19Jul
Es un momento aterrador para ser un usuario de Windows. Lenovo estaba agrupando el adware Superfish que secuestra HTTPS, Comodo envía con un agujero de seguridad aún peor llamado PrivDog, y docenas de otras aplicaciones como LavaSoft están haciendo lo mismo. Es realmente malo, pero si quieres secuestrar tus sesiones web encriptadas solo dirígete a Descargas de CNET o cualquier sitio de freeware, porque ahora están compilando adware de ruptura de HTTPS.
El fiasco de Superfish comenzó cuando los investigadores notaron que Superfish, incluido en las computadoras Lenovo, estaba instalando un certificado raíz falso en Windows que básicamente secuestra toda la navegación HTTPS para que los certificados siempre parezcan válidos aunque no lo sean, y lo hicieron en taluna forma insegura de que cualquier hacker kidd de script pueda lograr lo mismo.
Y luego están instalando un proxy en su navegador y forzando toda su navegación a través de él para que puedan insertar anuncios. Así es, incluso cuando se conecta a su banco, a su sitio de seguro médico o a cualquier lugar que sea seguro. Y nunca lo sabrías, porque rompieron el cifrado de Windows para mostrarte anuncios.
Pero lo triste y triste es que no son los únicos que hacen esto: adware como Wajam, Geniusbox, Content Explorer y otros están haciendo exactamente lo mismo , instalando sus propios certificados y forzando toda su navegación( incluidas sesiones de navegación encriptadas HTTPS) para pasar a través de su servidor proxy. Y puede infectarse con estas tonterías instalando dos de las 10 aplicaciones principales en las descargas de CNET.
La conclusión es que ya no puede confiar en ese icono de candado verde en la barra de direcciones de su navegador. Y eso es algo aterrador y aterrador.
Cómo funciona HTTPS-Hijacking Adware, y por qué es tan malo
Como hemos demostrado anteriormente, si comete el gran error gigantesco de confiar en las descargas de CNET, ya podría estar infectado con este tipo de adware. Dos de las diez descargas más importantes en CNET( KMPlayer y YTD) incluyen dos tipos diferentes de adware de secuestro de HTTPS , y en nuestra investigación descubrimos que la mayoría de los sitios de freeware están haciendo lo mismo.
Nota: los instaladores son tan complicados y complicados que no estamos seguros de quién es técnicamente haciendo la "agrupación", pero CNET promociona estas aplicaciones en su página de inicio, por lo que es realmente una cuestión de semántica. Si está recomendando que las personas descarguen algo que es malo, también tiene la culpa. También descubrimos que muchas de estas compañías de adware son secretamente las mismas personas que utilizan diferentes nombres de compañías.
Según los números de descarga de la lista de las 10 principales en descargas de CNET, un millón de personas se infectan cada mes con programas publicitarios que secuestran sus sesiones web encriptadas a su banco, correo electrónico o cualquier cosa que deba ser segura.
Si cometió el error de instalar KMPlayer, y logra ignorar todos los otros crapware, se le presentará esta ventana. Y si hace clic accidentalmente en Aceptar( o presiona la tecla incorrecta) su sistema se iniciará.Los sitios de descarga de
Si terminó descargando algo de una fuente aún más incompleta, como los anuncios de descarga en su motor de búsqueda favorito, verá una lista completa de cosas que no son buenas. Y ahora sabemos que muchos de ellos van a romper completamente la validación del certificado HTTPS, dejándote completamente vulnerable.
Una vez que te infectas con cualquiera de estas cosas, lo primero que sucede es que configura el proxy del sistema para que se ejecute a través de un proxy local que se instala en tu computadora. Preste especial atención al elemento "Seguro" a continuación. En este caso fue de Wajam Internet "Enhancer", pero podría ser Superfish o Geniusbox o cualquiera de los otros que hemos encontrado, todos funcionan de la misma manera.
Cuando vaya a un sitio que debería ser seguro, verá el ícono de bloqueo verde y todo se verá perfectamente normal. Incluso puede hacer clic en el candado para ver los detalles, y parecerá que todo está bien. Está utilizando una conexión segura e incluso Google Chrome informará que está conectado a Google con una conexión segura. ¡Pero no lo eres!
System Alerts LLC no es un verdadero certificado raíz y en realidad está pasando por un proxy Man-in-the-Middle que está insertando anuncios en las páginas( y quién sabe qué más).Deberías enviarles por correo electrónico todas tus contraseñas, sería más fácil. Alerta del sistema
Una vez que el adware está instalado y procesando todo tu tráfico, comenzarás a ver anuncios realmente desagradables en todas partes. Estos anuncios se muestran en sitios seguros, como Google, reemplazando los anuncios de Google reales, o se muestran como ventanas emergentes por todas partes, ocupando todos los sitios.
La mayor parte de este adware muestra enlaces "publicitarios" a malware absoluto. Entonces, aunque el adware puede ser una molestia legal, permiten algunas cosas realmente malas.
Lo logran instalando sus certificados raíz falsos en el almacén de certificados de Windows y luego procesando las conexiones seguras mientras las firman con su certificado falso.
Si mira en el panel de Certificados de Windows, puede ver todo tipo de certificados completamente válidos. .. pero si su PC tiene algún tipo de adware instalado, verá elementos falsos como System Alerts, LLC o Superfish, Wajam,o docenas de otras falsificaciones.
Incluso si ha sido infectado y luego ha eliminado el badware, los certificados aún podrían estar allí, lo que lo hace vulnerable a otros hackers que podrían haber extraído las claves privadas. Muchos de los instaladores de adware no eliminan los certificados cuando los desinstalas.
Son todos ataques Man-in-the-Middle y así es como funcionan
Si su PC tiene certificados raíz falsos instalados en el almacén de certificados, usted está ahoravulnerable a los ataques Man-in-the-Middle. Lo que esto significa es que si te conectas a un punto de acceso público, o alguien accede a tu red, o logra piratear algo en sentido ascendente, pueden reemplazar sitios legítimos con sitios falsos. Esto puede sonar exagerado, pero los piratas informáticos han podido utilizar los secuestros DNS en algunos de los sitios más grandes en la web para secuestrar a los usuarios a un sitio falso.
Una vez que es secuestrado, puede leer cada cosa que envía a un sitio privado: contraseñas, información privada, información de salud, correos electrónicos, números de seguridad social, información bancaria, etc. Y nunca lo sabrá porque su navegador diráusted que su conexión es segura.
Esto funciona porque el cifrado de clave pública requiere tanto una clave pública como una privada. Las claves públicas se instalan en el almacén de certificados y la clave privada solo debe conocerse en el sitio web que está visitando. Pero cuando los atacantes pueden secuestrar tu certificado raíz y mantener las claves pública y privada, pueden hacer lo que quieran.
En el caso de Superfish, usaron la misma clave privada en todas las computadoras que tienen Superfish instalado, y en unas pocas horas, los investigadores de seguridad pudieron extraer las claves privadas y crear sitios web para probar si usted es vulnerable, y demostrar que ustedpodría ser secuestrado. Para Wajam y Geniusbox, las claves son diferentes, pero Content Explorer y algunos otros programas publicitarios también usan las mismas claves en todas partes, lo que significa que este problema no es exclusivo de Superfish.
Se pone peor: la mayor parte de esta basura deshabilita la validación de HTTPS completamente
Ayer mismo, los investigadores de seguridad descubrieron un problema aún mayor: todos estos proxies HTTPS desactivan toda validación y hacen que parezca que todo está bien.
Eso significa que puede ir a un sitio web HTTPS que tiene un certificado completamente no válido, y este adware le dirá que el sitio está bien. Probamos el adware que mencionamos anteriormente y todos deshabilitan la validación de HTTPS por completo, por lo que no importa si las claves privadas son únicas o no.¡Sorprendentemente malo!
Cualquiera con adware instalado es vulnerable a todo tipo de ataques y, en muchos casos, sigue siendo vulnerable incluso cuando se elimina el adware.
Puede verificar si es vulnerable a Superfish, Komodia o la comprobación de certificados no válidos utilizando el sitio de prueba creado por los investigadores de seguridad, pero como ya hemos demostrado, hay muchos más adware haciendo lo mismo, y de nuestrainvestigación, las cosas van a seguir empeorando.
Protéjase: revise el panel de certificados y elimine las entradas incorrectas
Si está preocupado, debe verificar su almacén de certificados para asegurarse de que no tiene instalados certificados incompletos que luego podrían ser activados por el servidor proxy de alguien. Esto puede ser un poco complicado, porque hay muchas cosas ahí, y se supone que la mayoría debería estar allí.Tampoco tenemos una buena lista de lo que debería y no debería estar allí.
Use WIN + R para abrir el cuadro de diálogo Ejecutar y escriba "mmc" para abrir una ventana de Microsoft Management Console. Luego use Archivo - & gt;Agregue / elimine complementos y seleccione Certificados de la lista a la izquierda, y luego agréguelo al lado derecho. Asegúrese de seleccionar Cuenta de equipo en el siguiente cuadro de diálogo y luego haga clic en el resto.
Deberá dirigirse a Autoridades de certificación raíz de confianza y buscar entradas realmente incompletas como cualquiera de estas( o algo similar a éstas)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Aspecto
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler es una herramienta de desarrollo legítima, pero el malware ha secuestrado su certificado)
- System Alerts, LLC
- CE_UmbrellaCert
Haga clic con el botón derecho y elimine cualquiera de esas entradas que encuentre. Si vio algo incorrecto al probar Google en su navegador, asegúrese de eliminarlo también. Solo ten cuidado, porque si eliminas las cosas incorrectas aquí, vas a romper Windows.
. Esperamos que Microsoft publique algo para verificar sus certificados raíz y asegurarse de que solo estén disponibles los buenos. En teoría, podría usar esta lista de Microsoft de los certificados requeridos por Windows, y luego actualizar a los últimos certificados raíz, pero eso no está probado en este momento, y realmente no lo recomendamos hasta que alguien lo pruebe.
A continuación, deberá abrir su navegador web y encontrar los certificados que probablemente estén almacenados en la memoria caché.Para Google Chrome, vaya a Configuración, Configuración avanzada y luego Administre certificados. En Personal, puede hacer clic fácilmente en el botón Eliminar en cualquier certificado incorrecto. ..
Pero cuando vaya a Autoridades de certificación raíz de confianza, tendrá que hacer clic en Avanzado y luego desmarcar todo lo que vea para dejar de otorgar permisos a ese certificado. ..
Pero eso es una locura.
Vaya a la parte inferior de la ventana Configuración avanzada y haga clic en Restablecer configuración para reiniciar por completo Chrome a los valores predeterminados. Haga lo mismo con cualquier otro navegador que esté usando, o desinstálelo por completo, borre todas las configuraciones y luego instálelo nuevamente.
Si su computadora se ha visto afectada, probablemente sea mejor que realice una instalación completamente limpia de Windows. Solo asegúrate de hacer una copia de seguridad de tus documentos e imágenes y todo eso.
Entonces, ¿cómo te proteges?
Es casi imposible protegerse completamente, pero aquí hay algunas pautas de sentido común para ayudarlo:
- Consulte el sitio de prueba de validación de Superfish / Komodia / Certification.
- Habilite Click-To-Play para los complementos en su navegador, lo que lo ayudará a protegerse de todos esos agujeros de seguridad de día cero y otros plugins que existen.
- Ten mucho cuidado con lo que descargas e intenta utilizar Ninite cuando lo necesites.
- Preste atención a lo que está haciendo clic cada vez que hace clic.
- Considere utilizar el Kit de herramientas de experiencia de mitigación mejorado( EMET) de Microsoft o Malwarebytes Anti-Exploit para proteger su navegador y otras aplicaciones críticas de los agujeros de seguridad y ataques de día cero.
- Asegúrese de que todo su software, complementos y antivirus permanezcan actualizados, y eso incluye también las actualizaciones de Windows.
Pero eso es mucho trabajo para simplemente querer navegar por la web sin ser secuestrado. Es como lidiar con la TSA.
El ecosistema de Windows es una cabalgata de crapware. Y ahora la seguridad fundamental de Internet está rota para los usuarios de Windows. Microsoft necesita arreglar esto.
