लेनोवो के सुपरफिश मालवेयर ने पिछले एक हफ्ते में काफी हलचल मचा रखी है। न केवल लैपटॉप निर्माता ने एडवेयर स्थापित कंप्यूटरों को शिप किया, बल्कि इसने उन कंप्यूटरों को हमले के लिए अत्यधिक संवेदनशील बना दिया। अब आप सुपरफिश से छुटकारा पा सकते हैं, लेकिन कहानी खत्म नहीं हुई है। चिंता करने के लिए और भी बहुत से ऐप्स हैं।
सुपरफिश पकड़ना
लेनोवो ने एक उपकरण जारी किया है जो सुपरफिश से छुटकारा दिलाता है, और माइक्रोसॉफ्ट ने उपद्रव को पकड़ने और हटाने के लिए अपने एंटी-वायरस सॉफ़्टवेयर को अपडेट किया है। अन्य एंटी-वायरस सॉफ़्टवेयर प्रदाता शीघ्रता से अनुसरण करना सुनिश्चित करते हैं। अगर आपके पास लेनोवो का लैपटॉप है और आपने सुपरफिश से छुटकारा पाने के लिए कदम नहीं उठाए हैं, तो आपको तुरंत ऐसा करना चाहिए!
यदि आप इससे छुटकारा नहीं पाते हैं, तो आप बीच-बीच में होने वाले हमलों के प्रति अधिक संवेदनशील होंगे, जिससे ऐसा लगता है कि आप एक सुरक्षित वेबसाइट के साथ संचार कर रहे हैं जब आप वास्तव में किसी हमलावर के साथ संवाद कर रहे होते हैं। Superfish ऐसा इसलिए करती है ताकि वह उपयोगकर्ताओं के बारे में अधिक जानकारी प्राप्त कर सके और विज्ञापनों को पृष्ठों में इंजेक्ट कर सके, लेकिन हमलावर इस छेद का लाभ उठा सकते हैं।
SSL अपहरण कैसे काम करता है?
सुपरफिश उपयोगकर्ताओं के एन्क्रिप्टेड डेटा को प्राप्त करने के लिए एसएसएल अपहरण नामक एक प्रक्रिया का उपयोग करती है। प्रक्रिया वास्तव में काफी सरल है। जब आप किसी सुरक्षित साइट से जुड़ते हैं, तो आपका कंप्यूटर और सर्वर कई चरणों से गुजरते हैं:
- आपका कंप्यूटर HTTP (असुरक्षित) साइट से जुड़ता है।
- HTTP सर्वर आपको उसी साइट के HTTPS (सुरक्षित) संस्करण पर पुनर्निर्देशित करता है।
- आपका कंप्यूटर HTTPS साइट से जुड़ता है।
- HTTPS सर्वर साइट की सकारात्मक पहचान प्रदान करते हुए एक प्रमाणपत्र प्रदान करता है।
- कनेक्शन पूरा हो गया है।
मैन-इन-द-बीच हमले के दौरान, चरण 2 और 3 से समझौता किया जाता है। हमलावर का कंप्यूटर आपके कंप्यूटर और सुरक्षित सर्वर के बीच एक सेतु का काम करता है, जो दोनों के बीच पारित होने वाली किसी भी जानकारी को रोकता है, जिसमें संभावित रूप से पासवर्ड, क्रेडिट कार्ड विवरण या कोई अन्य संवेदनशील डेटा शामिल है। मैन-इन-द-मिडिल हमलों के बारे में इस महान लेख में अधिक संपूर्ण विवरण पाया जा सकता है।
द शार्क बिहाइंड द फिश:कोमोडिया
सुपरफिश लेनोवो सॉफ्टवेयर का एक टुकड़ा है, लेकिन यह एक ऐसे ढांचे पर बनाया गया है जो पहले से मौजूद है, जिसे कोमोडिया नामक कंपनी द्वारा बनाया गया है। कोमोडिया कई अलग-अलग टूल बनाता है, जिनमें से अधिकांश एसएसएल-एन्क्रिप्टेड इंटरनेट ट्रैफ़िक को इंटरसेप्ट करने, इसे जल्दी से डिक्रिप्ट करने और उपयोगकर्ता को विभिन्न काम करने की अनुमति देने के लक्ष्य के आसपास बनाए गए हैं, जैसे कि फ़िल्टर डेटा या एन्क्रिप्टेड ब्राउज़िंग की निगरानी करना।
कोमोडिया का कहना है कि उनके सॉफ़्टवेयर का उपयोग माता-पिता के नियंत्रण जैसी चीज़ों के लिए किया जा सकता है, एन्क्रिप्टेड ईमेल से संभावित रूप से प्रकट होने वाली जानकारी को फ़िल्टर करना, और ब्राउज़र में विज्ञापनों को इंजेक्ट करना जो कि जोड़े गए एक्सटेंशन के प्रकार को प्रतिबंधित करते हैं। जाहिर है, इस सॉफ़्टवेयर के लिए अच्छे और कुछ बुरे संभावित उपयोग मौजूद हैं, लेकिन यह तथ्य कि यह आपके एसएसएल ट्रैफ़िक को डिक्रिप्ट कर रहा है, आपको यह संकेत दिए बिना कि आप अब सुरक्षित रूप से ब्राउज़ नहीं कर रहे हैं, बहुत चिंताजनक है।
एक लंबी कहानी को छोटा करने के लिए, सुपरफिश ने एकल-पासवर्ड सुरक्षा प्रमाणपत्र का उपयोग किया, जिसका अर्थ है कि जिस किसी के पास उस प्रमाणपत्र का पासवर्ड होगा, उसके पास सुपरफिश द्वारा निगरानी किए जा रहे किसी भी ट्रैफ़िक तक पहुंच होगी। तो सुपरफिश की खोज के बाद क्या हुआ? किसी ने पासवर्ड तोड़ दिया और इसे प्रकाशित कर दिया, जिससे बड़ी संख्या में लेनोवो लैपटॉप मालिक असुरक्षित हो गए।
एक सुरक्षा शोधकर्ता ने एक ब्लॉग पोस्ट में बताया कि पासवर्ड "कोमोडिया" था। गंभीरता से।
लेकिन सुपरफिश कोमोडिया फ्रेमवर्क का उपयोग करने वाला एकमात्र सॉफ्टवेयर नहीं है। एक फेसबुक सुरक्षा शोधकर्ता ने हाल ही में कोमोडिया तकनीक का उपयोग करने वाले सॉफ्टवेयर के एक दर्जन से अधिक अन्य टुकड़ों की खोज की, जिसका अर्थ है कि बड़ी संख्या में एसएसएल कनेक्शन से समझौता किया जा सकता है। Ars Technica ने बताया कि फॉर्च्यून 500 कंपनियों सहित 100 से अधिक ग्राहक कोमोडिया का भी उपयोग कर रहे हैं। और कई अन्य प्रमाणपत्र भी "कोमोडिया" पासवर्ड के साथ अनलॉक किए गए थे।
अन्य SSL अपहरणकर्ता
जबकि एसएसएल अपहरण बाजार में कोमोडिया एक बड़ी मछली है, अन्य भी हैं। PrivDog, एक कोमोडो सेवा जो वेबसाइटों के विज्ञापनों को विश्वसनीय विज्ञापनों से बदल देती है, में एक भेद्यता पाई गई जो मानव-में-मध्य हमलों की भी अनुमति दे सकती है। शोधकर्ताओं का कहना है कि PrivDog की भेद्यता सुपरफिश से भी बदतर है।
यह सब असामान्य भी नहीं है। बहुत सारे मुफ्त सॉफ्टवेयर अन्य एडवेयर और अन्य चीजों के साथ आते हैं जो आप वास्तव में नहीं चाहते हैं (हाउ-टू गीक ने इस पर एक महान प्रयोग पोस्ट किया है), और उनमें से कई एसएसएल अपहरण का उपयोग उस डेटा का निरीक्षण करने के लिए करते हैं जिसे आप भेज रहे हैं। एन्क्रिप्टेड कनेक्शन। सौभाग्य से, उनमें से कम से कम कुछ अपने सुरक्षा प्रमाणपत्र प्रथाओं के बारे में थोड़ा अधिक होशियार हैं, जिसका अर्थ है कि प्रत्येक एसएसएल अपहरणकर्ता सुपरफिश या प्रिवडॉग द्वारा बनाए गए सुरक्षा छेद का कारण नहीं बनता है।
कभी-कभी किसी ऐप को आपके एन्क्रिप्टेड कनेक्शन तक पहुंच प्रदान करने के अच्छे कारण होते हैं। उदाहरण के लिए, यदि आपका एंटी-वायरस सॉफ़्टवेयर किसी HTTPS साइट के साथ आपके संचार को डिक्रिप्ट नहीं कर सकता है, तो यह मैलवेयर को आपके कंप्यूटर को सुरक्षित कनेक्शन पर संक्रमित करने से नहीं रोक पाएगा। माता-पिता के नियंत्रण सॉफ़्टवेयर को भी सुरक्षित कनेक्शन तक पहुंच की आवश्यकता होती है, या बच्चे सामग्री फ़िल्टरिंग को बायपास करने के लिए केवल HTTPS का उपयोग कर सकते हैं।
लेकिन जब एडवेयर आपके एन्क्रिप्ट किए गए कनेक्शनों की निगरानी कर रहा हो, और उन्हें हमला करने के लिए खोल रहा हो, तो आपको चिंतित होना चाहिए।
क्या करें?
दुर्भाग्य से, सर्वर-साइड उपायों द्वारा कई मैन-इन-द-बीच हमलों को रोकने की आवश्यकता है, जिसका अर्थ है कि आप इसे जाने बिना इस प्रकार के हमलों के संपर्क में आ सकते हैं। हालाँकि, आप खुद को सुरक्षित रखने के लिए कई उपाय कर सकते हैं। Filippo Valsorda ने एक वेब ऐप बनाया है जो आपके कंप्यूटर पर Superfish, Komodia, PrivDog और अन्य SSL-अक्षम करने वाले सॉफ़्टवेयर की तलाश करता है। शुरू करने के लिए यह एक अच्छी जगह है।
आपको प्रमाणपत्र चेतावनियों पर भी ध्यान देना चाहिए, HTTPS कनेक्शनों की दोबारा जांच करनी चाहिए, सार्वजनिक वाई-फाई पर सावधान रहना चाहिए और अप-टू-डेट एंटीवायरस सॉफ़्टवेयर चलाना चाहिए। जांचें कि आपके ब्राउज़र में कौन से ब्राउज़र एक्सटेंशन इंस्टॉल हैं और जिन्हें आप नहीं पहचानते हैं उन्हें हटा दें। मुफ्त सॉफ्टवेयर डाउनलोड करते समय सावधान रहें, क्योंकि इसके साथ ढेर सारे एडवेयर होते हैं।
इसके अलावा, सबसे अच्छी चीज जो हम कर सकते हैं, वह है कोमोडिया जैसी इस तकनीक का उत्पादन और उपयोग करने वाली कंपनियों को अपने गुस्से का संचार करना। उनकी वेबसाइट को हाल ही में एक वितरित डिनायल-ऑफ-सर्विस हमले द्वारा हटा दिया गया था, यह सुझाव देते हुए कि बहुत से लोग अपनी नाराजगी व्यक्त करने के लिए तत्पर थे। यह स्पष्ट करने का समय है कि एसएसएल अपहरण पूरी तरह से अस्वीकार्य है।
एसएसएल अपहरण एडवेयर के बारे में आप क्या सोचते हैं? क्या आपको लगता है कि हमें कंपनियों से इस प्रथा को रोकने के लिए कहना चाहिए? क्या यह कानूनी भी होना चाहिए? नीचे अपने विचार साझा करें!
<छोटा>छवि क्रेडिट:शटरस्टॉक के माध्यम से शार्क कार्टून, शटरस्टॉक के माध्यम से HTTPS सुरक्षित कनेक्शन साइन इन।