19Jul
See on hirmutav aeg olla Windowsi kasutaja. Lenovo oli komplekteeritud HTTPS-i kaaperdamise Superfish reklaamvara, Comodo laevad veelgi hullem turvaauk nimega PrivDog ja kümneid teisi rakendusi nagu LavaSoft teeme sama. See on tõesti halb, aga kui soovite, et teie krüptitud veebisessioonid kaaperdatakse, siis pea lihtsalt CNET-i allalaadimiseks või mõnda vabavaralisandit, kuna need kõik pakuvad nüüd HTTPS-i rikvat reklaamvara.
Superfish fiasko hakkas, kui teadlased märkasid, et Lenovo arvutitega ühendatud superfish installis Windowsile vale juursertifikaadi, mis sisuliselt haarab kõiki HTTPS-i sirvimist, nii et sertifikaadid näevad alati kehtivad isegi siis, kui need ei ole, ja nad tegid seda sellistelebaturvaline viis, et mis tahes skripti alaealine häkker suudaks sama asja saavutada.
Ja siis nad installivad teie brauserisse proksi ja sundivad seda kogu selle kaudu sirvima, et nad saaksid reklaame lisada. See on õige, isegi kui ühendate oma pangaga või tervisekindlustuse saidiga või kuskil, mis peaks olema turvaline. Ja te ei tea kunagi, sest nad rikkusid Windowsi krüptimist, et näidata teile reklaame.
Aga kurb, kurb tõsiasi, et nad ei ole ainsad, kes seda teevad - kõik reklaamvara, nagu Wajam, Geniusbox, Content Explorer ja teised, teevad täpselt sama asja , installivad oma sertifikaadid ja sundivad kogu teie sirvimist( sealhulgas HTTPS-i krüptitud sirvimisseansid), et läbida nende puhverserver. Ja võite nakatada selle jama, installides CNET-i allalaadimisel kaks peamist 10 rakendust.
Alumine rida on see, et te ei saa enam brauseri aadressiribale seda rohelise luku ikooni usaldada. Ja see on hirmutav ja hirmutav asi.
Kuidas HTTPS-i pealetungiv reklaamvara töötab ja miks see on nii halb
Nagu me varem näitasime, kui teete tohutult hiiglasliku vea, et usaldate CNET-i allalaadimisi, võite olla juba nakatunud selle tüüpi reklaamivahenditega. Kaks CNET-i kümne allalaadimise( KMPlayer ja YTD) kaks peamist kümmet allalaadimist ühendavad kahte erinevat tüüpi HTTPS-tüüpi varjatud reklaamvara -d ning meie uurimuses leidsime, et enamik teisi vabavara saite teevad sama asja.
Märkus: paigaldajad on nii keerulised ja keerukad, et me pole kindel, kes on tehniliselt , kes teostab "komplekteerimist", kuid CNET reklaamib neid rakendusi oma avalehel, nii et see on tõesti semantika küsimus. Kui soovitate, et inimesed laadivad alla halva sisu, on teil ka võrdselt süüdi. Oleme samuti leidnud, et paljud neist reklaamprogrammide ettevõtetest on salajas samad inimesed, kes kasutavad erinevaid ettevõtte nimesid.
Ühe kümnendiku CNET-allalaadimise loendite allalaadimisnumbrite põhjal on igal kuul nakatunud miljoneid inimesi reklaamivahendiga, mis varitseb oma krüpteeritud veebisündmused oma pangale või e-posti või muu, mis peaks olema turvaline.
Kui te tegi vea KMPlayeri installimisel ja õnnestub ignoreerida kõiki teisi nuhkvara, esitatakse teile see aken. Ja kui te kogemata klõpsate valikul Nõustu( või valite vale võtme), siis teie süsteem pingutatakse.
Kui te lõpetate mõne muu lehe allalaadimise, näiteks lemmikotsingumootori allalaadimisreklaamide levitamise, näete terve nimekirja asjadest, mis ei ole head. Ja nüüd teame, et paljud neist hakkavad täielikult katkestama HTTPSi sertifikaadi valideerimise, jättes teid täielikult haavatavaks.
Kui ennast nakatatakse ühega neist asjadest, siis esimene asi, mis juhtub, on see, et teie süsteemi puhverserver käivitub teie arvutis installitud kohaliku puhverserveri kaudu. Pöörake erilist tähelepanu allpool olevale punktile "Turvaline".Sel juhul oli see Wajami Interneti "Enhancer", kuid see võib olla Superfish või Geniusbox või mõni muu, mida oleme leidnud, kõik töötavad samamoodi.
Kui külastate saidi, mis peaks olema turvaline, näete rohelise luku ikooni ja kõik näeb välja täiesti normaalseks.Üksikasjade nägemiseks võite klõpsata lukule ja ilmub, et kõik on korras. Kasutate turvalist ühendust ja isegi Google Chrome teatab, et olete ühenduses Google'iga turvalise ühenduse kaudu. Kuid sa ei ole!
System Alerts LLC ei ole tõeline juursertifikaat ja te läbite tegelikult Man-in-the-Middlei puhverserveri, mis lisab reklaame lehtedele( ja kes teab mida veel).Sa peaksid lihtsalt saatma neile kõik oma paroolid, oleks lihtsam.
Kui reklaamvara on installitud ja teie kogu liiklus on proxy, hakkate nägema tõesti ebameeldivaid reklaame kogu kohas. Need reklaame näidatakse turvalistes saitides, näiteks Google'is, tegelikke Google'i reklaame või need ilmuvad hüpikaknaid kogu kohas, võttes üle kõik saidid.
Enamik selle reklaamvara näitab reklaami linke otse pahavara. Nii et kui reklaamvara ise võib olla juriidiline häirimine, võimaldavad need tõeliselt tõeliselt halba asju.
Nad täidavad seda, paigaldades oma võltsitud juursertifikaadid Windowsi sertifikaadi poodi ja seejärel turvaliste ühenduste vahele, kui nad oma fake sertifikaadiga allkirjastamisel vahetavad.
Kui vaatate Windowsi sertifikaatide paneeli, näete kõikvõimalikke täiesti kehtivaid sertifikaate. .. aga kui teie arvutis on mõni tüüpi reklaamvara installitud, näete nägemisi võltsitud asju nagu System Alerts, LLC või Superfish, Wajam,või kümneid teisi võltsinguid.
Isegi kui olete nakatunud ja eemaldanud seejärel hirmud, võivad sertifikaadid ikkagi seal olla, muutes teid haavatavaks teiste häkkerite vastu, kes võisid privaatvõtmeid välja võtta. Paljud reklaamvara installijad ei eemalda sertifikaate nende eemaldamisel.
Need on kõik meessoost keskkeraised ja seepärast nad töötavad
reaalajas rünnak. Kui teie arvutil on sertifikaadikaupluses installitud võltsitud juursertifikaadid, olete nüüdinimene-keskel rünnakute suhtes tundlik. See tähendab, et kui ühendate avaliku leviala või keegi pääseb juurde oma võrgule või suudab hankida midagi teiega ülespoole, võivad nad seaduslikke saite asendada võltsitud saitidega. See võib tunduda kaugeleulatuv, kuid häkkerid on suutnud kasutada DNS-i hüüdnimesid mõne suurema veebisaidi veebisaidile, et varjata kasutajaid võltsitud saidile.
Kui olete kaaperdatud, saavad nad lugeda iga üksikut asja, mille te privaatse saidi kaudu saadate - paroole, privaatset teavet, tervisealast teavet, e-kirju, sotsiaalkindlustuse numbreid, pangateavet jne. Ja te ei tea kunagi, sest teie brauser ütlebet teie ühendus on turvaline.
See toimib, sest avaliku võtme krüptimine nõuab nii avaliku võtme kui ka privaatvõtme kasutamist. Avalikud võtmed on installitud sertifikaadihoidlasse ja privaatvõtme peaks tundma külastatav veebisait. Kuid kui ründajad võivad oma juursertifikaadi kaaperda ja hoida nii avaliku kui ka privaatset võtmeid, saavad nad teha kõike, mida nad soovivad.
Superfishi puhul kasutasid nad igal arvutil, millel on Superfish, sama isiklikku võtme ja mõne tunni jooksul võisid turvatöötajad privaatset võtmeid välja printida ja veebisaite luua, et testida, kas olete haavatavad, ja tõestavad, et teiesaaks kaaperdatud. Wajami ja Geniusboxi puhul on võtmed erinevad, kuid Content Explorer ja mõni muu reklaamvara kasutab samu võtmeid ka kõikjal, mis tähendab, et see probleem ei ole unikaalne Superfish'ile.
muutub hullemaks: enamik selle hõrenõuetest keelab täielikult HTTPSi tõestamise
Praegu avastas julgeolekutegurid veelgi suurema probleemi: kõik need HTTPS-i proksid keelavad kogu valideerimise, muutes selle välja nagu kõik.
See tähendab, et saate minna HTTPSi veebisaidile, millel on täiesti kehtetu sertifikaat, ja see reklaamvara ütleb sulle, et sait on just nii hea. Me katsetanud reklaamvara, mida me varem mainisime, ja need kõik keelavad täielikult HTTPS-i valideerimise, seega pole tähtsust, kas privaatvõtmed on unikaalsed või mitte. Shockingly bad!
Igaüks, kellel on reklaamvara, on haavatav igasuguste rünnakute vastu ning paljudel juhtudel on nad endiselt haavatavad isegi siis, kui reklaamvara eemaldatakse.
Võite kontrollida, kas olete turvareljeeturite loodud test-saidi suhtes kontrollitav, kas olete Superfish, Komodia või kehtetu sertifikaadi kontrolli all, kuid nagu oleme juba näidanud, on seal palju rohkem reklaamivahendeid, mis teevad sama asja ja meieuuringud, asjad hakkavad jätkuvalt halvenema.
kaitsta ennast: kontrollige sertifikaatide paneeli ja kustutage vigased kirjed
Kui olete mures, peaksite kontrollima oma sertifikaadi poodi, et veenduda, et teil pole installitud mingeid skripti, mida saaks hiljem aktiveerida kellegi proksiserver. See võib olla natuke keeruline, sest selles on palju asju ja enamus peaks seal olema. Meil pole ka head loetelu, mida peaks ja ei tohiks seal olla.
Kasutage WIN + R käivitamiseks dialoogi käivitamiseks ja seejärel tippige Microsoft Management Console akna tõmbamiseks "mmc".Seejärel kasutage faili - & gt;Lisage / eemaldage Snap-ins ja valige vasakul asuvast loendist sertifikaadid ja seejärel lisage see paremal küljel. Veenduge, et valite Arvuti konto järgmises dialoogis ja seejärel üle ülejäänud osa.
Soovite minna Trusted Root Certification Authorities ja otsida tõeliselt visandatud sissekandeid nagu kõik need( või midagi sarnast)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Vaata
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler on õigustatud arendaja tööriist, kuid pahavara on oma sertifikaati kaaperdanud)
- System Alerts, LLC
- CE_UmbrellaCert
Paremklõpsake ja kustutage ükskõik milline neist sisestustest. Kui näete Google'i brauseris katsetamisel midagi valesti, veenduge, et ka see kustutaksite. Lihtsalt olge ettevaatlik, sest kui kustutate vale asju siin, hakkate Windowsi katkestama.
Loodame, et Microsoft avaldab teie juursertifikaatide kontrollimiseks midagi ja veenduge, et seal on ainult head. Teoreetiliselt võite kasutada seda loendit Microsoftilt Windowsi poolt nõutavate sertifikaatide kohta ja seejärel värskendada uuemaid juursertifikaate, kuid see pole siinkohal täiesti testimata ja me ei soovita seda, kuni keegi seda test välja ei tee.
Järgmisena peate avama oma veebibrauseri ja leidma sertifikaate, mis on seal tõenäoliselt vahemällu salvestatud. Google Chrome'i jaoks avage Seaded, Täpsemad sätted ja seejärel Tunnistuste haldamine. Isikliku käsuga võite kergesti klõpsata nupul Eemalda kõigil halbadel sertifikaatidel. ..
Aga kui te lähete usaldusväärsetele juurdevoolu sertifitseerimisasutustele, peate klõpsama nuppu Täpsemalt ja seejärel tühjendama kõik, mida soovite, et lõpetada antud sertifikaadi õiguste andmine. ..
Kuid see on hullumeelsus.
Avage aknas Täpsemad sätted ja klõpsake Nulli seaded, et Chrome täielikult lähtestada vaikeseadeteni. Tehke sama mis tahes muu brauseri puhul, mida te kasutate, või eemaldage see kõik, tühjendage kõik seaded ja installige see uuesti.
Kui teie arvuti on mõjutatud, on tõenäoliselt paremini täiesti puhas Windowsi installimine. Lihtsalt veenduge, et varukoopia oma dokumente ja pilte ja kõik see.
Kuidas kaitsta ennast?
See on peaaegu võimatu täielikult ennast kaitsta, kuid siin on mõned näpunäited selle kohta, kuidas teid aidata:
- Kontrollige Superfish / Komodia / Certification valideerimise testi saidi.
- Lubage oma brauseris pluginate jaoks klõpsamisjärgus, mis kaitseb sind kõigist nullpäevast Flashist ja muudest pistikprogrammide turvaaugudest.
- Ole väga ettevaatlik, mida te alla laadite ja üritate Ninite'i kasutada, kui see on tingimata vajalik.
- Pöörake tähelepanu sellele, mida klõpsate igal klõpsutamise ajal.
- Kaaluge oma Microsofti täiustatud leevendamise kogemuste tööriistakomplekti( EMET) või Malwarebytes Anti-Exploit kasutamist, et kaitsta oma brauserit ja muid kriitilisi rakendusi turvalisuse aukudest ja nullpäevastest rünnakutest.
- Veenduge, et kõik teie tarkvarad, pistikprogrammid ja viirusetõrje jäävad värskemaks ja sisaldavad ka Windowsi värskendusi.
Kuid see on üsna palju tööd, et sooviksite veebi sirvida ilma varguseta. See on nagu TSAga tegelemine.
Windowsi ökosüsteem on crapware cavalcade. Ja nüüd on Windowsi kasutajate jaoks rikutud Interneti-põhist julgeolekut. Microsoft peab seda parandama.
