লেনোভোর সুপারফিশ ম্যালওয়্যার গত সপ্তাহে বেশ আলোড়ন সৃষ্টি করেছে। ল্যাপটপ প্রস্তুতকারক শুধুমাত্র অ্যাডওয়্যার ইনস্টল করা কম্পিউটার পাঠায়নি, তবে এটি সেই কম্পিউটারগুলিকে আক্রমণের জন্য অত্যন্ত ঝুঁকিপূর্ণ করে তুলেছে। আপনি এখন সুপারফিশ থেকে মুক্তি পেতে পারেন, কিন্তু গল্প শেষ হয়নি। চিন্তা করার জন্য আরও অনেক অ্যাপ আছে।
সুপারফিশ ধরা
লেনোভো একটি টুল প্রকাশ করেছে যা সুপারফিশ থেকে পরিত্রাণ পায়, এবং মাইক্রোসফ্ট তার অ্যান্টি-ভাইরাস সফ্টওয়্যার আপডেট করেছে উপদ্রব ধরতে এবং অপসারণ করতে। অন্যান্য অ্যান্টি-ভাইরাস সফ্টওয়্যার প্রদানকারীরা দ্রুত অনুসরণ করবে তা নিশ্চিত। আপনি যদি একটি Lenovo ল্যাপটপের মালিক হন এবং আপনি সুপারফিশ থেকে পরিত্রাণ পেতে পদক্ষেপ না নিয়ে থাকেন, তাহলে আপনার তা অবিলম্বে করা উচিত!
আপনি যদি এটি থেকে পরিত্রাণ না পান, আপনি ম্যান-ইন-দ্য-মিডল আক্রমণের জন্য অনেক বেশি সংবেদনশীল হবেন যা দেখে মনে হবে আপনি একটি নিরাপদ ওয়েবসাইটের সাথে যোগাযোগ করছেন যখন আপনি আসলে একজন আক্রমণকারীর সাথে যোগাযোগ করছেন। সুপারফিশ এটি করে যাতে এটি ব্যবহারকারীদের সম্পর্কে আরও তথ্য পেতে পারে এবং পৃষ্ঠাগুলিতে বিজ্ঞাপন প্রবেশ করতে পারে, তবে আক্রমণকারীরা এই গর্তের সুবিধা নিতে পারে৷
কিভাবে SSL হাইজ্যাকিং কাজ করে?
সুপারফিশ ব্যবহারকারীদের এনক্রিপ্ট করা ডেটা পেতে SSL হাইজ্যাকিং নামক একটি প্রক্রিয়া ব্যবহার করে। প্রক্রিয়াটি আসলে বেশ সহজ। আপনি যখন একটি সুরক্ষিত সাইটের সাথে সংযোগ করেন, তখন আপনার কম্পিউটার এবং সার্ভার বেশ কয়েকটি ধাপ অতিক্রম করে:
- আপনার কম্পিউটার HTTP (অনিরাপদ) সাইটে সংযোগ করে।
- HTTP সার্ভার আপনাকে একই সাইটের HTTPS (সুরক্ষিত) সংস্করণে পুনঃনির্দেশ করে।
- আপনার কম্পিউটার HTTPS সাইটে সংযোগ করে।
- HTTPS সার্ভার একটি শংসাপত্র প্রদান করে, সাইটের ইতিবাচক সনাক্তকরণ প্রদান করে।
- সংযোগ সম্পূর্ণ হয়েছে।
ম্যান-ইন-দ্য-মিডল আক্রমণের সময়, ধাপ 2 এবং 3 আপস করা হয়। আক্রমণকারীর কম্পিউটার আপনার কম্পিউটার এবং সুরক্ষিত সার্ভারের মধ্যে একটি সেতু হিসাবে কাজ করে, উভয়ের মধ্যে পাস করা যেকোনো তথ্য, সম্ভাব্যভাবে পাসওয়ার্ড, ক্রেডিট কার্ডের বিশদ বা অন্য কোনো সংবেদনশীল ডেটা অন্তর্ভুক্ত করে। ম্যান-ইন-দ্য-মিডল আক্রমণ সম্পর্কে এই দুর্দান্ত নিবন্ধে আরও সম্পূর্ণ ব্যাখ্যা পাওয়া যাবে।
মাছের পিছনের হাঙ্গর:কমোডিয়া
সুপারফিশ হল Lenovo সফ্টওয়্যারের একটি অংশ, কিন্তু এটি ইতিমধ্যেই বিদ্যমান একটি কাঠামোর উপর নির্মিত, যা Komodia নামক একটি কোম্পানি দ্বারা তৈরি করা হয়েছে। কমোডিয়া অনেকগুলি বিভিন্ন সরঞ্জাম তৈরি করে, যেগুলির বেশিরভাগই SSL-এনক্রিপ্ট করা ইন্টারনেট ট্র্যাফিককে বাধা দেওয়ার লক্ষ্যকে ঘিরে তৈরি করা হয়েছে, এটিকে দ্রুত ডিক্রিপ্ট করা, এবং ব্যবহারকারীকে ফিল্টার ডেটা বা এনক্রিপ্ট করা ব্রাউজিং মনিটর করার মতো বিভিন্ন জিনিস করার অনুমতি দেয়৷
কমোডিয়া বলে যে তাদের সফ্টওয়্যারটি পিতামাতার নিয়ন্ত্রণ, এনক্রিপ্ট করা ইমেল থেকে সম্ভাব্য তথ্য প্রকাশের ফিল্টারিং এবং ব্রাউজারগুলিতে বিজ্ঞাপনগুলি ইনজেক্ট করার মতো জিনিসগুলির জন্য ব্যবহার করা যেতে পারে যা যুক্ত করা এক্সটেনশনগুলিকে সীমাবদ্ধ করে৷ স্পষ্টতই, এই সফ্টওয়্যারটির জন্য ভাল এবং কিছু খারাপ সম্ভাব্য ব্যবহার বিদ্যমান, কিন্তু সত্য যে এটি আপনার SSL ট্র্যাফিককে ডিক্রিপ্ট করছে এমন কোনও সূত্র না দিয়ে যে আপনি আর নিরাপদে ব্রাউজ করছেন না তা খুবই উদ্বেগজনক৷
একটি দীর্ঘ গল্প সংক্ষিপ্ত করার জন্য, সুপারফিশ একটি একক-পাসওয়ার্ড নিরাপত্তা শংসাপত্র ব্যবহার করেছে, যার অর্থ হল যে যে কেউ সেই শংসাপত্রের পাসওয়ার্ডটি সুপারফিশ দ্বারা নিরীক্ষণ করা যেকোনো ট্র্যাফিকের অ্যাক্সেস পাবে। তাহলে সুপারফিশ আবিষ্কৃত হওয়ার পরে কী হয়েছিল? কেউ পাসওয়ার্ডটি ক্র্যাক করেছে এবং এটি প্রকাশ করেছে, যার ফলে বিপুল সংখ্যক Lenovo ল্যাপটপ মালিকরা ঝুঁকির মধ্যে রয়েছে৷
একজন নিরাপত্তা গবেষক একটি ব্লগ পোস্টে জানিয়েছেন যে পাসওয়ার্ডটি "কোমোডিয়া"। সিরিয়াসলি।
কিন্তু সুপারফিশই কমোডিয়া ফ্রেমওয়ার্ক ব্যবহার করে একমাত্র সফটওয়্যার নয়। একজন Facebook নিরাপত্তা গবেষক সম্প্রতি আবিষ্কার করেছেন যে সফ্টওয়্যারের একটি ডজনেরও বেশি অংশ কমোডিয়া প্রযুক্তি ব্যবহার করে, যার অর্থ হল বিপুল সংখ্যক SSL সংযোগের সাথে আপস করা যেতে পারে। Ars Technica রিপোর্ট করেছে যে Fortune 500 কোম্পানি সহ 100 টিরও বেশি ক্লায়েন্ট কমোডিয়া ব্যবহার করছে। এবং "komodia" পাসওয়ার্ড দিয়ে অন্যান্য অনেক শংসাপত্রও আনলক করা হয়েছে৷
৷অন্যান্য SSL হাইজ্যাকার
কোমোডিয়া SSL হাইজ্যাকিং বাজারে একটি বড় মাছ হলেও, অন্যান্য আছে। PrivDog, একটি কমোডো পরিষেবা যা ওয়েবসাইট থেকে বিজ্ঞাপনগুলিকে বিশ্বস্ত বিজ্ঞাপন দিয়ে প্রতিস্থাপন করে, এর একটি দুর্বলতা পাওয়া গেছে যা ম্যান-ইন-দ্য-মিডল আক্রমণকেও অনুমতি দিতে পারে। গবেষকরা বলছেন যে PrivDog দুর্বলতা সুপারফিশের চেয়েও খারাপ।
এই সব যে অস্বাভাবিক নয়, হয়. অনেকগুলি বিনামূল্যের সফ্টওয়্যার অন্যান্য অ্যাডওয়্যার এবং অন্যান্য জিনিসগুলির সাথে একত্রিত হয় যা আপনি আসলে চান না (হাউ-টু গীক এটিতে একটি দুর্দান্ত পরীক্ষা পোস্ট করেছে), এবং তাদের মধ্যে অনেকেই আপনার পাঠানো ডেটা পরিদর্শন করতে SSL হাইজ্যাকিং ব্যবহার করে এনক্রিপ্ট করা সংযোগ। সৌভাগ্যবশত, তাদের মধ্যে অন্তত কেউ কেউ তাদের নিরাপত্তা শংসাপত্রের অনুশীলন সম্পর্কে একটু বেশি স্মার্ট, যার অর্থ হল প্রতিটি SSL হাইজ্যাকার সুপারফিশ বা প্রিভডগ দ্বারা তৈরি করা নিরাপত্তা গর্তের মতো বড় নয়৷
কখনও কখনও আপনার এনক্রিপ্ট করা সংযোগগুলিতে একটি অ্যাপ অ্যাক্সেস দেওয়ার জন্য ভাল কারণ রয়েছে৷ উদাহরণস্বরূপ, যদি আপনার অ্যান্টি-ভাইরাস সফ্টওয়্যার একটি HTTPS সাইটের সাথে আপনার যোগাযোগগুলি ডিক্রিপ্ট করতে না পারে, তাহলে এটি একটি নিরাপদ সংযোগের মাধ্যমে আপনার কম্পিউটারকে সংক্রমিত করা থেকে ম্যালওয়্যারকে আটকাতে পারবে না৷ অভিভাবকীয় নিয়ন্ত্রণ সফ্টওয়্যারেরও সুরক্ষিত সংযোগগুলিতে অ্যাক্সেসের প্রয়োজন, বা বাচ্চারা কেবলমাত্র সামগ্রী ফিল্টারিং বাইপাস করতে HTTPS ব্যবহার করতে পারে।
কিন্তু যখন অ্যাডওয়্যার আপনার এনক্রিপ্ট করা সংযোগগুলি নিরীক্ষণ করছে এবং আক্রমণ করার জন্য সেগুলি খুলছে, তখন আপনার উদ্বিগ্ন হওয়া উচিত৷
কি করতে হবে?
দুর্ভাগ্যবশত, অনেক ম্যান-ইন-দ্য-মিডল আক্রমণ সার্ভার-সাইড ব্যবস্থা দ্বারা প্রতিরোধ করা প্রয়োজন, যার মানে আপনি না জেনেই এই ধরণের আক্রমণের সম্মুখীন হতে পারেন। যাইহোক, আপনি নিজেকে নিরাপদ রাখতে বেশ কিছু ব্যবস্থা নিতে পারেন। Filippo Valsorda একটি ওয়েব অ্যাপ তৈরি করেছে যা আপনার কম্পিউটারে Superfish, Komodia, PrivDog এবং অন্যান্য SSL- নিষ্ক্রিয় সফ্টওয়্যার খোঁজে। এটি শুরু করার জন্য একটি ভাল জায়গা।
আপনাকে শংসাপত্রের সতর্কতাগুলিতেও মনোযোগ দিতে হবে, HTTPS সংযোগের জন্য দুবার-চেক করতে হবে, সর্বজনীন Wi-Fi-এ সতর্ক থাকতে হবে এবং আপ-টু-ডেট অ্যান্টিভাইরাস সফ্টওয়্যার চালাতে হবে। আপনার ব্রাউজারে কোন ব্রাউজার এক্সটেনশনগুলি ইনস্টল করা আছে তা পরীক্ষা করুন এবং আপনি যেগুলিকে চিনতে পারেন না সেগুলি থেকে মুক্তি পান৷ বিনামূল্যে সফ্টওয়্যার ডাউনলোড করার সময় সতর্কতা অবলম্বন করুন, কারণ এটির সাথে প্রচুর অ্যাডওয়্যার বান্ডিল রয়েছে৷
৷এর বাইরে, আমরা যা করতে পারি তা হল আমাদের ক্ষোভকে কোমোডিয়ার মতো এই প্রযুক্তি উৎপাদন ও ব্যবহারকারী কোম্পানিগুলোর কাছে জানানো। তাদের ওয়েবসাইটটি সম্প্রতি সরিয়ে নেওয়া হয়েছে, কথিতভাবে একটি বিতরণ করা অস্বীকার-অফ-সার্ভিস আক্রমণের দ্বারা, পরামর্শ দেওয়া হয়েছে যে অনেক লোক তাদের বিরক্তি প্রকাশ করতে দ্রুত ছিল। এটা পরিষ্কার করার সময় এসেছে যে SSL হাইজ্যাকিং সম্পূর্ণরূপে অগ্রহণযোগ্য৷
৷আপনি SSL হাইজ্যাকিং অ্যাডওয়্যারের বিষয়ে কি মনে করেন? আপনি কি মনে করেন যে আমাদের এই অভ্যাস বন্ধ করার জন্য কোম্পানিগুলির প্রতি আহ্বান জানানো উচিত? এটা এমনকি আইনি হতে হবে? নীচে আপনার চিন্তা শেয়ার করুন!
ইমেজ ক্রেডিট:শাটারস্টকের মাধ্যমে শার্ক কার্টুন, শাটারস্টকের মাধ্যমে HTTPS সুরক্ষিত সংযোগ সাইন ইন।
