19Jul
Det er en skræmmende tid at være en Windows-bruger. Lenovo bundlede HTTPS-hijacking Superfish adware, Comodo-skibe med et endnu værre sikkerhedshul, der hedder PrivDog, og dusinvis af andre apps som LavaSoft gør det samme. Det er virkelig dårligt, men hvis du vil have dine krypterede websessioner til at blive kapret, skal du bare gå til CNET Downloads eller et hvilket som helst freeware websted, fordi de alle sammen bundler HTTPS-breaking adware nu.
Superfish-fiaskoen begyndte, da forskerne bemærkede, at Superfish, der blev bundtet på Lenovo-computere, installerede et falsk rodcertifikat i Windows, der i det væsentlige kapsler alle HTTPS-browsere, så certifikaterne altid ser gyldige ud, selvom de ikke er, og de gjorde det sådanen usikker måde at enhver script kiddie hacker kunne opnå det samme.
Og så installerer de en proxy i din browser og tvinger al din browsing gennem det, så de kan indsætte annoncer. Det er rigtigt, selv når du opretter forbindelse til din bank eller på et sygesikringssted eller hvor som helst der skal være sikkert. Og du ville aldrig vide, fordi de brød Windows-kryptering for at vise dig annoncer.
Men den triste, triste kendsgerning er, at de ikke er de eneste der gør dette - adware som Wajam, Geniusbox, Content Explorer og andre gør det samme, , installerer deres egne certifikater og tvinger al din browsingherunder HTTPS-krypterede browsersessioner) for at gå gennem deres proxyserver. Og du kan blive smittet med denne vrøvl, bare ved at installere to af de 10 bedste apps på CNET Downloads.
Den nederste linje er, at du ikke længere kan stole på det grønne låsikon i browserens adresselinje. Og det er en skræmmende, skræmmende ting.
Hvordan HTTPS-Hijacking Adware virker, og hvorfor det er så dårligt
Som vi tidligere har vist, hvis du gør den enorme gigantiske fejl ved at stole på CNET Downloads, kan du allerede være smittet med denne type adware. To af de ti downloads på CNET( KMPlayer og YTD) bundter to forskellige typer af HTTPS-hijacking adware , og i vores forskning fandt vi ud af, at de fleste andre freeware-websteder gør det samme.
Bemærk: installatørerne er så besværlige og indviklede, at vi ikke er sikre på, hvem teknisk set gør "bundling", men CNET reklamerer disse apps på deres hjemmeside, så det er virkelig et spørgsmål om semantik. Hvis du anbefaler at folk downloader noget, der er dårligt, har du lige fejl. Vi har også fundet ud af, at mange af disse adware-virksomheder i hemmelighed er de samme, der bruger forskellige firmanavne.
Baseret på downloadnumre fra top 10-listen på CNET Downloads alene, er en million mennesker smittet hver måned med adware, der kapsler deres krypterede websessioner til deres bank eller e-mail eller noget, der skal være sikkert.
Hvis du lavede fejlen ved at installere KMPlayer, og du klarer at ignorere alle de andre crapware, bliver du præsenteret med dette vindue. Og hvis du ved et uheld klikker Accept( eller klik på den forkerte nøgle) bliver dit system pwned.
Hvis du endte med at downloade noget fra en endnu mere skitseret kilde, som downloadannoncerne i din yndlings søgemaskine, kan du se en hel liste over ting, der ikke er gode. Og nu ved vi, at mange af dem vil helt ødelægge HTTPS certifikat validering, hvilket giver dig fuldstændig sårbar.
Når du først bliver smittet af en af disse ting, er det første, der sker, at det angiver din systemproxy for at køre gennem en lokal proxy, som den installerer på din computer. Vær særlig opmærksom på "Sikker" elementet nedenfor. I dette tilfælde var det fra Wajam Internet "Enhancer", men det kunne være Superfish eller Geniusbox eller nogen af de andre, vi har fundet, de arbejder alle sammen på samme måde.
Når du går til et websted, der skal være sikkert, vil du se det grønne låsikon og alt ser perfekt ud. Du kan endda klikke på låsen for at se detaljerne, og det ser ud til at alt er fint. Du bruger en sikker forbindelse, og selv Google Chrome vil rapportere, at du er forbundet til Google med en sikker forbindelse. Men du er ikke!
System Alerts LLC er ikke et rigtigt rodcertifikat, og du går faktisk igennem en mand-i-middel-proxy, der indsætter annoncer på sider( og hvem ved hvad der er mere).Du skal bare sende dem alle dine adgangskoder, det ville være lettere.
Når adware er installeret og proxyer al din trafik, vil du begynde at se virkelig modbydelige annoncer overalt. Disse annoncer vises på sikre websteder, som Google, og erstatter de faktiske Google-annoncer, eller de vises som pop op i hele stedet og overtager hvert websted.
De fleste af denne adware viser "annonce" links til direkte malware. Så selvom adware selv kan være en juridisk gener, aktiverer de nogle virkelig, virkelig dårlige ting.
De opnår dette ved at installere deres falske rootcertifikater i Windows-certifikatbutikken og derefter proxying de sikre forbindelser, mens de underskrives med deres falske certifikat.
Hvis du kigger i panelet Windows Certificates, kan du se alle mulige helt gyldige certifikater. .. men hvis din pc har en eller anden type adware installeret, vil du se falske ting som System Alerts, LLC eller Superfish, Wajam,eller snesevis af andre fejl.
Selvom du er blevet smittet og derefter fjernet det onde, kan certifikaterne stadig være der, hvilket gør dig sårbar overfor andre hackere, der måske har udtaget private nøgler. Mange af adwareinstallatørerne fjerner ikke certifikaterne, når du afinstallerer dem.
De er alle menneske-i-mellemangreb og hvordan fungerer de
Hvis din pc har falske rodcertifikater installeret i certifikatbutikken, er du nusårbar over for Man-in-the-Middle angreb. Hvad det betyder er, at hvis du opretter forbindelse til et offentligt hotspot, eller hvis nogen får adgang til dit netværk eller klarer at hakke noget opstrøms fra dig, kan de erstatte legitime websteder med falske websteder. Dette kan måske lyde langt, men hackere har været i stand til at bruge DNS-hijacks på nogle af de største websteder på nettet for at kapre brugere til et falsk websted.
Når du er blevet kapret, kan de læse alt, hvad du sender til et privat websted - adgangskoder, privat information, sundhedsoplysninger, e-mails, socialsikringsnumre, bankoplysninger osv. Og du vil aldrig vide, fordi din browser vil fortælleDem, at din forbindelse er sikker.
Dette virker, fordi offentlig nøgle kryptering kræver både en offentlig nøgle og en privat nøgle. De offentlige nøgler er installeret i certifikatbutikken, og den private nøgle skal kun kendes af det websted, du besøger. Men når angriberne kan kapre dit rodcertifikat og holde både offentlige og private nøgler, kan de gøre alt, hvad de vil have.
I tilfælde af Superfish brugte de samme private nøgle på hver computer, der har Superfish installeret, og inden for et par timer kunne sikkerhedsforskere udtrække de private nøgler og oprette websteder for at teste om du er sårbar og bevise at dukunne blive kapret. For Wajam og Geniusbox er nøglerne forskellige, men Content Explorer og nogle andre adware bruger også de samme nøgler overalt, hvilket betyder, at dette problem ikke er unikt for Superfish.
Det bliver værre: Det meste af denne crap deaktiverer HTTPS-validering helt
I går har sikkerhedsforskere opdaget et endnu større problem: Alle disse HTTPS-proxyer deaktiverer alle valideringer, mens de ser ud som alting er fint.
Det betyder, at du kan gå til et HTTPS-websted, der har et helt ugyldigt certifikat, og denne adware fortæller dig, at webstedet er helt fint. Vi testede adware, som vi nævnte tidligere, og de deaktiverer helt HTTPS-validering helt, så det er ligegyldigt, om de private nøgler er unikke eller ej. Shockingly dårlig!
Enhver med adware installeret er sårbar for alle mulige angreb, og i mange tilfælde er det fortsat sårbart, selvom adware er fjernet.
Du kan kontrollere, om du er sårbar over for Superfish, Komodia eller ugyldig certifikatkontrol ved hjælp af teststedet, der er oprettet af sikkerhedsforskere, men som vi allerede har demonstreret, er der meget mere adware derude, der gør det samme og fra voresforskning, ting vil fortsætte med at blive værre.
Beskyt dig selv: Kontroller certifikatpanelet og slettet dårlige poster
Hvis du er bekymret, skal du kontrollere din certifikatbutik for at sikre dig, at du ikke har installeret sketchy certifikater, som senere kan aktiveres af en persons proxyserver. Det kan være lidt kompliceret, fordi der er mange ting derinde, og det meste skal være der. Vi har heller ikke en god liste over, hvad der skal og burde ikke være der.
Brug WIN + R til at trække op i dialogboksen Kør, og skriv derefter "mmc" for at hente et Microsoft Management Console-vindue. Brug derefter Fil - & gt;Tilføj / fjern Snap-ins, og vælg Certifikater fra listen til venstre, og tilføj det til højre side. Sørg for at vælge Computer-konto i den næste dialog, og klik derefter på resten.
Du vil gerne henvende dig til Trusted Root Certification Authorities og kigge efter rigtig skitserede poster som nogen af disse( eller noget lignende disse)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEhvid
- DO_NOT_TRUSTFiddler_root( Fiddler er et legitimt udviklingsværktøj, men malware har kapret deres cert)
- System Alerts, LLC
- CE_UmbrellaCert
Højreklik på og Slet nogle af de indtastninger, du finder. Hvis du så noget forkert, da du testede Google i din browser, skal du sørge for at slette den også.Bare vær forsigtig, fordi hvis du sletter de forkerte ting her, skal du bryde Windows.
Vi håber, at Microsoft frigiver noget til at kontrollere dine root certifikater og sørge for, at kun gode er der. Teoretisk kan du bruge denne liste fra Microsoft af de certifikater, der kræves af Windows, og derefter opdatere til de nyeste rodcertifikater, men det er helt uprøvet på dette tidspunkt, og vi anbefaler det ikke, før nogen tester dette ud.
Dernæst skal du åbne din webbrowser og finde de certifikater, der sandsynligvis er cachelagrede der. For Google Chrome skal du gå til Indstillinger, Avancerede indstillinger og derefter Administrer certifikater. Under Personlig kan du nemt klikke på knappen Fjern på eventuelle dårlige certifikater. ..
Men når du går til Trusted Root Certification Authorities, skal du klikke på Advanced og derefter fjerne markeringen af alt, hvad du ser for at stoppe med at give tilladelser til certifikatet. ..
Men det er sindssyge.
Gå til bunden af vinduet Avancerede indstillinger, og klik på Nulstil indstillinger for at nulstille Chrome til standardindstillingerne helt. Gør det samme for alle andre browsere, du bruger, eller fjern helt, slett alle indstillinger, og installer det igen.
Hvis din computer er blevet berørt, er du nok bedre til at gøre en helt ren installation af Windows. Bare sørg for at sikkerhedskopiere dine dokumenter og billeder og alt det.
Så hvordan beskytter du dig selv?
Det er næsten umuligt at beskytte dig selv helt, men her er et par almindelige sans retningslinjer, der hjælper dig ud:
- Kontrollér Superfish / Komodia / Certification validation test site.
- Aktiver Click-to-Play til plugins i din browser, hvilket vil hjælpe dig med at beskytte dig fra alle disse nul-dags Flash og andre pluginsikkerhedshuller, der er.
- Vær meget forsigtig med hvad du downloader og prøv at bruge Ninite, når du absolut skal.
- Vær opmærksom på, hvad du klikker, når du klikker.
- Overvej at bruge Microsofts forbedrede værktøjsforbedringsværktøj( EMET) eller Malwarebytes Anti-Exploit til at beskytte din browser og andre vigtige applikationer fra sikkerhedshuller og nul-dag angreb.
- Sørg for, at al din software, plugins og anti-virus forbliver opdaterede, og det inkluderer også Windows-opdateringer.
Men det er en forfærdelig masse arbejde, fordi du bare ønsker at surfe på internettet uden at blive kapret. Det er som at håndtere TSA.
Windows-økosystemet er en cavalcade af crapware. Og nu er den grundlæggende sikkerhed for internettet brudt for Windows-brugere. Microsoft skal rette op på dette.