19Jul
É um momento assustador para ser um usuário do Windows. A Lenovo estava empacotando o adware Superfish do Hype HTTPS, a Comodo embarcava com um buraco de segurança ainda pior chamado PrivDog, e dezenas de outros aplicativos como o LavaSoft estão fazendo o mesmo.É realmente ruim, mas se você deseja que suas sessões na web criptografadas sejam sequestradas, apenas dirija-se a downloads da CNET ou a qualquer site de freeware, porque todos eles estão empacotando o adware HTTPS-breaking agora.
O fiasco do Superfish começou quando os pesquisadores perceberam que o Superfish, empacotado em computadores da Lenovo, estava instalando um falso certificado de raiz no Windows que essencialmente seqüestra toda a navegação HTTPS para que os certificados parecem sempre válidos, mesmo que não sejam, e eles fizeram isso em taluma maneira insegura de que qualquer hacker kiddie script poderia realizar o mesmo.
E, em seguida, eles estão instalando um proxy em seu navegador e forçando toda a sua navegação através dele para que eles possam inserir anúncios. Isso mesmo, mesmo quando você se conecta ao seu banco, ou site de seguro de saúde, ou em qualquer lugar que deve ser seguro. E você nunca saberia, porque eles quebraram criptografia do Windows para mostrar anúncios.
Mas o triste e triste fato é que eles não são os únicos a fazer isso - adware como Wajam, Geniusbox, Content Explorer, e outros estão fazendo exatamente a mesma coisa , instalando seus próprios certificados e forçando toda a sua navegação( incluindo sessões de navegação criptografadas HTTPS) para percorrer o servidor proxy. E você pode se infectar com esse absurdo apenas instalando dois dos 10 melhores aplicativos em downloads da CNET.
A linha inferior é que você não pode mais confiar nesse ícone de bloqueio verde na barra de endereço do seu navegador. E isso é uma coisa assustadora e assustadora.
Como o HTTPS-Hijacking Adware funciona e por que é tão mau
Como já mostramos antes, se você cometeu o enorme e gigantesco erro de confiar nos downloads do CNET, você já poderia estar infectado com esse tipo de adware. Dois dos dez melhores downloads no CNET( KMPlayer e YTD) estão agrupando dois tipos diferentes de HTTPS-hijacking adware , e em nossa pesquisa descobrimos que a maioria dos outros sites de freeware estão fazendo o mesmo.
Nota: os instaladores são tão complicados e enrolados que não temos certeza de quem é tecnicamente fazendo o "agrupamento", mas a CNET está promovendo esses aplicativos em sua página inicial, então é realmente uma questão de semântica. Se você está recomendando que as pessoas baixem algo que seja ruim, você é igualmente culpado. Nós também descobrimos que muitas dessas empresas de adware são secretamente as mesmas pessoas usando diferentes nomes de empresas.
Com base nos números de download da lista dos 10 melhores apenas nas Downloads da CNET, um milhão de pessoas estão infectadas todos os meses com adware que está seqüestrando suas sessões web criptografadas para o banco ou e-mail ou qualquer coisa que seja segura.
Se você cometeu o erro de instalar o KMPlayer e você conseguiu ignorar todos os outros crapware, você será apresentado com esta janela. E se você clicar acidentalmente em Aceitar( ou clicar na tecla errada), seu sistema será exibido.
Se você acabou baixando algo de uma fonte ainda mais esboçado, como os anúncios de download em seu mecanismo de pesquisa favorito, você verá uma lista completa de coisas que não são boas. E agora sabemos que muitos deles vão romper completamente a validação do certificado HTTPS, deixando você completamente vulnerável.
Uma vez que você se infecte com qualquer uma dessas coisas, a primeira coisa que acontece é que ele define seu proxy do sistema para executar através de um proxy local que ele instala no seu computador. Preste especial atenção ao item "Seguro" abaixo. Nesse caso, era da Wajam Internet "Enhancer", mas poderia ser Superfish ou Geniusbox ou qualquer um dos outros que descobrimos, todos eles funcionam da mesma forma.
Quando você vai para um site que deve estar seguro, você verá o ícone de bloqueio verde e tudo ficará perfeitamente normal. Você pode até clicar no bloqueio para ver os detalhes, e aparecerá que tudo está bem. Você está usando uma conexão segura, e até mesmo o Google Chrome informará que está conectado ao Google com uma conexão segura. Mas você não é!
System Alerts LLC não é um certificado de raiz real e você está realmente passando por um proxy Man-in-the-Middle que está inserindo anúncios em páginas( e quem sabe o que mais).Você deveria apenas enviar-lhes todas as suas senhas, seria mais fácil. Alerta do sistema
Uma vez instalado o adware e proxying todo o seu tráfego, você começará a ver anúncios realmente desagradáveis em todo o lugar. Esses anúncios são exibidos em sites seguros, como o Google, substituindo os anúncios reais do Google, ou aparecem como pop-ups em todo o lugar, assumindo todos os sites.
A maior parte deste adware mostra links de "anúncio" para malware definitivo. Então, enquanto o adware em si pode ser um incômodo legal, eles permitem algumas coisas realmente ruins.
Eles realizam isso instalando seus falsos certificados de raiz no armazenamento de certificados do Windows e, em seguida, proxying as conexões seguras ao assiná-los com seu certificado falso.
Se você olha no painel Certificados do Windows, você pode ver todos os tipos de certificados completamente válidos. .. mas se o seu PC possui algum tipo de adware instalado, você verá coisas falsas como Alertas do sistema, LLC ou Superfish, Wajam,ou dezenas de outras falsificações.
Mesmo que tenha sido infectado e, em seguida, removido o badware, os certificados ainda podem estar lá, tornando-o vulnerável a outros hackers que podem ter extraído as chaves privadas. Muitos dos instaladores de adware não removem os certificados quando você os desinstala.
Eles são todos os ataques do Man-in-the-Middle e aqui estão como eles funcionam
Se seu PC possui falsos certificados de raiz instalados na loja de certificados, você está agoravulnerável aos ataques de Man-in-the-Middle. O que isso significa é se você se conecta a um ponto de acesso público, ou alguém obtém acesso à sua rede, ou consegue cortar algo a sua volta, eles podem substituir sites legítimos por sites falsos. Isso pode soar exagerado, mas os hackers conseguiram usar seqüestros de DNS em alguns dos maiores sites da internet para seqüestrar os usuários para um site falso.
Uma vez que você é seqüestrado, eles podem ler todas as coisas que você envia para um site privado - senhas, informações privadas, informações de saúde, e-mails, números de segurança social, informações bancárias, etc. E você nunca saberá porque seu navegador informarávocê que sua conexão é segura.
Isso funciona porque a criptografia de chave pública requer tanto uma chave pública quanto uma chave privada. As chaves públicas estão instaladas na loja de certificados e a chave privada deve ser conhecida apenas pelo site que você está visitando. Mas quando os atacantes podem seqüestrar seu certificado raiz e manter as chaves públicas e privadas, eles podem fazer o que quiserem.
No caso do Superfish, eles usaram a mesma chave privada em cada computador que tenha instalado o Superfish e, dentro de algumas horas, pesquisadores de segurança puderam extrair as chaves privadas e criar sites para testar se você é vulnerável e provar que vocêpoderia ser seqüestrado. Para Wajam e Geniusbox, as chaves são diferentes, mas o Content Explorer e algum outro adware também usam as mesmas chaves em todos os lugares, o que significa que esse problema não é exclusivo do Superfish.
Obtém pior: a maior parte deste Crap desactiva a validação HTTPS inteiramente
Apenas ontem, os pesquisadores de segurança descobriram um problema ainda maior: todos esses proxies HTTPS desativam toda a validação, ao fazê-lo parecer que tudo está bem.
Isso significa que você pode ir para um site HTTPS que tenha um certificado completamente inválido, e este adware irá dizer-lhe que o site está bem. Testamos o adware que mencionamos anteriormente e todos estão desativando completamente a validação HTTPS, por isso não importa se as chaves privadas são únicas ou não. Chocantemente ruim!
Qualquer pessoa com adware instalado é vulnerável a todos os tipos de ataques e, em muitos casos, continua a ser vulnerável mesmo quando o adware é removido.
Você pode verificar se você é vulnerável a Superfish, Komodia ou verificação de certificados inválidos usando o site de teste criado por pesquisadores de segurança, mas, como já demonstramos, há muito mais adware lá fazendo o mesmo e de nossapesquisas, as coisas continuarão a piorar.
Proteja-se: Verifique o Painel de Certificados e elimine entradas ruins
Se você estiver preocupado, você deve verificar sua loja de certificados para garantir que você não tenha nenhum certificado esboçado instalado que possa ser ativado posteriormente pelo servidor proxy de alguém. Isso pode ser um pouco complicado, porque há muitas coisas lá, e a maioria é suposto estar lá.Nós também não temos uma boa lista do que deveria e não deveria estar lá.
Use WIN + R para abrir a caixa de diálogo Executar e digite "mmc" para abrir uma janela do Microsoft Management Console. Em seguida, use o arquivo - & gt;Adicione / Remover Snap-ins e selecione Certificados na lista à esquerda e, em seguida, adicione-o ao lado direito. Certifique-se de selecionar Conta do computador na próxima caixa de diálogo e, em seguida, clique no resto.
Você vai querer ir para Autoridades de Certificação Raiz Confiáveis e procurar entradas realmente esboçadas como qualquer uma destas( ou qualquer coisa semelhante a estas)
- Sendori
- Purelead
- Ficha Rocket
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler é uma ferramenta de desenvolvedor legítima, mas o malware seqüestrou seu certificado) Alertas do sistema
- , LLC
- CE_UmbrellaCert
Clique com o botão direito do mouse e exclua qualquer uma dessas entradas que você encontrar. Se você viu algo incorreto quando testou o Google no seu navegador, certifique-se de excluir esse também. Apenas tenha cuidado, porque se você excluir as coisas erradas aqui, você vai quebrar o Windows.
Esperamos que a Microsoft libere algo para verificar seus certificados raiz e se certificar de que apenas os bons estão lá.Teoricamente, você poderia usar esta lista da Microsoft dos certificados exigidos pelo Windows e, em seguida, atualizar para os certificados de raiz mais recentes, mas isso não está completamente testado neste momento, e nós realmente não recomendamos isso até que alguém teste isso.
Em seguida, você precisará abrir o navegador da Web e encontrar os certificados que provavelmente estão em cache lá.Para o Google Chrome, vá para Configurações, Configurações avançadas e, em seguida, Gerenciar certificados. Em Pessoal, você pode clicar facilmente no botão Remover em qualquer certificado incorreto. ..
Mas quando você vai às Autoridades de Certificação Raiz Confiáveis, você terá que clicar em Avançado e desmarcar tudo o que você ver para parar de dar permissões a esse certificado. ..
Mas isso é insanidade.
Vá para a parte inferior da janela Configurações avançadas e clique em Redefinir configurações para redefinir completamente os padrões do Google Chrome. Faça o mesmo para qualquer outro navegador que você estiver usando, ou desinstale completamente, limpando todas as configurações e depois instale-o novamente.
Se seu computador foi afetado, provavelmente você estará melhor fazendo uma instalação completamente limpa do Windows. Apenas certifique-se de fazer backup de seus documentos e imagens e tudo isso.
Então, como você se protege?
É quase impossível se proteger completamente, mas aqui estão algumas diretrizes de senso comum para ajudá-lo:
- Verifique o site de teste de validação Superfish / Komodia / Certification.
- Habilite Click-To-Play para plugins no seu navegador, o que ajudará a protegê-lo de todos esses Flash de dia zero e outros buracos de segurança do plugin que existem.
- Seja muito cuidadoso com o que você baixar e tente usar o Ninite quando você deve absolutamente.
- Preste atenção ao que você está clicando sempre que você clicar.
- Considere o uso do Toolkit Enhanced Mitigation Experience Toolkit da Microsoft( EMET) ou do Malwarebytes Anti-Exploit para proteger seu navegador e outras aplicações críticas de furos de segurança e ataques de dia zero.
- Certifique-se de que todos os seus softwares, plugins e anti-vírus permanecem atualizados, e que inclui atualizações do Windows também.
Mas isso é um grande trabalho para apenas querer navegar na web sem ser seqüestrado.É como lidar com a TSA.
O ecossistema do Windows é uma cavalgada de crapware. E agora a segurança fundamental da Internet está quebrada para usuários do Windows. A Microsoft precisa corrigir isso.