Phần mềm độc hại Superfish của Lenovo đã gây xôn xao dư luận trong tuần qua. Nhà sản xuất máy tính xách tay không chỉ xuất xưởng những máy tính có cài đặt phần mềm quảng cáo mà còn khiến những máy tính đó rất dễ bị tấn công. Bạn có thể thoát khỏi Superfish ngay bây giờ, nhưng câu chuyện vẫn chưa kết thúc. Có rất nhiều ứng dụng khác phải lo lắng.
Bắt siêu cá
Lenovo đã phát hành một công cụ loại bỏ Superfish và Microsoft đã cập nhật phần mềm chống vi-rút của họ để bắt và loại bỏ sự phiền toái. Các nhà cung cấp phần mềm chống vi-rút khác chắc chắn sẽ nhanh chóng làm theo. Nếu bạn sở hữu một máy tính xách tay Lenovo và bạn chưa thực hiện các bước để loại bỏ Superfish, bạn nên thực hiện ngay lập tức!
Nếu bạn không loại bỏ nó, bạn sẽ dễ bị tấn công trung gian hơn nhiều khiến nó trông giống như bạn đang giao tiếp với một trang web an toàn trong khi thực tế bạn đang giao tiếp với kẻ tấn công. Superfish làm điều này để có thể lấy thêm thông tin về người dùng và đưa quảng cáo vào các trang, nhưng những kẻ tấn công có thể lợi dụng lỗ hổng này.
Đánh cắp SSL hoạt động như thế nào?
Superfish sử dụng một quy trình gọi là chiếm quyền điều khiển SSL để lấy dữ liệu được mã hóa của người dùng. Quá trình này thực sự khá đơn giản. Khi bạn kết nối với một trang web an toàn, máy tính của bạn và máy chủ sẽ trải qua một số bước:
- Máy tính của bạn kết nối với trang HTTP (không an toàn).
- Máy chủ HTTP chuyển hướng bạn đến phiên bản HTTPS (bảo mật) của cùng một trang web.
- Máy tính của bạn kết nối với trang HTTPS.
- Máy chủ HTTPS cung cấp chứng chỉ, cung cấp nhận dạng xác thực về trang web.
- Kết nối đã hoàn tất.
Trong cuộc tấn công man-in-the-middle, các bước 2 và 3 bị xâm phạm. Máy tính của kẻ tấn công đóng vai trò là cầu nối giữa máy tính của bạn và máy chủ an toàn, chặn bất kỳ thông tin nào được chuyển giữa hai máy tính, có thể bao gồm mật khẩu, chi tiết thẻ tín dụng hoặc bất kỳ dữ liệu nhạy cảm nào khác. Có thể tìm thấy lời giải thích đầy đủ hơn trong bài viết tuyệt vời này về các cuộc tấn công kẻ trung gian.
Cá mập đằng sau đàn cá:Komodia
Superfish là một phần mềm của Lenovo, nhưng nó được xây dựng trên một khuôn khổ đã tồn tại, được tạo ra bởi một công ty có tên là Komodia. Komodia tạo ra một số công cụ khác nhau, hầu hết trong số đó được xây dựng xung quanh mục tiêu chặn lưu lượng truy cập internet được mã hóa SSL, nhanh chóng giải mã nó và cho phép người dùng thực hiện nhiều việc khác nhau, chẳng hạn như lọc dữ liệu hoặc giám sát quá trình duyệt được mã hóa.
Komodia tuyên bố rằng phần mềm của họ có thể được sử dụng cho những việc như kiểm soát của phụ huynh, lọc thông tin có khả năng tiết lộ từ các email được mã hóa và đưa quảng cáo vào các trình duyệt hạn chế các loại tiện ích mở rộng được thêm vào. Rõ ràng, phần mềm này có khả năng sử dụng tốt và xấu, nhưng thực tế là nó đang giải mã lưu lượng SSL của bạn mà không cung cấp cho bạn bất kỳ manh mối nào cho thấy bạn không còn duyệt web an toàn nữa là điều rất đáng lo ngại.
Để ngắn gọn hơn, Superfish đã sử dụng chứng chỉ bảo mật một mật khẩu, nghĩa là bất kỳ ai có mật khẩu của chứng chỉ đó sẽ có quyền truy cập vào bất kỳ lưu lượng truy cập nào đang được Superfish giám sát. Vậy điều gì đã xảy ra sau khi Superfish được phát hiện? Ai đó đã bẻ khóa mật khẩu và xuất bản nó, khiến một số lượng lớn chủ sở hữu máy tính xách tay Lenovo dễ bị tấn công.
Một nhà nghiên cứu bảo mật đã báo cáo trong một bài đăng trên blog rằng mật khẩu là "komodia." Nghiêm túc đấy.
Nhưng Superfish không phải là phần mềm duy nhất sử dụng các khuôn khổ Komodia. Một nhà nghiên cứu bảo mật của Facebook gần đây đã phát hiện ra hơn một tá phần mềm khác sử dụng công nghệ Komodia, có nghĩa là một số lượng lớn các kết nối SSL có thể bị xâm phạm. Ars Technica báo cáo rằng hơn 100 khách hàng, bao gồm cả 500 công ty trong danh sách Fortune, cũng đang sử dụng Komodia. Và một số chứng chỉ khác cũng được mở khóa bằng mật khẩu "komodia".
Những kẻ xâm nhập SSL khác
Trong khi Komodia là một con cá lớn trong thị trường chiếm quyền điều khiển SSL, thì cũng có những người khác. PrivDog, một dịch vụ của Comodo thay thế quảng cáo từ các trang web bằng quảng cáo đáng tin cậy, được phát hiện có lỗ hổng bảo mật có thể cho phép cả các cuộc tấn công trung gian. Các nhà nghiên cứu nói rằng lỗ hổng PrivDog thậm chí còn tồi tệ hơn Superfish.
Điều này cũng không phải là hiếm. Rất nhiều phần mềm miễn phí đi kèm với phần mềm quảng cáo khác và những thứ khác mà bạn không thực sự muốn (How-To Geek đã đăng một thử nghiệm tuyệt vời về điều này) và nhiều người trong số họ sử dụng chiếm quyền điều khiển SSL để kiểm tra dữ liệu mà bạn đang gửi qua kết nối được mã hóa. May mắn thay, ít nhất một số người trong số họ thông minh hơn một chút về thực tiễn chứng chỉ bảo mật của họ, có nghĩa là không phải mọi kẻ xâm nhập SSL đều gây ra các lỗ hổng bảo mật lớn như những lỗ hổng do Superfish hoặc PrivDog tạo ra.
Đôi khi có những lý do chính đáng để cấp cho một ứng dụng quyền truy cập vào các kết nối được mã hóa của bạn. Ví dụ:nếu phần mềm chống vi-rút của bạn không thể giải mã thông tin liên lạc của bạn với một trang web HTTPS, nó sẽ không thể ngăn phần mềm độc hại lây nhiễm vào máy tính của bạn qua một kết nối an toàn. Phần mềm kiểm soát của phụ huynh cũng cần quyền truy cập vào các kết nối an toàn hoặc trẻ em chỉ có thể sử dụng HTTPS để bỏ qua quá trình lọc nội dung.
Nhưng khi phần mềm quảng cáo đang theo dõi các kết nối được mã hóa của bạn và mở chúng để tấn công, bạn nên lo lắng.
Phải làm gì?
Thật không may, nhiều cuộc tấn công man-in-the-middle cần được ngăn chặn bằng các biện pháp phía máy chủ, có nghĩa là bạn có thể tiếp xúc với các loại tấn công này mà không biết. Tuy nhiên, bạn có thể thực hiện một số biện pháp để giữ an toàn cho bản thân. Filippo Valsorda đã tạo một ứng dụng web tìm kiếm Superfish, Komodia, PrivDog và các phần mềm vô hiệu hóa SSL khác trên máy tính của bạn. Đó là một nơi tốt để bắt đầu.
Bạn cũng nên chú ý đến cảnh báo chứng chỉ, kiểm tra kỹ các kết nối HTTPS, cẩn thận với Wi-Fi công cộng và chạy phần mềm chống vi-rút cập nhật. Kiểm tra những tiện ích mở rộng trình duyệt nào được cài đặt trong trình duyệt của bạn và loại bỏ những tiện ích mở rộng bạn không nhận ra. Hãy cẩn thận khi tải xuống phần mềm miễn phí, vì có rất nhiều phần mềm quảng cáo đi kèm với nó.
Ngoài ra, điều tốt nhất mà chúng tôi có thể làm là truyền sự tức giận của mình tới các công ty đang sản xuất và sử dụng công nghệ này, như Komodia. Trang web của họ gần đây đã bị gỡ xuống, có chủ đích là do một cuộc tấn công từ chối dịch vụ được phát tán, cho thấy rằng nhiều người đã nhanh chóng bày tỏ sự không hài lòng của họ. Đã đến lúc phải làm rõ rằng việc chiếm quyền điều khiển SSL là hoàn toàn không thể chấp nhận được.
Bạn nghĩ gì về phần mềm quảng cáo chiếm quyền điều khiển SSL? Bạn có nghĩ rằng chúng ta nên kêu gọi các công ty ngừng hoạt động này không? Nó thậm chí nên hợp pháp? Chia sẻ suy nghĩ của bạn bên dưới!
Tín dụng hình ảnh:Phim hoạt hình cá mập Qua Shutterstock, đăng nhập kết nối an toàn HTTPS qua Shutterstock.