19Jul
Je to děsivý čas být uživatel Windows. Lenovo sdružuje HTTPS - únos Superfish adware, Comodo je dodáván s ještě horší bezpečnostní dírou nazývanou PrivDog a desítky dalších aplikací, jako je LavaSoft, dělají totéž.Je to opravdu špatné, ale pokud chcete, aby vaše šifrované webové relace byly uneseny, stačí se obrátit na CNET Download nebo na libovolnou freewarovou stránku, neboť všechny tyto balíčky adwaru HTTPS jsou nyní vázány.
Fiško Superfish začalo, když si vědci všimli, že Superfish, který je součástí počítačů Lenovo, instaloval falešný kořenový certifikát do Windows, který v podstatě zneužívá veškeré procházení protokolem HTTPS, takže certifikáty vždy vypadají platné, i když nejsou.což je nejistý způsob, jaký by mohl každý hacker skriptů dělat stejnou věc.
A potom nainstalují do prohlížeče proxy server a vynucují vše procházení, aby mohli vkládat reklamy. To je správné, i když se připojujete k vaší bance, zdravotnímu pojištění nebo kdekoli, kde byste měli být v bezpečí.A vy byste to nikdy nevěděli, protože vám přerušili šifrování systému Windows a zobrazovaly vám reklamy.
Ale smutný, smutný fakt je, že to nejsou jediní, kteří to dělají - adware , jako jsou Wajam, Geniusbox, Content Explorer a další, dělají přesně to samé , instalují své vlastní certifikáty a vynucují vše procházenívčetně šifrovaných relací procházení HTTPS) procházet jejich proxy server. A můžete se dostat infekce tímto nesmyslem jen tím, že nainstalujete dvě z deseti nejlepších aplikací na stahování CNET.
Dolní řádek je, že již nemůžete důvěřovat ikonu zeleného zámku v adresním řádku prohlížeče. A to je děsivá strašidelná věc.
Jak HTTPS-Hijacking Adware funguje a proč je to tak špatné
Jak jsme ukázali dříve, pokud uděláte obrovskou gigantickou chybu důvěryhodnosti CNET ke stažení, můžete již být infikován tímto typem adwaru. Dvě z deseti nejlepších souborů na CNET( KMPlayer a YTD) spojují dva různé typy adware s únosem HTTPS a v našem výzkumu jsme zjistili, že většina ostatních webů freeware dělá totéž.
Poznámka: instalatéři jsou tak choulostiví a složití, že si nejsme jisti, kdo je technicky dělá "sdružování", ale CNET propaguje tyto aplikace na své domovské stránce, takže je to opravdu otázka sémantiky. Pokud doporučujete, aby lidé stahovali něco, co je špatné, jste stejně provineni. Zjistili jsme také, že mnoho z těchto reklamních firem je tajně stejných lidí, kteří používají různá jména společností.
Na základě počtu stažení ze seznamu 10 nejčastěji na stránkách CNET Download je každý měsíc infikován milion lidí s adware, který unesl své šifrované webové relace do své banky nebo e-mailem nebo něco, co by mělo být zabezpečeno.
Pokud jste udělali chybu při instalaci KMPlayeru a nedokážete ignorovat všechny ostatní crapware, zobrazí se toto okno. A pokud náhodou kliknete na tlačítko Accept( přijmout)( nebo stisknete nesprávný klíč), váš systém bude pwned.
Pokud jste skončili se stahováním něčeho z ještě více skeptického zdroje, jako jsou stažené reklamy ve vašem oblíbeném vyhledávači, uvidíte celý seznam věcí, které nejsou dobré.A teď víme, že mnoho z nich dokonale překročí validaci certifikátu HTTPS a zanechá vás zcela zranitelné.
Jakmile se dostanete na sebe nakažené některým z těchto věcí, první věc, která se stane, je to, že nastaví systém proxy pro spuštění přes místní proxy, který se instaluje na vašem počítači. Věnujte zvláštní pozornost níže uvedené položce "Zabezpečení".V tomto případě to bylo z Wajam Internet "Enhancer", ale mohlo by to být Superfish nebo Geniusbox nebo kterýkoli jiný, který jsme našli, všichni pracují stejným způsobem.
Když se dostanete na stránky, které by měly být bezpečné, uvidíte zelenou ikonu zámku a vše vypadá zcela normálně.Můžete dokonce kliknout na zámek, abyste viděli detaily, a zdá se, že je vše v pořádku. Používáte zabezpečené připojení a dokonce i prohlížeč Google Chrome oznámí, že jste se připojili ke službě Google pomocí zabezpečeného připojení. Ale nejste!
System Alerts LLC není skutečným kořenovým certifikátem a právě procházíte proxy typu Man-in-the-Middle, který vkládá reklamy do stránek( a kdo ví co jiného).Měli byste jim poslat e-mailem všechna hesla, bylo by to jednodušší.Upozornění systému
Jakmile je adware instalován a zprostředkovává veškerou vaši návštěvnost, začnou se na celém místě začít zobrazovat skutečně nepříjemné reklamy. Tyto reklamy se zobrazují na zabezpečených webech, jako je Google, nahrazují skutečné reklamy Google, nebo se zobrazují jako vyskakovací okna a přebírají všechny stránky.
Většina adware obsahuje odkazy "ad" na úplný malware. Takže zatímco samotný adware může být legální obtěžování, umožňují některé skutečně špatné věci.
to dosáhnou tím, že nainstalují své falešné kořenové certifikáty do úložiště certifikátů systému Windows a poté proxyzují zabezpečená připojení a podepisují je pomocí falešného certifikátu.
Pokud se podíváte na panel Windows Certifikáty, můžete vidět nejrůznější zcela platné certifikáty. .. ale pokud máte v počítači nějaký typ adware, uvidíte falešné věci jako System Alerts, LLC nebo Superfish, Wajam,nebo desítky dalších padělků.
Dokonce i když jste byli nakaženi a odstraněni špatný software, certifikáty by mohly být stále tam, takže byste byli zranitelní vůči dalším hackerům, kteří by mohli extrahovat soukromé klíče. Mnoho instalátorů adware nevyjímá certifikáty, když je odinstalujete.
Jsou to všichni man-in-the-middle útoky a je to, jak pracují
Pokud máte v počítači nainstalován falešný kořenový certifikát, jste nynízranitelná vůči útokům "Man-in-the-Middle".Co to znamená, když se připojíte k veřejné hotspot, nebo někdo dostane přístup do vaší sítě, nebo se podaří hackovat něco proti proudu od vás, mohou nahradit legitimní stránky falešnými stránkami. To by mohlo znít dalekosáhlé, ale hackeři byli schopni využívat únosy DNS na některých z největších webových stránek na webu, které by mohly zneužít uživatele k falešnému webu.
Jakmile jste uneseni, mohou si přečíst každou věc, kterou předkládáte soukromému webu - hesla, soukromé informace, zdravotní informace, e-maily, čísla sociálního zabezpečení, bankovní informace atd. A nikdy nevíte,že vaše připojení je zabezpečené.
To funguje, protože šifrování veřejného klíče vyžaduje jak veřejný klíč, tak soukromý klíč.Veřejné klíče jsou nainstalovány v úložišti certifikátů a soukromý klíč by měl být znám pouze na webových stránkách, které jste navštívili. Ale když útočníci mohou unesnout váš kořenový certifikát a držet jak veřejné, tak soukromé klíče, mohou dělat cokoliv, co chtějí.
V případě Superfish používali stejný soukromý klíč na každém počítači, ve kterém byl nainstalován produkt Superfish, a během několika hodin byli vědci v oblasti bezpečnosti schopni extrahovat soukromé klíče a vytvářet webové stránky, které testují, zda jste zranitelní, a prokázat, že jstemohl by být unesen. Pro Wajam a Geniusbox jsou klíče jiné, ale aplikace Content Explorer a některé další adware používají všude stejné klávesy, což znamená, že tento problém není pro Superfish jedinečný.
Zhoršuje: Většina z tohoto zablokování zablokuje ověření protokolu HTTPS úplně
Včera vědci v oblasti bezpečnosti zjistili ještě větší problém: Všechny tyto proxy HTTPS zakazují veškerou validaci a zároveň vypadají, že je vše v pořádku.
To znamená, že můžete přejít na webovou stránku HTTPS, která má zcela neplatný certifikát, a tento adware vám řekne, že stránka je v pořádku. Testovali jsme adware, který jsme zmínili dříve, a všichni zcela deaktivují validaci HTTPS, takže nezáleží na tom, zda jsou soukromé klíče jedinečné nebo ne.Šokující zlé!
Každý, kdo má nainstalovaný adware, je zranitelný vůči všem druhům útoků av mnoha případech je i nadále zranitelný, i když je adware odstraněn.
Můžete zkontrolovat, zda jste zranitelní vůči kontrole Superfish, Komodie nebo neplatným certifikátem pomocí testovacího webu vytvořeného výzkumnými pracovníky v oblasti bezpečnosti, ale jak jsme již prokázali, existuje mnohem více adware, které dělají totéž a od násvýzkum, věci se budou i nadále zhoršovat.
Chraňte se: zkontrolujte panel certifikátů a odstraňte špatné položky
Pokud se obáváte, měli byste zkontrolovat úložiště certifikátů, abyste se ujistili, že nemáte nainstalované žádné náčrtky certifikátů, které by mohly být později aktivovány jiným proxy serverem. To může být trochu komplikované, protože tam je spousta věcí a většina z nich má být tam. Nemáme také dobrý seznam toho, co by mělo a nemělo být.
Použijte WIN + R pro vytažení dialogového okna Spustit a zadejte "mmc" pro vytažení okna konzoly Microsoft Management Console. Poté použijte Soubor - & gt;Přidání a odebrání modulů snap-in a výběr certifikátů ze seznamu vlevo a jeho přidání na pravou stranu. V následujícím dialogovém okně vyberte možnost Počítačový účet a potom klepněte na zbytek.
Budete chtít jít do Důvěryhodné kořenové certifikační úřady a hledat opravdu povrchním položky, jako jsou některé z nich( nebo něco podobného, aby tito)
- Sendori
- Purelead
- Rocket Tab
- superfish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler je legitimní nástroj pro vývojáře, ale malware je unesl jejich cert)
- System Alerts, LLC
- CE_UmbrellaCert
Klepněte pravým tlačítkem myši a Vymazat některý z těchto položek, které najdete. Pokud jste při prohlížení Google v prohlížeči zjistili něco nesprávného, nezapomeňte ho smazat také.Jen buďte opatrní, protože pokud odstraníte špatné věci, přerušíte Windows.
Doufáme, že společnost Microsoft vydala něco pro kontrolu vašich kořenových certifikátů a ujistěte se, že jsou k dispozici pouze ty dobré.Teoreticky byste mohli používat tento seznam certifikátů od společnosti Microsoft od společnosti Microsoft a pak je aktualizovat na nejnovější kořenové certifikáty, ale v tomto okamžiku je to zcela netestované. Opravdu to nedoporučujeme, dokud to někdo nevyzkouší.
Poté budete muset otevřít webový prohlížeč a najít certifikáty, které jsou pravděpodobně ukládány do mezipaměti. V prohlížeči Google Chrome přejděte do části Nastavení, Pokročilá nastavení a potom na možnost Správa certifikátů.Ve skupinovém rámečku Osobní můžete snadno klepnout na tlačítko Odebrat na jakékoli špatné certifikáty. ..
Ale když půjdete na Důvěryhodné kořenové certifikační autority, budete muset kliknout na Pokročilé a zrušit zaškrtnutí všeho, co vidíte, a přestanete udělovat oprávnění k tomuto certifikátu. ..
Ale to je šílenství.
Přejděte do dolní části okna Pokročilé nastavení a klikněte na tlačítko Obnovit nastavení, chcete-li Chrome zcela resetovat na výchozí hodnoty. Proveďte totéž pro libovolný jiný prohlížeč, který používáte, nebo zcela odinstalujte, utíráte všechna nastavení a poté jej znovu nainstalujte.
Pokud byl váš počítač ovlivněn, pravděpodobně byste měli udělat úplně čistou instalaci systému Windows. Jen se ujistěte, že zálohujete své dokumenty a obrázky a to vše.
Takže jak se chráníte?
Je téměř nemožné se úplně ochránit, ale zde je několik pokynů pro společné smysly, které vám pomohou:
- Zkontrolujte zkušební místo testování Superfish / Komodia / Certification.
- Povolte funkci Click-To-Play pro pluginy ve vašem prohlížeči, které vám pomohou ochránit před všemi těmito nulovými bleskovými a dalšími bezpečnostními jamkami.
- Buďte opravdu opatrní, co stahujete a zkuste použít Ninite, když to musíte absolutně.
- Věnujte pozornost tomu, co klepnete kdykoli kliknete.
- Zvažte použití nástroje Microsoft Enhanced Mitigation Experience Toolkit( EMET) nebo programu Malwarebytes Anti-Exploit, abyste chránili váš prohlížeč a další kritické aplikace z bezpečnostních otvorů a útoků za nulový den.
- Ujistěte se, že všechny vaše software, pluginy a antivirové pobyty jsou aktualizovány a obsahuje také aktualizace systému Windows.
Ale to je strašně spousta práce pro prostě chtít procházet web, aniž by byl unesen. Je to jako s TSA.
Ekosystém systému Windows je cavalcade crapware. A nyní je pro uživatele systému Windows narušena základní bezpečnost internetu. Společnost Microsoft to musí vyřešit.