19Jul
Tas ir biedējošs laiks, lai būtu Windows lietotājs. Lenovo bija saistīta ar HTTPS uzlaušanas Superfish reklāmprogrammatūru, Comodo kuģi ar vēl sliktāku drošības caurumu, ko sauc par PrivDog, un desmitiem citu lietotņu, piemēram, LavaSoft, dara to pašu. Tas ir patiešām slikts, bet, ja vēlaties, lai jūsu šifrētās tīmekļa sesijas tiktu nolaupītas, vienkārši dodieties uz CNET lejupielādēm vai jebkuru bezmaksas vietni, jo tie visi ir komplektā HTTPS pārrāvoši adware.
Superfish fiasko sākās tad, kad pētnieki pamanīja, ka Superfish, kas ir iekļauts Lenovo datoros, instalēja Windows viltus saknes sertifikātu, kas būtiski aizkavē visu HTTPS pārlūkošanu tā, ka sertifikāti vienmēr izskatās pareizi, pat ja tie nav, un viņi to darīja šādā veidānedrošs veids, ka jebkura scenārija kiddie hakeris varētu paveikt to pašu.
Un tad viņi savā pārlūkprogrammā instalē starpniekserveri un piespiež visu pārlūkošanu, lai viņi varētu ievietot reklāmas. Tas ir pareizi, pat tad, kad izveidojat savienojumu ar savu banku vai veselības apdrošināšanas vietni vai jebkur citur, kas ir droša. Un jūs nekad zināt, jo viņi pārtrauca Windows šifrēšanu, lai parādītu jūsu reklāmas.
Bet skumjš, nožēlojami fakts, ka tie nav vienīgie, kas to dara - reklāmprogrammatūra, piemēram, Wajam, Geniusbox, Content Explorer un citi, dara tieši tādu pašu , instalējot savus sertifikātus un piespiežot visu pārlūkošanu( tostarp HTTPS šifrētas pārlūkošanas sesijas), lai pārlūkotu starpniekserveri. Un jūs varat inficēties ar šo neskaidrību, vienkārši instalējot divas no 10 populārākajām lietotnēm vietnē CNET Downloads.
Apakšējā līnija ir tā, ka jūs vairs nevarat uzticēties šai zaļās bloķēšanas ikonai jūsu pārlūkprogrammas adreses joslā.Un tas ir biedējošs, biedējošs lieta.
Kā darbojas Adware HTTPS-nolaupīšana un kāpēc tas ir tik slikti
Kā mēs esam parādījuši iepriekš, ja jūs veicat milzīgu milzīgu kļūdainu uzticību CNET lejupielādēm, jūs jau varētu būt inficēti ar šāda veida reklāmprogrammatūru. Divas no desmit lejupielādēm no CNET( KMPlayer un YTD) apvieno divus dažādus HTTPS uzbrukuma adware veidus, un mūsu pētījumā konstatējām, ka lielākā daļa citu bezmaksas vietņu vietņu veic to pašu.
Piezīme: uzstādītāji ir tik grūts un sarežģīts, ka mēs neesam pārliecināti, kurš no tehniski ir , kas veic "komplektēšanu", bet CNET veicina šīs lietotnes savā mājas lapā, tāpēc tas patiešām ir semantikas jautājums. Ja jūs ieteiktu, ka cilvēki lejupielādē kaut ko sliktu, jūs esat tikpat vainīgs. Esam arī konstatējuši, ka daudzi no šiem reklāmprogrammu uzņēmumiem ir slepeni tie paši cilvēki, kuri izmanto dažādus uzņēmuma nosaukumus.
Pamatojoties uz lejupielādes numuriem no top 10 saraksta CNET lejupielādes vien, miljons cilvēku ir inficēti katru mēnesi ar Adware, kas ir nolaupīšana viņu šifrētu web sesijas savai bankai, vai e-pastu, vai jebko, kas būtu droši.
Ja jūs pieļāvāt kļūdu, instalējot KMPlayer, un jums izdodas ignorēt visu citu crapware, jums tiks parādīts šis logs. Un, ja jūs nejauši noklikšķinājāt uz Pieņemt( vai pieskarieties nepareizajam taustiņam), sistēma tiks noņemta.
Ja jūs beidzat lejupielādējat kaut ko no vēl sīksta avota, piemēram, lejupielādes reklāmas savā iecienītākajā meklētājprogrammā, jūs redzēsit visu to stuff, kas nav labi. Un tagad mēs zinām, ka daudzi no viņiem gatavojas pilnībā pārtraukt HTTPS sertifikāta apstiprināšanu, atstājot jūs pilnīgi neaizsargātu.
Kad jūs pats inficējat kādu no šīm lietām, pirmā lieta, ka notiek, ir tā, ka jūsu sistēmas proxy tiek palaists vietējā proxy, ko tā instalē jūsu datorā.Pievērsiet īpašu uzmanību zemāk esošajam elementam "Secure".Šajā gadījumā tas bija no Wajam interneta "Enhancer", bet tas varētu būt Superfish vai Geniusbox vai kāds no citiem, ko esam atraduši, viņi visi strādā vienādi.
Kad apmeklējat vietni, kurai vajadzētu būt drošai, redzēsit zaļās bloķēšanas ikonu un viss izskatīsies pilnīgi normāli. Jūs varat pat noklikšķināt uz slēdzenes, lai skatītu detaļas, un parādīsies, ka viss ir kārtībā.Jūs izmantojat drošu savienojumu un pat Google Chrome ziņos, ka esat izveidojis savienojumu ar Google, izmantojot drošu savienojumu. Bet jūs neesat!
System Alerts LLC nav īsts saknes sertifikāts, un jūs patiešām izmantojat starpniekserveri Man-in-the-Middle, kas ievieto reklāmas lapās( un kas zina, kas vēl).Jums vajadzētu vienkārši nosūtīt viņiem visas savas paroles, tas būtu vieglāk.
Kad reklamēšanas ierīce ir instalēta un visas jūsu datplūsmas tiek aktivizētas, jūs sākat redzēt patiešām nepatīkamas reklāmas visā vietā.Šīs reklāmas tiek rādītas drošās vietnēs, piemēram, Google, aizstājot faktiskās Google reklāmas, vai tās tiek parādītas logos visur, pārņemot katru vietni.
Lielākā daļa šo reklāmprogrammu parāda "ad" saites uz tiešajām ļaundabīgajām programmām. Tātad, kamēr Adware pati par sevi varētu būt juridiskas neērtības, tās ļauj daži patiešām, patiešām slikti stuff.
Viņi to paveic, instalējot viņu viltus saknes sertifikātus Windows sertifikātu veikalā un pēc tam noslēdzot drošus savienojumus, parakstot tos ar viltotiem sertifikātiem.
Ja paskatās Windows sertifikātu panelī, jūs varat redzēt visu veidu pilnīgi derīgus sertifikātus. .. bet, ja jūsu datoram ir instalēta kāda veida adware, jūs redzēsiet viltotas lietas, piemēram, System Alerts, LLC vai Superfish, Wajam,vai arī desmitiem citu viltojumu.
Pat ja jūs esat inficēts un pēc tam izņemtu sliktu programmatūru, sertifikāti joprojām varētu būt turēti, padarot jūs neaizsargātu pret citiem hakeriem, kuri varētu būt izgājuši privātās atslēgas. Daudzi adware uzstādītāji neizņem sertifikātus, tos atinstalējot.
Viņi ir visi viduvēja uzbrukumi, un šeit viņi strādā
dzīvā uzbrukuma. Ja jūsu datorā sertifikātu veikalā ir instalēti viltus saknes sertifikāti, jūs tagad esatneaizsargāti pret "Man-in-the-middle" uzbrukumiem. Tas nozīmē, ka, ja jūs izveidojat savienojumu ar publisko krātuves punktu vai kāds piekļūst savam tīklam, vai arī jūs varat izlauzties no jums augšup pa straumi, viņi var aizstāt likumīgās vietnes ar viltotām vietnēm. Tas var izklausīties tālajā, bet hackers varēja izmantot DNS hijacks dažās lielākajās vietnēs tīmeklī, lai ļaunprātīgi izmantotu lietotājus viltus vietnei.
Pēc tam, kad esat uzlauzts, viņi var lasīt katru lietu, ko iesniedzat privātai vietnei - paroles, privāto informāciju, informāciju par veselību, e-pastus, sociālās apdrošināšanas numurus, informāciju par banku utt. Un jūs nekad zināt, jo jūsu pārlūks pateikska jūsu savienojums ir drošs.
Tas darbojas, jo publiskās atslēgas šifrēšanai ir nepieciešama gan publiskā atslēga, gan privāta atslēga. Publiskās atslēgas tiek instalētas sertifikātu veikalā, un privāto atslēgu vajadzētu zināt tikai vietnei, kuru apmeklējat. Bet, ja uzbrucēji var nozagt jūsu saknes sertifikātu un turēt gan publiskās, gan privātās atslēgas, viņi var darīt visu, ko viņi vēlas.
Superfish gadījumā viņi izmantoja to pašu privāto atslēgu ikvienā datorā, kuram ir instalēta Superfish, un dažu stundu laikā drošības pētnieki varēja iegūt privātās atslēgas un izveidot vietnes, lai pārbaudītu, vai esat neaizsargāts, un jāpierāda, ka jūsvarētu tikt nolaupītas. Wajam un Geniusbox taustiņi ir atšķirīgi, bet Content Explorer un daži citi reklāmprogrammatūra visur izmanto tos pašus taustiņus, kas nozīmē, ka šī problēma nav tikai un vienīgi Superfish.
tas kļūst sliktāks: lielākā daļa no šī slazdam atspējo HTTPS validēšanu pilnībā
Tikai vakar drošības pētnieki atklāja vēl lielāku problēmu: visas šīs HTTPS pilnvaras atspējo visu validāciju, vienlaikus padarot to izskatīgu, viss ir kārtībā.
Tas nozīmē, ka varat doties uz HTTPS vietni, kurai ir pilnīgi nederīgs sertifikāts, un šī Adware jums pateiks, ka vietne ir tikai labi. Mēs pārbaudījām iepriekš aprakstītās reklāmprogrammatūras versijas, un tās pilnībā izslēdz HTTPS validāciju, tāpēc nav svarīgi, vai privātās atslēgas ir unikālas vai ne.Šokējoši slikti!
Ikviens, kurš ir instalējis adware, ir neaizsargāts pret visiem uzbrukumu veidiem un daudzos gadījumos joprojām ir neaizsargāts pat tad, ja tiek noņemts reklāmkarogs.
Jūs varat pārbaudīt, vai jūs esat neaizsargāti pret Superfish, Komodia vai nederīgu sertifikātu pārbaudi, izmantojot drošības pētnieku izveidotās pārbaudes vietnes, taču, kā jau mēs jau esam pierādījuši, tur ir daudz vairāk adware, kas to dara vienādi, un no mūsupētījumi, lietas turpinās pasliktināties.
Aizsargājiet sevi: pārbaudiet sertifikātu paneli un izdzēsiet nederīgās lapas
Ja jūs uztraucat, jums jāpārliecinās, vai sertifikāta krājumā nav instalēti nekādi skripti sertifikāti, kurus vēlāk varētu aktivizēt kāds starpniekserveris. Tas var būt nedaudz sarežģīts, jo tur ir daudz stuff, un lielākā daļa no tā ir paredzēts tur. Mums arī nav labu sarakstu ar to, kas būtu un kas tur nebūtu tur.
Izmantojiet WIN + R, lai parādītu dialoglodziņu Palaidīt, un pēc tam ierakstiet "mmc", lai izveidotu Microsoft Management Console logu. Pēc tam izmantojiet failu - & gt;Pievienot / noņemt papildpiederumus un kreisajā pusē esošajā sarakstā atlasiet Sertifikāti un pēc tam pievienojiet to labajā pusē.Nākamajā dialoglodziņā atlasiet Datora kontu un pēc tam noklikšķiniet uz pāri atpūtai.
Jūs vēlaties doties uz uzticamām sakņu sertificēšanas iestādēm un meklēt patiešām ieskicējušus ierakstus, piemēram, jebkuru no šiem( vai kaut kas līdzīgs šiem).
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Skatīt
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler ir likumīgs izstrādātāju rīks, bet ļaunprogrammatūra ir nolaupījusi savu cert.)
- System Alerts, LLC
- CE_UmbrellaCert
Ar peles labo pogu noklikšķiniet un izdzēsiet visus šos ierakstus. Ja, pārbaudot Google savā pārlūkprogrammā, esat redzējis kaut ko nepareizu, noteikti izdzēsiet arī to. Vienkārši uzmanieties, jo, ja šeit izdzēšat nepareizās lietas, jūs pārtrauksiet Windows.
Mēs ceram, ka Microsoft izlaidīs kaut ko, lai pārbaudītu jūsu saknes sertifikātus un pārliecinātos, ka tur ir tikai labie. Teorētiski jūs varētu izmantot šo sarakstu no Microsoft no Windows pieprasītajiem sertifikātiem un pēc tam atjaunināt uz jaunākajiem saknes sertifikātiem, taču tas šajā brīdī nav pilnībā pārbaudīts, un mēs to īsti nerekomendē, kamēr kāds to nedarbos.
Pēc tam jums būs nepieciešams atvērt savu tīmekļa pārlūkprogrammu un atrast sertifikātus, kas tur, iespējams, ir saglabāti kešatmiņā.Pārlūkprogrammā Google Chrome atveriet sadaļu Iestatījumi, Papildu iestatījumi un pēc tam Pārvaldīt sertifikātus. Sadaļā Personiski varat vienkārši noklikšķināt uz pogas Noņemt pogas uz visiem sliktiem sertifikātiem. ..
Bet, atgriežoties pie uzticamām sakņu sertificēšanas iestādēm, jums būs jānoklikšķina uz Advanced( Papildu) un pēc tam noņemiet atzīmi no visas atzīmes, ko redzat, lai pārtrauktu piešķirt atļaujas šim sertifikātam. ..
Bet tas ir neprāts.
Atveriet loga Papildu iestatījumi apakšdaļu un noklikšķiniet uz Reset settings, lai pilnībā atiestatītu pārlūku Chrome pēc noklusējuma. Veiciet to pašu attiecībā uz jebkuru citu pārlūku, kuru izmantojat, vai pilnībā atinstalējiet, izdzēsiet visus iestatījumus un pēc tam atkal instalējiet.
Ja jūsu dators ir ietekmējis, iespējams, jums būs labāk veikt pilnīgi tīru Windows instalāciju. Vienkārši pārliecinieties, vai ir dublēti dokumenti un attēli, kā arī visu to.
Tātad, kā jūs aizsargāt sevi?
Tas ir gandrīz neiespējami pilnībā aizsargāt sevi, bet šeit ir dažas kopīgas izpratnes pamatnostādnes, lai palīdzētu jums:
- Pārbaudiet Superfish / Komodia / Certification validācijas pārbaudes vietni.
- Iespējojiet pārlūkprogrammā spraudņus, kas spied uz atskaņošanu, un tas palīdzēs aizsargāt jūs no visiem šiem nulles dienas Flash un citiem spraudņu drošības caurumiem.
- Esi ļoti uzmanīgs, ko jūs lejupielādējat un mēģiniet lietot Ninite, kad jums ir absolūti nepieciešams.
- Pievērsiet uzmanību tam, ko jūs noklikšķināt jebkurā brīdī, kad noklikšķināt.
- Apsveriet iespēju izmantot Microsoft uzlabotās mazināšanas pieredzes rīku komplektu( EMET) vai Malwarebytes Anti-Exploit, lai aizsargātu jūsu pārlūkprogrammu un citas kritiskās lietojumprogrammas no drošības caurumiem un nulles dienas uzbrukumiem.
- Pārliecinieties, vai visas jūsu programmatūras, spraudņi un antivīruss paliek atjaunināti, un tas ietver arī Windows atjauninājumus.
Bet tas ir šausmīgi daudz darba, lai tikai vēlas pārlūkot tīmekli bez nolaupīšanas. Tas ir tāpat kā nodarbojas ar TSA.
Windows ekosistēma ir crapware cavalcade. Un tagad Windows lietotājiem ir bojāta pamatdrošība internetā.Microsoft to ir jānovērš.
