19Jul
Es ist eine schreckliche Zeit, ein Windows-Benutzer zu sein. Lenovo hat HTTPS-Hijacking-Superfish-Adware gebündelt, Comodo wird mit einem noch schlechteren Sicherheitsloch namens PrivDog ausgeliefert, Dutzende anderer Apps wie LavaSoft machen dasselbe. Es ist wirklich schlimm, aber wenn Sie möchten, dass Ihre verschlüsselten Web-Sessions entführt werden, gehen Sie einfach zu CNET-Downloads oder einer Freeware-Site, da sie alle HTTPS-brechende Adware jetzt bündeln.
Das Superfish-Fiasko begann, als Forscher feststellten, dass Superfish, gebündelt auf Lenovo-Computern, ein gefälschtes Stammzertifikat in Windows installierte, das im Wesentlichen das gesamte HTTPS-Browsing übernimmt, so dass die Zertifikate immer gültig aussehen, selbst wenn sie es nicht sindeine unsichere Art, wie jeder Script-Kiddie-Hacker das Gleiche erreichen könnte.
Und dann installieren sie einen Proxy in Ihren Browser und erzwingen Ihren gesamten Suchlauf, damit sie Anzeigen einfügen können. Das ist richtig, auch wenn Sie eine Verbindung zu Ihrer Bank oder Krankenversicherungsstelle oder zu einem anderen Ort herstellen, der sicher sein sollte. Und Sie würden es nie erfahren, denn sie haben die Windows-Verschlüsselung gebrochen, um Ihnen Anzeigen zu zeigen.
Aber die traurige, traurige Tatsache ist, dass sie nicht die einzigen sind, die das tun - Adware wie Wajam, Geniusbox, Content Explorer und andere machen genau dasselbe , installieren ihre eigenen Zertifikate und erzwingen all Ihr Browsing( einschließlich HTTPS-verschlüsselter Browsersitzungen), um ihren Proxyserver zu durchlaufen. Und Sie können sich mit diesem Unsinn infizieren, indem Sie einfach zwei der Top 10 Apps auf CNET Downloads installieren.
Im Endeffekt können Sie dem grünen Sperrsymbol in der Adressleiste Ihres Browsers nicht mehr vertrauen. Und das ist eine beängstigende, beängstigende Sache.
Wie HTTPS-Hijacking Adware funktioniert, und warum es so schlecht ist
Wie bereits erwähnt, könnten Sie, wenn Sie den großen gigantischen Fehler machen, CNET-Downloads zu vertrauen, bereits mit dieser Art von Adware infiziert sein. Zwei der Top-Ten-Downloads auf CNET( KMPlayer und YTD) bündeln zwei verschiedene Arten von HTTPS-Hijacking-Adware , und bei unseren Recherchen stellten wir fest, dass die meisten anderen Freeware-Sites dasselbe tun.
Hinweis: Die Installationsprogramme sind so kompliziert und kompliziert, dass wir uns nicht sicher sind, wer technisch "bündeln", aber CNET werbt diese Anwendungen auf ihrer Homepage, es ist also eine Frage der Semantik. Wenn Sie Leuten empfehlen, etwas Schlechtes herunterzuladen, sind Sie gleichermaßen schuld. Wir haben auch festgestellt, dass viele dieser Adware-Unternehmen im Geheimen dieselben Leute sind, die verschiedene Firmennamen verwenden.
Auf der Grundlage der Download-Nummern aus den Top-10-Listen von CNET-Downloads werden jeden Monat eine Million Menschen mit Adware infiziert, die ihre verschlüsselten Websitzungen an ihre Bank oder E-Mail oder etwas, das sicher sein soll, entführt.
Wenn Sie den Fehler gemacht haben, KMPlayer zu installieren, und Sie alle anderen Crapware ignorieren, wird Ihnen dieses Fenster angezeigt. Und wenn Sie versehentlich auf Accept klicken( oder den falschen Schlüssel drücken), wird Ihr System pwned.
Wenn Sie etwas von einer noch kniffeligeren Quelle heruntergeladen haben, wie beispielsweise die Download-Anzeigen in Ihrer bevorzugten Suchmaschine, sehen Sie eine ganze Liste von Dingen, die nicht gut sind. Und jetzt wissen wir, dass viele von ihnen die Validierung des HTTPS-Zertifikats komplett durchbrechen werden, wodurch Sie völlig verwundbar bleiben.
Sobald Sie sich mit einem dieser Dinge infiziert haben, wird Ihr System-Proxy zunächst über einen lokalen Proxy laufen, der auf Ihrem Computer installiert wird. Achten Sie besonders auf den Punkt "Sicher".In diesem Fall war es von Wajam Internet "Enhancer", aber es könnte Superfish oder Geniusbox oder eine der anderen sein, die wir gefunden haben, sie alle funktionieren auf die gleiche Weise.
Wenn Sie zu einer Website gehen, die sicher sein sollte, sehen Sie das grüne Schlosssymbol und alles wird völlig normal aussehen. Sie können sogar auf das Schloss klicken, um die Details zu sehen, und es scheint, dass alles in Ordnung ist. Sie verwenden eine sichere Verbindung und selbst Google Chrome meldet, dass Sie über eine sichere Verbindung mit Google verbunden sind. Aber du bist nicht!
System Alerts LLC ist kein echtes Stammzertifikat und Sie gehen tatsächlich durch einen Man-in-the-Middle-Proxy, der Anzeigen in Seiten einfügt( und wer weiß was noch).Sie sollten ihnen einfach alle Ihre Passwörter mailen, es wäre einfacher.
Sobald die Adware installiert ist und alle Ihre Zugriffe abdeckt, werden Sie anfangen, wirklich anstößige Anzeigen überall zu sehen. Diese Anzeigen werden auf sicheren Websites wie Google angezeigt, ersetzen die eigentlichen Google-Anzeigen oder werden als Popups überall auf der Website angezeigt und übernehmen alle Websites.
Die meisten dieser Adware zeigt "Ad" -Links zu Outright Malware. Während also die Adware selbst eine rechtliche Belästigung sein kann, ermöglichen sie einige wirklich, wirklich schlechte Dinge.
Sie erreichen dies, indem sie ihre gefälschten Stammzertifikate im Windows-Zertifikatspeicher installieren und dann die sicheren Verbindungen unterschreiben, während sie sie mit ihrem gefälschten Zertifikat signieren.
Wenn Sie im Fenster Windows-Zertifikate nachsehen, können Sie alle Arten von vollständig gültigen Zertifikaten sehen. .. aber wenn auf Ihrem PC eine Art von Adware installiert ist, werden Sie gefälschte Dinge wie System Alerts, LLC oder Superfish, Wajam sehen.oder Dutzende anderer Fälschungen.
Selbst wenn Sie infiziert und dann die Badware entfernt haben, sind die Zertifikate möglicherweise noch vorhanden, sodass Sie anfällig für andere Hacker sind, die möglicherweise die privaten Schlüssel extrahiert haben. Viele der Adware-Installer entfernen die Zertifikate nicht, wenn Sie sie deinstallieren.
Sie sind alle Man-in-the-Middle-Angriffe und hier ist, wie sie funktionieren
Wenn Ihr PC gefälschte Stammzertifikate im Zertifikatsspeicher installiert hat, sind Sie jetztanfällig für Man-in-the-Middle-Angriffe. Das heißt, wenn Sie eine Verbindung zu einem öffentlichen Hotspot herstellen oder jemand Zugriff auf Ihr Netzwerk erhält oder etwas vor Ihnen hacken kann, können legitime Websites durch gefälschte Websites ersetzt werden. Das mag weit hergeholt klingen, aber Hacker waren in der Lage, DNS-Hijacks auf einigen der größten Websites im Internet zu nutzen, um Benutzer auf eine gefälschte Website zu entführen.
Sobald Sie entführt wurden, können sie jede einzelne Nachricht lesen, die Sie an eine private Site senden - Passwörter, private Informationen, Gesundheitsinformationen, E-Mails, Sozialversicherungsnummern, Bankinformationen usw. Und Sie werden es nie erfahren, denn Ihr Browser wird es erfahrenSie, dass Ihre Verbindung sicher ist.
Dies funktioniert, weil die Verschlüsselung mit öffentlichen Schlüsseln sowohl einen öffentlichen Schlüssel als auch einen privaten Schlüssel erfordert. Die öffentlichen Schlüssel werden im Zertifikatspeicher installiert, und der private Schlüssel sollte nur von der Website bekannt sein, die Sie besuchen. Aber wenn Angreifer Ihr Root-Zertifikat entführen und sowohl den öffentlichen als auch den privaten Schlüssel speichern können, können sie alles tun, was sie wollen.
Im Fall von Superfish verwendeten sie denselben privaten Schlüssel auf jedem Computer, auf dem Superfish installiert war, und innerhalb weniger Stunden konnten Sicherheitsforscher die privaten Schlüssel extrahieren und Websites erstellen, um zu testen, ob Sie verwundbar sind, und dies beweisenkönnte entführt werden. Für Wajam und Geniusbox sind die Schlüssel unterschiedlich, aber Content Explorer und einige andere Adware verwenden überall dieselben Schlüssel, was bedeutet, dass dieses Problem nicht nur bei Superfish auftritt.
Es wird schlimmer: Der größte Teil dieses Mists deaktiviert die HTTPS-Validierung vollständig
Erst gestern haben Sicherheitsforscher ein noch größeres Problem entdeckt: Alle diese HTTPS-Proxys deaktivieren alle Validierungen, während es aussieht, als ob alles in Ordnung ist.
Das bedeutet, dass Sie auf eine HTTPS-Website gehen können, die ein vollständig ungültiges Zertifikat hat, und diese Adware wird Ihnen sagen, dass die Website in Ordnung ist. Wir haben die Adware getestet, die wir bereits erwähnt haben, und sie deaktivieren die HTTPS-Validierung vollständig, so dass es keine Rolle spielt, ob die privaten Schlüssel eindeutig sind oder nicht. Schockierend schlecht!
Jeder, der Adware installiert hat, ist anfällig für alle Arten von Angriffen und in vielen Fällen weiterhin anfällig, selbst wenn die Adware entfernt wird.
Sie können überprüfen, ob Sie anfällig für Superfish, Komodia oder ungültige Zertifikatsüberprüfung sind, indem Sie die von Sicherheitsforschern erstellte Testwebsite verwenden, aber wie wir bereits gezeigt haben, gibt es noch viel mehr Adware, die das gleiche tutForschung, die Dinge werden weiter schlechter werden.
Schützen Sie sich: Überprüfen Sie die Zertifikate und löschen Sie ungültige Einträge
Wenn Sie sich Sorgen machen, sollten Sie Ihren Zertifikatsspeicher überprüfen, um sicherzustellen, dass keine flüchtigen Zertifikate installiert sind, die später von einem Proxy-Server aktiviert werden könnten. Das kann ein wenig kompliziert sein, weil da eine Menge Zeug drin ist und das meiste davon da sein soll. Wir haben auch keine gute Liste von dem, was sollte und nicht dort sein sollte.
Verwenden Sie WIN + R, um das Dialogfeld Ausführen aufzurufen, und geben Sie dann "mmc" ein, um ein Microsoft Management Console-Fenster aufzurufen. Dann benutze Datei - & gt;Fügen Sie Snap-Ins hinzufügen / entfernen hinzu und wählen Sie Zertifikate aus der Liste auf der linken Seite und fügen Sie sie dann zur rechten Seite hinzu. Wählen Sie im nächsten Dialogfeld Computerkonto und klicken Sie dann auf den Rest.
Sie möchten zu vertrauenswürdigen Stammzertifizierungsstellen gehen und nach wirklich skizzenhaften Einträgen wie diesen( oder irgendetwas Ähnlichem) Ausschau halten
- Sendori
- Purelead
- Rakete Tab
- Super Fisch
- Lookthisup
- Panda
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler ist ein legitimes Entwicklertool, aber Malware hat ihr Zertifikat entwendet)
- System Alerts, LLC
- CE_UmbrellaCert
Klicken Sie mit der rechten Maustaste und löschen Sie alle gefundenen Einträge. Wenn Sie beim Testen von Google in Ihrem Browser etwas falsches gesehen haben, sollten Sie auch dieses löschen. Seien Sie vorsichtig, denn wenn Sie hier die falschen Dinge löschen, werden Sie Windows beschädigen.
Wir hoffen, dass Microsoft etwas veröffentlicht, um Ihre Root-Zertifikate zu überprüfen und sicherzustellen, dass nur gute vorhanden sind. Theoretisch könnten Sie diese Liste von Microsoft für die von Windows benötigten Zertifikate verwenden und dann auf die neuesten Stammzertifikate aktualisieren, aber das ist zu diesem Zeitpunkt noch völlig ungetestet, und wir empfehlen es wirklich nicht, bis jemand dies testet.
Als nächstes müssen Sie Ihren Webbrowser öffnen und die Zertifikate finden, die wahrscheinlich dort zwischengespeichert sind. Wechseln Sie für Google Chrome zu Einstellungen, Erweiterte Einstellungen und dann zu Zertifikaten verwalten. Unter Personal können Sie leicht auf die Schaltfläche Entfernen auf alle fehlerhaften Zertifikate klicken. ..
Wenn Sie jedoch zu vertrauenswürdigen Stammzertifizierungsstellen wechseln, müssen Sie auf Erweitert klicken und dann alle angezeigten Elemente deaktivieren, um keine Berechtigungen mehr für dieses Zertifikat zu erteilen. ..
Aber das ist Wahnsinn.
Gehen Sie zum unteren Bereich des Fensters Erweiterte Einstellungen und klicken Sie auf Einstellungen zurücksetzen, um Chrome vollständig auf die Standardeinstellungen zurückzusetzen. Machen Sie dasselbe für jeden anderen Browser, den Sie verwenden, oder führen Sie die Deinstallation vollständig durch, löschen Sie alle Einstellungen und installieren Sie sie erneut.
Wenn Ihr Computer betroffen ist, ist es wahrscheinlich besser, eine vollständige Neuinstallation von Windows durchzuführen. Stellen Sie sicher, dass Sie Ihre Dokumente und Bilder und all das sichern.
So schützen Sie sich?
Es ist fast unmöglich, sich vollständig zu schützen, aber hier sind ein paar allgemeine Richtlinien, um Ihnen zu helfen:
- Überprüfen Sie die Superfish / Komodia / Certification Validation Test Site.
- Aktivieren Sie Click-To-Play für Plugins in Ihrem Browser, die Sie vor all diesen Zero-Day-Flash- und anderen Plug-in-Sicherheitslücken schützen.
- Seien Sie wirklich vorsichtig, was Sie herunterladen und versuchen Sie, Ninite zu verwenden, wenn Sie unbedingt müssen.
- Achten Sie darauf, auf was Sie klicken, wann immer Sie klicken.
- Ziehen Sie die Verwendung von Microsofts Enhanced Mitigation Experience Toolkit( EMET) oder Malwarebytes Anti-Exploit in Betracht, um Ihren Browser und andere wichtige Anwendungen vor Sicherheitslücken und Zero-Day-Angriffen zu schützen.
- Stellen Sie sicher, dass alle Ihre Software, Plug-Ins und Antivirenprogramme auf dem neuesten Stand sind und dass auch Windows-Updates enthalten sind.
Aber das ist eine Menge Arbeit, nur um im Internet zu surfen, ohne entführt zu werden. Es ist wie mit der TSA zu tun.
Das Windows-Ökosystem ist eine Kavallerie von Crapware. Und jetzt ist die grundlegende Sicherheit des Internets für Windows-Benutzer gebrochen. Microsoft muss das beheben.