Trend Micro показа вариант на фалшивия ъпдейт за Opera

Смущаващата новина за пробива в системите на Opera и кражбата на цифров сертификат на компанията вероятно е притеснила не един и двама потребителя на любимия им браузър. И фактът, че с помощта на сертификата са били подписвани стари копия на браузъра не действаща чак толкова успокояващо.

А вчера специалистите от компанията за антивирусна и интернет защита Trend Micro представиха и засечен от тях малуер, в който е използван цифровия сертификат на Opera. Малуер програмата е прикрита, като браузър ъпдейт за Opera. Компанията даже е определила и вирусна дефиниция на файла - TSPY_FAREIT.ACU.

Изглежда, че програмата действа като спайуер. Веднъж инсталиран, TSPY_FAREIT.ACU краде информация от някои FTP клиенти и файлови мениджъри, в това число потребителски имена, пароли и сървърни имена.

Освен това, TSPY_FAREIT.ACU има способност да събира информация от браузърите, които са инсталирани на системата (в това число Mozilla Firefox, Google Chrome и разбира се Opera). Данните, които краде са логин информация за имейл, социални мрежи, онлайн банкиране и други услуги.

Това не е и първата атака към Opera. Някои от вас може би знаят, че преди по-малко от година - през ноември, киберпрестъпници атакуваха началната страница на сайта на компанията, като интегрираха малуер на portal.opera.com.

Явно е, че нещо става. Зъб ли има някой на симпатичните норвежци, какво, не е ясно засега, но ако се окаже, че двата инцидента са свързани, то наистина значи става нещо доста нередно. Недоумение буди може би също това, че потребителите на Opera са в пъти по-малко от тези на Firefox, Internet Explorer, Safari и Google Chrome и сериозността на атаките може да доведе до различни въпроси, на които само специалистите може би ще дадат отговор. Самият браузър се счита за сигурен и стабилен откъм защита софтуер, а има и потребители на Мрежата, които ползват именно Opera, поради това, че повечето заплахи в Мрежата, които са нацелени в в експлоатирането на уязвимости на конкретен браузър имат за цел Internet Explorer и/или Firefox, но не и Opera.

А иначе след публикуването на новината за пробива в сигурността на сървърните системи на Opera, стартира дискусия между потребителите на браузъра, като се появи и Марк "Tarquin" Уилтън-Джоунс (Mark 'Tarquin' Wilton-Jones) от екипа на Opera, за да внесе малко повече подробности около ситуацията.

Предоставяме ви и някои от въпросите и отговорите. На въпрос: "Откраднат ли е сорс-кода на Opera 12?", Tarquin отговаря отрицателно.

"Засяга ли потребителите на Opera 15? (има се предвид вероятно 12.15)?", на който Tarquin отговаря, че има вероятност за това, тъй като 12.00 ползва същите сървъри за автоъпдейт, като 12.15, но малуерът не е засегнал самата инсталация на браузъра.

"Ако годността на сертификата е изтекла, как може да инсталира малуер? Ще се довери ли текущата ми версия на Opera на стария сертификат?", Tarquin: "Използваният сертификат беше нашия стар сертификат за подписване на софтуера. Така например Opera 12.00 беше подписана с него. Може да свалите файла и да видите валидността на сертификата през Properties, инсталирането на файла работи при всякакви сценарии, макар и сертификатът да е изтекъл. Това нещо се контролира от операционната система, не от нас, но за в бъдеще вероятно ще разработим наша собствена система за проверка на сертификатите на сваляните автоъпдейти, които да допълват механизмите, които се предоставят от операционната система".

"Защо чакахте седмица да съобщите новината?"

Tarquin: "Отне ни известно време да определим измерението мащаба на пробива и да разберем какво всъщност се е случило. Това, което правим е работа по нова версия на браузъра с нов сертификат..."

"Моля, помогнете ми да възстановя доверието си в Opera като софтуерна компания?"

Tarquin: "Макар и няколко хиляди потребители от база от няколко стотин хиляди да не изглежда толкова много, ние гледаме на случая с извънредна сериозност и правим всичко по силите си да ограничим последствията от атаката. Относно потребителите, които са притеснени за присъствието на малуер, вследствие на инцидента, препоръчваме да направите проверка за вируса с някое от антималуер решенията, които откриват въпросната зараза. Колкото и иронично да звучи, инцидентът ни помогна да открием няколко области, в които можем да се подобрим. Области, в които може да направим сигурността си по-добра, като например допълнителна проверка за удостоверяване на сертификата, както бе посочено по-горе".

А тъй като стана въпрос за Trend Micro и те са една от компаниите, които откриват малуер програма, може да пробвате техния безплатен скенер, като го свалите оттук.