPS fornece um certificado, fornecendo identificação positiva do site.
- A conexão está completa.
Durante um ataque man-in-the-middle, os passos 2 e 3 são comprometidos. O computador do invasor serve como uma ponte entre o computador e o servidor seguro, interceptando todas as informações transmitidas entre os dois, possivelmente incluindo senhas, detalhes do cartão de crédito ou outros dados confidenciais. Uma explicação mais completa pode ser encontrada neste ótimo artigo sobre ataques man-in-the-middle O que é um ataque de homem no meio? Jargão de Segurança Explicado O Que É um Ataque Man-in-the-Middle? Jargão de Segurança Explicado Se você já ouviu falar de ataques "man-in-the-middle", mas não tem certeza do que isso significa, este é o artigo para você. Consulte Mais informação .
O tubarão atrás do peixe: Komodia
O Superfish é uma peça do software da Lenovo, mas é construído sobre uma estrutura que já existe, criada por uma empresa chamada Komodia. O Komodia faz uma série de ferramentas diferentes, a maioria das quais é construída com o objetivo de interceptar tráfego de internet criptografado por SSL, descriptografá-lo rapidamente e permitir que o usuário faça várias coisas, como filtrar dados ou monitorar a navegação criptografada.
Komodia afirma que seu software pode ser usado para coisas como controle dos pais, filtragem de informações potencialmente reveladoras de e-mails criptografados e injeção de anúncios em navegadores que restringem os tipos de extensões adicionados. Obviamente, bons e maus usos potenciais para este software existem, mas o fato de ele estar descriptografando seu tráfego SSL sem lhe dar qualquer pista de que você não está mais navegando com segurança é muito preocupante.
Para encurtar a história, o Superfish usou um certificado de segurança de senha única. O que é um certificado de segurança de site e por que você deve se importar? O que é um certificado de segurança do site e por que você deve se importar? Leia mais, o que significa que qualquer pessoa que tivesse a senha para esse certificado teria acesso a qualquer tráfego monitorado pelo Superfish. Então, o que aconteceu depois que o Superfish foi descoberto? Alguém decifrou a senha e a publicou, deixando vulnerável um grande número de proprietários de laptops da Lenovo.
Um pesquisador de segurança relatou em um post de blog que a senha era “komodia”. Sério.
Mas o Superfish não é o único software que usa frameworks Komodia. Um pesquisador de segurança do Facebook descobriu recentemente que mais de uma dúzia de outros softwares usam a tecnologia Komodia, o que significa que um grande número de conexões SSL pode ser comprometido. A Ars Technica informou que mais de 100 clientes, incluindo empresas da Fortune 500, também estão usando o Komodia. E vários outros certificados também foram desbloqueados com a senha "komodia".
Outros sequestradores SSL
Enquanto o Komodia é um grande peixe no mercado de seqüestro SSL, existem outros. PrivDog, um serviço Comodo que substitui anúncios de sites com anúncios confiáveis, foi encontrado para ter uma vulnerabilidade que poderia permitir ataques man-in-the-middle também. Pesquisadores dizem que a vulnerabilidade do PrivDog é ainda pior que a do Superfish.
Isso também não é incomum. Um monte de software livre vem junto com outros adwares e outras coisas que você não quer (o How-To Geek publicou uma grande experiência sobre isso), e muitos deles usam o seqüestro de SSL para inspecionar os dados que você está enviando. conexões criptografadas. Felizmente, pelo menos alguns deles são um pouco mais inteligentes sobre suas práticas de certificado de segurança, o que significa que nem todo sequestrador de SSL causa falhas de segurança tão grandes quanto as criadas pelo Superfish ou pelo PrivDog.
Às vezes, há boas razões para conceder a um aplicativo acesso às suas conexões criptografadas. Por exemplo, se o seu software antivírus não puder descriptografar suas comunicações com um site HTTPS, ele não poderá impedir que o malware infecte seu computador por meio de uma conexão segura. O software de controle parental também precisa de acesso a conexões seguras, ou as crianças podem usar apenas HTTPS para ignorar a filtragem de conteúdo.
Mas quando o adware está monitorando suas conexões criptografadas e abrindo-as para atacar, você deve se preocupar.
O que fazer?
Infelizmente, muitos ataques man-in-the-middle precisam ser evitados por medidas do lado do servidor, o que significa que você pode estar exposto a esse tipo de ataque sem saber. No entanto, você pode tomar várias medidas para se manter seguro. Filippo Valsorda criou um aplicativo da web que procura por Superfish, Komodia, PrivDog e outros softwares de desabilitação de SSL em seu computador. Esse é um bom lugar para começar.
Você também deve prestar atenção aos avisos de certificado, verificar novamente se há conexões HTTPS, ter cuidado com o Wi-Fi público e executar um software antivírus atualizado. Verifique quais extensões do navegador estão instaladas no seu navegador e se livrar daquelas que você não reconhece. Tenha cuidado ao baixar softwares gratuitos, já que muitos adwares são empacotados com ele.
Além disso, a melhor coisa que podemos fazer é comunicar nossa raiva às empresas que estão produzindo e usando essa tecnologia, como a Komodia. Seu site foi recentemente removido, supostamente por um ataque distribuído de negação de serviço. O que é um ataque DDoS? [MakeUseOf explica] O que é um ataque DDoS? [MakeUseOf Explains] O termo DDoS apita sempre que o ciberativismo eleva sua cabeça em massa. Esse tipo de ataque faz manchetes internacionais por vários motivos. Os problemas que impulsionam esses ataques DDoS costumam ser controversos ou altamente ... Leia Mais, sugerindo que muitas pessoas expressaram seu descontentamento rapidamente. É hora de deixar claro que o sequestro de SSL é completamente inaceitável.
O que você acha do adware de seqüestro de SSL? Você acha que devemos pedir às empresas que parem com essa prática? Deveria ser legal? Compartilhe seus pensamentos abaixo!
Créditos da imagem: Desenhos animados do tubarão via Shutterstock, conexão segura HTTPS entre via Shutterstock.