19Jul

Download.com ואחרים Bundle Superfish-HTTPS סגנון שבירת Adware

זה זמן מפחיד להיות משתמש Windows. Lenovo היה bundling HTTPS-חטיפת Adware Superfish, ספינות Comodo עם חור אבטחה עוד יותר גרוע בשם PrivDog, ועשרות יישומים אחרים כמו LavaSoft עושים את אותו הדבר.זה ממש רע, אבל אם אתה רוצה הפעלות האינטרנט מוצפן שלך להיות נחטף רק ראש CNET הורדות או כל אתר freeware, כי הם כל bundling HTTPS-break פרסום עכשיו.

הפיאסקו של Superfish התחיל כאשר החוקרים הבחינו שסופרפיש, שנארז על מחשבי Lenovo, התקין תעודת שורש מזויפת ב- Windows, שחוטפת למעשה את כל גליונות ה- HTTPS, כך שהאישורים תמיד נראים תקפים גם אם הם לא, והם עשו זאתבצורה לא בטוחה כי כל האקר סקריפט האקר יכול להשיג את אותו הדבר.

ואז הם מתקינים proxy לתוך הדפדפן שלך ואילצים את כל הגלישה שלך דרך זה כדי שיוכלו להוסיף מודעות.זה נכון, גם כאשר אתה מתחבר הבנק שלך, או אתר ביטוח בריאות, או בכל מקום זה צריך להיות מאובטח.ואתה לעולם לא תדע, כי הם שברו את ההצפנה של Windows כדי להציג לך מודעות.

אבל את עצוב, עצוב העובדה היא שהם לא היחידים לעשות את זה - Adware כמו Wajam, Geniusbox, Content Explorer, ואחרים עושים את אותו הדבר בדיוק

, התקנת תעודות משלהם ואילץ את כל הגלישה שלך( כולל HTTPS מוצפן גלישה הפעלות) לעבור שרת proxy שלהם.ואתה יכול לקבל נגוע שטויות זה רק על ידי התקנת שני של 10 היישומים המובילים על הורדות CNET.

השורה התחתונה היא שאינך יכול עוד לסמוך על סמל המנעול הירוק בשורת הכתובת של הדפדפן.וזה דבר מפחיד, מפחיד.

איך HTTPS-חטיפת Adware עובד, ולמה זה כל כך רע

Ummm, אני אצטרך לך ללכת קדימה ולסגור את הכרטיסייה.ממקי?

כפי שהראנו בעבר, אם אתה עושה את הטעות הענקית הענקית של אמון CNET הורדות, אתה יכול כבר להיות נגוע עם סוג זה של פרסום. שניים מתוך עשר הורדות העליון על CNET( KMPlayer ו YTD) הם bundling שני סוגים שונים של HTTPS-חטיפת Adware , ובמחקר שלנו מצאנו כי רוב אתרי freeware אחרים עושים את אותו הדבר.

הערה: המתקינים כל כך מסובכים ומפותלים, כי אנחנו לא בטוחים מי מבחינה טכנית עושה את "bundling", אבל CNET היא לקדם את היישומים האלה בדף הבית שלהם, אז זה באמת עניין של סמנטיקה.אם אתה ממליץ שאנשים להוריד משהו רע, אתה באותה מידה אשם.מצאנו גם כי רבים של חברות פרסום אלה הם בסתר את אותם אנשים באמצעות שמות חברה שונים.

בהתבסס על מספרי ההורדות מתוך רשימת 10 המובילים על הורדות CNET לבד, מיליון אנשים נגועים מדי חודש עם פרסום כי הוא חטף הפעלות האינטרנט מוצפן שלהם הבנק, או דוא"ל, או כל דבר צריך להיות מאובטח.

אם עשית את הטעות של התקנת KMPlayer, ואתה מצליח להתעלם מכל שאר crapware, יוצגו לך עם חלון זה.ואם בטעות לחץ על קבל( או להכות את המפתח הלא נכון) המערכת שלך יהיה pwned.אתרי ההורדה

צריכים להתבייש בעצמם.

אם בסופו של דבר אתה מוריד משהו ממקור עוד יותר, כמו מודעות להורדה במנוע החיפוש המועדף עליך, תראה רשימה שלמה של דברים שאינם טובים.ועכשיו אנחנו יודעים שרבים מהם הולכים לגמרי לשבור אימות HTTPS אישור, משאיר אותך פגיע לחלוטין.

Lavasoft Web Companion גם שובר הצפנה HTTPS, אבל זה bundler מותקן Adware מדי.

ברגע שאתה מקבל את עצמך נגוע עם כל אחד מהדברים האלה, הדבר הראשון שקורה הוא שהוא מגדיר את שרת ה- proxy שלך לפעול באמצעות פרוקסי מקומי זה מתקינה במחשב.הקדש תשומת לב מיוחדת לפריט "Secure" להלן.במקרה זה זה היה מ Wajam אינטרנט "Enhancer", אבל זה יכול להיות Superfish או Geniusbox או כל האחרים כי מצאנו, כולם עובדים באותו אופן.

זה אירוני כי Lenovo השתמשה המילה "לשפר" כדי לתאר Superfish.

כאשר אתה הולך לאתר זה צריך להיות מאובטח, תראה את סמל המנעול הירוק והכל ייראה נורמלי לחלוטין.אתה יכול גם ללחוץ על המנעול כדי לראות את הפרטים, וזה יראה כי הכל בסדר.אתה משתמש בחיבור מאובטח, ואפילו Google Chrome ידווח שאתה מחובר ל- Google עם חיבור מאובטח. אבל אתה לא!

System Alerts LLC היא לא תעודת שורש אמיתית, ואתה בעצם עובר פרוקסי של אדם ב-התיכון אשר מחדיר מודעות לדפים( ומי יודע מה עוד).אתה פשוט צריך לשלוח להם את כל הסיסמאות שלך, זה יהיה קל יותר.

התראת מערכת: המערכת שלך נפגעה.

לאחר פרסום מותקן proxying כל התנועה שלך, תתחיל לראות מודעות מחפיר באמת בכל מקום.מודעות אלה מוצגות באתרים מאובטחים, כגון Google, החלפת מודעות Google בפועל, או שהן מופיעות כחלונות קופצים בכל מקום, משתלטות על כל אתר.

אני רוצה את Google שלי ללא קישורים תוכנה זדונית, תודה.

רוב תוכנות פרסום אלה מראה "מודעה" קישורים לתוכנה זדונית מוחלטת.אז בעוד פרסום עצמו עלול להיות מטרד משפטי, הם מאפשרים כמה דברים ממש ממש רע.

הם עושים זאת על ידי התקנת תעודות השורש המזויפות שלהם לתוך חנות האישורים של Windows ולאחר מכן proxying חיבורים מאובטח תוך חתימת אותם עם תעודת מזויף שלהם.

אם תסתכל בחלונית 'אישורי Windows', תוכל לראות כל מיני אישורים חוקיים לחלוטין. .. אבל אם במחשב שלך מותקן סוג מסוים של תוכנות פרסום, אתה תראה דברים מזויפים כמו System Alerts, LLC או Superfish, Wajam,או עשרות זיופים אחרים.

האם זה מתאגיד אמברלה?

גם אם אתה כבר נגוע ולאחר מכן הוסרו תוכנות זדוניות, האישורים עשויים עדיין להיות שם, מה שהופך אותך פגיע האקרים אחרים שעשויים לחלץ את המפתחות הפרטיים.רבים מתקיני הפרסום אינם מסירים את האישורים בעת הסרתם.

הם כל אדם- in-the-Middle תקיפות וכאן איך הם עובדים

זה מפני התקפה חיה אמיתית על ידי חוקר האבטחה מדהים רוב גרהם

אם המחשב שלך יש תעודות שורש מזויפים מותקן בחנות האישור, אתה עכשיופגיע להתקפות של אדם-על-האמצע.מה זה אומר אם אתה מתחבר אל נקודה חמה ציבורית, או שמישהו מקבל גישה לרשת שלך, או מצליח לפרוץ משהו במעלה ממך, הם יכולים להחליף אתרים לגיטימיים עם אתרים מזויפים.זה אולי נשמע מופרך, אבל האקרים הצליחו להשתמש בחטיפות DNS על כמה מן האתרים הגדולים ביותר באינטרנט לחטוף משתמשים לאתר מזויף.

ברגע שאתה נחטף, הם יכולים לקרוא כל דבר שאתה שולח לאתר פרטי - סיסמאות, מידע אישי, מידע בריאותי, הודעות דוא"ל, מספרי ביטוח לאומי, מידע בנקאי, וכו 'ואתה לעולם לא תדע כי הדפדפן שלך יספרכי החיבור שלך מאובטח.

זה עובד בגלל הצפנה של מפתח ציבורי דורש גם מפתח ציבורי וגם מפתח פרטי.המפתחות הציבוריים מותקנים בחנות האישורים, והמפתח הפרטי צריך להיות מוכר רק באתר האינטרנט שבו אתה מבקר.אבל כאשר התוקפים יכולים לחטוף את תעודת הבסיס שלך להחזיק את המפתחות הציבוריים והפרטיים, הם יכולים לעשות כל מה שהם רוצים.

במקרה של Superfish, הם השתמשו באותו מפתח פרטי בכל מחשב שבו מותקן Superfish, ובתוך כמה שעות הצליחו חוקרי האבטחה לחלץ את המפתחות הפרטיים וליצור אתרי אינטרנט כדי לבדוק אם אתם פגיעים, ולהוכיח שאתםיכול להיות נחטף.עבור Wajam ו Geniusbox, המפתחות הם שונים, אבל סייר תוכן וכמה תוכנות פרסום אחרות גם משתמש באותם מפתחות בכל מקום, מה שאומר בעיה זו אינה ייחודית Superfish.

זה נהיה גרוע יותר: רוב זה חרא משבית אימות HTTPS לחלוטין

רק אתמול, חוקרים אבטחה גילו בעיה גדולה עוד יותר: כל אלה HTTPS proxies להשבית כל אימות תוך ביצוע זה נראה כאילו הכל בסדר.

זה אומר שאתה יכול ללכת לאתר HTTPS שיש לו אישור לא חוקי לחלוטין, ואת זה פרסום יגיד לך שהאתר הוא בסדר גמור.בדקנו את פרסום שהזכרנו קודם לכן, והם כולם מעכבים אימות HTTPS לחלוטין, כך שזה לא משנה אם המפתחות הפרטיים הם ייחודיים או לא.מזעזע רע!

כל זה מפרסם לחלוטין את בדיקת התעודה.

כל אדם עם פרסום מותקן הוא פגיע לכל מיני התקפות, ובמקרים רבים ממשיכים להיות פגיעים גם כאשר פרסום מוסר.

אתה יכול לבדוק אם אתה חשוף ל Superfish, Komodia או לבדיקת תעודה לא חוקית באמצעות אתר הבדיקה שנוצרו על ידי חוקרי אבטחה, אך כפי שהוכחנו כבר, יש שם הרבה יותר תוכנות פרסום שעושות את אותו הדבר, וממנומחקר, הדברים ימשיכו להחמיר.

הגן על עצמך: בדוק את לוח האישורים ומחק רשומות רעות

אם אתה מודאג, עליך לבדוק את מאגר האישורים שלך כדי לוודא שאין ברשותך אישורים מיותרים המותקנים מאוחר יותר על-ידי שרת ה- proxy של מישהו.זה יכול להיות קצת מסובך, כי יש הרבה דברים שם, ורוב זה אמור להיות שם.כמו כן אין לנו רשימה טובה של מה צריך ולא צריך להיות שם.

השתמש ב- WIN + R כדי לפתוח את תיבת הדו-שיח הפעלה ולאחר מכן הקלד "mmc" כדי להרים חלון Microsoft Management Console.לאחר מכן השתמש בקובץ - & gt;הוספה / הסרה של Snap-ins ובחר אישורים מהרשימה בצד שמאל ולאחר מכן הוסף אותו לצד הימני.הקפד לבחור את חשבון מחשב בתיבת הדו-שיח הבאה ולאחר מכן לחץ על השאר.

אתה רוצה ללכת הסמכות שורש מהימן כמו לחפש כל אלה( או כל דבר דומה אלה)

  • Sendori
  • Purelead
  • טיל רקטות
  • סופר דגים
  • פנדו
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root( כנר הוא כלי מפתח לגיטימי אבל תוכנות זדוניות יש חטף cert שלהם)
  • System Alerts, LLC
  • CE_UmbrellaCert

לחץ באמצעות לחצן העכבר הימני על כל אחד מהרשומות שאתה מוצא.אם ראית משהו שגוי בעת בדיקת Google בדפדפן שלך, הקפד למחוק גם אותו.רק תיזהר, כי אם אתה מוחק את הדברים הלא נכונים כאן, אתה הולך לשבור את Windows.

אנו מקווים כי מיקרוסופט משחררת משהו כדי לבדוק את אישורי הבסיס שלך ולוודא כי רק טוב יש שם.באופן תיאורטי, תוכל להשתמש ברשימה זו ממיקרוסופט על האישורים הנדרשים על-ידי Windows ולאחר מכן לעדכן את אישורי הבסיס האחרונים, אך זה לא נבדק לחלוטין בשלב זה, ואנו באמת לא ממליצים על כך עד שמישהו יבדוק זאת.

הבא, אתה הולך צריך לפתוח את דפדפן האינטרנט שלך ולמצוא את האישורים כי הם כנראה במטמון שם.עבור Google Chrome, עבור אל הגדרות, הגדרות מתקדמות ולאחר מכן נהל אישורים.תחת אישי, אתה יכול בקלות ללחוץ על כפתור הסר על כל אישורי רע. ..

אבל כאשר אתה עובר הסמכות שורש מהימן, אתה הולך ללחוץ על מתקדם ולאחר מכן בטל את כל מה שאתה רואה כדי להפסיק לתת הרשאות על אישור זה. ..

אבל זה טירוף.

עבור לחלק התחתון של החלון הגדרות מתקדמות ולחץ על איפוס הגדרות כדי לאפס את Chrome לחלוטין לברירות המחדל.לעשות את אותו הדבר עבור כל דפדפן אחר אתה משתמש, או להסיר לחלוטין, מנגב את כל ההגדרות, ולאחר מכן להתקין את זה שוב.

אם המחשב שלך נפגע, סביר להניח שתעשה התקנה נקייה לחלוטין של Windows.רק לוודא גיבוי המסמכים שלך ואת כל זה.

אז איך להגן על עצמך?

זה כמעט בלתי אפשרי לחלוטין להגן על עצמך, אבל הנה כמה הנחיות השכל הישר כדי לעזור לך:

  • בדוק את האתר Superfish / Komodia / הסמכה אימות האתר.
  • הפעל את 'לחץ להפעלה' עבור יישומי פלאגין בדפדפן שלך, שיסייעו בהגנה עליך מכל חורי האבטחה של Flash וחומרי אבטחה אחרים של תוסף קיימים.
  • להיות זהיר באמת מה אתה מוריד ולנסות להשתמש ניניט כאשר אתה בהחלט חייב.
  • שים לב למה שאתה לוחץ בכל פעם שאתה לוחץ.
  • שקול להשתמש בחבילת הכלים לשיפור חוויית ההרחבה המשופרת של Microsoft( EMET) או ב- Malwarebytes Anti-Exploit כדי להגן על הדפדפן ועל יישומים קריטיים אחרים מחורי אבטחה והתקפות של יום אפס.
  • ודא שכל התוכנות, יישומי הפלאגין והאנטי-וירוס שלך מעודכנים, וכוללים גם את עדכוני Windows.

אבל זה המון עבודה עבור רק רוצה לגלוש באינטרנט מבלי להיות נחטף.זה כמו להתמודד עם ה- TSA.

המערכת האקולוגית של Windows היא cavalcade של crapware.ועכשיו האבטחה הבסיסית של האינטרנט נשברת עבור משתמשי Windows. Microsoft צריכה לתקן זאת.