26/6/2013
Mamy nadzieję, że nikt z Was nie korzystał z przeglądarki Opera na Windowsie 19 czerwca w nocy — nieznani sprawcy włamali się wtedy do sieci wewnętrznej Opery, wykradli klucz służący do podpisywania aktualizacji Opery i udostępnili jej “nową”, złośliwą wersję.
Opera hacked
Niestety, oficjalne oświadczenie Opery nie obfituje w szczegóły incydentu. Nie wiadomo jak rozpoznać tę “złośliwą” wersję przeglądarki — firma nie opublikowała żadnych sum kontrolnych paczki, którą stworzyli atakujący — odsyła jednak do raportu VirusTotal. Nie wiadomo także jakie są skutki korzystania z fałszywej Opery, ile osób padło ofiarą fałszywej aktualizacji, ani dlaczego firma informuje o tym incydencie dopiero tydzień po fakcie i w dodatku w tak lakoniczny sposób.
Specjaliści z Opery uspokajają jednak, że nie zauważyli, aby atakujący uzyskali dostęp do danych użytkowników znajdujących się na serwerach Opery. Jedyne co im się udało to:
- przechwycić klucz służacy do podpisywania oprogramowania
- przejąć mechanizmem udostępniania aktualizacji i wykorzystać go do dystrybucji złośliwego oprogramowania
Zainfekowani jednak mogli zostać tylko ci z Was, którzy korzystali z Opery na Windowsie i byli online 19 czerwca pomiędzy 3:00 a 3:36 czasu polskiego. Opera ma na dniach wydać nową wersję swojej przeglądarki wraz z nowym certyfikatem podpisującym kod.
Złośliwe, zaufane aktualizacje
Warto podkreślić, że wykorzstanie funkcji automatycznych aktualizacji jako “zaufanego” kanału infekcji to nie nowość. Korzystał z tego już sam Flame (fałszywe aktualizacje Windows Update) oraz niemiecki, rządowy trojan FinFisher…i zapewne wraz z upływem czasu usłyszymy o kolejnych tego typu historiach.
Wydaje mi się, że korzystałem w tym dniu i o tej godzinie z Opery, a nawet jeśli nie to przeglądarkę miałem i tak włączoną, zawsze zostawiam na noc. Mam wyłączoną automatyczna aktualizację, jedynie powiadomienie o aktualizacjach. I nie widziałem żadnej aktualizacji, aby wyskoczyła. Czy mam się czegoś obawiać?
AFAIK nie.
Skoro masz wyłączone, to jak myślisz?
Mówimy tutaj o Operze Next czy tej ‘normalnej’ ?
Opera 12.15, czyli normalna.
“Opera-12.15-1748.i386.autoupdate.exe__”
https://www.virustotal.com/en/file/8ecbca0de44c82d1c7ffced288aa68c1247bb1255693cd1c5747fb6cef394b43/analysis/
Mam Operę. Przeglądałem internet o tej porze. Mam włączone automatyczne aktualizacje.
Prawdopodobnie zostałem zainfekowany. Co robić?
Masz Operę, którą można było ściągnąć tylko jednego dnia i o jednej godzinie. Toż to biały kruk :)
Pompki
1. Sprawdzić komputer programem antywirusowym.
2. Usunąć pliki programu.
Profil możesz zostawić, chociaż nigdy nie wiadomo… Ja bym na Twoim miejscu zaczął zmieniać hasła (oczywiście z innej przeglądarki).
Ja na szczęście nie lubię automatycznych aktualizacji :-).
O fu..k. Zmień też hasła do FTP, z którymi się łączysz!
Dziadostwo szuka różnych programów do łączenia się z FTP (m.in. Total Commandera i CuteFTP).
Zobacz też czy masz coś ciekawego w c:\autoexec.bat. Tylko nie uruchamiaj ;-).
@Nux – myląca porada. Program antywirusowy nie pomoże – obojętnie jaki będzie wynik, to i tak dalej nic nie wiadomo – w końcu pokaże, że nic nie znalazł, a nie że nic złego nie ma. Pliki programu… One są rozsiane w wielu miejscach, poza tym jest rejestr. A może zainfekowana przeglądarka ściągnęła coś dodatkowego? To by było najbardziej logiczne, a nie pakować trojany do “plików programu”. Należałoby prześledzić ruch sieciowy, sprawdzić uruchomione procesy, prześledzić co się zmieniło w systemie. Hasła zaiste dobrze będzie zmienić. Także gdy ma się gdzieś zapisany login A i hasło B, login C i hasło D, a niezapisane w przeglądarce C/B.
Mało to konkretne, ale za to można podziękować Operze. Włamy się zdarzają, ale można informować po ludzku. Przykre to. Lepszy PR (bo o problemie nie będą wiedzieć szaraki) od niwelowania skutków swojego błędu.
Z informacji na stronie Opery wynikało, że zainfekowana została Opera. Z informacji na virustotal wynika, że “update” to był po prostu program, który kradnie hasła i – tak jak piszesz – instaluje jeszcze coś ekstra i potem prawdopodobnie wysyła dane na serwer. Ze strony Opery IMHO tak późna informacja to duża wtopa. Ludzie mogli sobie wcześniej pozmieniać hasła, a tak jest spora szansa, że już mieli włam na swoją witrynkę internetową. Wygląda mi na to, że Opera po prostu zbagatelizowała problem.
@Dominik: Ważna informacja – m.in. AVG i Avast nie wykrywały w ogóle tego trojana. Teraz jest informacja, że AVG już wykrywa. Także jeśli miałeś jeden z tych dwóch antywirusów, to na pewno nie były w stanie wykryć zagrożenia, czyli za pewne Twoje hasła już poleciały w eter. Jeśli miałeś inny program antywirusowy, to być może by wykryły, ale ja na Twoim miejscu i tak bym zmienił hasła – zwłaszcza na FTP, z którymi łączysz się z danego komputera.
Tak przy okazji ciekawe dane o przeglądarkach i szyfrowaniu zamieścił serwis:
http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html
Browser support for Perfect Forward Secrecy
Świetny artykuł. Właśnie sprawdzam jakie algorytmy są użyte w połączeniach z bankami, w ktorych mam konto.
W ogóle ta Opera jest jakaś taka … przepraszam wszystkich użytkowników Opery.
Osobiście faworyzuję Firefox’a. Jeszcze nigdy mi nie podpadł.
Ciekawą przeglądarką jest też Maxthon. Ma fajny bajer: snifer plików. Polecam wypróbować.
Poza tym najlepiej ze wszystkich znanych nowoczesnych przeglądarek radzi sobie z HTML5 => http://html5test.com/results/desktop.html
Osobiście faworyzuję Operę. Jeszcze nigdy mi nie podpadła.
Mnie jakoś tak się zdarza, że za każdym razem jak włączę Fajerfoksa, to ten się aktualizuje, i robi to jak na złość długo. A ponieważ Chrome to guvno straszne, zasadniczo najczęściej korzystam z Opery.
Firefox też ma automatyczne aktualizacje. To taka plaga, która przyszła z Chrome’a.
wykorzstanie -> wykorzystanie
Osobiście używam 4 popularnych przeglądarek, Safari, Chroma, Firefox, Opera no i czasami IE 8 9 i 10, myślę, że to zależy od tego czego się potrzebuje ;), co jest bardziej wygodne w użytkowaniu, czy działaniu skryptów JQ JS itd.
Na szczęście miałem operę wyłączoną :) Jeśli chodzi o działanie skryptów jS i parsowanie HTML polecam zdecydowanie Chroma, szybko i płynnie wszystko śmiga, Firefox nie trzyma się standardów, zawsze się pojawiają jakieś krzaki w parsowaniu, a nie mówiąc już o przerabianiu js, nie mniej do standardowego przeglądania stron jest ok, Safari jest ciekawą opcją, Trochę zasobożerna, Tak jak Chrom ładnie wszystko parsuje i przerabia.
Opera, ma fazy z CSS 3 ale całkiem przyzwoicie sobie radzi z js i HTML 5, JE to porażka totalna masakra zaczynając od 8 kończąc na 10, na szczęście w 9 i 10 chłopaki w końcu uświadomili sobie że istnieje CSS3 i HTML 5, i że istnieją nawet jakieś standardy, nie mniej jeszcze do osiągnięcia pułapu chociażby Firefox, a nie mówię już o Chrom i Safari to może w kolejnej dekadzie da się im na 90 % obsługiwania tagów :D:D, tylko jest taki problem że już będzie rewolucja w stronach webowych i są znowu do tyłu :D:D.
W konkluzji stoję za Safari, a na 2 Chrom ;)
Safari na PC czy na MAC-u? Bo wersja na winzgroze jest totalna porazka. Zreszta sam silnik renderujacy tez ma sporo problemow z niektorymi rzeczami…
FF po ostatniej aktualizacj (ver. 22) niezle przyspieszyl z JS. Co do ogolnego przegladania to Opera ma czasem problem z bardziej pokreconymi skrypami JS i stronami zawierajacymi ogromna ilosc elementow w struktorze DOM.
No i pierdolowaci webdevi z lenistwa ustawiaja komunikaty o niekomaptybilnosci przegladarki ze strona dla wszystkiego co nie jest FF i/lub Chrome przez co np. na Operze nie mozna obejzec jakiejs bajeranckiej strony mimo ze silnik bez problemu poradzilby sobie z renderowaniem tresci…
Dla mnie najlepsza jest Opera, potem FF, dalej Chrom i na koncu cala reszta :P
O Operze Next puki co nie ma co gadac, bo wersje testowe to bida z nedza…
Czy dowiemy się, o aktualizację jakiej Opery chodzi, tej przez duże “O”, na Presto, czy tej przez małe “o” (Next) na WebKicie?
W tej na Presto wyłączenie automatycznych aktualizacji problemu nie stanowi, natomiast w tej drugiej chyba się nie da…
Fajnie jednak poczuć się użytkownikiem przeglądarki, która jest potencjalnie zagrożona przez 36 minut nocą w ciągu roku ;-)
Zawsze się zastanawiam, czy zaraz po wyjściu nowego Firefoxa ściągać go i instalować czy poczekać jakieś 2 tygodnie, aż będzie prawie pewne, czy ktoś nie podmienił na zainfekowaną. I jeszcze pozostaje kwestia dziur, które szybko są wynajdowane w nowym wydaniu i ostatnio co i rusz trzeba ponownie aktualizować przeglądarkę po kilkunastu dniach… Niestety nie mogę się oprzeć i zawsze ściągam jak najszybciej:)
Masz jeszcze wydania Beta, Aurora.
O nightly builds nie wspominam, bo są zbyt niestabilne/często się aktualizują…
Ja się nie zastanawiam, tylko zawsze odczekuję. :P
BTW – automatyczne aktualizacje (i to tylko definicji zagrożeń) mam włączone tylko w antywirusie. Pomijając zdarzające się różne błędy i niedoróbki, to często jest tak, że potrafią zepsuć program, w kolejnej wersji, do tego stopnia, że nie da się go używać. Łatwiej pozostać przy starej wersji lub ew. przeskoczyć na coś innego, niż odkręcać taką “aktułalizacjem”. -_-
Opera tonie. To jest juz tylko Titanic.
grekus na mac ;). Fajnie chodzi, pod win fakt nie za bardzo, a z tymi komunikatami to faktycznie, goście przeginają, na szczęście nie stosuję takich rzeczy ;) ale zrobienie pod wszystkie przeglądarki czy nawet wersje danych przeglądarek to nie lada wyzwanie, a no i systemy bo inaczej opera czy ff, safari, chrom pokazuje na mac, inaczej na win inaczej na linux… masakra …. nie mogą zrobić jakiegoś totalnego standardu ! fack !!
A to trzeba się grzebać i skanować użytkowników jaką mają przeglądarkę :D:D:D w przenośni oczywiście :D
Jeny, może kiedyś się to zmieni … może …….
Nieznani sprawcy z NSA :-D