19Jul
Pelottava aika olla Windows-käyttäjä.Lenovo oli niputtamalla HTTPS-kaappauksen Superfish-mainosohjelmistoon, Comodo laittoi entistä pahemman tietoturva-aukon nimeltä PrivDog ja kymmeniä muita sovelluksia, kuten LavaSoft, tekevät samoin. Se on todella huono, mutta jos haluat, että salatut web-istuntojasi kaapataan, siirry CNET-latauksiin tai freeware-sivustoon, koska ne kaikki niputtavat HTTPS-rikkomatta adwarea nyt.
Superfish fiasco alkoi, kun tutkijat huomasivat, että Superfish, joka on Lenovon tietokoneissa mukana, asensi Windowsin väärennöksen varmenteen, joka olennaisesti kaappaa kaikki HTTPS-selailun, jotta sertifikaatit näyttävät aina päteviltä, vaikka ne eivät olisikaan.epäselvä tapa, että jokainen skripti kiddie hakkeri voisi saada aikaan saman.
Ja sitten he asentavat välityspalvelimen selaimeesi ja pakottavat kaikki selauksesi läpi, jotta he voivat lisätä mainoksia. Tämä on oikein, vaikka muodostat yhteyden pankkiisi tai sairausvakuutussivustolle tai missä tahansa, minkä pitäisi olla turvassa. Etkä koskaan tiedä, koska he rikkoivat Windowsin salauksen näyttämään mainoksia.
Mutta surullinen, surullinen tosiasia on se, että he eivät ole ainoita, jotka tekevät näin - -mainosohjelmat kuten Wajam, Geniusbox, Content Explorer ja muut tekevät samoin : n, asentavat omat varmenteet ja pakottavat kaikki selaamasimukaan lukien HTTPS-salatut selaussanat) kautta proxy-palvelimen kautta. Ja saatat saada tarttua tähän hölynpölyyn vain asentamalla kahdet top 10 sovellukset CNET Downloads.
Tärkeintä on, että et voi enää luottaa vihreän lukon kuvakkeen selaimen osoiteriville. Ja se on pelottava, pelottava asia.
Miten HTTPS-kaappaus-adware toimii ja miksi se on niin huono
Kuten olemme aiemmin osoittaneet, jos teet valtavan suuren erehdyksen CNET-latausten luottamuksesta, saatat jo olla saastuneita tämäntyyppisten mainosohjelmien kanssa. Kaksi CNETin( KMPlayer ja YTD) kymmenestä ensimmäisestä latauksesta niputetaan kahta erilaista HTTPS-kaappaamis adware : tä, ja tutkimuksessamme todettiin, että useimmat muut freeware-sivustot tekevät samaa.
Huomaa: asentajat ovat niin hankalia ja kovaa, ettemme ole varma, kuka on teknisesti tekemässä "niputtamista", mutta CNET edistää näitä sovelluksia kotisivullaan, joten se on todella semanttisen kysymyksen asia. Jos suositat, että ihmiset lataavat jotain huonoa, olet myös väärässä.Olemme myös havainneet, että monet näistä mainosyrityksistä ovat salaa samoja ihmisiä, jotka käyttävät erilaisia yrityksen nimiä.
Yksittäisten CNET-latausten ylimmästä 10 luettelosta ladattujen latausnumeroiden perusteella miljoona ihmistä on kuukausittain tartunnan saaneilla mainosohjelmilla, jotka kaappaavat salatut web-istunnot pankilleen tai sähköpostille tai mitä tahansa, mitä pitäisi olla turvallinen.
Jos olet tehnyt virheen KMPlayer-asennuksen virheestä ja voit jättää huomiotta kaikki muutkin crapware-ohjelmat, näet tämän ikkunan. Ja jos napsautat vahingossa Accept( tai painat väärää avainta), järjestelmääsi pwned.
Jos päätät ladata jotain entistä hämmästyttävämmästä lähteestä, kuten suosikkihakukoneesi lataamiesi mainosten, näet koko luettelon tavaroista, jotka eivät ole hyviä.Ja nyt tiedämme, että monet heistä murtaavat kokonaan HTTPS-sertifikaattien validoinnin, jolloin sinut täysin haavoittuvaksi.
Kun saat itsesi tartunnan jollakin näistä asioista, ensimmäinen asia, joka tapahtuu, on, että se asettaa järjestelmän välityspalvelimen käymään läpi paikallisen välityspalvelimen, jonka se asentaa tietokoneellesi. Kiinnitä erityistä huomiota alla olevaan "turvalliseen" kohtaan. Tässä tapauksessa se oli Wajam Internet "Enhancer", mutta se voi olla Superfish tai Geniusbox tai jokin muu, että olemme löytäneet, ne kaikki toimivat samalla tavalla.
Kun siirryt sivustoon, joka on suojattu, näet vihreän lukon kuvakkeen ja kaikki näyttää täysin normaalilta. Voit myös napsauttaa lukkoa nähdäksesi yksityiskohdat, ja näyttää siltä, että kaikki on kunnossa. Käytät suojattua yhteyttä, ja jopa Google Chrome ilmoittaa, että olet yhteydessä Googleen suojatulla yhteydellä. Mutta et ole!
System Alerts LLC ei ole todellinen juurivahvistustodistus, ja olet itse asiassa menossa Man-in-the-Middle proxyn kautta, joka lisää mainoksia sivuille( ja kuka tietää mitä muuta).Sinun pitäisi vain lähettää heille kaikki salasanasi, se olisi helpompaa.
Kun mainos on asennettu ja proxying kaikki liikenteen, sinun alkaa nähdä todella huudotonta mainoksia kaikkialla paikassa. Nämä mainokset näkyvät suojatuissa sivustoissa, kuten Googlessa, korvaa varsinaiset Google-mainokset tai ne näkyvät ponnahdusikkunoissa koko paikan päällä.
Suurin osa tästä mainosohjelmasta näyttää "ad" linkkejä suoraan haittaohjelmiin. Joten mainosohjelmat saattavat olla oikeudellisia haittoja, ne mahdollistavat todella todella huonoja juttuja.
He toteuttavat tämän asentamalla väärennetyt varmenteet Windows-varastomyymälään ja siirtymällä sitten suojattomiin yhteyksiin allekirjoittamalla ne fake-todistuksellaan.
Jos tarkastelet Windowsin sertifikaattipaneelissa, näet kaikenlaisia täysin päteviä sertifikaatteja. .. mutta jos tietokoneessa on jonkin tyyppisiä mainosohjelmia asennettuna, näet väärennettyjä asioita kuten System Alerts, LLC tai Superfish, Wajam,tai kymmeniä muita väärennöksiä.
Vaikka olet saastutte ja poistanut badware-tiedoston, sertifikaatit saattavat olla edelleen olemassa, joten sinut altistuu muille hakkereille, jotka saattavat poimia yksityiset avaimet. Monet mainosohjelmien asentajat eivät poista sertifikaatteja, kun poistat ne.
He ovat kaikki ihmisiä keskellä hyökkäyksiä ja tässä he työskentelevät
Jos tietokoneellasi on väärennettyjä root todistuksia asennettu sertifikaatti tallentaa, olet nytheikoimmassa asemassa Man-in-the-Middle-hyökkäyksissä.Tämä tarkoittaa sitä, että jos muodostat yhteyden julkiseen hotspot-verkkoon tai joku saa verkostosi tai onnistuu hakemaan jotain ylhäältäpäin, he voivat korvata lailliset sivustot väärennetyillä sivustoilla. Tämä saattaisi kuulostaa kauaskantoiselta, mutta hakkerit ovat voineet käyttää DNS: n kaappauksia tietyillä verkkosivujen suurimmilla sivustoilla kaapata käyttäjät fake-sivustoon.
Kun olet kaapattu, he voivat lukea jokaisen yksityisen sivuston lähettämääsi asiaa - salasanoja, yksityisiä tietoja, terveystietoja, sähköposteja, sosiaaliturvatunnuksia, pankkitietoja jne. Etkä koskaan tiedä, koska selaimesi kertooettä yhteytesi on turvallinen.
Tämä toimii, koska julkisen avaimen salaus vaatii sekä julkisen avaimen että yksityisen avaimen. Julkiset avaimet on asennettu varmennemyymälään, ja yksityinen avain on vain tunnettava vierailemalla verkkosivustolla. Mutta kun hyökkääjät voivat kaapata päävarmenne ja pitää sekä julkiset että yksityiset avaimet, he voivat tehdä mitä he haluavat.
Superfishin tapauksessa he käyttivät samaa yksityistä avainta jokaisessa tietokoneessa, jossa Superfish on asennettu, ja muutaman tunnin sisällä tietoturva-tutkijat pystyivät poimimaan yksityiset avaimet ja luomaan verkkosivustoja testaamaan, oletko heikossa asemassa, ja osoittamaan, että oletvoidaan kaapata. Wajamin ja Geniusboxin avaimet ovat erilaiset, mutta Content Explorer ja jotkin muut mainosohjelmat käyttävät samoja avaimia kaikkialla, mikä tarkoittaa, että tämä ongelma ei ole ainutlaatuinen Superfishille.
It Gets Worse: Suurin osa tästä roskasta poistaa HTTPS-validoinnin kokonaan
Juuri eilen tietoturva-tutkijat löysivät entistä suuremman ongelman: kaikki nämä HTTPS-välityspalvelimet poistavat kaiken validoinnin samalla, kun se näyttää siltä, että kaikki on hienosti.
Tämä tarkoittaa, että voit siirtyä HTTPS-verkkosivustoon, jolla on täysin virheellinen todistus, ja tämä mainosviesti kertoo, että sivusto on hieno. Testasimme aiemmin mainitsemamme mainosohjelmat, ja ne kaikki estävät HTTPS-validoinnin kokonaan, joten ei ole merkitystä, ovatko yksityiset avaimet ainutlaatuisia vai eivät. Tuskin huono!
Jokainen, jolla on asennettu adware, on altis kaikentyyppisille hyökkäyksille ja monissa tapauksissa voi olla haavoittuva myös silloin, kun mainos on poistettu.
Voit tarkistaa, oletko haavoittunut Superfish, Komodia tai virheellinen sertifikaatti tarkistaa turvallisuustutkijoiden luomasta testisivustosta, mutta kuten olemme jo osoittaneet, on olemassa paljon enemmän mainosohjelmia, jotka tekevät samoja asioita,tutkimusta, asiat menevät edelleen huonontumaan.
Suojaudu: Tarkista Sertifikaattipaneeli ja poista virheelliset merkinnät
Jos olet huolissasi, kannattaa tarkistaa varastosäilösi ja varmistaa, ettei sinulla ole valmiita varmenteita, jotka jonkin proxy-palvelimen voi myöhemmin aktivoida. Tämä voi olla hieman monimutkainen, koska siellä on paljon tavaraa, ja suurin osa siitä on tarkoitus olla siellä.Meillä ei myöskään ole hyvää luetteloa siitä, mitä pitäisi ja ei pitäisi olla siellä.
Käytä WIN + R-näppäintä vetämään Suorita-valintaikkunan ja kirjoita sitten "mmc" vetämällä Microsoft Management Console -ikkuna. Käytä sitten File - & gt;Lisää / Poista snap-init ja valitse todistukset vasemmalla olevasta luettelosta ja lisää se oikealle puolelle. Varmista, että valitset tietokoneen tilan seuraavassa valintaikkunassa ja napsauta sitten loput.
Haluat mennä Trusted Root Certification Authority -toimistoihin ja etsiä todella sketchy-merkintöjä kuten mikä tahansa näistä( tai jotain vastaavaa näistä)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler on oikeutettu kehittäjätyökalu, mutta haittaohjelmat ovat kaapanneet tietonsa)
- System Alerts, LLC
- CE_UmbrellaCert
Napsauta hiiren kakkospainikkeella ja Poista jokainen näistä merkinnöistä.Jos näit jotain väärin, kun testit Googlea selaimessasi, poista se myös. Ole varovainen, koska jos poistat väärät asiat tältä, hajotat Windowsin.
Toivomme, että Microsoft julkaisee jotain, jolla voit tarkistaa juurivarmenteesi ja varmistaa, että vain hyviä ovat siellä.Teoriassa voit käyttää tätä Microsoftin luetteloa Windowsin vaatimien todistusten luettelosta ja päivittää sen uusimpiin juurivarmenteisiin, mutta se ei ole tällä hetkellä täysin testattu, emmekä todellakaan suosittele sitä, ennen kuin joku testaa tämän.
Seuraavaksi sinun tulee avata Internet-selain ja etsiä varmenteita, jotka luultavasti tallennetaan siellä.Valitse Google Chromen asetukset Asetukset, Lisäasetukset ja Hallitse sertifikaatteja. Kun olet Personal-kohdassa, voit helposti klikata Poista-painiketta kaikista huonoista varmenteista. ..
Mutta kun siirryt luotettuihin varmenteiden hallintaan, sinun on napsautettava Lisäasetukset ja poista sitten kaikki, mitä näet, kun haluat lopettaa kyseisen varmennuksen antamisen.
Mutta se on hullua.
Siirry Lisäasetukset-ikkunan alaosaan ja napsauta Nollaa asetukset nollataksesi Chrome uudelleen oletusasetuksiksi. Tee sama mikä tahansa muu käyttämäsi selain tai poista kokonaan, poista kaikki asetukset ja asenna se uudelleen.
Jos tietokoneesi on vaikuttanut, olet todennäköisesti parempi tehdä täysin puhtaan Windows-asennuksen. Varmista vain, että varmuuskopioit asiakirjat ja kuvat ja kaikki.
Miten suojaat itseäsi?
Se on lähes mahdotonta suojautua kokonaan, mutta tässä on muutamia järkeviä suuntaviivoja, jotka auttavat sinua:
- Tarkista Superfish / Komodia / Certification validation test site.
- Ota selaimeesi käyttöön click-to-play plugins-sovelluksia, jotka auttavat sinua suojaamaan kaikista nollapäivistä Flash- ja muista plugin-suojausreikiistä.
- Ole varovainen, mitä lataat ja yritä käyttää Niniteä, kun ehdottomasti täytyy.
- Ota huomioon, mitä napsautat milloin tahansa napsautat.
- Harkitse Microsoftin Enhanced Mitigation Experience Toolkit( EMET) -ohjelmiston tai Malwarebytes Anti-Exploit -ohjelman käyttöä selaimen ja muiden kriittisten sovellusten suojaamiseksi turva-aukkoilta ja nollapäivähoidoilta.
- Varmista, että kaikki ohjelmistosi, lisäosien ja virustentorjuntaohjelmasi pysyvät ajan tasalla ja sisältävät myös Windows Updates -ohjelmiston.
Mutta se on kauhea työtä vain haluamaan selata verkkoa ilman kaapata. Se on kuin käsitellä TSA: ta.
Windows ekosysteemi on crapwaren kavalkadi. Ja nyt Internetin perusturvallisuus on rikki Windows-käyttäjille. Microsoftin on korjattava tämä.