มัลแวร์ Superfish ของ Lenovo สร้างความปั่นป่วนในสัปดาห์ที่ผ่านมา ผู้ผลิตแล็ปท็อปไม่เพียงแต่จัดส่งคอมพิวเตอร์ที่ติดตั้งแอดแวร์เท่านั้น แต่ยังทำให้คอมพิวเตอร์เหล่านั้นเสี่ยงต่อการถูกโจมตีอย่างสูง คุณสามารถกำจัด Superfish ได้แล้ว แต่เรื่องราวยังไม่จบ มีแอปให้กังวลอีกมากมาย
จับปลาซุปเปอร์ฟิช
Lenovo ได้เปิดตัวเครื่องมือที่กำจัด Superfish และ Microsoft ได้อัปเดตซอฟต์แวร์ป้องกันไวรัสเพื่อตรวจจับและกำจัดสิ่งรบกวน ผู้ให้บริการซอฟต์แวร์ป้องกันไวรัสรายอื่นจะต้องปฏิบัติตามอย่างรวดเร็ว หากคุณเป็นเจ้าของแล็ปท็อป Lenovo และยังไม่ได้ดำเนินการเพื่อกำจัด Superfish คุณควรดำเนินการทันที!
ถ้าคุณไม่กำจัดมัน คุณจะอ่อนแอมากขึ้นต่อการโจมตีแบบคนกลางที่ทำให้ดูเหมือนว่าคุณกำลังสื่อสารกับเว็บไซต์ที่ปลอดภัยเมื่อคุณสื่อสารกับผู้โจมตีจริงๆ Superfish ทำเช่นนี้เพื่อให้ได้รับข้อมูลเพิ่มเติมเกี่ยวกับผู้ใช้และแทรกโฆษณาลงในหน้าเว็บ แต่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้
การไฮแจ็ก SSL ทำงานอย่างไร
Superfish ใช้กระบวนการที่เรียกว่า SSL hijacking เพื่อรับข้อมูลที่เข้ารหัสของผู้ใช้ กระบวนการนี้ค่อนข้างง่าย เมื่อคุณเชื่อมต่อกับไซต์ที่ปลอดภัย คอมพิวเตอร์และเซิร์ฟเวอร์ของคุณต้องปฏิบัติตามหลายขั้นตอน:
- คอมพิวเตอร์ของคุณเชื่อมต่อกับไซต์ HTTP (ไม่ปลอดภัย)
- เซิร์ฟเวอร์ HTTP เปลี่ยนเส้นทางคุณไปยังเวอร์ชัน HTTPS (ปลอดภัย) ของเว็บไซต์เดียวกัน
- คอมพิวเตอร์ของคุณเชื่อมต่อกับไซต์ HTTPS
- เซิร์ฟเวอร์ HTTPS ให้ใบรับรอง ระบุตัวตนที่ดีของไซต์
- การเชื่อมต่อเสร็จสมบูรณ์
ระหว่างการโจมตีแบบคนกลาง ขั้นตอนที่ 2 และ 3 ถูกบุกรุก คอมพิวเตอร์ของผู้โจมตีทำหน้าที่เป็นสะพานเชื่อมระหว่างคอมพิวเตอร์ของคุณกับเซิร์ฟเวอร์ที่ปลอดภัย สกัดกั้นข้อมูลใดๆ ที่ส่งผ่านระหว่างทั้งสอง ซึ่งอาจรวมถึงรหัสผ่าน รายละเอียดบัตรเครดิต หรือข้อมูลที่ละเอียดอ่อนอื่นๆ สามารถอ่านคำอธิบายที่สมบูรณ์กว่านี้ได้ในบทความดีๆ เกี่ยวกับการโจมตีแบบคนกลาง
ฉลามเบื้องหลังปลา:Komodia
Superfish เป็นซอฟต์แวร์ชิ้นหนึ่งของ Lenovo แต่สร้างขึ้นจากเฟรมเวิร์กที่มีอยู่แล้ว ซึ่งสร้างโดยบริษัทที่ชื่อว่า Komodia Komodia สร้างเครื่องมือต่างๆ มากมาย ซึ่งส่วนใหญ่สร้างขึ้นโดยมีจุดประสงค์เพื่อสกัดกั้นการรับส่งข้อมูลทางอินเทอร์เน็ตที่เข้ารหัส SSL ถอดรหัสอย่างรวดเร็ว และอนุญาตให้ผู้ใช้ทำสิ่งต่างๆ เช่น กรองข้อมูลหรือตรวจสอบการท่องเว็บที่เข้ารหัส
Komodia ระบุว่าซอฟต์แวร์ของพวกเขาสามารถใช้สำหรับสิ่งต่างๆ เช่น การควบคุมโดยผู้ปกครอง การกรองข้อมูลที่อาจเปิดเผยข้อมูลจากอีเมลที่เข้ารหัส และการฉีดโฆษณาลงในเบราว์เซอร์ที่จำกัดส่วนขยายประเภทต่างๆ ที่เพิ่มเข้ามา เห็นได้ชัดว่ามีการใช้งานที่ดีและไม่ดีสำหรับซอฟต์แวร์นี้ แต่ความจริงที่ว่าซอฟต์แวร์นี้ถอดรหัสการรับส่งข้อมูล SSL ของคุณโดยไม่ได้ให้เบาะแสใดๆ แก่คุณว่าคุณไม่ได้ท่องเว็บอย่างปลอดภัยอีกต่อไปนั้นเป็นเรื่องที่น่ากังวลมาก
เพื่อให้เรื่องสั้นสั้นลง Superfish ใช้ใบรับรองความปลอดภัยแบบรหัสผ่านเดียว ซึ่งหมายความว่าใครก็ตามที่มีรหัสผ่านสำหรับใบรับรองนั้นจะสามารถเข้าถึงการรับส่งข้อมูลใดๆ ที่ Superfish เฝ้าติดตามอยู่ เกิดอะไรขึ้นหลังจากค้นพบ Superfish? มีผู้ถอดรหัสรหัสผ่านและเผยแพร่ ซึ่งทำให้เจ้าของแล็ปท็อป Lenovo จำนวนมากเสี่ยงภัย
นักวิจัยด้านความปลอดภัยรายงานในบล็อกโพสต์ว่ารหัสผ่านคือ "komodia" อย่างจริงจัง
แต่ Superfish ไม่ใช่ซอฟต์แวร์เพียงตัวเดียวที่ใช้เฟรมเวิร์กของ Komodia เมื่อเร็ว ๆ นี้นักวิจัยด้านความปลอดภัยของ Facebook ค้นพบซอฟต์แวร์อื่น ๆ อีกหลายสิบชิ้นที่ใช้เทคโนโลยี Komodia ซึ่งหมายความว่าการเชื่อมต่อ SSL จำนวนมากอาจถูกบุกรุก Ars Technica รายงานว่าลูกค้ากว่า 100 ราย รวมถึงบริษัทที่ติดอันดับ Fortune 500 กำลังใช้ Komodia ด้วยเช่นกัน และใบรับรองอื่นๆ อีกจำนวนหนึ่งถูกปลดล็อกด้วยรหัสผ่าน "komodia"
SSL Hijackers อื่นๆ
แม้ว่า Komodia เป็นปลาตัวใหญ่ในตลาดการลักลอบใช้ SSL แต่ก็มีปลาอื่นๆ PrivDog ซึ่งเป็นบริการ Comodo ที่แทนที่โฆษณาจากเว็บไซต์ด้วยโฆษณาที่เชื่อถือได้ พบว่ามีช่องโหว่ที่อาจทำให้มีการโจมตีโดยคนกลางเช่นกัน นักวิจัยกล่าวว่าช่องโหว่ของ PrivDog นั้นแย่ยิ่งกว่า Superfish
ไม่ใช่เรื่องแปลกอะไรทั้งนั้น ซอฟต์แวร์ฟรีจำนวนมากมาพร้อมกับแอดแวร์อื่น ๆ และสิ่งอื่น ๆ ที่คุณไม่ต้องการ (How-To Geek โพสต์การทดลองที่ยอดเยี่ยมเกี่ยวกับเรื่องนี้) และหลายคนใช้ SSL hijacking เพื่อตรวจสอบข้อมูลที่คุณกำลังส่ง การเชื่อมต่อที่เข้ารหัส โชคดีที่อย่างน้อยบางคนก็ฉลาดขึ้นเล็กน้อยเกี่ยวกับแนวทางปฏิบัติเกี่ยวกับใบรับรองความปลอดภัย ซึ่งหมายความว่าไม่ใช่ผู้จี้ SSL ทุกคนที่ทำให้เกิดช่องโหว่ด้านความปลอดภัยขนาดใหญ่เท่ากับที่สร้างโดย Superfish หรือ PrivDog
บางครั้งมีเหตุผลที่ดีในการให้แอปเข้าถึงการเชื่อมต่อที่เข้ารหัสของคุณ ตัวอย่างเช่น หากซอฟต์แวร์ป้องกันไวรัสของคุณไม่สามารถถอดรหัสการสื่อสารของคุณกับไซต์ HTTPS ได้ จะไม่สามารถป้องกันมัลแวร์ไม่ให้ติดคอมพิวเตอร์ของคุณผ่านการเชื่อมต่อที่ปลอดภัย ซอฟต์แวร์ควบคุมโดยผู้ปกครองยังต้องการเข้าถึงการเชื่อมต่อที่ปลอดภัย ไม่เช่นนั้นเด็กๆ ก็สามารถใช้ HTTPS เพื่อเลี่ยงการกรองเนื้อหาได้
แต่เมื่อแอดแวร์กำลังตรวจสอบการเชื่อมต่อที่เข้ารหัสของคุณและเปิดให้โจมตี คุณควรกังวล
จะทำอย่างไร?
น่าเสียดายที่การโจมตีแบบคนกลางจำนวนมากจำเป็นต้องได้รับการป้องกันโดยมาตรการฝั่งเซิร์ฟเวอร์ ซึ่งหมายความว่าคุณอาจเผชิญกับการโจมตีประเภทนี้โดยที่คุณไม่รู้ตัว อย่างไรก็ตาม คุณสามารถใช้มาตรการหลายอย่างเพื่อให้ตัวเองปลอดภัย Filippo Valsorda ได้สร้างเว็บแอปที่มองหา Superfish, Komodia, PrivDog และซอฟต์แวร์ปิดใช้งาน SSL อื่นๆ บนคอมพิวเตอร์ของคุณ เป็นจุดเริ่มต้นที่ดี
คุณควรให้ความสนใจกับคำเตือนเกี่ยวกับใบรับรอง ตรวจสอบอีกครั้งสำหรับการเชื่อมต่อ HTTPS ระวัง Wi-Fi สาธารณะ และเรียกใช้ซอฟต์แวร์ป้องกันไวรัสที่ทันสมัย ตรวจสอบว่ามีการติดตั้งส่วนขยายเบราว์เซอร์ใดในเบราว์เซอร์ของคุณและกำจัดส่วนขยายที่คุณไม่รู้จัก โปรดใช้ความระมัดระวังเมื่อดาวน์โหลดซอฟต์แวร์ฟรี เนื่องจากมีแอดแวร์จำนวนมากรวมอยู่ด้วย
ยิ่งไปกว่านั้น สิ่งที่ดีที่สุดที่เราสามารถทำได้คือการสื่อสารความโกรธของเรากับบริษัทที่ผลิตและใช้เทคโนโลยีนี้ เช่น Komodia เว็บไซต์ของพวกเขาเพิ่งถูกลบออกเมื่อเร็วๆ นี้ โดยอ้างว่าเป็นการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย ซึ่งบ่งชี้ว่าหลายคนแสดงความไม่พอใจอย่างรวดเร็ว ถึงเวลาต้องชี้แจงให้ชัดเจนว่าการลักลอบใช้ SSL เป็นสิ่งที่ยอมรับไม่ได้โดยสิ้นเชิง
คุณคิดอย่างไรกับแอดแวร์การจี้ SSL คุณคิดว่าเราควรเรียกร้องให้บริษัทต่างๆ หยุดการปฏิบัตินี้หรือไม่? มันควรจะถูกกฎหมายหรือไม่? แบ่งปันความคิดของคุณด้านล่าง!
เครดิตรูปภาพ:Shark cartoon Via Shutterstock, HTTPS ลงชื่อเข้าใช้การเชื่อมต่อที่ปลอดภัยผ่าน Shutterstock
