19Jul
Det er en skummelt tid å være en Windows-bruker. Lenovo var bundling HTTPS-hijacking Superfish-adware, Comodo-skip med et enda verre sikkerhetshull som heter PrivDog, og dusinvis av andre programmer som LavaSoft gjør det samme. Det er veldig ille, men hvis du vil at dine krypterte web-økter skal kapres, bare hodet til CNET-nedlastinger eller et hvilket som helst freeware-nettsted, fordi de alle sammen binder HTTPS-breaking adware nå.
Superfish-fiaskoen startet da forskerne la merke til at Superfish, som ble samlet på Lenovo-datamaskiner, installerte et falskt rotcertifikat i Windows som i det hele tatt hijacker all HTTPS-surfing slik at sertifikatene alltid ser gyldige ut, selv om de ikke er, og de gjorde det i slikeen usikker måte at et hvilket som helst skriptkiddie hacker kunne oppnå det samme.
Og så installerer de en proxy i nettleseren din og tvinger all surfing gjennom det, slik at de kan sette inn annonser. Det er riktig, selv når du kobler deg til din bank eller helseforsikringsside, eller hvor som helst som skal være sikkert. Og du ville aldri vite, fordi de brøt Windows-kryptering for å vise deg annonser.
Men det triste faktum er at de ikke er de eneste som gjør dette - -adware som Wajam, Geniusbox, Content Explorer og andre gjør det samme, , installerer egne sertifikater og tvinger all surfinginkludert HTTPS krypterte nettleser) for å gå gjennom proxy-serveren. Og du kan bli smittet med denne tullet ved å installere to av de 10 beste appene på CNET-nedlastinger.
Bunnlinjen er at du ikke lenger kan stole på det grønne låsikonet i nettleserens adressefelt. Og det er en skummelt, skummelt ting.
Hvordan HTTPS-Hijacking Adware fungerer, og hvorfor det er så ille
Som vi tidligere har vist, hvis du gjør den enorme gigantiske feilen ved å stole på CNET-nedlastinger, kan du allerede være infisert med denne typen adware. To av de ti siste nedlastingene på CNET( KMPlayer og YTD) bunter sammen to forskjellige typer HTTPS-hijacking adware , og i vår forskning fant vi ut at de fleste andre freeware-nettsteder gjør det samme.
Merk: installatørene er så vanskelige og innviklede at vi ikke er sikker på hvem som teknisk sett gjør "bundling", men CNET er å markedsføre disse appene på deres hjemmeside, så det er egentlig et spørsmål om semantikk. Hvis du anbefaler at folk laster ned noe som er dårlig, er du like feil. Vi har også funnet ut at mange av disse adware-selskapene er hemmelig de samme som bruker forskjellige firmanavn.
Basert på nedlastingsnumrene fra topp 10-listen på CNET-nedlastinger alene, blir en million mennesker smittet hver måned med adware som kapsler deres krypterte websesseringer til banken deres, e-post eller noe som skal være sikkert.
Hvis du gjorde feilen med å installere KMPlayer, og du klarer å ignorere alle de andre crapwareene, blir du presentert med dette vinduet. Og hvis du ved et uhell klikker Accept( eller klikker feil tast) blir systemet ditt pwned.
Hvis du endte med å laste ned noe fra en enda mer sketchy kilde, som nedlastingsannonsene i din favoritt søkemotor, ser du en hel liste med ting som ikke er bra. Og nå vet vi at mange av dem kommer til å helt bryte HTTPS sertifikat validering, slik at du er helt sårbar.
Når du blir smittet med noen av disse tingene, er det første som skjer ved at det setter systemproxyen din til å kjøre gjennom en lokal proxy som den installerer på datamaskinen. Vær særlig oppmerksom på "Sikkert" elementet nedenfor. I dette tilfellet var det fra Wajam Internet "Enhancer", men det kan være Superfish eller Geniusbox eller noen av de andre som vi har funnet, de jobber på samme måte.
Når du går til et nettsted som skal være sikkert, ser du det grønne låsikonet, og alt ser perfekt ut. Du kan til og med klikke på låsen for å se detaljene, og det vil se ut som alt er bra. Du bruker en sikker tilkobling, og selv Google Chrome vil rapportere at du er koblet til Google med en sikker tilkobling. Men du er ikke!
System Alerts LLC er ikke et ekte rotsertifikat, og du går faktisk gjennom en proxy-server som setter inn annonser i sider( og hvem vet hva som er mer).Du bør bare sende dem alle passordene dine, det ville være lettere.
Når adware er installert og proxying all din trafikk, vil du begynne å se veldig motbydelige annonser over alt. Disse annonsene vises på sikre nettsteder, som Google, erstatter de faktiske Google-annonsene, eller de vises som popup-filer overalt, og overtar hvert nettsted.
Det meste av denne adware viser "annonse" -koblinger til direkte malware. Så selv om adware i seg selv kan være en juridisk gener, aktiverer de noen virkelig, virkelig dårlige ting.
De oppnår dette ved å installere sine falske rotsertifikater i Windows-sertifikatbutikken og deretter proxying de sikre tilkoblingene mens de signerer dem med sitt falske sertifikat.
Hvis du ser på Windows-sertifikatpanelet, kan du se alle slags helt gyldige sertifikater. .. men hvis din PC har noen type adware installert, kommer du til å se falske ting som System Alerts, LLC eller Superfish, Wajam,eller dusinvis av andre feil.
Selv om du har blitt smittet og fjernet skadedelen, kan sertifikatene fortsatt være der, noe som gjør deg sårbar mot andre hackere som kan ha hentet private nøkler. Mange av adware-installatørene fjerner ikke sertifikatene når du avinstallerer dem.
De er alle menneske-i-mellomangrep og hvordan fungerer de
Hvis din PC har falske rotsertifikater installert i sertifikatbutikken, er du nåsårbar overfor Man-in-the-Middle angrep. Hva dette betyr er at hvis du kobler til et offentlig hotspot, eller noen får tilgang til nettverket ditt, eller klarer å hacke noe oppstrøms fra deg, kan de erstatte legitime nettsteder med falske nettsteder. Dette kan høres langt, men hackere har vært i stand til å bruke DNS-hijacker på noen av de største nettstedene på nettet for å kapre brukere til et falskt nettsted.
Når du har blitt kapret, kan de lese alt som du sender til et privat nettsted - passord, privat informasjon, helseinformasjon, e-post, personnummer, bankinformasjon, etc. Og du vet aldri fordi nettleseren din vil fortelledeg at din tilkobling er sikker.
Dette fungerer fordi offentlig nøkkelkryptering krever både en offentlig nøkkel og en privat nøkkel. Offentlige nøkler er installert i sertifikatbutikken, og den private nøkkelen skal bare være kjent av nettstedet du besøker. Men når angripere kan kapre rotsertifikatet og holde både offentlige og private nøkler, kan de gjøre alt de vil.
I tilfelle av Superfish brukte de samme private nøkkel på alle datamaskiner som har Superfish installert, og innen få timer kunne sikkerhetsforskere trekke ut private nøkler og opprette nettsteder for å teste om du er sårbar og bevise at dukan bli kapret. For Wajam og Geniusbox er nøklene forskjellige, men Content Explorer og en annen adware bruker også de samme nøklene overalt, noe som betyr at dette problemet ikke er unikt for Superfish.
Det blir verre: Det meste av denne crap deaktiverer HTTPS-validering helt
I går oppdaget sikkerhetsforskere et enda større problem: Alle disse HTTPS-proxyene deaktiverer alle valideringer mens det ser ut som alt er bra.
Det betyr at du kan gå til et HTTPS-nettsted som har et helt ugyldig sertifikat, og denne adware forteller deg at nettstedet er bra. Vi testet adware som vi nevnte tidligere, og de deaktiverer helt HTTPS-validering helt, så det spiller ingen rolle om private nøkler er unike eller ikke. Sjokkerende dårlig!
Alle som har installert adware, er sårbare for alle slags angrep, og i mange tilfeller fortsetter å være sårbare, selv når adware er fjernet.
Du kan sjekke om du er sårbar overfor Superfish, Komodia eller ugyldig sertifikatkontroll ved hjelp av teststedet som er opprettet av sikkerhetsforskere, men som vi allerede har demonstrert, er det mye mer adware der ute som gjør det samme, og fra vårforskning, ting kommer til å fortsette å bli verre.
Beskytt deg selv: Kontroller sertifikatpanelet og slett dårlige poster
Hvis du er bekymret, bør du sjekke sertifikatbutikken din for å forsikre deg om at du ikke har noen sketchy sertifikater installert som senere kan aktiveres av en persons proxy-server. Dette kan være litt komplisert, fordi det er mange ting der inne, og det meste skal være der. Vi har heller ikke en god liste over hva som burde og burde ikke være der.
Bruk WIN + R for å trekke opp Run-dialogboksen, og skriv deretter "mmc" for å trekke opp et Microsoft Management Console-vindu. Bruk deretter File - & gt;Legg til / fjern Snap-ins og velg Sertifikater fra listen til venstre, og legg den til høyre. Pass på å velge Computer-konto i neste dialog, og klikk deretter resten.
Du vil gå til Trusted Root Certification Authorities og se etter virkelig sketchy oppføringer som noen av disse( eller noe som ligner på disse)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEhans
- DO_NOT_TRUSTFiddler_root( Fiddler er et legitimt utviklerverktøy, men malware har kapret sitt cert)
- System Alerts, LLC
- CE_UmbrellaCert
Høyreklikk og Slett noen av de oppføringene du finner. Hvis du så noe feil når du testet Google i nettleseren din, må du også slette den. Bare vær forsiktig, fordi hvis du sletter feil ting her, kommer du til å bryte Windows.
Vi håper at Microsoft slipper ut noe for å sjekke rotsertifikatene dine og sørge for at bare gode er der. Teoretisk kan du bruke denne listen fra Microsoft av sertifikatene som kreves av Windows, og deretter oppdatere til de nyeste rotsertifikatene, men det er helt untested på dette punktet, og vi anbefaler ikke det før noen tester dette ut.
Deretter må du åpne nettleseren din og finne sertifikatene som trolig er cached der. For Google Chrome, gå til Innstillinger, Avanserte innstillinger og deretter Behandle sertifikater. Under Personlig kan du enkelt klikke på Fjern-knappen på eventuelle dårlige sertifikater. ..
Men når du går til Trusted Root Certification Authorities, må du klikke på Avansert og deretter fjerne merket for alt du ser for å slutte å gi tillatelser til sertifikatet. ..
Men det er galskap.
Gå til bunnen av vinduet Avanserte innstillinger og klikk på Tilbakestill innstillinger for å nullstille Chrome til standard. Gjør det samme for hvilken annen nettleser du bruker, eller helt avinstaller, slett alle innstillinger, og installer den deretter på nytt.
Hvis datamaskinen din har blitt påvirket, er du sannsynligvis bedre å gjøre en helt ren installasjon av Windows. Bare vær sikker på å sikkerhetskopiere dokumenter og bilder og alt dette.
Så hvordan beskytter du deg selv?
Det er nesten umulig å beskytte deg selv, men her er noen retningslinjer for felles sans for å hjelpe deg:
- Sjekk Superfish / Komodia / Certification validering test nettstedet.
- Aktiver Klikk for å spille for programtillegg i nettleseren din, som vil beskytte deg mot alle disse nulldagsblitsene og andre plugin-sikkerhetshull som finnes.
- Vær veldig forsiktig med hva du laster ned og prøv å bruke Ninite når du absolutt må.
- Vær oppmerksom på hva du klikker når du klikker.
- Overvei å bruke Microsofts forbedrede verktøylinjeverktøy( EMET) eller Malwarebytes Anti-Exploit å beskytte nettleseren din og andre kritiske applikasjoner fra sikkerhetshull og nulldagsangrep.
- Pass på at all programvare, plugin og anti-virus forblir oppdatert, og det inkluderer også Windows-oppdateringer.
Men det er forferdelig mye arbeid for å bare surfe på nettet uten å bli kapret. Det er som å håndtere TSA.
Windows-økosystemet er en cavalcade av crapware. Og nå er den grunnleggende sikkerheten til Internett ødelagt for Windows-brukere. Microsoft må fikse dette.