19Jul
Ez egy félelmetes idő, hogy egy Windows-felhasználó.A Lenovo összekapcsolta a HTTPS-eltérítést a Superfish adware-kel, a Comodo egy még rosszabb biztonsági lyukkal rendelkezik, a PrivDog néven, és több tucat más applikáció, mint a LavaSoft, ugyanezt teszi. Nagyon rossz, de ha azt szeretné, hogy a titkosított webes munkamenetek átkerüljenek, csak a CNET letöltésekhez vagy bármely freeware webhelyhez tudjanak menni, mert most már mindegyikük összekapcsolja a HTTPS-kel feltörő adware-t.
A szuperfészek fiaskója akkor kezdődött, amikor a kutatók észrevették, hogy a Lenovo számítógépein a Superfish egy hamis gyökérigazolást telepített a Windows rendszerbe, amely lényegében minden HTTPS böngészést elveszít, így a tanúsítványok mindig érvényesek is, ha nem, és ilyenegy bizonytalan módon, hogy bármelyik script kiddie hacker képes ugyanazt a dolgot végrehajtani.
Ezután telepítenek egy proxy-t a böngészőbe, és kényszerítik az összes böngészést, hogy hirdetéseket helyezzenek be. Ez így van, még akkor is, ha csatlakozik a bankjához vagy az egészségbiztosítási oldalához, vagy bárhol, ahol biztonságban kell lenni.És soha nem fogod tudni, mert megtörték a Windows titkosítást, hogy hirdetéseket jelenítsenek meg.
De a szomorú, szomorú tény az, hogy ők nem egyedülik - adware, mint a Wajam, a Geniusbox, a Content Explorer és mások, ugyanazt csinálják -vel, telepítik saját tanúsítványaikat és kényszerítik az összes böngészést( beleértve a HTTPS titkosított böngészési munkameneteket is), hogy átmenjenek a proxykiszolgálón.És ezzel a képtelenséggel fertőzheti meg, ha a legjobb 10 alkalmazásból kettőt telepít a CNET letöltésekre.
A legfontosabb, hogy már nem bízhat a zöld zároló ikonban a böngésző címsorában.És ez ijesztő, ijesztő dolog.
Hogyan működik a HTTPS-Adathalászat Adware és miért olyan rossz
Ahogy korábban bemutattuk, ha a CNET Downloads bizalmának óriási hibáját okozza, máris megfertőzhet ilyen típusú adware-kel. A CNET( KMPlayer és YTD) két tíz legfrissebb letöltése két különböző típusú HTTPS-adathalász adware -t köt össze, és a mi kutatásunkban azt találtuk, hogy a legtöbb egyéb freeware webhely ugyanazt csinálja.
Megjegyzés: a telepítők olyan trükkösek és zavart, hogy nem vagyunk biztosak abban, hogy ki az technikailag csinálja a "kötegelést", de a CNET ezeket az alkalmazásokat népszerűsíti a saját honlapján, így ez valójában a szemantika kérdése. Ha azt ajánlja, hogy az emberek letöltsenek valamit, ami rossz, akkor ugyanúgy hibás. Azt is megállapítottuk, hogy ezek közül sok adware cég titokban ugyanazok az emberek, akik különböző cégneveket használnak.
A CNET letöltések legmagasabb 10 listájának letöltési számai alapján havonta egymillió ember fertőzött meg olyan adware-kkel, amelyek átveszik a titkosított webes munkameneteket a bankjukba, vagy e-mailjükbe, vagy bármi, ami biztonságos.
Ha hibát követtél el a KMPlayer telepítésével, és elhanyagolod az összes többi crapware-t, akkor ezt az ablakot fogod megjeleníteni. Ha véletlenül megnyomja az Elfogadom( vagy rossz kulcsot talál), akkor a rendszert el fogják fektetni.
Ha valami még egy vázlatosabb forrásból szeretne letölteni valamit, például a kedvenc keresőmotorjairól származó letöltési hirdetéseket, akkor láthatja az összes olyan dolgot, ami nem jó.És most már tudjuk, hogy sokan közülük teljesen megszakítják a HTTPS tanúsítvány érvényesítését, így teljesen sérülékenyek maradnak.
Ha egyszer valami ilyesmit kapott, akkor először az okozza, hogy a rendszer proxyja egy helyi proxyon fut, amelyet a számítógépére telepít. Külön figyelmet fordít az alábbi "Biztonságos" elemre. Ebben az esetben a Wajam Internet "Enhancer" volt, de lehet a Superfish vagy a Geniusbox vagy a többi, amit megtaláltak, mind ugyanúgy működnek.
Ha biztonságos webhelyre szeretne menni, akkor a zöld zárolás ikon jelenik meg, és minden teljesen normálisnak tűnik. Még akkor is kattints a zárra, hogy megtekinthesd a részleteket, és úgy tűnik, hogy minden rendben van. Biztonságos kapcsolatot használ, és a Google Chrome azt is jelenti, hogy biztonságos kapcsolattal csatlakozik a Google-hoz. De te nem vagy!
AzSystem Alerts LLC nem valódi gyökér-tanúsítvány, és valójában egy Man-in-the-Middle proxyon keresztül halad, amely hirdetéseket helyez be oldalakba( és ki tudja, mi más).Csak írd meg nekik az összes jelszavát, könnyebb lenne.
Miután a hirdetési program telepítve van, és elterjedt az összes forgalom, elkezdesz látni a helytelenül nyomasztó hirdetéseket. Ezek a hirdetések olyan biztonságos webhelyeken jelennek meg, mint például a Google, a tényleges Google-hirdetések helyébe lépnek, vagy az összes helyszínen jelenik meg popupként, átveszik az összes webhelyet.
A legtöbb adware megjeleníti a "hirdetés" linkeket a teljesen rosszindulatú programokhoz. Tehát bár a reklámügynökség maga lehet jogi zaklatás, lehetővé teszik néhány igazán, nagyon rossz dolgot.
Ezt úgy hajtják végre, hogy a hamis gyökérkönyvtárat a Windows tanúsítványtárolóba telepítik, majd a biztonságos kapcsolatokat proxyzza, miközben aláírják őket a hamis tanúsítványukkal.
Ha megnézed a Windows Tanúsítványok panelt, akkor mindenfajta teljesen érvényes tanúsítványt láthatsz. .. de ha a számítógéped valamilyen adware telepítve van, látni fogsz hamis dolgokat, mint a System Alerts, LLC vagy a Superfish, Wajam,vagy több tucat más hamisítvány.
Még akkor is, ha fertőzött, és eltávolították a rosszindulatú programokat, a tanúsítványok még mindig ott lesznek, így sebezhetővé válnak más hackerek számára, amelyek kiválthatták a privát kulcsokat. Sok adware-telepítő nem távolítja el a tanúsítványokat, amikor eltávolítja őket.
Mindegyik ember a közepén támad és az
fantasztikus biztonsági kutató valódi élő támadása Ha a számítógépen a tanúsítványtárolóban telepített hamis gyökértanúsítványok vannak, mostsebezhetővé válik a Man-in-the-Middle támadásokkal szemben. Ez azt jelenti, ha egy nyilvános hotspothoz csatlakozik, vagy valaki hozzáférést kap a hálózathoz, vagy sikerül feltörnie valamit felfelé, a legitim webhelyeket hamis webhelyekkel helyettesítheti. Ez talán elhanyagolhatónak tűnik, de a hackerek képesek voltak DNS-eltéréseket használni az internet egyik legnagyobb webhelyén, hogy átsérjék a felhasználókat egy hamis webhelyre.
Miután elrabolják, elolvashatnak minden olyan dolgot, amelyet egy privát oldalra küldenek - jelszavakat, személyes adatokat, egészségügyi információkat, e-maileket, társadalombiztosítási számokat, banki információkat stb. És soha nem fog tudni, mert a böngészője meg fogja mondanihogy a kapcsolatod biztonságban van.
Ez azért működik, mert a nyilvános kulcs titkosításához mind a nyilvános kulcs, mind a privát kulcs szükséges. A nyilvános kulcsok a tanúsítványtárolóba vannak telepítve, és a privát kulcsot csak a látogatott weboldal tudja ismerni. De ha a támadók elvonják a gyökérigazolást és mind az állami, mind a magánkulcsokat tartják, mindent megteszhetnek, amit akarnak.
A Superfish esetében ugyanazt a magánkulcsot használták minden olyan számítógépen, amelyre telepítették a Superfish-ot, és pár órán belül a biztonsági kutatók képesek voltak kiiktatni a privát kulcsokat és létrehozni weboldalakat annak tesztelésére, hogy Ön sebezhető-e és bizonyítja, hogy Önlehetett eltéríteni. A Wajam és a Geniusbox esetében a kulcsok eltérőek, de a Content Explorer és néhány más adware ugyanazokat a kulcsokat használja mindenütt, ami azt jelenti, hogy ez a probléma nem egyedülálló a Superfish esetében.
rosszabb: a legtöbb ez a szar lecsukja a HTTPS érvényesítését egészen
Csak tegnap, a biztonsági kutatók még nagyobb problémát fedeztek fel: ezek a HTTPS proxyk mindegyik letiltják az érvényesítést, miközben úgy tűnik, hogy minden rendben van.
Ez azt jelenti, hogy egy teljesen érvénytelen tanúsítvánnyal rendelkező HTTPS webhelyre mehetsz, és ez a hirdetési eszköz azt fogja mondani, hogy a webhely rendben van. Megvizsgáltuk a korábban említett adware-t, és teljesen letiltják a HTTPS érvényesítést, így nem számít, hogy a privát kulcsok egyediek-e vagy sem. Szörnyen rossz!
Mindenki, akire telepített adware van, sebezhető mindenféle támadásra, és sok esetben továbbra is sérülékeny, még akkor is, ha az adware eltávolításra kerül.
Ellenőrizheti, hogy sebezhető-e a Superfish, a Komodia vagy az érvénytelen tanúsítványellenőrzés a biztonsági kutatók által létrehozott tesztoldal segítségével, de amint azt már bemutattuk, sokkal több adware van ugyanabban a dologban, és a mikutatás, a dolgok tovább romlanak.
Védje meg magát: Ellenőrizze a tanúsítványok panelt és törölje a rossz bejegyzéseket
Ha aggódik, ellenőrizze a tanúsítványtárolót, és győződjön meg róla, hogy nincsenek olyan vázlatos tanúsítványok, amelyeket később bármelyik proxykiszolgáló aktiválhat. Ez kicsit bonyolult lehet, mert sok dolog van benne, és a legtöbbet ott kell lennie. Nem is tudjuk, mi legyen és nem is lehet ott.
A WIN + R segítségével nyissa meg a Run( Futtatás) párbeszédpanelt, majd írja be a "mmc" billentyűt a Microsoft Management Console ablak megnyitásához. Ezután használja a Fájl - & gt;Adja hozzá / távolítsa el a beépülő modulokat, és válassza ki a Tanúsítványokat a bal oldalon található listából, majd adja hozzá jobb oldalhoz. Győződjön meg róla, hogy a következő párbeszédablakban válassza a Számítógép-fiók lehetőséget, majd kattintson a többi elemre.
Szeretné megkeresni a Trusted Root Certification Authority-t, és meg szeretne nézni igazán vázlatos bejegyzéseket, mint ezek bármelyikét( vagy bármi hasonlít)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNance
- DO_NOT_TRUSTFiddler_rootA rajongó legitim fejlesztői eszköz, de a rosszindulatú szoftverek eltérítették a cert-et.)
- System Alerts, LLC
- CE_UmbrellaCert
Kattintson jobb egérgombbal a Törölt elemekre. Ha valami hibát észleltél, amikor tesztelte a Google-t a böngésződben, győződjön meg róla, hogy törli azt is. Csak vigyázzon, mert ha törli a rossz dolgokat itt, akkor megszakítja a Windows-ot.
Reméljük, hogy a Microsoft kiad valamit, hogy ellenőrizze a root tanúsítványokat, és győződjön meg róla, hogy csak a jóak. Elméletileg ezt a listát használhatja a Microsoft által a Windows által megkövetelt tanúsítványokból, majd frissítheti a legfrissebb gyökértanúsítványokra, de ez jelenleg teljesen nem tesztelt, és ezt nem javasoljuk, amíg valaki ezt teszteli.
Ezután meg kell nyitnia a webböngészőt, és meg kell találnia azokat a tanúsítványokat, amelyek valószínűleg ott tárolódnak. A Google Chrome-hoz menjen a Beállítások, Speciális beállítások, majd a Tanúsítványok kezelése lehetőségre. A Személy alatt egyszerűen kattints az Eltávolítás gombra bármely rossz tanúsítványban. ..
De ha megy a megbízható gyökérigazoló hatósághoz, akkor kattintson a Speciális gombra, majd törölje a jelet mindazt, amit lát, hogy hagyja abba az engedélyeket az adott tanúsítványhoz. ..
De ez az őrület.
Ugorjon a Speciális beállítások ablak aljára, és kattintson a Beállítások visszaállítása lehetőségre a Chrome alapértelmezett beállításainak teljes újraindításához. Csináld ugyanazt bármely más böngészőhöz, vagy teljesen eltávolítod, törölheted az összes beállítást, majd telepítheted újra.
Ha a számítógépe érintett, valószínűleg jobb a Windows tiszta telepítése. Csak győződjön meg róla, hogy biztonsági másolatot készít a dokumentumokról és a képekről, és mindezt.
Szóval hogyan védi meg magát?
Szinte lehetetlen teljesen megvédeni magát, de itt van néhány józan ész, amelyek segítenek Önnek:
- Ellenőrizze a Superfish / Komodia / Certification validation teszt webhelyet.
- Engedélyezi a Click-To-Play alkalmazást a böngésző bővítményeihez, amelyek segítenek megvédeni az összes olyan nulladik napi Flash és egyéb plugin biztonsági lyukaktól.
- Nagyon vigyázz, mit töltesz le és próbáld meg használni Ninite-t, ha feltétlenül szükséges.
- Ügyeljen arra, hogy bármikor rákattintott, amikor rákattint.
- A Microsoft Enhanced Mitigation Experience Toolkit( EMET) vagy a Malwarebytes Anti-Exploit használatával vegye fontolóra a böngésző és más kritikus alkalmazások biztonsági résekből és nulla napos támadásokból történő védelmére.
- Győződjön meg róla, hogy az összes szoftver, bővítmény és vírusirtó frissítve van, és tartalmazza a Windows frissítéseket is.
De ez egy rengeteg munka, mert csak annyit szeretne böngészni a weben, hogy nem ástak. Ez olyan, mint a TSA-val való foglalkozás.
A Windows ökoszisztéma a crapware kavalkádja.És most az internet alapvető biztonsága romlott a Windows felhasználók számára. A Microsoftnak javítania kell.