Superfish aún no ha sido capturado: SSL Hijacking explicó

El malware Superfish de Lenovo causó revuelo, pero la historia no ha terminado. Incluso si eliminó el adware de su computadora, existe la misma vulnerabilidad en otras aplicaciones en línea.

El malware Superfish de Lenovo causó revuelo, pero la historia no ha terminado.  Incluso si eliminó el adware de su computadora, existe la misma vulnerabilidad en otras aplicaciones en línea.
Anuncio

Los propietarios de computadoras Lenovo deben tener cuidado: su dispositivo puede tener software malicioso preinstalado El fabricante chino de computadoras Lenovo admitió que las computadoras portátiles enviadas a tiendas y consumidores a fines de 2014 tenían el malware preinstalado. Leer más ha causado un gran revuelo en la última semana. El fabricante de computadoras portátiles no solo instaló computadoras con software publicitario instalado, sino que las hizo muy vulnerables a los ataques. Puedes deshacerte de Superfish ahora, pero la historia no ha terminado. Hay muchas más aplicaciones por las que preocuparse.

Captura de Superfish

Lenovo lanzó una herramienta que elimina a Superfish y Microsoft ha actualizado su software antivirus para detectar y eliminar las molestias. Otros proveedores de software anti-virus lo seguirán rápidamente. Si posee una computadora portátil Lenovo y no ha tomado medidas para deshacerse de Superfish, ¡debe hacerlo de inmediato!

lenovo-superfish

Si no te deshaces de él, serás mucho más susceptible a los ataques man-in-the-middle que hacen que parezca que te estás comunicando con un sitio web seguro cuando de hecho estás comunicándote con un atacante. Superfish hace esto para que pueda obtener más información sobre los usuarios e inyectar anuncios en las páginas, pero los atacantes pueden aprovechar este agujero.

¿Cómo funciona el secuestro de SSL?

Superfish usa un proceso llamado secuestro SSL para obtener datos encriptados de los usuarios. El proceso es bastante simple. Cuando te conectas a un sitio seguro, tu computadora y el servidor realizan una serie de pasos:

  1. Su computadora se conecta al sitio HTTP (inseguro).
  2. El servidor HTTP lo redirecciona a la versión HTTPS (segura) del mismo sitio.
  3. Su computadora se conecta al sitio HTTPS.
  4. El servidor HTTPS proporciona un certificado que proporciona una identificación positiva del sitio.
  5. La conexión está completa.

Durante un ataque de hombre en el medio, los pasos 2 y 3 están comprometidos. La computadora del atacante sirve como un puente entre su computadora y el servidor seguro, interceptando cualquier información que pase entre los dos, incluyendo contraseñas, detalles de la tarjeta de crédito o cualquier otro dato confidencial. Se puede encontrar una explicación más completa en este gran artículo sobre los ataques de hombre en el medio. ¿Qué es un ataque de hombre en el medio? Jerga de Seguridad Explicada ¿Qué es un ataque Man-in-the-Middle? Explicación de jerga de seguridad Si ha oído hablar de ataques de "hombre en el medio" pero no está seguro de lo que eso significa, este es el artículo para usted. Lee mas .

El tiburón detrás del pez: Komodia

Superfish es una pieza de software de Lenovo, pero se basa en un marco que ya existe, creado por una empresa llamada Komodia. Komodia fabrica una serie de herramientas diferentes, la mayoría de las cuales se basan en el objetivo de interceptar el tráfico de Internet cifrado con SSL, descifrarlo rápidamente y permitir que el usuario haga varias cosas, como filtrar datos o monitorear la navegación encriptada.

Komodia afirma que su software se puede utilizar para cosas como el control parental, filtrar información potencialmente reveladora de correos electrónicos cifrados e inyectar anuncios en navegadores que restringen los tipos de extensiones que se agregan. Obviamente, existen buenos y algunos malos usos potenciales para este software, pero el hecho de que descifra el tráfico SSL sin darle ninguna pista de que ya no navega de forma segura es muy preocupante.

komodia-logo

Para abreviar, Superfish usó un certificado de seguridad de contraseña única ¿Qué es un certificado de seguridad del sitio web y por qué debería importarme? ¿Qué es un certificado de seguridad del sitio web y por qué debería importarle? Lea más, lo que significa que cualquier persona que tenga la contraseña para ese certificado tendrá acceso a cualquier tráfico que esté siendo supervisado por Superfish. Entonces, ¿qué pasó después de que se descubrió Superfish? Alguien descifró la contraseña y la publicó, lo que dejó a una gran cantidad de propietarios de computadoras Lenovo vulnerables.

Un investigador de seguridad informó en una publicación de blog que la contraseña era "komodia". En serio.

Pero Superfish no es el único software que usa frameworks de Komodia. Un investigador de seguridad de Facebook descubrió recientemente más de una docena de otras piezas de software que usan tecnología Komodia, lo que significa que una gran cantidad de conexiones SSL podrían verse comprometidas. Ars Technica informó que más de 100 clientes, incluidas compañías de Fortune 500, también están usando Komodia. Y una cantidad de otros certificados también se desbloquearon con la contraseña "komodia".

Otros secuestradores de SSL

Si bien Komodia es un gran pez en el mercado de secuestro de SSL, hay otros. Se descubrió que PrivDog, un servicio de Comodo que reemplaza anuncios de sitios web con anuncios de confianza, tiene una vulnerabilidad que también podría permitir ataques de intermediarios. Los investigadores dicen que la vulnerabilidad de PrivDog es aún peor que Superfish.

privdog-logo

Esto tampoco es tan poco común. Una gran cantidad de software gratuito viene incluido con otros programas publicitarios y otras cosas que realmente no desea (How-To Geek publicó un gran experimento sobre esto), y muchos de ellos usan el secuestro SSL para inspeccionar los datos que está enviando a través de conexiones encriptadas Afortunadamente, al menos algunos de ellos son un poco más inteligentes acerca de sus prácticas de certificados de seguridad, lo que significa que no todos los secuestradores SSL causan agujeros de seguridad tan grandes como los creados por Superfish o PrivDog.

A veces hay buenas razones para darle acceso a una aplicación a sus conexiones encriptadas. Por ejemplo, si su software antivirus no puede descifrar sus comunicaciones con un sitio HTTPS, no podrá evitar que el malware infecte su computadora a través de una conexión segura. El software de control parental también necesita acceso a conexiones seguras, o los niños solo pueden usar HTTPS para eludir el filtrado de contenido.

Pero cuando el adware monitorea tus conexiones cifradas y las abre para atacar, debes preocuparte.

¿Qué hacer?

Desafortunadamente, muchos ataques de hombre en el medio deben evitarse con medidas del lado del servidor, lo que significa que puede estar expuesto a este tipo de ataques sin saberlo. Sin embargo, puede tomar una serie de medidas para mantenerse a salvo. Filippo Valsorda ha creado una aplicación web que busca Superfish, Komodia, PrivDog y otro software de deshabilitación de SSL en su computadora. Ese es un buen lugar para comenzar.

https-lock

También debe prestar atención a las advertencias de los certificados, verificar las conexiones HTTPS, tener cuidado con el Wi-Fi público y ejecutar un software antivirus actualizado. Compruebe qué extensiones del navegador están instaladas en su navegador y elimine las que no reconoce. Tenga cuidado al descargar software gratuito, ya que se incluye un montón de adware.

Más allá de eso, lo mejor que podemos hacer es comunicar nuestra ira a las empresas que están produciendo y utilizando esta tecnología, como Komodia. Su sitio web fue recientemente retirado, supuestamente por un ataque distribuido de denegación de servicio ¿Qué es un ataque DDoS? [MakeUseOf Explains] ¿Qué es un ataque DDoS? [MakeUseOf Explains] El término DDoS silba cuando el ciberactivismo se agita en masa. Este tipo de ataques son noticia internacional por múltiples razones. Los problemas que impulsan esos ataques DDoS a menudo son controvertidos o altamente ... Leer más, lo que sugiere que muchas personas expresaron rápidamente su disgusto. Es hora de dejar en claro que el secuestro SSL es completamente inaceptable.

¿Qué piensas del adware de secuestro de SSL? ¿Crees que deberíamos recurrir a las empresas para detener esta práctica? ¿Debería ser legal? Comparte tus pensamientos a continuación!

Créditos de las imágenes: dibujos animados de tiburones a través de Shutterstock, conexión de conexión segura HTTPS a través de Shutterstock.

In this article