19Jul
Tai baisus laikas būti "Windows" vartotoju."Lenovo" buvo sujungtas su "HTTPS" užgrobimo "Superfish" reklamine programine įranga, "Comodo" tiekia dar blogesnę saugumo skylę, vadinamą "PrivDog", ir dešimtys kitų programų, tokių kaip "LavaSoft", daro tą patį.Tai tikrai blogai, tačiau jei norite, kad jūsų užkoduoti žiniatinklio seansai būtų užgrobti, tiesiog eikite į "CNET" atsisiuntimus ar bet kurią nemokamą svetainę, nes visos jos yra sujungtos su HTTPS pažeidžiamomis reklaminėmis priemonėmis.
"Superfish" fiaskas prasidėjo, kai mokslininkai pastebėjo, kad "Superfish", įtrauktas į "Lenovo" kompiuterius, įdiegė "Windows" netikrą šaknies sertifikatą, kuris iš esmės sunaikina visus HTTPS naršymus, kad sertifikatai visada atrodytų galiojančiais, net jei jie nėra, ir jie tai padarė tokiojenesaugu, kad bet kuris scenarijaus kūdikių įsilaužėlis galėtų tą patį įvykdyti.
Ir tada jie įdiegia proxy į savo naršyklę ir priversdami visą naršyti per ją, kad jie galėtų įterpti skelbimus. Tai tiesa, net kai prisijungiate prie savo banko ar sveikatos draudimo svetainės ar bet kur, kur turėtų būti saugoma. Ir jūs niekada nežinote, nes jie sulaužė "Windows" šifravimą ir parodė jums skelbimus.
Tačiau liūdnus, liūdnas yra tai, kad jie nėra vieninteliai, tai daro - reklaminiai įrenginiai, tokie kaip Wajam, Geniusbox, Content Explorer ir kiti, daro tą patį , įdiegdami savo pačių sertifikatus ir priverčiant visą naršymą( įskaitant HTTPS užšifruotus naršymo seansus), kad galėtumėte pereiti proxy serverį.Ir jūs galite užsikrėsti šia nesąmonė tik įdiejus dviem iš 10 geriausių programų "CNET" atsisiuntimuose.
Apatinėje eilutėje yra tas, kad jūsų naršyklės adreso juostoje nebegalima pasikliauti šios žaliosios užrakto piktograma. Ir tai baisu, baisu dalyku.
Kaip veikia "HTTPS-užgrobimas" Adware, ir kodėl tai taip blogai
Kaip jau matėme anksčiau, jei atliksite didžiulę milžinišką klaidą pasitikėdami "CNET" atsisiuntimais, jau esate užsikrėtę tokio tipo reklamos. Du iš dešimties parsisiuntimų iš CNET( KMPlayer ir YTD) susiejami su dviem skirtingais HTTPS-paėmimo adware tipais, o mūsų tyrimai parodė, kad dauguma kitų nemokamų svetainių daro tą patį.
Pastaba: montuotojai yra tokie sudėtingi ir įmantri, kad mes nesame tikri, kas techniškai atlieka "sujungimą", bet CNET reklamuoja šias programas savo pagrindiniame puslapyje, todėl tai iš tikrųjų yra semantikos dalykas. Jei rekomenduojate, kad žmonės atsisiųstų blogai, jums taip pat kaltės. Mes taip pat nustatėme, kad daugelis iš šių reklaminių programų slaptai yra tie patys žmonės, naudojantys skirtingus įmonės pavadinimus.
Remiantis atsisiuntimo numeriais iš 10 populiariausių sąrašų "CNET" atsisiuntimų metu, kas mėnesį milijonai žmonių yra užkrėsti reklaminėmis priemonėmis, kurios užgrobia savo užkoduotus žiniatinklio seansus į savo banką arba el. Laiškus arba viską, kas turi būti saugi.
Jei padarėte klaidą įdiegdami KMPlayer ir sugebate ignoruoti visus kitus "crapware", jums bus pateiktas šis langas. Jei netyčia spustelėsite "Sutinku"( arba paspausite klaidingą raktą), jūsų sistema bus pwned.
Jei baigėte atsisiųsti kažką iš dar įmantriausio šaltinio, pavyzdžiui, atsisiųskite skelbimus į savo mėgstamą paieškos variklį, pamatysite visą netinkamų dalykų sąrašą.Ir dabar mes žinome, kad daugelis iš jų ketina visiškai nutraukti HTTPS sertifikatų patvirtinimą, paliekant jus visiškai pažeidžiamas.
Kai tik jūs užsikreipsite į bet kurį iš šių dalykų, pirmasis dalykas, kuris atsitinka, yra tai, kad jūsų sistemos proxy paleidžiama per vietinį proxy, kurį jis įdiegia jūsų kompiuteryje. Atkreipkite ypatingą dėmesį į toliau pateiktą "Saugaus" elementą.Šiuo atveju tai buvo "Wajam" interneto "Enhancer" versija, bet tai galėtų būti "Superfish" arba "Geniusbox" arba bet kuris iš kitų, kuriuos radome, jie visi veikia taip pat.
Kai jūs einate į svetainę, kuri turėtų būti saugi, pamatysite žalią sparčiosios piktogramos piktogramą ir viskas atrodys visiškai normaliai. Galite net spustelėti spyną, kad pamatytumėte išsamią informaciją, ir pasirodys, kad viskas gerai. Jūs naudojate saugų ryšį ir netgi "Google Chrome" praneša, kad esate prisijungę prie "Google" saugiu ryšiu. Bet tu ne!
System Alerts LLC nėra tikras šakninis sertifikatas, ir jūs iš tikrųjų persijungiate į "Man-in-the-Middle" įgaliojimą, kuris įterpia skelbimus į puslapius( ir kas žino ką dar).Jūs turėtumėte tik atsiųsti jiems visus savo slaptažodžius, būtų lengviau.
Kai reklaminė programinė įranga yra įdiegta ir visam srautui priskiriamas, pradėsite matyti tikrai nemalonus skelbimus visoje vietoje.Šie skelbimai rodomi saugiose svetainėse, pvz., "Google", pakeičiantys faktinius "Google" skelbimus arba jie rodomi kaip langeliai visoje vietoje, perimant kiekvieną svetainę.
Dauguma šios reklaminės programos rodo "reklamos" nuorodas į tiesiogines kenkėjiškas programas. Taigi, nors pačios reklaminės programos gali būti teisinės kliūtys, jos leidžia kurti tikrai, labai blogus dalykus.
Jie tai daro įdiegiant savo netikrą šakninį sertifikatą į "Windows" sertifikatų saugyklą ir po to užsisakydami saugius ryšius pasirašydami savo suklastotą sertifikatą.
Jei pažvelgsite į "Windows" sertifikatų skydą, galėsite pamatyti visų galiojančių sertifikatų tipus. .. bet jei jūsų kompiuteryje įdiegta tam tikra tipo reklaminė programinė įranga, jūs ketinate pamatyti netinkamus dalykus, tokius kaip System Alerts, LLC arba Superfish, Wajam,ar dešimtys kitų klastotės.
Net jei esate užsikrėtę ir pašalinote netinkamąsias programas, sertifikatai gali būti vis dar ten, todėl galite būti pažeidžiami kitiems įsilaužėliams, kurie galėjo išimti privačius raktus. Daugelis programinės įrangos diegimo programų pašalina sertifikatus, kai juos pašalinate.
Jie visi tarpiniai atašė ir štai kaip jie veikia
išpuolis. Jei jūsų kompiuteryje yra sertifikatų parduotuvėje įdiegti netikrūs šakniniai sertifikatai, dabar esatepažeidžiami "Man-in-the-middle" atakų.Ką tai reiškia, jei prisijungiate prie viešosios viešosios interneto prieigos taško arba kas nors pasiekia jūsų tinklą arba sugeba įsilaužti kažką aukščiau už jus, jie gali pakeisti teisėtas svetaines klaidingomis svetainėmis. Tai gali pasirodyti iš toli, tačiau įsilaužėliai galėjo naudoti DNS hijacks kai kuriose didžiausiosose žiniatinklio svetainėse, kad naudotojams būtų užkertamas kelias į suklastotą svetainę.
Kai esate užgrobtas, jie gali skaityti kiekvieną dalyką, kurį pateikiate privačiai svetainei - slaptažodžius, asmeninę informaciją, informaciją apie sveikatą, el. Laiškus, socialinio draudimo numerius, banko informaciją ir tt Ir jūs niekada nežinote, nes jūsų naršyklė pasakyskad jūsų ryšys yra saugus.
Tai veikia, nes viešojo rakto šifravimui reikalingas tiek viešasis, tiek privati raktas. Viešieji raktiniai žodžiai yra įdiegti sertifikatų saugykloje, o privatų raktą turėtų žinoti tik svetainė, kurioje lankotės. Tačiau kai užpuolikai gali užgrobti savo šaknies sertifikatą ir turėti tiek viešus, tiek privačius raktus, jie gali padaryti viską, ko nori.
"Superfish" atveju jie naudojo tą patį privatųjį raktą kiekviename kompiuteryje, kuriame įdiegta "Superfish", ir per kelias valandas saugumo tyrėjai galėjo išgauti privačius raktus ir kurti svetaines, kad patikrintų, ar esate pažeidžiami, ir įrodyti, kad jūsgali būti pagrobtas."Wajam" ir "Geniusbox" klavišai yra skirtingi, tačiau "Content Explorer" ir kai kurios kitos reklamos priemonės visur naudoja tuos pačius raktus, taigi ši problema nėra unikali "Superfish".
tampa dar blogiau: didžioji šio šūdnais išjungia visišką HTTPS patvirtinimą
Vos tik vakar saugumo mokslininkai atrado dar didesnę problemą: visi šie HTTPS įgaliojimai neleidžia visiško patvirtinimo, o atrodo, kad viskas gerai.
Tai reiškia, kad galite pereiti prie HTTPS svetainės, kurioje yra visiškai netinkamas sertifikatas, ir šis reklaminis įrankis jums pasakys, kad svetainė yra puiku. Mes išbandėme anksčiau minėtą reklaminę įrangą, kuri visiškai išjungė HTTPS patvirtinimą, todėl nesvarbu, ar privatūs raktus yra unikalūs, ar ne. Shockingly bad!
Kiekvienas, turintis įdiegtą reklaminę programą, yra pažeidžiamas visų tipų išpuolių, ir daugeliu atvejų vis dar yra pažeidžiamas, net jei pašalinamos reklaminės programos.
. Galite patikrinti, ar esate pažeidžiamas "Superfish", "Komodia" ar negaliojančio sertifikato tikrinimo naudojant bandymų svetainę, kurią sukūrė saugumo tyrėjai, tačiau, kaip mes jau įrodėme, ten yra daug daugiau reklaminių programų, taip pat ir iš mūsųmoksliniai tyrimai, viskas toliau blogės.
Apsaugokite save: Patikrinkite sertifikatų skydą ir ištrinkite blogus įrašus
Jei kyla susirūpinimas, turėtumėte patikrinti savo sertifikatų saugyklą, kad įsitikintumėte, jog nėra įdiegtų jokių esminių sertifikatų, kuriuos vėliau galėtų įjungti koks nors tarpinis serveris. Tai gali būti šiek tiek sudėtinga, nes ten yra daug dalykų, ir dauguma jų turėtų būti ten. Mes taip pat neturime gero sąrašo, kas turėtų ir neturėtų būti ten.
Naudodamiesi WIN + R, paleiskite dialogo langą Vykdyti, tada įveskite "mmc", norėdami ištraukti "Microsoft Management Console" langą.Tada naudokite failą - & gt;Pridėkite / Pašalinkite Snap-ins ir pažymėkite Sertifikatai iš kairėje esančio sąrašo, tada pridėkite jį dešinėje. Kitame dialogo lange pasirinkite Kompiuterio paskyrą, tada spustelėkite likusį.
Jūs norite eiti į Patikimos šaknies sertifikavimo institucijas ir ieškoti tikrai įmantrių įrašų, tokių kaip bet kuri iš šių( ar kažkas panašaus į šias)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Groti
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( "Fiddler" yra teisėtas kūrėjo įrankis, tačiau kenkėjiška programinė įranga užgrobė jų pažymėjimą)
- System Alerts, LLC
- CE_UmbrellaCert
Dešiniuoju pelės mygtuku spustelėkite ir ištrinkite bet kurį iš šių įrašų.Jei bandėte "Google" naršyklėje pastebėjote kažką netinkamo, būtinai ištrinkite tą patį.Tiesiog būkite atsargūs, nes jei čia ištrinsite neteisingus dalykus, jūs ketinate nutraukti "Windows".
Mes tikimės, kad "Microsoft" išleidžia ką nors patikrinti savo šaknies sertifikatus ir įsitikinti, kad yra tik geri. Teoriškai galite naudoti šį "Microsoft" sąrašą iš "Windows" reikalaujamų sertifikatų ir atnaujinti iki naujausių šaknies sertifikatų, bet tai šiuo metu visiškai nepatikrinta, ir mes iš tikrųjų nerekomenduojame, kol kažkas to neišbandys.
Tada turėsite atidaryti žiniatinklio naršyklę ir surasti sertifikatus, kurie tikriausiai yra talpykloje."Google Chrome" eikite į Nustatymai, Išplėstiniai nustatymai ir Tvarkykite sertifikatus."Personal" sąraše galite lengvai spustelėti mygtuką "Pašalinti" bet kokiuose netinkamuose sertifikatuose. ..
Bet kai jūs einate į Patikimos šaknies sertifikavimo institucijas, turėsite spustelėti "Išplėstinė", o po to panaikinkite žymėjimą, kad nebebūtų suteikiama teisė gauti šį sertifikatą. ..
Bet tai beprotybė.
Eikite į "Advanced Settings" lango apačią ir spustelėkite "Reset settings"( iš naujo nustatyti), kad visiškai iš naujo nustatytumėte "Chrome" pagal numatytuosius nustatymus. Atlikite tą patį bet kokiai kitai naršyklei, kurią naudojate, arba visiškai pašalinkite, nuvalydami visus nustatymus ir vėl įdiekite.
Jei jūsų kompiuteris buvo paveiktas, tikriausiai geriau atlikti visiškai švarų Windows diegimą.Tiesiog įsitikinkite, kad atsarginę kopiją savo dokumentus ir nuotraukas ir visa tai.
Taigi, kaip apsaugai save?
Tai yra beveik neįmanoma visiškai apsisaugoti, tačiau čia yra keletas paprastų patarimų, kaip jums padėti:
- Patikrinkite Superfish / Komodia / Sertifikavimo patvirtinimo bandymo svetainę.
- Į naršyklę įjunkite spustelėjimu paleidžiamus papildinius, kurie padės apsaugoti jus nuo visų šių nulinio dienos "Flash" ir kitų papildinių saugumo spragų.
- Būkite labai atsargūs, ką atsisiųsite ir pabandykite naudoti "Ninite", kai privalote.
- Atkreipkite dėmesį į tai, ką spragtečiate bet kuriuo metu.
- Apsvarstykite galimybę naudoti "Microsoft" patobulintą mažinimo patirties priemonių rinkinį( EMET) arba "Malwarebytes Anti-Exploit", kad apsaugotumėte naršyklę ir kitas svarbias programas nuo saugumo spragų ir nulinės dienos išpuolių.
- Įsitikinkite, kad visi jūsų programinė įranga, papildiniai ir antivirusinės programos yra atnaujintos, taip pat yra ir "Windows" naujiniai.
Bet tai yra labai daug darbo, norinčiam naršyti internete neapsiribojant. Tai panašu į TSA.
"Windows" ekosistemos yra "crapware" cavalcade. Ir dabar pagrindinis interneto saugumas yra pažeistas Windows vartotojams."Microsoft" turi tai išspręsti.