19Jul
Ini adalah saat yang menakutkan untuk menjadi pengguna Windows. Lenovo mengumpan adware Superfish HTTPS-pembajakan, kapal Comodo dengan lubang keamanan yang lebih buruk lagi yang disebut PrivDog, dan lusinan aplikasi lain seperti LavaSoft melakukan hal yang sama. Ini benar-benar buruk, tapi jika Anda ingin sesi web terenkripsi Anda dibajak hanya masuk ke CNET Downloads atau situs freeware manapun, karena semuanya bundel HTTPS-breaking adware sekarang.
Kegagalan Superfish dimulai saat para periset memperhatikan bahwa Superfish, yang dibundel di komputer Lenovo, telah menginstal sertifikat akar palsu ke Windows yang pada dasarnya membajak semua penjelajahan HTTPS sehingga sertifikat tersebut selalu terlihat valid walaupun tidak, dan mereka melakukannya dengan cara yang sama.cara yang tidak aman bahwa script kiddie hacker bisa mencapai hal yang sama.
Dan kemudian mereka memasang proxy ke browser Anda dan memaksa semua penjelajahan Anda melaluinya sehingga mereka dapat menyisipkan iklan. Itu benar, bahkan saat Anda terhubung ke bank Anda, atau situs asuransi kesehatan, atau di mana pun yang seharusnya aman. Dan Anda tidak akan pernah tahu, karena mereka memecahkan enkripsi Windows untuk menunjukkan iklan kepada Anda. Namun, fakta menyedihkan dan menyedihkan adalah bahwa mereka bukan satu-satunya yang melakukan hal ini - adware
seperti Wajam, Geniusbox, Content Explorer, dan lainnya semua melakukan hal yang sama persis dengan , memasang sertifikat mereka sendiri dan memaksa semua penjelajahan Andatermasuk sesi penjelajahan HTTPS yang dienkripsi) untuk melalui server proxy mereka. Dan Anda bisa terinfeksi dengan omong kosong ini hanya dengan memasang dua dari 10 aplikasi teratas di Download CNET.Intinya adalah Anda tidak dapat lagi mempercayai ikon kunci hijau di bilah alamat browser Anda. Dan itu menakutkan, menakutkan.
Bagaimana HTTPS-Pembajakan Adware Bekerja, dan Mengapa Begitu Buruknya
Seperti yang telah kami tunjukkan sebelumnya, jika Anda membuat kesalahan besar yang besar tentang mempercayai CNET Downloads, Anda mungkin sudah terinfeksi jenis adware ini. Dua dari sepuluh unduhan teratas di CNET( KMPlayer dan YTD) mengelompokkan dua jenis adware pertarungan HTTPS-, dan dalam penelitian kami, kami menemukan bahwa sebagian besar situs freeware lainnya melakukan hal yang sama.
Catatan: installer sangat rumit dan rumit sehingga kami tidak yakin siapakah secara teknis melakukan "bundling", namun CNET mempromosikan aplikasi ini di beranda mereka, jadi ini masalah semantik. Jika Anda merekomendasikan agar orang mendownload sesuatu yang buruk, Anda sama salahnya. Kami juga menemukan bahwa banyak dari perusahaan adware ini diam-diam sama menggunakan nama perusahaan yang berbeda.
Berdasarkan nomor unduhan dari daftar 10 teratas di Download CNET saja, satu juta orang terinfeksi setiap bulan dengan adware yang membajak sesi web terenkripsi mereka ke bank, atau email mereka, atau apapun yang seharusnya aman.
Jika Anda membuat kesalahan dengan menginstal KMPlayer, dan Anda berhasil mengabaikan semua barang dagangan lainnya, Anda akan disajikan dengan jendela ini. Dan jika Anda secara tidak sengaja mengklik Accept( atau menekan tombol yang salah) sistem Anda akan dipajang. Situs Download
Jika Anda akhirnya mendownload sesuatu dari sumber yang lebih samar, seperti mendownload iklan di mesin pencari favorit Anda, Anda akan melihat keseluruhan daftar barang yang tidak bagus. Dan sekarang kita tahu bahwa banyak dari mereka akan benar-benar melanggar validasi sertifikat HTTPS, sehingga Anda benar-benar rentan.
Begitu Anda berhasil terinfeksi salah satu dari hal-hal ini, hal pertama yang terjadi adalah menetapkan proxy sistem Anda untuk menjalankan proxy lokal yang dipasang di komputer Anda. Perhatikan item "Aman" di bawah ini. Dalam kasus ini dari Wajam Internet "Enhancer," tapi bisa juga Superfish atau Geniusbox atau yang lain yang telah kami temukan, mereka semua bekerja dengan cara yang sama.
Saat Anda pergi ke situs yang seharusnya aman, Anda akan melihat ikon kunci hijau dan semuanya akan terlihat normal. Anda bahkan bisa mengklik kunci untuk melihat rinciannya, dan akan terlihat semuanya baik-baik saja. Anda menggunakan koneksi yang aman, dan bahkan Google Chrome akan melaporkan bahwa Anda terhubung ke Google dengan koneksi yang aman. Tapi Anda tidak!
System Alerts LLC bukanlah sertifikat akar nyata dan Anda benar-benar akan melalui proxy Man-in-the-Middle yang memasukkan iklan ke dalam halaman( dan entah apa lagi).Sebaiknya kirimi mereka semua kata kunci Anda, itu akan lebih mudah. Peringatan Sistem
Setelah adware dipasang dan mengatur semua lalu lintas Anda, Anda akan mulai melihat iklan yang sangat menyebalkan di semua tempat. Iklan ini ditampilkan di situs yang aman, seperti Google, menggantikan iklan Google yang sebenarnya, atau muncul sebagai munculan di semua tempat, mengambil alih setiap situs.
Sebagian besar adware ini menunjukkan tautan "iklan" ke perangkat lunak jahat langsung. Jadi sementara adware itu sendiri mungkin merupakan gangguan hukum, mereka memungkinkan beberapa hal yang benar-benar buruk.
Mereka melakukannya dengan menginstal sertifikat root palsu mereka ke dalam toko sertifikat Windows dan kemudian proxy koneksi aman saat menandatangani mereka dengan sertifikat palsu mereka.
Jika Anda melihat di panel Sertifikat Windows, Anda dapat melihat semua jenis sertifikat yang benar-benar valid. .. namun jika PC Anda menginstal beberapa jenis perangkat lunak, Anda akan melihat hal-hal palsu seperti System Alerts, LLC, atau Superfish, Wajam,atau puluhan palsu lainnya.
Bahkan jika Anda telah terinfeksi dan kemudian menghapus badware, sertifikat mungkin masih ada di sana, membuat Anda rentan terhadap hacker lain yang mungkin telah mengekstrak kunci pribadi. Banyak installer adware tidak menghapus sertifikat saat Anda mencopot pemasangannya.
Mereka Semua Serangan Man-in-the-Middle dan Inilah Cara Mereka Bekerja
Jika PC Anda memiliki sertifikat akar palsu yang terpasang di toko sertifikat, Anda sekarangrentan terhadap serangan Man-in-the-Middle. Apa artinya ini jika Anda terhubung ke hotspot publik, atau seseorang mendapat akses ke jaringan Anda, atau mengelola sesuatu yang hulu dari Anda, mereka dapat mengganti situs yang sah dengan situs palsu. Ini mungkin terdengar tidak masuk akal, namun hacker telah dapat menggunakan pembajakan DNS di beberapa situs terbesar di web untuk membajak pengguna ke situs palsu.
Setelah Anda dibajak, mereka dapat membaca setiap hal yang Anda kirimkan ke situs pribadi - kata sandi, informasi pribadi, informasi kesehatan, email, nomor jaminan sosial, informasi perbankan, dll. Dan Anda tidak akan pernah tahu karena browser Anda akan memberi tahuAnda bahwa koneksi Anda aman
Ini bekerja karena enkripsi kunci publik memerlukan kunci publik dan kunci privat. Kunci publik dipasang di toko sertifikat, dan kunci privat hanya diketahui oleh situs web yang Anda kunjungi. Tapi saat penyerang bisa membajak sertifikat root Anda dan menahan tombol publik dan pribadi, mereka bisa melakukan apapun yang mereka inginkan.
Dalam kasus Superfish, mereka menggunakan kunci pribadi yang sama di setiap komputer yang memiliki Superfish terpasang, dan dalam beberapa jam, periset keamanan dapat mengekstrak kunci privat dan membuat situs web untuk menguji apakah Anda rentan, dan membuktikan bahwa Andabisa dibajakBagi Wajam dan Geniusbox, kuncinya berbeda, tapi Content Explorer dan beberapa adware lainnya juga menggunakan tombol yang sama di mana-mana, yang berarti masalah ini tidak unik untuk Superfish.
Ini Gets Worse: Sebagian besar Crap ini Menonaktifkan Validitas HTTPS Sepenuhnya
Baru kemarin, para peneliti keamanan menemukan masalah yang lebih besar lagi: Semua proxy HTTPS ini menonaktifkan semua validasi sambil membuatnya terlihat seperti semuanya baik-baik saja.
Itu berarti Anda bisa pergi ke situs web HTTPS yang memiliki sertifikat yang sama sekali tidak valid, dan adware ini akan memberi tahu Anda bahwa situsnya baik-baik saja. Kami menguji adware yang telah kami sebutkan sebelumnya dan semuanya sama sekali menonaktifkan validasi HTTPS, jadi tidak masalah jika kunci privatnya unik atau tidak. Mengejutkan buruk!
Siapa saja yang terinstal adware rentan terhadap segala macam serangan, dan dalam banyak kasus terus menjadi rentan meskipun adware dihapus.
Anda dapat memeriksa apakah Anda rentan terhadap Superfish, Komodia, atau pengecekan sertifikat yang tidak benar menggunakan situs uji yang dibuat oleh periset keamanan, namun seperti yang telah kami tunjukkan sebelumnya, ada lebih banyak adware di luar sana yang melakukan hal yang sama, dan dari kamiPenelitian, hal-hal akan terus memburuk.
Lindungi Diri Anda: Periksa Sertifikat Panel dan Hapus Entri Buruk
Jika Anda khawatir, Anda harus memeriksa toko sertifikat Anda untuk memastikan bahwa Anda tidak memiliki sertifikat samar yang terinstal yang nantinya dapat diaktifkan oleh server proxy seseorang. Ini bisa sedikit rumit, karena ada banyak barang di sana, dan sebagian besar seharusnya ada di sana. Kami juga tidak memiliki daftar yang baik tentang apa yang seharusnya dan seharusnya tidak ada di sana.
Gunakan WIN + R untuk menarik dialog Run, lalu ketik "mmc" untuk menarik jendela Microsoft Management Console. Kemudian gunakan File - & gt;Tambah / Hapus Snap-in dan pilih Sertifikat dari daftar di sebelah kiri, lalu tambahkan ke sisi kanan. Pastikan untuk memilih Computer account pada dialog berikutnya, dan kemudian klik melalui sisanya.
Anda pasti ingin pergi ke Otoritas Sertifikasi Root Tepercaya dan mencari entri yang benar-benar samar seperti ini( atau yang serupa dengan ini)
- Sendori
- Purelead
- Tab Rocket
- Ikan Super
- Lihat ini
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler adalah alat pengembang yang sah namun malware telah membajak sertifikat mereka)
- System Alerts, LLC
- CE_UmbrellaCert
Klik kanan dan Hapus salah satu entri yang Anda temukan. Jika Anda melihat sesuatu yang salah saat Anda menguji Google di browser Anda, pastikan untuk menghapusnya juga. Hati-hati saja, karena jika Anda menghapus hal yang salah di sini, Anda akan mematahkan Windows.
Kami berharap Microsoft merilis sesuatu untuk memeriksa sertifikat root Anda dan memastikan hanya ada yang bagus di sana. Secara teoritis Anda bisa menggunakan daftar ini dari Microsoft dari sertifikat yang dibutuhkan oleh Windows, kemudian memperbarui ke sertifikat root terbaru, tapi itu sama sekali belum teruji pada saat ini, dan kami benar-benar tidak merekomendasikan hal ini sampai seseorang menguji ini.
Selanjutnya, Anda perlu membuka browser web Anda dan menemukan sertifikat yang mungkin tersimpan di cache. Untuk Google Chrome, buka Setelan, Setelan Lanjutan, lalu Kelola sertifikat. Di bawah Personal, Anda dapat dengan mudah mengklik tombol Remove pada sertifikat yang buruk. ..
Tetapi ketika Anda pergi ke Otoritas Sertifikasi Root Tepercaya, Anda harus mengklik Advanced dan kemudian menghapus centang semua yang Anda lihat untuk berhenti memberi izin pada sertifikat itu. ..
Tapi itu gila.
Buka bagian bawah jendela Pengaturan Lanjutan dan klik pengaturan Reset untuk mereset Chrome ke default secara total. Lakukan hal yang sama untuk browser lain yang sedang Anda gunakan, atau uninstall sepenuhnya, menghapus semua pengaturan, dan kemudian menginstalnya lagi.
Jika komputer Anda terpengaruh, Anda mungkin lebih baik melakukan instalasi Windows yang benar-benar bersih. Pastikan untuk membuat cadangan dokumen dan gambar Anda dan semua itu.
Jadi Bagaimana Anda Melindungi Diri Sendiri?
Hampir tidak mungkin untuk benar-benar melindungi diri Anda sendiri, namun berikut adalah beberapa panduan akal sehat untuk membantu Anda:
- Periksa situs pengujian validasi Superfish / Komodia / Sertifikasi.
- Aktifkan Click-To-Play untuk plugin di browser Anda, yang akan membantu melindungi Anda dari semua flash zero-day dan lubang keamanan plugin lainnya.
- Berhati-hatilah dengan apa yang Anda download dan coba gunakan Ninite saat Anda benar-benar harus melakukannya.
- Perhatikan apa yang Anda klik kapan saja Anda klik.
- Pertimbangkan untuk menggunakan Microsoft Enhanced Mitigation Experience Toolkit( EMET) atau Malwarebytes Anti-Exploit untuk melindungi browser dan aplikasi penting lainnya dari lubang keamanan dan serangan zero-day.
- Pastikan semua perangkat lunak, plugin, dan anti-virus tetap diperbarui, dan itu termasuk Pembaruan Windows juga.
Tapi itu sangat banyak pekerjaan karena hanya ingin menjelajah web tanpa dibajak. Ini seperti berurusan dengan TSA.
Ekosistem Windows adalah cavalcade crapware. Dan sekarang keamanan fundamental Internet terputus untuk pengguna Windows. Microsoft perlu memperbaikinya.