19Jul
Het is een enge tijd om een Windows-gebruiker te zijn. Lenovo bundelde HTTPS-kaping Superfish adware, Comodo wordt geleverd met een nog erger beveiligingslek genaamd PrivDog, en tientallen andere apps zoals LavaSoft doen hetzelfde. Het is echt slecht, maar als je wilt dat je gecodeerde websessies worden gehackt, ga dan naar CNET Downloads of een willekeurige freeware-site, want ze bundelen nu allemaal HTTPS-brekende adware.
Het Superfish-fiasco begon toen onderzoekers merkten dat Superfish, gebundeld op Lenovo-computers, een nep-rootcertificaat in Windows installeerde dat in feite alle HTTPS-browsing kaping, zodat de certificaten er altijd geldig uitzien, ook als dat niet het geval is, en ze deden het op zo'n maniereen onzekere manier waarop een scriptkiddie-hacker hetzelfde zou kunnen bereiken.
En dan installeren ze een proxy in je browser en dwingen ze er al je browsers doorheen zodat ze advertenties kunnen invoegen. Dat klopt, zelfs wanneer u verbinding maakt met uw bank, ziekteverzekeringssite of waar dan ook veilig moet zijn. En je zou het nooit weten, omdat ze de Windows-codering verbraken om je advertenties te laten zien.
Maar het trieste, trieste feit is dat zij niet de enige zijn die dit doen - adware zoals Wajam, Geniusbox, Content Explorer en anderen doen allemaal exact hetzelfde als , installeren hun eigen certificaten en dwingen al je browsen( inclusief HTTPS-gecodeerde browsersessies) om door hun proxyserver te gaan. En je kunt besmet raken met deze onzin door twee van de top 10-apps op CNET Downloads te installeren.
De bottom line is dat u het groene vergrendelingspictogram in de adresbalk van uw browser niet langer kunt vertrouwen. En dat is eng, eng.
Hoe HTTPS-kaping werkt, en waarom het zo slecht is
Zoals we eerder hebben laten zien, als je de enorme gigantische fout maakt om CNET Downloads te vertrouwen, zou je al besmet kunnen zijn met dit soort adware. Twee van de top tien downloads op CNET( KMPlayer en YTD) bundelen twee verschillende soorten adware van de adware , adware en in ons onderzoek hebben we ontdekt dat de meeste andere freewaressites hetzelfde doen.
Opmerking: de installatieprogramma's zijn zo lastig en ingewikkeld dat we niet zeker weten wie technisch de "bundeling" doet, maar CNET promoot deze apps op hun startpagina, dus het is echt een kwestie van semantiek. Als je mensen aanbeveelt om iets te downloaden dat slecht is, heb je dezelfde schuld. We hebben ook vastgesteld dat veel van deze adware-bedrijven in het geheim dezelfde mensen zijn die verschillende bedrijfsnamen gebruiken.
Op basis van de downloadnummers van de top 10 op CNET Downloads alleen al zijn er elke maand een miljoen mensen besmet met adware die hun gecodeerde websessies naar hun bank of e-mail kaapt, of alles wat veilig moet zijn.
Als je de fout hebt gemaakt om KMPlayer te installeren, en je erin slaagt alle andere crapware te negeren, krijg je dit venster te zien. En als u per ongeluk op Accepteren klikt( of op de verkeerde toets drukt), wordt uw systeem weergegeven.
Als je iets hebt gedownload van een nog schaarsere bron, zoals de download-advertenties in je favoriete zoekmachine, zie je een hele lijst met dingen die niet goed zijn. En nu weten we dat velen van hen de certificering van het HTTPS-certificaat volledig zullen doorbreken, waardoor u volledig kwetsbaar blijft.
Als u eenmaal bent geïnfecteerd met een van deze dingen, is het eerste dat gebeurt dat uw systeemproxy een lokale proxy uitvoert die op uw computer wordt geïnstalleerd. Besteed speciale aandacht aan het item "Beveiligd" hieronder. In dit geval was het van Wajam Internet "Enhancer", maar het zou Superfish of Geniusbox kunnen zijn of een van de andere die we hebben gevonden, ze werken allemaal op dezelfde manier.
Wanneer u naar een site gaat die veilig moet zijn, ziet u het groene hangslotsymbool en ziet alles er normaal uit. U kunt zelfs op het slot klikken om de details te bekijken en het lijkt erop dat alles in orde is. U gebruikt een beveiligde verbinding en zelfs Google Chrome meldt dat u bent verbonden met Google via een beveiligde verbinding. Maar dat ben je niet!
Systeemwaarschuwingen LLC is geen echt basiscertificaat en u doorloopt eigenlijk een Man-in-the-Middle proxy die advertenties in pagina's invoegt( en wie weet wat nog meer).Je zou ze gewoon al je wachtwoorden moeten e-mailen, het zou gemakkelijker zijn.
Als de adware eenmaal is geïnstalleerd en al uw verkeer is geprojecteerd, ziet u overal irritante advertenties. Deze advertenties worden weergegeven op beveiligde sites, zoals Google, die de daadwerkelijke Google-advertenties vervangen, of ze worden overal weergegeven als pop-ups en nemen elke site over.
Het merendeel van deze adware toont "advertentie" -links naar regelrechte malware. Dus hoewel de adware zelf een legale overlast kan zijn, zorgen ze ervoor dat sommige, echt slechte dingen mogelijk zijn.
Ze doen dit door hun nep-basiscertificaten in het Windows-certificaatarchief te installeren en vervolgens de beveiligde verbindingen te proxiëren terwijl ze ze ondertekenen met hun valse certificaat.
Als u in het paneel Certificaten van Windows kijkt, ziet u allerlei volledig geldige certificaten. .. maar als uw pc adware heeft geïnstalleerd, ziet u nepdingen zoals System Alerts, LLC of Superfish, Wajam,of tientallen andere vervalsingen.
Zelfs als je bent geïnfecteerd en vervolgens de badware hebt verwijderd, zijn de certificaten mogelijk nog steeds aanwezig, waardoor je kwetsbaar bent voor andere hackers die de privésleutels hebben uitgepakt. Veel van de adware-installatieprogramma's verwijderen de certificaten niet wanneer u ze verwijdert.
Het zijn allemaal 'Man-in-the-Middle'-aanvallen en hier is hoe ze werken
Als je pc nep root-certificaten heeft geïnstalleerd in de certificaatwinkel, ben je nukwetsbaar voor mens-in-het-midden aanvallen. Dit betekent dat als u verbinding maakt met een openbare hotspot of iemand toegang krijgt tot uw netwerk, of als u iets stroomopwaarts van u hackt, zij legitieme sites kunnen vervangen door valse sites. Dit klinkt misschien vergezocht, maar hackers hebben DNS-kapingen op enkele van de grootste sites op het web kunnen gebruiken om gebruikers naar een nep-site te gijzelen.
Als u eenmaal gekaapt bent, kunnen ze elk ding lezen dat u naar een privésite verzendt: wachtwoorden, privéinformatie, gezondheidsinformatie, e-mails, burgerservicenummers, bankgegevens, enzovoort. En u weet het nooit omdat uw browser het zal vertellenu dat uw verbinding veilig is.
Dit werkt omdat codering met een openbare sleutel zowel een openbare sleutel als een privésleutel vereist. De openbare sleutels worden geïnstalleerd in het certificaatarchief en de privésleutel moet alleen bekend zijn bij de website die u bezoekt. Maar als aanvallers je rootcertificaat kunnen kapen en zowel de publieke als de private sleutel kunnen bevatten, kunnen ze alles doen wat ze willen.
In het geval van Superfish hebben ze dezelfde privésleutel gebruikt op elke computer waarop Superfish is geïnstalleerd, en binnen een paar uur konden beveiligingsonderzoekers de privésleutels uitpakken en websites maken om te testen of je kwetsbaar bent en bewijzen dat jijkan worden gekaapt. Voor Wajam en Geniusbox zijn de toetsen anders, maar Content Explorer en een andere adware gebruiken ook overal dezelfde toetsen, wat betekent dat dit probleem niet uniek is voor Superfish.
Het wordt erger: de meeste van deze Crap schakelt HTTPS-validatie helemaal uit
Gisteren ontdekten beveiligingsonderzoekers een nog groter probleem: al deze HTTPS-proxy's schakelen alle validatie uit terwijl het lijkt alsof alles in orde is.
Dat betekent dat u naar een HTTPS-website met een volledig ongeldig certificaat kunt gaan, en deze adware zal u vertellen dat de site prima is. We hebben de adware getest die we eerder hebben genoemd en ze schakelen allemaal HTTPS-validatie volledig uit, dus het maakt niet uit of de privésleutels uniek zijn of niet. Schokkend slecht!
Iedereen met adware is kwetsbaar voor allerlei soorten aanvallen en blijft in veel gevallen kwetsbaar, zelfs als de adware wordt verwijderd.
U kunt controleren of u kwetsbaar bent voor Superfish, Komodia of ongeldige certificaatcontrole met behulp van de testsite gemaakt door beveiligingsonderzoekers, maar zoals we al hebben aangetoond, is er nog veel meer adware die hetzelfde doet en van onzeonderzoek zal het nog erger worden.
Bescherm uzelf: Controleer het Certificatenpaneel en verwijder onjuiste gegevens
Als u zich zorgen maakt, moet u uw certificaatarchief controleren om ervoor te zorgen dat er geen schetsmatige certificaten zijn geïnstalleerd die later kunnen worden geactiveerd door iemands proxyserver. Dit kan een beetje ingewikkeld zijn, omdat er veel spullen in zitten, en het meeste ervan hoort daar te zijn. We hebben ook geen goede lijst van wat er wel en niet zou moeten zijn.
Gebruik WIN + R om het dialoogvenster Uitvoeren te openen en typ 'mmc' om een Microsoft Management Console-venster op te roepen. Gebruik vervolgens Bestand - & gt;Snap-ins toevoegen / verwijderen en selecteer Certificaten in de lijst aan de linkerkant en voeg het vervolgens toe aan de rechterkant. Zorg ervoor dat u Computeraccount selecteert in het volgende dialoogvenster en klik vervolgens op de rest.
U wilt naar Vertrouwde basiscertificeringsinstanties gaan en op zoek gaan naar echt schetsmatige vermeldingen zoals deze( of iets dergelijks)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler is een legitieme tool voor ontwikkelaars, maar malware heeft hun certificaat gekaapt)
- System Alerts, LLC
- CE_UmbrellaCert
Klik met de rechtermuisknop en verwijder een van de items die u vindt. Als u iets niet juist zag toen u Google in uw browser testte, zorg er dan voor dat u die ook verwijdert. Wees voorzichtig, want als je hier de verkeerde dingen verwijdert, ga je Windows kapotmaken.
We hopen dat Microsoft iets publiceert om je rootcertificaten te controleren en ervoor te zorgen dat alleen goede certificaten aanwezig zijn. In theorie zou je deze lijst van Microsoft kunnen gebruiken voor de certificaten die vereist zijn door Windows, en dan updaten naar de nieuwste rootcertificaten, maar dat is op dit moment nog niet volledig getest, en we raden het echt niet aan totdat iemand dit uittest.
Vervolgens moet je je webbrowser openen en de certificaten vinden die waarschijnlijk in de cache zijn opgeslagen. Ga voor Google Chrome naar Instellingen, Geavanceerde instellingen en vervolgens Certificaten beheren. Onder Persoonlijk kunt u eenvoudig op de knop Verwijderen klikken op ongeldige certificaten. ..
Maar wanneer u naar Vertrouwde basiscertificeringsinstanties gaat, moet u op Geavanceerd klikken en vervolgens alles uitschakelen dat u ziet om geen toestemming meer te verlenen voor dat certificaat. ..
Maar dat is waanzin.
Ga naar de onderkant van het venster Geavanceerde instellingen en klik op Instellingen resetten om Chrome volledig in te stellen op de standaardwaarden. Doe hetzelfde voor elke andere browser die u gebruikt of verwijder alles volledig, veeg alle instellingen weg en installeer het vervolgens opnieuw.
Als uw computer is getroffen, is het waarschijnlijk beter om een volledig schone installatie van Windows uit te voeren. Zorg er wel voor dat u een back-up maakt van uw documenten en afbeeldingen en dat alles.
Dus hoe bescherm je jezelf?
Het is bijna onmogelijk om jezelf volledig te beschermen, maar hier zijn een paar gezond verstandige richtlijnen om je te helpen:
- Controleer de Superfish / Komodia / certificering validatie testsite.
- Schakel Click-to-Play in voor plug-ins in uw browser, die u zullen helpen beschermen tegen al die zero-day flash- en andere beveiligingslekken in plug-ins die er zijn.
- Wees heel voorzichtig met wat je download en probeer Ninite te gebruiken wanneer je absoluut moet.
- Let op wat u klikt wanneer u klikt.
- Overweeg om de Enhanced Mitigation Experience Toolkit( EMET) van Microsoft of Malwarebytes Anti-Exploit te gebruiken om uw browser en andere kritieke applicaties te beschermen tegen gaten in de beveiliging en zero-day attacks.
- Zorg ervoor dat al uw software, plug-ins en antivirusupdates up-to-date blijven en dat dit ook Windows Updates omvat.
Maar dat is ontzettend veel werk voor het gewoon willen surfen op het web zonder te worden gekaapt. Het is als het omgaan met de TSA.
Het Windows-ecosysteem is een verzameling van crapware. En nu is de fundamentele veiligheid van internet voor Windows-gebruikers verbroken. Microsoft moet dit oplossen.