19Jul
È un momento spaventoso essere un utente di Windows. Lenovo stava raggruppando adware Superfish per il dirottamento HTTPS, Comodo viene fornito con un buco di sicurezza ancora peggiore chiamato PrivDog, e dozzine di altre app come LavaSoft stanno facendo lo stesso.È davvero brutto, ma se vuoi che le tue sessioni web crittografate vengano dirottate, vai direttamente su CNET Downloads o su qualsiasi sito freeware, perché ora raggruppano tutti gli adware HTTPS.
Il fiasco di Superfish è iniziato quando i ricercatori hanno notato che Superfish, in bundle su computer Lenovo, stava installando un certificato di root falso in Windows che essenzialmente dirotta tutta la navigazione HTTPS in modo che i certificati sembrino sempre validi anche se non lo sono, e lo hanno fatto in taleun modo insicuro che qualsiasi script kiddie hacker potrebbe realizzare la stessa cosa.
E poi stanno installando un proxy nel tuo browser e forzando tutta la tua navigazione attraverso di esso in modo che possano inserire annunci. Esatto, anche quando ti connetti alla tua banca, al tuo sito di assicurazione sanitaria o ovunque dovresti essere sicuro. E non lo sapresti mai, perché hanno infranto la crittografia di Windows per mostrarti pubblicità.
Ma il triste fatto triste è che non sono gli unici a farlo - adware come Wajam, Geniusbox, Content Explorer, e altri stanno facendo esattamente la stessa cosa , installando i propri certificati e forzando tutta la tua navigazione( incluse le sessioni di navigazione crittografate HTTPS) per passare attraverso il loro server proxy. E puoi essere contagiato da queste sciocchezze semplicemente installando due delle 10 app migliori su CNET Downloads.
La linea di fondo è che non ci si può più fidare dell'icona del lucchetto verde nella barra degli indirizzi del browser. E questa è una cosa spaventosa e spaventosa.
Come funziona l'HTTPS-Hijacking e perché è così brutto
Come abbiamo dimostrato in precedenza, se si commette l'enorme gigantesco errore di fidarsi di download CNET, si potrebbe già essere infettati da questo tipo di adware. Due dei primi dieci download su CNET( KMPlayer e YTD) stanno raggruppando due diversi tipi di adware HTDPS per hijack , e nella nostra ricerca abbiamo scoperto che la maggior parte degli altri siti freeware sta facendo la stessa cosa.
Nota: gli installer sono così complicati e complicati che non siamo sicuri di chi sia tecnicamente a fare il "bundling", ma CNET sta promuovendo queste app sulla loro home page, quindi è davvero una questione di semantica. Se stai raccomandando che le persone scarichino qualcosa di negativo, sei ugualmente in errore. Abbiamo anche scoperto che molte di queste aziende adware sono segretamente le stesse persone che utilizzano nomi di società diversi.
Sulla base dei numeri di download della top 10 dei download CNET da soli, un milione di persone vengono infettate ogni mese con adware che sta rubando le loro sessioni web crittografate alla propria banca, o posta elettronica, o qualsiasi cosa che dovrebbe essere sicura.
Se hai commesso l'errore di installare KMPlayer e riesci a ignorare tutti gli altri crapware, ti verrà presentata questa finestra. E se accidentalmente fai clic su Accetta( o premi la chiave sbagliata) il tuo sistema verrà bloccato. I siti di download
Se hai finito per scaricare qualcosa da una fonte ancora più imprecisa, come gli annunci di download nel tuo motore di ricerca preferito, vedrai un'intera lista di cose che non sono buone. E ora sappiamo che molti di loro interromperanno completamente la convalida del certificato HTTPS, lasciandoti completamente vulnerabile.
Una volta che vieni infettato da una di queste cose, la prima cosa che succede è che imposta il proxy di sistema per l'esecuzione attraverso un proxy locale che installa sul tuo computer. Prestare particolare attenzione all'elemento "Sicuro" di seguito. In questo caso è stato da Wajam Internet "Enhancer", ma potrebbe essere Superfish o Geniusbox o uno degli altri che abbiamo trovato, funzionano tutti allo stesso modo.
Quando vai su un sito che dovrebbe essere sicuro, vedrai l'icona del lucchetto verde e tutto apparirà perfettamente normale. Puoi anche cliccare sul lucchetto per vedere i dettagli, e sembrerà che tutto vada bene. Stai utilizzando una connessione sicura e persino Google Chrome ti comunicherà che sei connesso a Google con una connessione sicura. Ma tu non lo sei!
System Alert LLC non è un vero certificato di root e si sta effettivamente passando attraverso un proxy Man-in-the-Middle che sta inserendo annunci nelle pagine( e chissà cos'altro).Dovresti semplicemente mandare loro via email tutte le tue password, sarebbe più facile. Avviso sistema
Una volta installato l'adware e trasmesso tutto il traffico, inizierai a vedere annunci davvero odiosi ovunque. Questi annunci vengono visualizzati su siti protetti, come Google, sostituiscono gli annunci Google effettivi o vengono visualizzati come popup in tutto il luogo, rilevando ogni sito.
La maggior parte di questo adware mostra collegamenti "ad" al vero e proprio malware. Quindi, mentre l'adware stesso potrebbe essere un fastidio legale, abilitano alcune cose davvero, veramente brutte.
Eseguono ciò installando i loro falsi certificati root nell'archivio certificati di Windows e quindi eseguendo il proxy delle connessioni sicure durante la firma con il loro certificato falso.
Se guardi nel pannello Certificati di Windows, puoi vedere tutti i tipi di certificati completamente validi. .. ma se sul tuo PC è installato qualche tipo di adware, vedrai cose false come System Alert, LLC o Superfish, Wajam,o dozzine di altri falsi.
Anche se sei stato infettato e quindi rimosso il badware, i certificati potrebbero ancora essere lì, rendendoti vulnerabile ad altri hacker che potrebbero aver estratto le chiavi private. Molti dei programmi di installazione di adware non rimuovono i certificati quando li si disinstalla.
Sono tutti attacchi man-in-the-middle ed ecco come funzionano
Se il tuo PC ha certificati radice falsi installati nell'archivio certificati, sei oravulnerabile agli attacchi Man-in-the-Middle. Ciò significa che se ti connetti a un hotspot pubblico o se qualcuno accede alla tua rete o se riesce a violare qualcosa a monte, puoi sostituire siti legittimi con siti falsi. Questo potrebbe sembrare inverosimile, ma gli hacker sono stati in grado di utilizzare i dirottamenti DNS su alcuni dei più grandi siti sul web per dirottare gli utenti su un sito falso.
Una volta dirottato, possono leggere ogni singola cosa inviata a un sito privato: password, informazioni private, informazioni sulla salute, e-mail, numeri di previdenza sociale, informazioni bancarie, ecc. E non lo saprai mai perché il tuo browser diràtu che la tua connessione è sicura.
Funziona perché la crittografia a chiave pubblica richiede sia una chiave pubblica che una chiave privata. Le chiavi pubbliche sono installate nell'archivio certificati e la chiave privata deve essere conosciuta solo dal sito Web che stai visitando. Ma quando gli aggressori possono dirottare il tuo certificato di root e contenere sia le chiavi pubbliche che quelle private, possono fare tutto ciò che vogliono.
Nel caso di Superfish, hanno usato la stessa chiave privata su ogni computer su cui è installato Superfish, e in poche ore i ricercatori della sicurezza sono stati in grado di estrarre le chiavi private e creare siti Web per testare se sei vulnerabile e provare che tupotrebbe essere dirottatoPer Wajam e Geniusbox, le chiavi sono diverse, ma Content Explorer e altri adware utilizzano anche le stesse chiavi ovunque, il che significa che questo problema non è esclusivo di Superfish.
peggiora: la maggior parte di questa crap disabilita la convalida HTTPS Interamente
Proprio ieri i ricercatori di sicurezza hanno scoperto un problema ancora più grande: tutti questi proxy HTTPS disattivano tutte le convalide facendolo apparire come se tutto andasse bene.
Ciò significa che puoi visitare un sito Web HTTPS con un certificato completamente non valido e questo adware ti dirà che il sito è perfetto. Abbiamo testato l'adware che abbiamo menzionato in precedenza e stanno disabilitando completamente la convalida HTTPS, quindi non importa se le chiavi private sono uniche o meno. Incredibilmente cattivo!
Chiunque abbia installato adware è vulnerabile a tutti i tipi di attacchi e in molti casi continua a essere vulnerabile anche quando viene rimosso l'adware.
È possibile verificare se si è vulnerabili a Superfish, Komodia o al controllo di certificati non validi utilizzando il sito di test creato dai ricercatori di sicurezza, ma come abbiamo già dimostrato, c'è molto più adware là fuori che fa la stessa cosa, e dal nostroricerca, le cose continueranno a peggiorare.
Proteggi te stesso: controlla il pannello Certificati ed elimina le voci errate
Se sei preoccupato, dovresti controllare l'archivio dei certificati per assicurarti che non siano installati certificati imprecisi che potrebbero essere successivamente attivati dal server proxy di qualcuno. Questo può essere un po 'complicato, perché ci sono molte cose lì dentro e la maggior parte dovrebbe essere lì.Inoltre, non abbiamo una buona lista di cosa dovrebbe e non dovrebbe esserci.
Utilizzare WIN + R per visualizzare la finestra di dialogo Esegui, quindi digitare "mmc" per visualizzare una finestra di Microsoft Management Console. Quindi usa File - & gt;Aggiungi / Rimuovi snap-in e seleziona Certificati dall'elenco a sinistra, quindi aggiungilo sul lato destro. Assicurati di selezionare Account computer nella finestra di dialogo successiva, quindi fai clic sul resto.
Vorrete andare alle Autorità di certificazione radice attendibili e cercare voci veramente schematiche come queste( o qualcosa di simile a queste)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler è uno strumento di sviluppo legittimo ma il malware ha dirottato il loro cert)
- System Alerts, LLC
- CE_UmbrellaCert
Fare clic con il tasto destro del mouse ed eliminare una qualsiasi di quelle voci che trovi. Se hai visto qualcosa di non corretto quando hai provato Google nel tuo browser, assicurati di eliminarlo anche tu. Fai attenzione, perché se elimini qui le cose sbagliate, interromperai Windows.
Speriamo che Microsoft rilasci qualcosa per verificare i certificati di root e assicurarsi che ci siano solo quelli buoni. In teoria è possibile utilizzare questo elenco di Microsoft dei certificati richiesti da Windows e quindi eseguire l'aggiornamento ai certificati radice più recenti, ma a questo punto non è stato ancora testato e non lo consigliamo a tutti fino a quando qualcuno non lo verificherà.
Successivamente, è necessario aprire il browser Web e trovare i certificati che sono probabilmente memorizzati nella cache. Per Google Chrome, vai su Impostazioni, Impostazioni avanzate, quindi su Gestisci certificati. In Personal, puoi facilmente fare clic sul pulsante Rimuovi su tutti i certificati errati. ..
Ma quando vai su Autorità di certificazione radice attendibili, dovrai fare clic su Avanzate e deselezionare tutto ciò che vedi smettere di dare le autorizzazioni a quel certificato. ..
Ma questa è follia.
Vai in fondo alla finestra Impostazioni avanzate e fai clic su Ripristina impostazioni per ripristinare completamente i valori predefiniti di Chrome. Fai lo stesso per qualsiasi altro browser che stai usando, o disinstallalo completamente, cancellando tutte le impostazioni, quindi installalo di nuovo.
Se il tuo computer è stato colpito, probabilmente stai meglio facendo un'installazione completamente pulita di Windows. Assicurati di fare il backup dei tuoi documenti e immagini e tutto il resto.
Quindi, come ti proteggi?
È quasi impossibile proteggerti completamente, ma ecco alcune linee guida di buon senso per aiutarti:
- Controlla il sito di test di validazione Superfish / Komodia / Certification.
- Abilita Click-To-Play per i plug-in del tuo browser, che ti aiuteranno a proteggerti da tutti quei buchi di sicurezza zero-day e altri plugin di sicurezza che ci sono.
- Stai molto attento a ciò che scarichi e prova ad usare Ninite quando devi assolutamente.
- Prestare attenzione a ciò che si sta facendo clic ogni volta che si fa clic.
- Considerare l'utilizzo del Enhanced Mitigation Experience Toolkit( EMET) di Microsoft o di Malwarebytes Anti-Exploit per proteggere il browser e altre applicazioni critiche da falle nella sicurezza e attacchi zero-day.
- Assicurarsi che tutto il software, i plug-in e gli anti-virus rimangano aggiornati e che includano anche gli aggiornamenti di Windows.
Ma è un sacco di lavoro per voler solo navigare sul web senza essere dirottato.È come trattare con la TSA.
L'ecosistema Windows è una cavalcata di crapware. E ora la sicurezza fondamentale di Internet è rotta per gli utenti di Windows. Microsoft ha bisogno di risolvere questo problema.