19Jul
To straszny czas, aby być użytkownikiem systemu Windows. Lenovo łączyło porwanie oprogramowania Superfish typu HTTPS, Comodo jest dostarczane z jeszcze gorszą luką w zabezpieczeniach o nazwie PrivDog, a dziesiątki innych aplikacji, takich jak LavaSoft, robią to samo. Jest naprawdę źle, ale jeśli chcesz, aby twoje zaszyfrowane sesje internetowe zostały przejęte, po prostu przejdź do pobierania CNET lub dowolnej darmowej witryny, ponieważ wszystkie one łączą teraz adware łamiące HTTPS.
Fiasko Superfish zaczęło się, gdy naukowcy zauważyli, że Superfish, zainstalowany na komputerach Lenovo, instalował fałszywy certyfikat główny w systemie Windows, który zasadniczo przejmuje kontrolę nad wszystkimi przeglądaniami HTTPS, dzięki czemu certyfikaty zawsze wyglądają poprawnie, nawet jeśli nie są, i zrobiły to w taki sposób. Niepewny sposób, w jaki każdy haker skryptowy może zrobić to samo.
Następnie instalują proxy w przeglądarce i zmuszają do przeglądania stron, aby mogły wstawiać reklamy. Zgadza się, nawet jeśli łączysz się ze swoim bankiem, witryną ubezpieczenia zdrowotnego lub gdziekolwiek, co powinno być bezpieczne. I nigdy się tego nie dowiesz, ponieważ złamali szyfrowanie Windows, aby wyświetlać reklamy.
Ale smutnym, smutnym faktem jest to, że nie są jedynymi, którzy to robią - adware , takie jak Wajam, Geniusbox, Content Explorer i inne, robią dokładnie to samo , instalując własne certyfikaty i wymuszając całe twoje przeglądanie( w tym zaszyfrowane sesje przeglądania HTTPS), aby przejść przez ich serwer proxy. I możesz zarazić się tymi bzdurami, instalując dwie z 10 najlepszych aplikacji w programie Pobieranie CNET.
Najważniejsze jest to, że nie można już ufać tej zielonej ikonie kłódki na pasku adresu przeglądarki. To przerażające, przerażające.
Jak działa adnotacja antynapisująca HTTPS i dlaczego jest tak źle
Jak już pokazaliśmy wcześniej, jeśli popełnisz ogromny gigantyczny błąd polegający na zaufaniu do pobierania CNET, możesz już zostać zainfekowany tego typu adware. Dwa z dziesięciu najpopularniejszych programów do pobrania na CNET( KMPlayer i YTD) łączą dwa różne typy oprogramowania ad hoc do przechwytywania HTTPS . W naszych badaniach odkryliśmy, że większość innych darmowych witryn robi to samo.
Uwaga: instalatorzy są tak skomplikowani i zawiłe, że nie jesteśmy pewni, kto jest technicznie robiący "sprzedaż wiązaną", ale CNET promuje te aplikacje na ich stronie głównej, więc to naprawdę kwestia semantyki. Jeśli polecasz ludziom pobieranie czegoś, co jest złe, jesteś równie winny. Odkryliśmy również, że wiele z tych firm adware to potajemnie ci sami ludzie używający różnych nazw firm.
W oparciu o numery pobrane z pierwszej 10 listy tylko w przypadku pobrań CNET, milion osób infekuje co miesiąc adware, które porywa ich zaszyfrowane sesje internetowe do swojego banku, poczty elektronicznej lub wszystkiego, co powinno być bezpieczne.
Jeśli popełniłeś błąd podczas instalacji KMPlayera i zignorujesz wszystkie inne crapware, zobaczysz to okno. A jeśli przypadkowo klikniesz Zaakceptuj( lub uderzysz w niewłaściwy klucz), twój system będzie pwned.
Jeśli skończyło się pobieranie czegoś z jeszcze bardziej pobieżnego źródła, takiego jak reklamy pobierania w ulubionej wyszukiwarce, zobaczysz całą listę rzeczy, które nie są dobre. A teraz wiemy, że wielu z nich całkowicie złamie walidację certyfikatu HTTPS, pozostawiając Cię całkowicie bezbronnym.
Po zainfekowaniu się jedną z tych rzeczy, pierwszą rzeczą, która się dzieje, jest ustawienie proxy systemu na uruchamianie przez lokalny serwer proxy, który instaluje na komputerze. Zwróć szczególną uwagę na "Bezpieczny" element poniżej. W tym przypadku było to z Wajam Internet "Enhancer", ale mogło to być Superfish, Geniusbox lub jakiekolwiek inne, które znaleźliśmy, wszystkie działają tak samo.
Po przejściu do witryny, która powinna być bezpieczna, zobaczysz zieloną ikonę kłódki i wszystko będzie wyglądać zupełnie normalnie. Możesz nawet kliknąć zamek, aby zobaczyć szczegóły, i okaże się, że wszystko jest w porządku. Korzystasz z bezpiecznego połączenia, a nawet Google Chrome zgłasza, że masz połączenie z Google za pomocą bezpiecznego połączenia. Ale ty nie jesteś!
System Alerts LLC nie jest prawdziwym certyfikatem głównym, a Ty przechodzisz przez pośredniczący serwer pośredniczący, który wstawia reklamy na strony( i kto wie, co jeszcze).Powinieneś po prostu wysłać im wszystkie swoje hasła, byłoby to łatwiejsze.
Po zainstalowaniu adware i zaimportowaniu całego ruchu, zaczniesz widzieć naprawdę nieprzyjemne reklamy w każdym miejscu. Reklamy te wyświetlają się w bezpiecznych witrynach, takich jak Google, zastępując rzeczywiste reklamy Google, lub wyświetlają się jako pop-upy w różnych miejscach, przejmując każdą witrynę.
Większość tego adware pokazuje linki "reklamy" do jawnego złośliwego oprogramowania. Tak więc, chociaż samo adware może być uciążliwością prawną, umożliwiają one naprawdę, naprawdę złe rzeczy.
Osiągają to, instalując fałszywe certyfikaty główne w magazynie certyfikatów systemu Windows, a następnie proxy za bezpieczne połączenia podczas podpisywania ich za pomocą fałszywego certyfikatu.
Jeśli zajrzysz do panelu certyfikatów systemu Windows, zobaczysz wszystkie rodzaje całkowicie poprawnych certyfikatów. .. ale jeśli twój komputer ma zainstalowany jakiś rodzaj adware, zobaczysz fałszywe rzeczy, takie jak Alerty systemowe, LLC lub Superfish, Wajam,lub dziesiątki innych podróbek.
Nawet jeśli zostałeś zainfekowany, a następnie usunięto szkodliwe oprogramowanie, certyfikaty nadal mogą tam być, co naraża Cię na ataki innych hakerów, którzy mogli wyodrębnić klucze prywatne. Wiele programów adware nie usuwa certyfikatów podczas ich odinstalowywania.
Są to wszystkie ataki typu Man-in-the-Middle i oto jak działają
Jeśli twój komputer ma fałszywe certyfikaty główne zainstalowane w magazynie certyfikatów, jesteś terazpodatny na ataki typu Man-in-the-Middle. Oznacza to, że jeśli łączysz się z publicznym hotspotem, ktoś uzyska dostęp do twojej sieci lub uda Ci się zhakować coś przed tobą, może zastąpić legalne strony fałszywymi witrynami. Może to zabrzmieć niepotrzebnie, ale hakerzy mogli wykorzystywać przechwytywanie DNS w niektórych największych witrynach sieci w celu przejmowania użytkowników na fałszywą stronę.
Po przejęciu użytkownik może przeczytać każdą rzecz, którą przesyła do prywatnej witryny - hasła, informacje prywatne, informacje zdrowotne, e-maile, numery ubezpieczenia społecznego, informacje bankowe itp. Nigdy nie wiadomo, ponieważ przeglądarka pokażeże twoje połączenie jest bezpieczne.
Działa to, ponieważ szyfrowanie klucza publicznego wymaga zarówno klucza publicznego, jak i klucza prywatnego. Klucze publiczne są instalowane w magazynie certyfikatów, a klucz prywatny powinien być znany tylko odwiedzanej witrynie. Ale gdy napastnik może przejąć twój certyfikat główny i przytrzymać zarówno klucze publiczne, jak i prywatne, może zrobić wszystko, co chce.
W przypadku Superfish używali tego samego klucza prywatnego na każdym komputerze, na którym zainstalowano Superfish, a w ciągu kilku godzin badacze bezpieczeństwa byli w stanie wyodrębnić klucze prywatne i utworzyć strony internetowe, aby sprawdzić, czy są Państwo wrażliwi i udowodnić, żemoże zostać porwany. Dla Wajam i Geniusbox klucze są różne, ale Content Explorer i inne adware również używają tych samych kluczy wszędzie, co oznacza, że ten problem nie jest unikalny dla Superfish.
Gorzej: większość tego Crap wyłącza walidację HTTPS całkowicie
Zaledwie wczoraj, badacze bezpieczeństwa odkryli jeszcze większy problem: Wszystkie te serwery proxy HTTPS wyłączają wszelkie sprawdzanie poprawności, podczas gdy wyglądają tak, jakby wszystko było w porządku.
Oznacza to, że możesz przejść do strony HTTPS, która ma całkowicie niepoprawny certyfikat, a to adware powie Ci, że strona jest w porządku. Przetestowaliśmy adware, o którym wspomnieliśmy wcześniej, i całkowicie wyłączają one walidację HTTPS, więc nie ma znaczenia, czy klucze prywatne są unikatowe, czy nie. Wstrząsająco źle!
Każdy, kto ma zainstalowany adware, jest podatny na różnego rodzaju ataki, aw wielu przypadkach nadal jest podatny na zranienie nawet po usunięciu adware.
Możesz sprawdzić, czy jesteś podatny na Superfish, Komodię lub nieważne sprawdzanie certyfikatu za pomocą strony testowej stworzonej przez analityków bezpieczeństwa, ale jak już wykazaliśmy, jest tam o wiele więcej adware robiącego to samo iz naszegobadania, sytuacja będzie się pogarszać.
Chroń się: Sprawdź panel Certyfikaty i usuń nieprawidłowe wpisy
Jeśli się martwisz, powinieneś sprawdzić swój magazyn certyfikatów, aby upewnić się, że nie masz zainstalowanych żadnych szkicowych certyfikatów, które mogłyby później zostać aktywowane przez czyjś serwer proxy. To może być trochę skomplikowane, ponieważ jest tam dużo rzeczy i większość z nich powinna tam być.Nie mamy też dobrej listy tego, co powinno i czego nie powinno tam być.
Użyj WIN + R, aby otworzyć okno dialogowe Uruchom, a następnie wpisz "mmc", aby otworzyć okno Microsoft Management Console. Następnie użyj opcji Plik - & gt;Dodaj / Usuń przystawki i wybierz Certyfikaty z listy po lewej stronie, a następnie dodaj ją po prawej stronie. Upewnij się, że wybierasz Konto komputera w następnym oknie dialogowym, a następnie klikniesz resztę.
Będziesz chciał udać się do zaufanych głównych urzędów certyfikacji i szukać naprawdę szkicowych wpisów, takich jak te( lub coś podobnego)
- Sendori
- Purelead
- Karta Rocket
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler jest legalnym narzędziem programistycznym, ale złośliwe oprogramowanie przejęło ich certyfikat)
- System Alerts, LLC
- CE_UmbrellaCert
Kliknij prawym przyciskiem myszy i Usuń wszystkie znalezione pozycje. Jeśli zauważyłeś coś nieprawidłowego podczas testowania Google w przeglądarce, pamiętaj o usunięciu tego również.Po prostu bądź ostrożny, ponieważ jeśli usuniesz niewłaściwe rzeczy, złamiesz Windows.
Mamy nadzieję, że Microsoft wyda coś, aby sprawdzić swoje główne certyfikaty i upewnić się, że są tylko dobre. Teoretycznie możesz użyć tej listy od Microsoft z certyfikatów wymaganych przez Windows, a następnie zaktualizować do najnowszych certyfikatów głównych, ale to jest w tym momencie całkowicie niesprawdzone i naprawdę nie zalecamy, dopóki ktoś tego nie przetestuje.
Następnie musisz otworzyć przeglądarkę internetową i znaleźć certyfikaty, które są tam prawdopodobnie buforowane. W przeglądarce Google Chrome przejdź do Ustawienia, Ustawienia zaawansowane, a następnie Zarządzaj certyfikatami. W sekcji Osobiste możesz łatwo kliknąć przycisk Usuń na każdym złym certyfikacie. ..
Ale kiedy przejdziesz do Zaufanych głównych urzędów certyfikacji, będziesz musiał kliknąć Zaawansowane, a następnie odznaczyć wszystko, co widzisz, aby przestać dawać uprawnienia do tego certyfikatu. ..
Ale to szaleństwo.
Przejdź do dolnej części okna Ustawienia zaawansowane i kliknij Resetuj ustawienia, aby całkowicie zresetować Chrome do ustawień domyślnych. Zrób to samo dla dowolnej innej używanej przeglądarki lub całkowicie odinstaluj, usuwając wszystkie ustawienia, a następnie zainstaluj ponownie.
Jeśli problem dotyczy komputera, prawdopodobnie lepiej jest wykonać całkowicie czystą instalację systemu Windows. Po prostu upewnij się, że wykonujesz kopie zapasowe dokumentów i zdjęć.
Więc jak się chronić?
Całkowicie nie da się całkowicie zabezpieczyć, ale oto kilka zdrowych wskazówek, które mogą ci pomóc:
- Sprawdź stronę testu sprawdzania poprawności Superfish / Komodia / Certification.
- Włącza funkcję Click-To-Play dla wtyczek w przeglądarce, która pomoże chronić Cię przed wszystkimi tymi zerowymi dniami Flash i innymi dziurkami bezpieczeństwa.
- Bądź naprawdę ostrożny, co pobierasz i spróbuj użyć Ninite, kiedy absolutnie musisz.
- Zwróć uwagę na to, co klikasz, kiedy klikniesz.
- Rozważ skorzystanie z pakietu Microsoft Enhanced Mitigation Experience Toolkit( EMET) lub Malwarebytes Anti-Exploit w celu ochrony przeglądarki i innych krytycznych aplikacji przed lukami w zabezpieczeniach i atakami typu zero-day.
- Upewnij się, że wszystkie oprogramowanie, wtyczki i antywirusy są aktualizowane, a także aktualizacje systemu Windows.
Ale to bardzo ciężka praca, jeśli chcesz po prostu przeglądać internet, nie będąc porwanym. To jest jak radzenie sobie z TSA.
Ekosystem Windows to kawalkada crapware. A teraz podstawowe bezpieczeństwo Internetu jest zepsute dla użytkowników Windows. Microsoft musi to naprawić.
