19Jul

Download.com και άλλοι δεσμοί HTTPS Superfish-Style Breaking Adware

Είναι τρομακτικό να είσαι χρήστης των Windows.Η Lenovo ομαδοποιούσε το HTTPS-αεροπειρατεία του Superfish adware, τα πλοία Comodo με μια ακόμη χειρότερη τρύπα ασφαλείας που ονομάζεται PrivDog και δεκάδες άλλες εφαρμογές όπως η LavaSoft κάνουν το ίδιο.Είναι πραγματικά κακό, αλλά εάν θέλετε οι κρυπτογραφημένες συνεδρίες ιστού να καταπατηθούν, απλώς να κατευθυνθείτε στις λήψεις CNET ή σε οποιοδήποτε ελεύθερο site, επειδή όλοι τους ομαδοποιούν τώρα το adware HTTPS.

Το φινάτ Superfish ξεκίνησε όταν οι ερευνητές διαπίστωσαν ότι το Superfish, που παραδόθηκε σε υπολογιστές της Lenovo, εγκατέστησε ένα πλαστό πιστοποιητικό ρίζας στα Windows που ουσιαστικά απορροφά όλη την περιήγηση HTTPS έτσι ώστε τα πιστοποιητικά να φαίνονται πάντα έγκυρα ακόμα κι αν δεν είναι,έναν ανασφαλές τρόπο που οποιοσδήποτε ιερέας hacker σενάριο θα μπορούσε να επιτύχει το ίδιο πράγμα.

Και στη συνέχεια εγκαθιστούν έναν διακομιστή μεσολάβησης στο πρόγραμμα περιήγησής σας και αναγκάζουν όλη την περιήγησή σας μέσω αυτού, ώστε να μπορούν να εισάγουν διαφημίσεις.Αυτό είναι σωστό, ακόμα και όταν συνδέεστε με την τράπεζά σας, τον ασφαλιστικό χώρο υγείας ή οπουδήποτε πρέπει να είστε ασφαλείς.Και δεν θα ξέρατε ποτέ, γιατί έσπασαν την κρυπτογράφηση των Windows για να σας εμφανίσουν διαφημίσεις.

Αλλά το λυπηρό, θλιβερό γεγονός είναι ότι δεν είναι οι μόνοι που το κάνουν - το adware όπως το Wajam, το Geniusbox, το Content Explorer και άλλοι κάνουν το ίδιο ακριβώς πράγμα , εγκαθιστώντας τα δικά τους πιστοποιητικά και αναγκάζοντας την περιήγησή σαςσυμπεριλαμβανομένων των κρυπτογραφημένων περιόδων περιήγησης HTTPS) για να μεταβεί μέσω του διακομιστή μεσολάβησης.Και μπορείτε να μολυνθείτε με αυτές τις ανοησίες, εγκαθιστώντας δύο από τις κορυφαίες 10 εφαρμογές στο CNET Downloads.

Η κατώτατη γραμμή είναι ότι δεν μπορείτε πλέον να εμπιστεύεστε αυτό το εικονίδιο πράσινης κλειδώματος στη γραμμή διευθύνσεων του προγράμματος περιήγησης.Και αυτό είναι ένα τρομακτικό, τρομακτικό πράγμα.

Πώς λειτουργεί το HTTPS-Hijacking Adware και γιατί είναι τόσο κακό

Ummm, θα χρειαστεί να προχωρήσετε και να κλείσετε αυτήν την καρτέλα.Μmkay;

Όπως έχουμε δείξει προηγουμένως, εάν κάνετε το τεράστιο γιγάντιο λάθος της εμπιστοσύνης των CNET Downloads, θα μπορούσατε ήδη να μολυνθείτε με αυτό το είδος adware. Δύο από τις δέκα πρώτες λήψεις στο CNET( KMPlayer και YTD) συνδυάζουν δύο διαφορετικούς τύπους adware , και στην έρευνά μας διαπιστώσαμε ότι οι περισσότερες άλλες ιστοσελίδες κάνουν το ίδιο πράγμα.

Σημείωση: οι εγκαταστάτες είναι τόσο δύσκολο και περίπλοκο ότι δεν είμαστε σίγουροι ποιος είναι τεχνικά κάνει το "πακέτο", αλλά CNET προωθεί αυτές τις εφαρμογές στην αρχική τους σελίδα, έτσι είναι πραγματικά ένα ζήτημα της σημασιολογίας.Εάν συστήνετε στους χρήστες να κατεβάσουν κάτι που είναι κακό, είστε εξίσου σφάλμα.Έχουμε επίσης διαπιστώσει ότι πολλές από αυτές τις εταιρείες adware είναι κρυφά οι ίδιοι άνθρωποι που χρησιμοποιούν διαφορετικά ονόματα εταιρειών.

Με βάση τους αριθμούς λήψης από τη λίστα των 10 κορυφαίων για το CNET Downloads μόνο, ένα εκατομμύριο άνθρωποι μολύνονται κάθε μήνα με adware που κλέβει τις κρυπτογραφημένες συνεδρίες ιστού στην τράπεζά τους ή μέσω ηλεκτρονικού ταχυδρομείου ή οτιδήποτε πρέπει να είναι ασφαλές.

Αν κάνατε το λάθος να εγκαταστήσετε το KMPlayer και καταφέρετε να αγνοήσετε όλα τα άλλα crapware, θα εμφανιστείτε με αυτό το παράθυρο.Αν πατήσετε κατά λάθος το κουμπί Αποδοχή( ή πατήστε το λάθος πλήκτρο), το σύστημά σας θα είναι pwned.Οι τοποθεσίες λήψης

πρέπει να ντρέπονται για τον εαυτό τους.

Εάν καταλήξατε να κατεβάζετε κάτι από μια ακόμα πιο σκανδιναβική πηγή, όπως οι διαφημίσεις λήψης στην αγαπημένη μηχανή αναζήτησής σας, θα δείτε μια ολόκληρη λίστα που δεν είναι καλή.Και τώρα ξέρουμε ότι πολλοί από αυτούς πρόκειται να σπάσουν εντελώς την επικύρωση του πιστοποιητικού HTTPS, αφήνοντάς σας εντελώς ευάλωτους.

Το Lavasoft Web Companion διαλύει επίσης την κρυπτογράφηση HTTPS, αλλά αυτό το bundler εγκατέστησε adware επίσης.

Μόλις πάρετε τον εαυτό σας μολυνθεί με οποιοδήποτε από αυτά τα πράγματα, το πρώτο πράγμα που συμβαίνει είναι ότι ο διακομιστής μεσολάβησης του συστήματος σας τρέχει μέσω ενός τοπικού διακομιστή μεσολάβησης που εγκαθιστά στον υπολογιστή σας.Δώστε ιδιαίτερη προσοχή στο στοιχείο "Ασφαλής" παρακάτω.Σε αυτή την περίπτωση ήταν από το Wajam Internet "Enhancer", αλλά θα μπορούσε να είναι Superfish ή Geniusbox ή οποιοδήποτε από τα άλλα που βρήκαμε, όλοι δουλεύουν με τον ίδιο τρόπο.

Είναι ειρωνικό ότι η Lenovo χρησιμοποίησε τη λέξη "ενίσχυση" για να περιγράψει το Superfish.

Όταν πηγαίνετε σε έναν ιστότοπο ο οποίος πρέπει να είναι ασφαλής, θα δείτε το πράσινο εικονίδιο κλειδαριάς και όλα θα φαίνονται απόλυτα φυσιολογικά.Μπορείτε ακόμη να κάνετε κλικ στο κλείδωμα για να δείτε τις λεπτομέρειες και θα φανεί ότι όλα είναι καλά.Χρησιμοποιείτε μια ασφαλή σύνδεση και ακόμη και το Google Chrome θα αναφέρει ότι είστε συνδεδεμένοι με την Google με ασφαλή σύνδεση. Αλλά δεν είσαι!

Το

System Alerts LLC δεν είναι ένα πραγματικό πιστοποιητικό ρίζας και στην πραγματικότητα περνάτε από ένα διακομιστή μεσολάβησης που εισάγει διαφημίσεις σε σελίδες( και ποιος ξέρει τι άλλο).Θα πρέπει απλώς να στείλετε με ηλεκτρονικό ταχυδρομείο όλους τους κωδικούς πρόσβασής σας, θα ήταν ευκολότερο.

Σύστημα ειδοποίησης: Το σύστημά σας έχει παραβιαστεί.

Μόλις εγκατασταθεί το adware και δημιουργηθεί μεσολάβηση ολόκληρης της επισκεψιμότητας, θα αρχίσετε να βλέπετε πραγματικά ενοχλητικές διαφημίσεις σε όλη τη χώρα.Αυτές οι διαφημίσεις προβάλλονται σε ασφαλείς ιστότοπους, όπως το Google, αντικαθιστώντας τις πραγματικές διαφημίσεις Google ή εμφανίζονται ως αναδυόμενα παράθυρα σε όλο τον χώρο, αναλαμβάνοντας κάθε ιστότοπο.

Θα ήθελα το Google μου χωρίς συνδέσμους κακόβουλου λογισμικού, ευχαριστώ.

Το μεγαλύτερο μέρος αυτού του adware εμφανίζει συνδέσμους "διαφήμισης" σε ολοκληρωμένα κακόβουλα προγράμματα.Έτσι, ενώ το ίδιο το adware μπορεί να είναι νόμιμη όχληση, επιτρέπουν κάποια πραγματικά, πραγματικά κακά πράγματα.

Αυτό επιτυγχάνουν εγκαθιστώντας τα ψεύτικα πιστοποιητικά ρίζας τους στο κατάστημα πιστοποιητικών των Windows και στη συνέχεια μεσολάβηση των ασφαλών συνδέσεων, ενώ τα υπογράφουν με το πλαστό πιστοποιητικό τους.

Αν κοιτάξετε στον πίνακα "Πιστοποιητικά των Windows", μπορείτε να δείτε όλα τα είδη των εντελώς έγκυρων πιστοποιητικών. .. αλλά εάν ο υπολογιστής σας έχει εγκατεστημένο κάποιο είδος adware, θα δείτε ψεύτικα πράγματα όπως το System Alerts, LLC ή το Superfish, το Wajam,ή δεκάδες άλλα απομιμήσεις.

Είναι από την εταιρεία Umbrella;

Ακόμη και αν έχετε μολυνθεί και στη συνέχεια αφαιρέσετε τα κακόβουλα προγράμματα, τα πιστοποιητικά ενδέχεται να εξακολουθούν να υπάρχουν, καθιστώντας σας ευάλωτα σε άλλους χάκερ που ενδέχεται να έχουν εξαγάγει τα ιδιωτικά κλειδιά.Πολλά από τα προγράμματα εγκατάστασης adware δεν καταργούν τα πιστοποιητικά όταν τα απεγκαταστήσετε.

Είναι όλα τα επίθεσης στο πρόσωπο του ανθρώπου και εδώ είναι πώς λειτουργούν

Αυτό είναι από μια πραγματική ζωντανή επίθεση από τον φοβερό ερευνητή ασφαλείας Rob Graham

Εάν ο υπολογιστής σας έχει πλαστά πιστοποιητικά ρίζας εγκατεστημένα στο κατάστημα πιστοποιητικών,ευάλωτοι στις επιθέσεις του ανθρώπου στη μέση.Αυτό σημαίνει ότι αν συνδεθείτε σε ένα δημόσιο hotspot ή κάποιος αποκτήσει πρόσβαση στο δίκτυό σας ή καταφέρει να χάσει κάτι ανάντη από εσάς, μπορεί να αντικαταστήσει νόμιμους ιστότοπους με ψεύτικες τοποθεσίες.Αυτό μπορεί να ακούγεται υπερβολικά, αλλά οι χάκερ έχουν τη δυνατότητα να χρησιμοποιήσουν διαφθορά DNS σε μερικές από τις μεγαλύτερες τοποθεσίες του διαδικτύου για να καταλάβουν τους χρήστες σε ένα ψεύτικο site.

Μόλις είστε πειρατεμένοι, μπορούν να διαβάσουν κάθε πράγμα που υποβάλλετε σε έναν ιδιωτικό ιστότοπο - κωδικοί πρόσβασης, προσωπικές πληροφορίες, πληροφορίες για την υγεία, ηλεκτρονικά μηνύματα, αριθμούς κοινωνικής ασφάλισης, τραπεζικές πληροφορίες κλπ. Και ποτέ δεν θα ξέρετε,ότι η σύνδεσή σας είναι ασφαλής.

Αυτό λειτουργεί επειδή η κρυπτογράφηση δημόσιου κλειδιού απαιτεί τόσο δημόσιο κλειδί όσο και ιδιωτικό κλειδί.Τα δημόσια κλειδιά εγκαθίστανται στο χώρο αποθήκευσης πιστοποιητικών και το ιδιωτικό κλειδί πρέπει να είναι γνωστό μόνο από τον ιστότοπο που επισκέπτεστε.Αλλά όταν οι επιτιθέμενοι μπορούν να καταλάβουν το πιστοποιητικό ρίζας σας και να κρατήσουν τόσο τα δημόσια όσο και τα ιδιωτικά κλειδιά, μπορούν να κάνουν ό, τι θέλουν.

Στην περίπτωση του Superfish, χρησιμοποίησαν το ίδιο ιδιωτικό κλειδί σε κάθε υπολογιστή που εγκατέστησε το Superfish και μέσα σε λίγες ώρες οι ερευνητές της ασφάλειας κατάφεραν να εξαγάγουν τα ιδιωτικά κλειδιά και να δημιουργήσουν ιστότοπους για να ελέγξουν εάν είστε ευάλωτοι και αποδείξτε ότι εσείςθα μπορούσε να πειραματιστεί.Για τα Wajam και Geniusbox, τα κλειδιά είναι διαφορετικά, αλλά το Content Explorer και κάποιο άλλο adware χρησιμοποιεί επίσης τα ίδια κλειδιά παντού, πράγμα που σημαίνει ότι αυτό το πρόβλημα δεν είναι μοναδικό για το Superfish.

Χρειάζεται χειρότερα: Τα περισσότερα από αυτά τα crap απενεργοποιεί την επικύρωση του HTTPS Εντελώς

Μόλις χθες, οι ερευνητές της ασφάλειας ανακάλυψαν ένα ακόμα μεγαλύτερο πρόβλημα: Όλοι αυτοί οι διακομιστές μεσολάβησης HTTPS απενεργοποιούν όλες τις επικυρώσεις, κάνοντας το να μοιάζει με τα πάντα.

Αυτό σημαίνει ότι μπορείτε να μεταβείτε σε έναν ιστότοπο HTTPS ο οποίος έχει ένα εντελώς έγκυρο πιστοποιητικό και αυτό το adware θα σας πει ότι ο ιστότοπος είναι εντάξει.Δοκιμάσαμε το adware που αναφέραμε προηγουμένως και απενεργοποιούν εξ ολοκλήρου την επικύρωση HTTPS, οπότε δεν έχει σημασία αν τα ιδιωτικά κλειδιά είναι μοναδικά ή όχι.Εκπληκτικά κακό!

Όλο αυτό το adware σπάσει εντελώς τον έλεγχο των πιστοποιητικών.

Ο καθένας με εγκατεστημένο adware είναι ευάλωτος σε κάθε είδους επιθέσεις και σε πολλές περιπτώσεις εξακολουθεί να είναι ευάλωτος ακόμα και όταν αφαιρεθεί το adware.

Μπορείτε να ελέγξετε εάν είστε ευάλωτοι σε έλεγχο Superfish, Komodia ή μη έγκυρο πιστοποιητικό χρησιμοποιώντας τον ιστότοπο δοκιμών που δημιουργήθηκε από ερευνητές ασφαλείας, αλλά όπως έχουμε ήδη αποδείξει, υπάρχουν πολλά περισσότερα adware εκεί έξω που κάνουν το ίδιο πράγμα και απόέρευνα, τα πράγματα θα συνεχίσουν να επιδεινώνονται.

Προστατεύστε τον εαυτό σας: Ελέγξτε τον πίνακα πιστοποιητικών και διαγράψτε τις κακές καταχωρίσεις

Αν ανησυχείτε, πρέπει να ελέγξετε το χώρο αποθήκευσης πιστοποιητικών για να βεβαιωθείτε ότι δεν έχετε εγκατεστημένα πιστοποιητικά που θα μπορούσαν αργότερα να ενεργοποιηθούν από κάποιον διακομιστή μεσολάβησης.Αυτό μπορεί να είναι λίγο περίπλοκο, επειδή υπάρχουν πολλά πράγματα εκεί, και το μεγαλύτερο μέρος του υποτίθεται ότι είναι εκεί.Επίσης, δεν έχουμε μια καλή λίστα με αυτά που πρέπει και δεν πρέπει να βρίσκονται εκεί.

Χρησιμοποιήστε το WIN + R για να τραβήξετε το παράθυρο διαλόγου Εκτέλεση και στη συνέχεια πληκτρολογήστε "mmc" για να τραβήξετε ένα παράθυρο κονσόλας διαχείρισης της Microsoft.Στη συνέχεια, χρησιμοποιήστε το αρχείο - & gt;Προσθέστε / αφαιρέστε τα πρόσθετα και επιλέξτε Πιστοποιητικά από τη λίστα στα αριστερά και, στη συνέχεια, προσθέστε τα στη δεξιά πλευρά.Βεβαιωθείτε ότι έχετε επιλέξει Λογαριασμός Υπολογιστή στον επόμενο διάλογο και στη συνέχεια κάντε κλικ στο υπόλοιπο.

Θα θελήσετε να μεταβείτε στις αρχές αξιόπιστης πιστοποίησης ρίζας και να αναζητήσετε πραγματικά εντυπωσιακές καταχωρήσεις όπως οποιαδήποτε από αυτές( ή οτιδήποτε παρόμοια με αυτές)

  • Sendori
  • Purelead
  • Πλαίσιο πυραύλων
  • Super Fish
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_rootΤο Fiddler είναι ένα νόμιμο εργαλείο για προγραμματιστές, αλλά το κακόβουλο λογισμικό έχει πειραματιστεί.)
  • Σύστημα ειδοποιήσεις, LLC
  • CE_UmbrellaCert

Κάντε δεξί κλικ και διαγράψτε οποιαδήποτε από αυτές τις καταχωρήσεις που βρίσκετε.Εάν έχετε δει κάτι λανθασμένο όταν δοκιμάσατε το Google στο πρόγραμμα περιήγησής σας, φροντίστε να το διαγράψετε επίσης.Απλά προσέξτε, γιατί αν διαγράψετε τα λάθος πράγματα εδώ, θα σπάσετε τα Windows.

Ελπίζουμε ότι η Microsoft θα κυκλοφορήσει κάτι για να ελέγξει τα πιστοποιητικά ρίζας σας και θα βεβαιωθεί ότι υπάρχουν μόνο καλοί.Θεωρητικά, θα μπορούσατε να χρησιμοποιήσετε αυτήν τη λίστα από τη Microsoft για τα πιστοποιητικά που απαιτούνται από τα Windows και, στη συνέχεια, να ενημερώσετε τα πιο πρόσφατα πιστοποιητικά ρίζας, αλλά αυτό δεν είναι πλήρως δοκιμασμένο σε αυτό το σημείο και πραγματικά δεν το συνιστούμε μέχρι να το δοκιμάσει κάποιος.

Στη συνέχεια, θα πρέπει να ανοίξετε το πρόγραμμα περιήγησης ιστού και να βρείτε τα πιστοποιητικά που πιθανώς αποθηκεύονται εκεί.Για το Google Chrome, μεταβείτε στις Ρυθμίσεις, στις Ρυθμίσεις για προχωρημένους και, στη συνέχεια, στη Διαχείριση πιστοποιητικών.Κάτω από το στοιχείο Προσωπικά, μπορείτε εύκολα να κάνετε κλικ στο κουμπί Κατάργηση σε τυχόν κακά πιστοποιητικά. ..

Αλλά όταν μεταβείτε στις αρχές πιστοποίησης ρωγμών, θα πρέπει να κάνετε κλικ στην επιλογή Για προχωρημένους και, στη συνέχεια, να καταργήσετε την επιλογή όλων των στοιχείων που βλέπετε για να σταματήσετε να εκχωρείτε δικαιώματα σε αυτό το πιστοποιητικό. ..

Αλλά αυτή είναι η παραφροσύνη.

Πηγαίνετε στο κάτω μέρος του παραθύρου Σύνθετες ρυθμίσεις και κάντε κλικ στην επιλογή Επαναφορά ρυθμίσεων για να επαναφέρετε πλήρως το Chrome στις προεπιλογές.Κάντε το ίδιο για οτιδήποτε άλλο πρόγραμμα περιήγησης χρησιμοποιείτε ή καταργήστε τελείως την εγκατάσταση, σκουπίστε όλες τις ρυθμίσεις και, στη συνέχεια, εγκαταστήστε ξανά.

Εάν ο υπολογιστής σας έχει επηρεαστεί, ίσως είναι καλύτερα να κάνετε μια εντελώς καθαρή εγκατάσταση των Windows.Απλά φροντίστε να δημιουργήσετε αντίγραφα ασφαλείας των εγγράφων και των εικόνων σας και όλα αυτά.

Πώς προστατεύετε τον εαυτό σας;

Είναι σχεδόν αδύνατο να προστατεύσετε πλήρως τον εαυτό σας, αλλά εδώ υπάρχουν μερικές συνήθεις οδηγίες για να σας βοηθήσουμε:

  • Ελέγξτε τον ιστότοπο δοκιμών επικύρωσης Superfish / Komodia / Πιστοποίησης.
  • Ενεργοποιήστε το click-to-play για plugins στο πρόγραμμα περιήγησής σας, το οποίο θα σας βοηθήσει να προστατευθείτε από όλα αυτά τα Flash και άλλες τρύπες ασφαλείας plugin.
  • Να είστε πολύ προσεκτικοί σε αυτό που κάνετε λήψη και να προσπαθήσετε να χρησιμοποιήσετε το Ninite όταν χρειάζεται.
  • Δώστε προσοχή σε αυτό που κάνετε κάνοντας κλικ οποτεδήποτε κάνετε κλικ.
  • Εξετάστε το εργαλείο Microsoft Enhanced Mitigation Experience Toolkit( EMET) ή το Malwarebytes Anti-Exploit για να προστατέψετε το πρόγραμμα περιήγησης και άλλες κρίσιμες εφαρμογές από τρύπες ασφαλείας και επιθέσεις με μηδενικές ημέρες.
  • Βεβαιωθείτε ότι όλα τα λογισμικά, plugins και anti-virus σας παραμένουν ενημερωμένα και αυτό περιλαμβάνει και τις ενημερώσεις των Windows.

Αλλά αυτό είναι μια πάρα πολλή δουλειά για απλά θέλοντας να περιηγηθείτε στο διαδίκτυο χωρίς να υποχωρήσετε.Είναι σαν να ασχολείσαι με την TSA.

Το οικοσύστημα των Windows είναι ένα cavalcade των crapware.Και τώρα η βασική ασφάλεια του Διαδικτύου είναι σπασμένη για τους χρήστες των Windows.Η Microsoft πρέπει να διορθώσει αυτό.