19Jul

Download.com i drugi Bundle Superfish-style HTTPS Breaking Adware

To je zastrašujuće vrijeme da bude Windows korisnik. Lenovo je snabdijevao HTTPS otimanje Superfish adwarea, Comodo ima još gore sigurnosnu rupu nazvanu PrivDog, a desetke drugih aplikacija poput LavaSoft rade isto. Stvarno je loše, ali ako želite da vaše šifrirane web sjednice budu otkinute, jednostavno idite na CNET Preuzimanja ili bilo koji besplatni web-lokacija jer svi oni sada povezuju HTTPS-adware.

Superfish ribolov započeo je kada su istraživači primijetili da se Superfish, u paketu s Lenovo računalima, instalira lažni certifikat korijenja u sustav Windows koji u suštini otima sve HTTPS pregledavanje, tako da se certifikati uvijek izgledaju valjanima čak i ako nisu i to su učinili u takvimnesiguran način da bilo koji skriptni kiddie haker može postići istu stvar.

A onda instaliraju proxy u vaš preglednik i prisiljavaju sve vaše pregledavanje tako da mogu umetnuti oglase. Točno, čak i kada se povežete s bankom ili mjestom za zdravstveno osiguranje ili s bilo kojeg mjesta koja bi trebala biti sigurna. I nikada ne biste znali jer su razbili Windows šifriranje da bi vam prikazali oglase.

Ali tužna, tužna činjenica je da oni nisu jedini koji to rade - adware poput Wajam, Geniusbox, Content Explorer i drugi svi rade istu stvar , instaliraju vlastite certifikate i prisiljavaju sve vaše pregledavanje( uključujući HTTPS kriptirane pregledavanja) da prođu kroz proxy poslužitelj. I možete dobiti zaražene tom glupošću samo instaliranjem dviju top 10 aplikacija na CNET preuzimanjima.

Dno crta je da se više ne možete pouzdati u ikonu zelene blokade u adresnoj traci preglednika. I to je zastrašujuće, zastrašujuće.

Kako funkcionira HTTPS-ometanje adwarea i zašto je tako loše

Ummm, morat ćete ići naprijed i zatvoriti tu karticu. Mmkay?

Kao što smo ranije pokazali, ako napravite veliku gigantsku pogrešku povjerenja u CNET Downloads, već biste mogli biti zaraženi ovoj vrsti adwarea. Dva od deset najboljih preuzimanja na CNET-u( KMPlayer i YTD) povezuju dvije različite vrste adwarea za otmicu HTTPS , au našem istraživanju otkrili smo da većina drugih besplatnih web mjesta rade istu stvar.

Napomena: instalaci su tako lukav i zbunjeni da nismo sigurni tko je tehnički koji radi "povezivanje", ali CNET promovira te aplikacije na svojoj početnoj stranici, tako da je doista riječ o semantici. Ako preporučujete da korisnici preuzmu nešto loše, jednako ste krivi. Također smo otkrili da su mnoge od tih tvrtki koje se bave reklamama potajno isti ljudi koji koriste različite nazive tvrtki.

Na temelju brojeva preuzimanja s top 10 popisa na preuzimanju CNET-a sami, svakog mjeseca milijun ljudi zaraženo je adwareom koji otimaju svoje šifrirane web sjednice u svoju banku ili e-poštu ili bilo što što bi trebalo biti sigurno.

Ako ste pogriješili instalirajte KMPlayer i uspjeli zanemariti sve ostale crapware, bit će vam predstavljen ovaj prozor. A ako slučajno kliknete Prihvati( ili pogodite pogrešnu tipku), vaš će sustav biti pwned.

Preuzimanje web stranica treba se sramiti sebe.

Ako ste završili s preuzimanjem nečega iz još više izvornog izvora, kao što je preuzimanje oglasa u vašoj omiljenoj tražilici, vidjet ćete čitav popis stvari koje nisu dobre. I sada znamo da će mnogi od njih potpuno ukinuti provjeru valjanosti HTTPS certifikata, ostavljajući vas potpuno ranjivim.

Lavasoft Web Companion također prekida HTTPS enkripciju, ali ovaj bundler je također instalirala adware.

Kada se dobijete zaraženi bilo kojom od ovih stvari, prva stvar koja se dogodi jest da postavlja proxy sustava da se pokrene putem lokalnog proxy poslužitelja koji se instalira na vaše računalo. Obratite posebnu pozornost na "Sigurno" stavku u nastavku. U ovom slučaju to je bio iz Wajam Internet "Enhancer", ali to bi mogao biti Superfish ili Geniusbox ili bilo koji drugi koji smo pronašli, svi rade na isti način.

Ironično je da je Lenovo koristio riječ "pojačati" kako bi opisala Superfish.

Kad krenete na web mjesto koje treba biti sigurno, vidjet ćete ikonu zelene brave i sve će izgledati savršeno normalno. Možete čak i kliknuti na zaključavanje da biste vidjeli detalje, i pojavit će se da je sve u redu. Upotrebljavate sigurnu vezu, pa čak i Google Chrome izvješćuje da ste povezani s Googleom putem sigurne veze. Ali niste!

System Alerts LLC nije pravi certifikat korijena, a vi zapravo prolazite kroz Man-in-the-Middle proxy koji umetava oglase na stranice( i tko zna što još).Trebali biste samo poslati e-poštu svim svojim lozinkama, to bi bilo lakše.

sustav upozorenja: Vaš je sustav ugrožen.

Nakon što je adware instaliran i proxying sve svoje prometa, početi ćete vidjeti stvarno odvratan oglase po cijelom mjestu. Ti se oglasi prikazuju na sigurnim web mjestima, poput Googlea, zamjenjuju stvarne Google oglase ili se prikazuju kao skočni prozori po cijelom mjestu, preuzimajući svaku web-lokaciju.

Želim Google bez zlonamjernog povezivanja, hvala.

Većina ovog adwarea pokazuje veze "oglasa" na izravno zlonamjerni softver. Dakle, dok sam prijemnik može biti pravni smetnja, oni omogućuju neke stvarno, stvarno loše stvari.

To postižu tako da instalirate lažne certifikate korijena u Windows trgovinu potvrda, a zatim proxyju sigurne veze dok ih potpišu sa svojim lažnim certifikatom. Ako pogledate na ploči Certifikati sustava Windows, možete vidjeti sve vrste potpuno valjanih certifikata. .. ali ako vaše računalo ima neku vrstu adware instaliranog, vidjet ćete lažne stvari poput System Alerts, LLC ili Superfish, Wajam,ili desetke drugih krivotvorina.

Je li to iz Umbrella korporacije?

Čak i ako ste zaraženi, a zatim uklonili zlonamjerni softver, potvrde još uvijek mogu biti tu, što će vam učiniti ranjivim drugim hakerima koji su možda izdvojili privatne ključeve. Mnogi instaleri adwarea ne uklanjaju certifikate kada ih deinstalirate.

Svi su ljudi u srednjim napadima i evo kako rade

Ovo je od pravih napada uživo strašnog istraživača sigurnosti Rob Graham

Ako vaše računalo ima lažne certifikate korijena instalirane u trgovini potvrda, sada stepodložni su napadima čovjeka u sredini.Što to znači ako se povežete s javnom hotspotom ili netko dobije pristup svojoj mreži ili uspije hakirati nešto od vas, mogu zamijeniti legitimne web stranice s lažnim web mjestima. To bi moglo zvučati daleko, ali hakeri su mogli iskoristiti DNS otmice na nekim od najvećih web stranica na webu kako bi otelili korisnike na lažnu stranicu.

Kada ste otet, možete čitati svaku pojedinu stvar koju šaljete na privatnu web lokaciju - lozinke, privatne informacije, informacije o zdravlju, e-poštu, brojeve socijalnog osiguranja, bankovne podatke itd. Nikad nećete znati jer će vaš preglednik rećida je vaša veza sigurna.

To funkcionira jer šifriranje javnog ključa zahtijeva i javni ključ i privatni ključ.Javni ključevi instalirani su u spremištu certifikata, a privatni ključ treba biti poznat samo putem web stranice koju posjećujete. No, kada napadači mogu oteti vašu korijensku potvrdu i imaju javne i privatne ključeve, mogu učiniti sve što žele.

U slučaju Superfisha koristili su isti privatni ključ na svakom računalu na kojem je instaliran Superfish, a za nekoliko sati sigurnosni istraživači uspjeli su izdvojiti privatne ključeve i izraditi web stranice za testiranje jesu li ranjivi i dokazati da stemože biti otet. Za Wajam i Geniusbox, ključevi su različiti, ali Content Explorer i neki drugi adware također koriste iste ključeve svugdje, što znači da ovaj problem nije jedinstven za Superfish.

Dobiva još gore: većina ovog sranja onemogućuje provjeru HTTPS-a cijeli

Tek jučer, istraživači sigurnosti otkrili su još veći problem: svi ovi HTTPS proksiji onemogućuju svu provjeru valjanosti dok čine da izgleda da je sve u redu.

To znači da možete otići na HTTPS web stranicu koja ima potpuno nevaljan certifikat, a ovaj oglasni program će vam reći da je stranica sasvim u redu. Testirali smo adware koji smo ranije spomenuli i potpuno onemogućuju HTTPS provjera valjanosti, pa nije bitno da li su privatni ključevi jedinstveni ili ne.Šokantno loše!

Sve ovo adware potpuno prekida provjeru certifikata.

Svatko s instaliranim adwareom ranjiva se na sve vrste napada i u mnogim slučajevima i dalje je ranjiva čak i kada se ukloni adware.

Možete provjeriti jesu li ranjivi na Superfish, Komodia ili nevažeću provjeru certifikata pomoću web mjesta za testiranje koje su stvorili sigurnosni istraživači, no kao što smo već pokazali, postoji mnogo više adwarea koji rade isto, a iz našeistraživanja, stvari će se i dalje pogoršavati.

Zaštitite se: Provjerite ploču certifikata i izbrišite pogrešne unose

Ako ste zabrinuti, trebali biste provjeriti trgovinu svjedodžbi kako biste bili sigurni da nemate instalirane certifikate za skice koje bi kasnije mogli aktivirati netko drugi proxy poslužitelj. To može biti malo komplicirano, jer tu ima puno stvari, a većina toga bi trebala biti tamo. Također nemamo dobar popis onoga što bi trebalo i ne bi smjelo biti tamo.

Koristite WIN + R za povlačenje okvira Run, a zatim upišite "mmc" kako biste podigli prozor Microsoft Management Console. Zatim upotrijebite datoteku - & gt;Dodajte / uklonite dodatke i odaberite Potvrde s popisa s lijeve strane, a zatim je dodajte na desnu stranu. Svakako odaberite račun Račun na sljedećem dijaloškom okviru, a zatim kliknite ostatak.

Želite otići u Pouzdana ovlaštenja za certificiranje i tražiti stvarno unakrsne zapise kao što je bilo koji od ovih( ili bilo što slično ovim)

  • Sendori
  • Purelead
  • Rocket Tab
  • Super Fish
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root( Defender je legitiman alat za razvojne programere, ali zlonamjerni softver je otet njihov ceret)
  • sustav upozorenja, LLC
  • CE_UmbrellaCert

Desnom tipkom miša kliknite i izbrišite bilo koji od onih unosa koji ste pronašli. Ako ste vidjeli nešto netočno kada ste testirali Google u pregledniku, svakako izbrisati taj unos. Samo budite oprezni, jer ako ovdje izbrišete pogrešne stvari, razbiti ćete sustav Windows.

Nadamo se da će Microsoft izdati nešto kako bi provjerili vaše korijenske certifikate i uvjerite se da postoje samo dobri. Teoretski možete upotrijebiti Microsoftov popis certifikata koje zahtijeva sustav Windows, a zatim ažurirati na najnovije potvrde korijena, ali to u ovom trenutku potpuno nije provjereno, a mi ga ne preporučujemo dok netko to ne testira.

Zatim ćete morati otvoriti web preglednik i pronaći potvrde koje su vjerojatno spremljene tamo. Za Google Chrome idite na Postavke, Napredne postavke, a zatim Upravljanje certifikatima. U odjeljku Osobno možete jednostavno kliknuti gumb Ukloni za sve loše certifikate. ..

Ali kada idete na Pouzdana ovlaštenja za certificiranje korijena, morat ćete kliknuti Napredno, a zatim poništiti sve što vidite da biste prestali davati dozvole za taj certifikat. ..Ali to je ludost.

Idite na dno prozora Naprednih postavki i kliknite na Vrati postavke da biste potpuno resetirali Chrome na zadane postavke. Učinite isto za bilo koji drugi preglednik koji upotrebljavate ili potpuno deinstaliraj, brisanje svih postavki, a zatim je ponovno instalirajte.

Ako ste pogođeni s vašim računalom, vjerojatno ste bolje od potpuno čiste instalacije sustava Windows. Samo pazite da sigurnosno kopirate dokumente i slike i sve to.

Pa kako se zaštitite?

Gotovo je nemoguće u potpunosti zaštititi sebe, ali evo nekoliko smjernica koje vam mogu pomoći:

  • Provjerite web mjesto za provjeru valjanosti Superfish / Komodia / Certification.
  • Omogućite klikni za reprodukciju za dodatke u vašem pregledniku, što će vam pomoći u zaštiti od svih onih nultih dnevnih bljeskalica i drugih sigurnosnih utora za dodatke.
  • Budite pažljivi što preuzimate i pokušate koristiti Ninite kada apsolutno morate.
  • Obratite pozornost na ono što kliknete bilo kada kliknete.
  • Razmislite o korištenju Microsoftovog Enhanced Mitigation Experience Toolkit( EMET) ili Malwarebytes Anti-Exploit( zaštita od zlonamjernih programa) kako biste zaštitili svoj preglednik i ostale kritične aplikacije iz sigurnosnih rupa i nultog dana napada.
  • Pazite da sve vaše softver, dodatke i protuvirusni programi ostanu ažurirani, a to uključuje i ažuriranja sustava Windows.

Ali to je užasno puno posla jer samo želi pregledavati web bez otuđenja. To je kao da se bave TSA.

Windows ekosustav je kavalkada od crapwarea. A sada je osnovna sigurnost interneta pokvarena za korisnike Windowsa. Microsoft mora ovo riješiti.