Lenovo의 Superfish 악성 코드는 지난 주에 상당한 파문을 일으켰습니다. 랩톱 제조업체는 애드웨어가 설치된 컴퓨터를 출하했을 뿐만 아니라 해당 컴퓨터를 공격에 매우 취약하게 만들었습니다. 이제 Superfish를 제거할 수 있지만 이야기는 끝나지 않았습니다. 걱정할 앱이 훨씬 더 많습니다.
슈퍼피쉬 잡기
Lenovo는 Superfish를 제거하는 도구를 출시했으며 Microsoft는 성가신 것을 잡아 제거하기 위해 안티바이러스 소프트웨어를 업데이트했습니다. 다른 안티바이러스 소프트웨어 제공업체도 빠르게 따라올 것입니다. Lenovo 노트북을 소유하고 있고 Superfish를 제거하기 위한 조치를 취하지 않았다면 즉시 조치를 취해야 합니다!
이를 제거하지 않으면 실제로 공격자와 통신할 때 보안 웹사이트와 통신하는 것처럼 보이게 하는 중간자 공격에 훨씬 더 취약해질 것입니다. Superfish는 사용자에 대한 더 많은 정보를 얻고 페이지에 광고를 삽입할 수 있도록 이 작업을 수행하지만 공격자는 이 구멍을 이용할 수 있습니다.
SSL 하이재킹은 어떻게 작동합니까?
Superfish는 SSL 하이재킹이라는 프로세스를 사용하여 사용자의 암호화된 데이터를 가져옵니다. 프로세스는 실제로 매우 간단합니다. 보안 사이트에 연결할 때 컴퓨터와 서버는 다음과 같은 여러 단계를 거칩니다.
- 컴퓨터가 HTTP(안전하지 않은) 사이트에 연결됩니다.
- HTTP 서버는 동일한 사이트의 HTTPS(보안) 버전으로 리디렉션합니다.
- 컴퓨터가 HTTPS 사이트에 연결됩니다.
- HTTPS 서버는 사이트의 확실한 식별을 제공하는 인증서를 제공합니다.
- 연결이 완료되었습니다.
메시지 가로채기 공격 중에 2단계와 3단계가 손상됩니다. 공격자의 컴퓨터는 잠재적으로 암호, 신용 카드 세부 정보 또는 기타 민감한 데이터를 포함하여 둘 사이에 전달되는 모든 정보를 가로채서 컴퓨터와 보안 서버 사이의 다리 역할을 합니다. 메시지 가로채기 공격에 대한 이 훌륭한 기사에서 보다 완전한 설명을 찾을 수 있습니다.
물고기 뒤에 있는 상어:Komodia
Superfish는 Lenovo 소프트웨어의 일부이지만 Komodia라는 회사에서 만든 이미 존재하는 프레임워크를 기반으로 합니다. Komodia는 다양한 도구를 만들고 있으며 대부분은 SSL로 암호화된 인터넷 트래픽을 가로채고 빠르게 해독하며 사용자가 데이터 필터링이나 암호화된 브라우징 모니터링과 같은 다양한 작업을 수행할 수 있도록 하는 목표를 중심으로 구축되었습니다.
Komodia는 그들의 소프트웨어가 자녀 보호, 암호화된 이메일에서 잠재적으로 노출되는 정보 필터링, 추가되는 확장 프로그램의 종류를 제한하는 브라우저에 광고 삽입과 같은 작업에 사용될 수 있다고 말합니다. 분명히 이 소프트웨어의 좋은 잠재적 용도와 나쁜 용도가 있지만 더 이상 안전하게 탐색하지 않는다는 단서를 주지 않고 SSL 트래픽을 해독하고 있다는 사실은 매우 걱정스럽습니다.
간단히 말해서 Superfish는 단일 암호 보안 인증서를 사용했습니다. 즉, 해당 인증서에 대한 암호가 있는 사람은 누구나 Superfish가 모니터링하는 모든 트래픽에 액세스할 수 있습니다. 그렇다면 Superfish가 발견된 후 무슨 일이 일어났습니까? 누군가가 암호를 해독하고 공개하여 수많은 Lenovo 노트북 소유자가 취약한 상태에 놓였습니다.
보안 연구원은 블로그 게시물에서 비밀번호가 "komodia"라고 보고했습니다. 진심입니다.
그러나 Superfish가 Komodia 프레임워크를 사용하는 유일한 소프트웨어는 아닙니다. Facebook 보안 연구원은 최근 12개 이상의 다른 소프트웨어가 Komodia 기술을 사용한다는 사실을 발견했습니다. 이는 엄청난 수의 SSL 연결이 손상될 수 있음을 의미합니다. Ars Technica는 Fortune 500대 기업을 포함하여 100개 이상의 고객이 Komodia도 사용하고 있다고 보고했습니다. 그리고 "komodia"라는 암호로 다른 많은 인증서도 잠금 해제되었습니다.
기타 SSL 하이재커
Komodia는 SSL 하이재킹 시장에서 큰 물고기지만 다른 것도 있습니다. 웹사이트의 광고를 신뢰할 수 있는 광고로 대체하는 Comodo 서비스인 PrivDog에도 메시지 가로채기(man-in-the-middle) 공격을 허용할 수 있는 취약점이 있는 것으로 밝혀졌습니다. 연구원들은 PrivDog 취약점이 Superfish보다 훨씬 더 나쁘다고 말합니다.
이것도 드문 일이 아닙니다. 많은 무료 소프트웨어가 다른 애드웨어 및 실제로 원하지 않는 기타 항목과 함께 번들로 제공되며(How-To Geek에서 이에 대한 훌륭한 실험을 게시했습니다) 많은 소프트웨어가 SSL 하이재킹을 사용하여 전송하는 데이터를 검사합니다. 암호화된 연결. 다행히도 그들 중 적어도 일부는 보안 인증서 관행에 대해 조금 더 똑똑합니다. 즉, 모든 SSL 하이재커가 Superfish 또는 PrivDog에서 만든 것만큼 큰 보안 허점을 일으키는 것은 아닙니다.
때로는 앱에 암호화된 연결에 대한 액세스 권한을 부여하는 데 합당한 이유가 있습니다. 예를 들어 바이러스 백신 소프트웨어가 HTTPS 사이트와의 통신을 해독할 수 없는 경우 멀웨어가 보안 연결을 통해 컴퓨터를 감염시키는 것을 방지할 수 없습니다. 자녀 보호 소프트웨어도 보안 연결에 대한 액세스가 필요합니다. 그렇지 않으면 아이들이 HTTPS를 사용하여 콘텐츠 필터링을 우회할 수 있습니다.
그러나 애드웨어가 암호화된 연결을 모니터링하고 공격을 허용할 때 걱정해야 합니다.
무엇을 해야 합니까?
불행히도 많은 중간자 공격은 서버 측 조치로 방지해야 합니다. 즉, 자신도 모르게 이러한 종류의 공격에 노출될 수 있습니다. 그러나 자신을 안전하게 보호하기 위해 여러 가지 조치를 취할 수 있습니다. Filippo Valsorda는 컴퓨터에서 Superfish, Komodia, PrivDog 및 기타 SSL 비활성화 소프트웨어를 찾는 웹 앱을 만들었습니다. 시작하기에 좋은 곳입니다.
또한 인증서 경고에 주의하고 HTTPS 연결을 다시 확인하고 공용 Wi-Fi에 주의하고 최신 바이러스 백신 소프트웨어를 실행해야 합니다. 브라우저에 설치된 브라우저 확장 프로그램을 확인하고 모르는 확장 프로그램을 제거하십시오. 무료 소프트웨어를 다운로드할 때 많은 애드웨어가 함께 제공되므로 주의하십시오.
그 외에 우리가 할 수 있는 최선은 우리의 분노를 코모디아와 같이 이 기술을 생산하고 사용하는 회사에 전달하는 것입니다. 그들의 웹 사이트는 최근에 분산 서비스 거부 공격으로 인해 중단되었으며 많은 사람들이 신속하게 불만을 표명했음을 알 수 있습니다. SSL 하이재킹이 완전히 용납될 수 없음을 분명히 할 때입니다.
SSL 하이재킹 애드웨어에 대해 어떻게 생각하십니까? 이러한 관행을 중단하도록 기업에 요청해야 한다고 생각하십니까? 그것도 합법이어야 합니까? 아래에서 생각을 공유하세요!
이미지 출처:Shutterstock을 통한 상어 만화, Shutterstock을 통한 HTTPS 보안 연결 로그인