19Jul
Este un timp înfricoșător pentru a fi utilizator de Windows. Lenovo a legat HTTPS-adware-ul Superfish, Comodo livrează cu o gaură de securitate chiar mai rea numită PrivDog, iar zeci de alte aplicații precum LavaSoft fac același lucru. Este foarte rău, dar dacă doriți ca sesiunile dvs. criptate de web să fie deturnate doar capul la descărcări CNET sau orice site freeware, deoarece acestea sunt toate pachet adware HTTPS-rupere acum.
Fișierul Superfish a început când cercetătorii au observat că Superfish, inclus pe computerele Lenovo, instalează un certificat rădăcină fals în Windows care în mod esențial deturge toate browserele HTTPS, astfel încât certificatele să pară întotdeauna valide chiar dacă nu sunt, și au făcut-oun mod nesigur că orice scenarist hacker de scenariu ar putea realiza același lucru.
Și apoi instalează un proxy în browser-ul dvs. și forțează toate browserele prin intermediul acestuia, astfel încât să poată introduce anunțuri. Așa e, chiar și atunci când te conectezi la bancă, la site-ul de asigurări de sănătate sau oriunde ar trebui să fii sigur.Și nu ați ști niciodată, pentru că au rupt criptarea Windows pentru a vă afișa anunțuri.
Dar trist, trist faptul că nu sunt singurii care fac asta - adware precum Wajam, Geniusbox, Content Explorer și alții fac totul exact același lucru , instalându-și propriile certificate și forțând toate navigarea( inclusiv sesiuni de navigare criptate HTTPS) pentru a trece prin serverul proxy.Și vă puteți infecta cu acest nonsens doar instalând două dintre primele 10 aplicații pe descărcările CNET.
Linia de jos este că nu mai puteți avea încredere în pictograma de blocare verde în bara de adrese a browserului.Și asta e un lucru înfricoșător, înfricoșător.
Cum funcționează HTTPS-Hijacking Adware și de ce este așa de rău
După cum am arătat mai devreme, dacă faceți o greșeală uriașă de a avea încredere în descărcările CNET, ați putea fi deja infectat cu acest tip de adware. Două dintre cele mai importante zece descărcări de pe CNET( KMPlayer și YTD) îmbină două tipuri diferite de adware de tip HTTPS-deturnare, iar în cercetările noastre am constatat că majoritatea celorlalte site-uri freeware fac același lucru.
Notă: instalatorii sunt atât de complicați și complicați că nu suntem siguri că este tehnic, ci face "gruparea", dar CNET promovează aceste aplicații pe pagina lor de pornire, deci este într-adevăr o chestiune de semantică.Dacă recomandăm oamenilor să descarce ceva care este rău, sunteți la fel de greșit. De asemenea, am descoperit că multe dintre aceste companii adware sunt în mod secret aceleași persoane care folosesc nume diferite de companii.
Bazându-se pe numerele de descărcare din lista de top 10 numai pe descărcările CNET, un milion de persoane sunt infectate în fiecare lună cu adware care le deturnează sesiunile web criptate către bancă sau email sau orice altceva care ar trebui să fie sigur.
Dacă ați făcut greșeli de instalare a KMPlayer și reușiți să ignorați toate celelalte programe crapware, veți primi această fereastră.Și dacă faceți clic accidental Acceptați( sau apăsați tasta greșită) sistemul dvs. va fi pwned.
Dacă ați terminat să descărcați ceva dintr-o sursă și mai sumbră, cum ar fi anunțurile de descărcare din motorul de căutare preferat, veți vedea o listă completă de lucruri care nu sunt bune.Și acum știm că mulți dintre ei vor rupe complet validarea certificatului HTTPS, lăsându-vă complet vulnerabili.
Odată ce te-ai infectat cu oricare dintre aceste lucruri, primul lucru care se întâmplă este că setează sistemul proxy să ruleze printr-un proxy local pe care îl instalează pe computerul tău. Acordați o atenție deosebită elementului "securizat" de mai jos.În acest caz, a fost de la Wajam Internet "Enhancer", dar ar putea fi Superfish sau Geniusbox sau oricare dintre celelalte pe care le-am găsit, toate funcționează la fel.
Când te duci la un site care ar trebui să fie sigur, vei vedea pictograma verde de blocare și totul va arăta perfect normal. Puteți chiar să faceți clic pe blocare pentru a vedea detaliile și va apărea că totul este bine. Utilizați o conexiune securizată și chiar Google Chrome va raporta că sunteți conectat la Google printr-o conexiune securizată. Dar nu esti!
System Alerts LLC nu este un certificat rădăcină reală și de fapt faceți un proxy Man-in-Middle care introduce anunțuri în pagini( și cine știe ce altceva).Ar trebui să le trimiteți prin e-mail toate parolele dvs., ar fi mai ușor.
Odată ce programul adware este instalat și vă proxyază tot traficul, veți începe să vedeți reclame cu adevărat neplăcute peste tot. Aceste anunțuri se afișează pe site-uri securizate, cum ar fi Google, înlocuind anunțurile Google efective, sau apar ca pop-up-uri peste tot, preluând fiecare site.
Majoritatea adware-urilor afișează link-uri "ad" la programe periculoase. Deci, în timp ce adware-ul în sine ar putea fi o provocare legală, ele permit unele lucruri foarte, foarte rele.
Ei realizează acest lucru prin instalarea certificatelor rădăcină falsă în magazinul de certificate Windows și apoi prin proxyarea conexiunilor securizate în timp ce le semnează cu certificatul lor fals.
Dacă vă uitați în panoul de certificate Windows, puteți vedea tot felul de certificate complet valabile. .. dar dacă PC-ul dvs. are un anumit tip de adware instalat, veți vedea lucruri false precum System Alerts, LLC sau Superfish, Wajam,sau zeci de alte falsuri.
Chiar dacă ați fost infectat și apoi ați eliminat produsul rău, certificatele ar putea fi acolo, făcându-vă vulnerabile față de alți hackeri care ar fi putut extrage cheile private. Mulți dintre instalatorii de programe adware nu elimină certificatele atunci când le dezinstalați.
Acestea sunt toate atacurile "Man-in-the-Middle" și iată cum funcționează
Dacă PC-ul dvs. are certificate false false instalate în magazinul de certificate, sunteți acumvulnerabile la atacurile Man-in-Middle. Ce înseamnă asta dacă te conectezi la un hotspot public sau dacă cineva are acces la rețeaua ta sau reușește să spargă ceva în amonte de tine, poate înlocui site-urile legitime cu site-uri false. Acest lucru s-ar putea suna prea mult, dar hackerii au fost capabili să folosească hackeri DNS pe unele dintre cele mai mari site-uri de pe web pentru a ataca utilizatorii la un site fals.
Odată ce sunteți deturnat, pot citi fiecare lucru pe care îl trimiteți unui site privat - parole, informații private, informații despre sănătate, e-mailuri, numere de securitate socială, informații bancare etc. Și niciodată nu veți ști că browser-ul dvs. va spunecă conexiunea ta este sigură.
Aceasta funcționează deoarece criptarea cheii publice necesită atât o cheie publică, cât și o cheie privată.Cheile publice sunt instalate în magazinul de certificate, iar cheia privată ar trebui să fie cunoscută numai pe site-ul pe care îl vizitați. Dar când atacatorii pot să-ți deturneze certificatul rădăcină și să dețină atât cheile publice, cât și cele private, pot face tot ce vor.
În cazul lui Superfish, aceștia au folosit aceeași cheie privată pe fiecare computer care a instalat Superfish, iar în câteva ore cercetătorii în domeniul securității au putut extrage cheile private și creau site-uri web pentru a testa dacă sunteți vulnerabil și pentru a dovedi căar putea fi deturnat. Pentru butoanele Wajam și Geniusbox, tastele sunt diferite, dar Content Explorer și alte adware utilizează de asemenea aceleași chei peste tot ceea ce înseamnă că această problemă nu este unică pentru Superfish.
Devine mai rau: Majoritatea acestui rahat dezactiveaza autentificarea HTTPS in intregime
Doar ieri, cercetatorii de securitate au descoperit o problema si mai mare: Toti acei proxy-uri HTTPS dezactiveaza validarea in timp ce face ca totul sa para foarte bine.
Aceasta înseamnă că puteți accesa un site HTTPS care are un certificat complet nevalid, iar acest adware vă va spune că site-ul este în regulă.Am testat adware-ul pe care l-am menționat mai devreme și toate dezactivează în întregime validarea HTTPS, deci nu contează dacă cheile private sunt unice sau nu.Șocant rău!
Oricine are instalat un adware este vulnerabil la tot felul de atacuri și, în multe cazuri, continuă să fie vulnerabil chiar și atunci când adware-ul este eliminat.
Puteți verifica dacă sunteți vulnerabil la verificarea certificatelor Superfish, Komodia sau a unui certificat nevalid utilizând site-ul testat creat de cercetătorii de securitate, dar după cum am demonstrat deja, există mult mai mult adware acolo făcând același lucru și dincercetarea, lucrurile vor continua să se înrăutățească.
Protejați-vă: Verificați panoul Certificări și ștergeți înregistrările greșite
Dacă vă faceți griji, ar trebui să verificați magazinul de certificate pentru a vă asigura că nu aveți instalate niciun certificat schematic care ar putea fi ulterior activat de serverul proxy al unei persoane. Acest lucru poate fi un pic complicat, deoarece există multe lucruri acolo și majoritatea trebuie să fie acolo. De asemenea, nu avem o listă bună a ceea ce ar trebui și nu ar trebui să fie acolo.
Utilizați WIN + R pentru a trage în sus dialogul Executare, apoi tastați "mmc" pentru a extrage fereastra Consolei Microsoft Management. Apoi, utilizați fișierul - & gt;Adăugați / eliminați modulele Snap-in și selectați Certificate din lista din stânga și apoi adăugați-o în partea dreaptă.Asigurați-vă că ați selectat contul Computer în următorul dialog, apoi faceți clic pe restul.
Veți dori să meargă la Autoritățile de certificare rădăcină de încredere și căutați pentru intrările într-adevăr, cum ar fi schematice oricare dintre acestea( sau ceva similar cu acestea)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler este un instrument legitim de dezvoltator, dar malware-ul a deturnat cert lor)
- System Alerts, LLC
- CE_UmbrellaCert
Faceți clic dreapta și Ștergeți oricare dintre intrările pe care le găsiți. Dacă ați văzut ceva incorect când ați testat Google în browserul dvs., asigurați-vă că îl ștergeți și pe acesta. Fii atent, pentru că dacă ștergi lucrurile greșite aici, vei sparge Windows.
Sperăm că Microsoft va lansa ceva pentru a vă verifica certificatele de bază și pentru a vă asigura că sunt doar bune. Teoretic, ai putea folosi această listă de la Microsoft pentru certificatele cerute de Windows și apoi să actualizezi cele mai recente certificate rădăcinoase, dar acest lucru este complet netestat în acest moment și într-adevăr nu recomandăm până când cineva testează acest lucru.
Apoi, va trebui să deschideți browserul web și să găsiți certificatele care sunt probabil stocate acolo. Pentru Google Chrome, accesați Setări, Setări avansate și apoi Gestionați certificatele. Sub Personal, poți să dai ușor clic pe butonul Eliminați pe orice certificat rău. ..
Dar când te duci la autoritățile de certificare a certificatelor de încredere, trebuie să faceți clic pe Avansat și apoi să debifați tot ceea ce vedeți pentru a nu mai acorda permisiuni pentru acel certificat. ..
Dar asta e nebunie.
Accesați partea de jos a ferestrei Setări avansate și dați clic pe Resetați setările pentru a reseta complet pe Chrome la valorile implicite. Faceți același lucru pentru orice alt browser pe care îl utilizați sau dezinstalați complet, ștergeți toate setările și apoi instalați-l din nou.
Dacă calculatorul dvs. a fost afectat, probabil că sunteți mai bine să faceți o instalare complet curată a Windows. Doar asigurați-vă că ați făcut copii de rezervă pentru documente și poze și pentru toate acestea.
Deci, cum vă protejați?
Este aproape imposibil să vă protejați complet, dar aici sunt câteva linii directoare pentru a vă ajuta:
- Verificați site-ul de testare a validării Superfish / Komodia / Certification.
- Activați funcția Click-To-Play pentru pluginurile din browserul dvs., ceea ce vă va ajuta să vă protejați de toate acele găuri de siguranță Flash și alte plugin-uri de securitate existente.
- Fii cu adevărat atent la ceea ce descarci și încearcă să folosești Ninite când trebuie absolut.
- Fiți atenți la ceea ce faceți clic pe orice faceți clic.
- Luați în considerare utilizarea instrumentelor Microsoft Enhanced Mitigation Experience Toolkit( EMET) sau Malwarebytes Anti-Exploit pentru a vă proteja browserul și alte aplicații critice de găurile de securitate și atacurile de zi zero.
- Asigurați-vă că toate programele software, plug-in-urile și programele anti-virus sunt actualizate și include și actualizările Windows.
Dar este o grămadă de muncă pentru că dorești doar să navighezi pe web fără a fi deturnat. E ca și cum ai face cu TSA.
Ecosistemul Windows este o cavalcadă de crapware.Și acum securitatea fundamentală a Internetului este întreruptă pentru utilizatorii Windows. Microsoft trebuie să repare acest lucru.