19Jul

Download.com a ďalší balík Superfish-Style HTTPS Breaking Adware

Je strašidelný čas byť používateľom systému Windows. Spoločnosť Lenovo spájala HTTPS-únos Superfish adware, Comodo sa dodáva s ešte horšou bezpečnostnou dierou nazývanou PrivDog a desiatky ďalších aplikácií, ako je LavaSoft, robia to isté.Je to naozaj zlé, ale ak chcete, aby vaše zašifrované webové relácie boli unesené, hneď sa obráťte na CNET Download alebo na nejakú freeware stránku, pretože teraz všetci zväzujú adware HTTPS.

Fiškálne zariadenie Superfish sa začalo, keď vedci zistili, že Superfish, ktorý je súčasťou počítačov spoločnosti Lenovo, inštaloval falošný koreňový certifikát do systému Windows, ktorý v podstate zablokuje všetky prehliadania HTTPS, takže certifikáty vždy vyzerajú platné, aj keď nie sú.neistý spôsob, akýmkoľvek skriptom, ktorý malý hacker dokázal dosiahnuť to isté.

A potom inštalujú proxy do vášho prehliadača a nútia všetko vaše prehliadanie cez to, aby mohli vložiť reklamy. To je správne, aj keď sa pripojíte k svojej banke, zdravotnej poisťovni alebo kdekoľvek, kde by ste mali byť bezpeční.A nikdy by ste to nevedeli, pretože prelomili šifrovanie systému Windows a zobrazili vám reklamy.

Ale smutný, smutný fakt je, že to nie sú jediní, čo to robí - adware ako Wajam, Geniusbox, Content Explorer a ďalšie všetci robia presne to isté , inštalujú svoje vlastné certifikáty a nútia všetko prehliadanievrátane HTTPS šifrovaných relácií prehliadania), aby prešli cez svoj proxy server. A môžete sa nakaziť týmto nezmyslom len inštaláciou dvoch z top 10 aplikácií na stiahnutie CNET.

Spodný riadok spočíva v tom, že v paneli s adresou prehliadača už nemôžete veriť ikonu zeleného zámku. A to je strašidelná, strašidelná vec.

Ako HTTPS-Hijacking Adware funguje, a prečo je to tak zlé

Ummm, budem potrebovať, aby ste viedli a zatvorili túto kartu. Mmkay?

Ako sme už ukázali, ak robíte obrovskú gigantickú chybu dôvery CNET Downloads, môžete už byť infikovaní týmto typom adware. Dve z desiatich najlepších stiahnutí na CNET( KMPlayer a YTD) spájajú dva rôzne typy útokov HTDPS-adware a v našom výskume sme zistili, že väčšina ostatných stránok freeware robí to isté.

Poznámka: inštalatérov sú tak zložité a komplikované, že si nie sme istí, kto je technicky robiť "balíkovanie", ale CNET propaguje tieto aplikácie na ich domovskej stránke, takže je to naozaj vec sémantiky. Ak odporúčate, aby si ľudia stiahli niečo, čo je zlé, rovnako ste sa dopustili chyby. Zistili sme tiež, že mnohé z týchto reklamných spoločností sú tajne rovnakými ľuďmi, ktorí používajú rôzne názvy spoločností.

Na základe stiahnutých čísel z prvého zoznamu na stránke CNET, milión ľudí je infikovaných každý mesiac adware, ktorý unesie svoje šifrované webové relácie do svojej banky alebo e-mailu alebo čokoľvek, čo by malo byť zabezpečené.

Ak ste urobili chybu pri inštalácii KMPlayer a dokážete ignorovať všetky ostatné crapware, zobrazí sa vám toto okno. A ak omylom kliknete na položku Prijať( alebo stlačíte nesprávny kľúč), váš systém bude pwned.

Na stiahnutie stránky by sa mali hanbiť sami o sebe.

Ak ste skončili sťahovaním niečoho z ešte skeletovanejšieho zdroja, napríklad sťahovaním reklám vo vašom obľúbenom vyhľadávacom nástroji, uvidíte celý zoznam tých, ktoré nie sú dobré.A teraz vieme, že mnohí z nich úplne zrušia validáciu certifikátu HTTPS, takže ste úplne zraniteľní.

Lavasoft Web Companion tiež porušuje šifrovanie HTTPS, ale tento balíček nainštaloval aj adware.

Akonáhle sa dostanete infikované niektorou z týchto vecí, prvá vec, ktorá sa stane, je to, že nastaví váš systém proxy, aby prešiel lokálnym proxy, ktorý inštaluje na vašom počítači. Venujte zvláštnu pozornosť položke "Bezpečné" nižšie. V tomto prípade to bolo z Wajam Internet "Enhancer", ale mohlo by to byť Superfish alebo Geniusbox alebo niektorý z ostatných, ktoré sme našli, všetci pracujú rovnakým spôsobom.

Je ironické, že spoločnosť Lenovo používala slovo "vylepšiť" na opísanie produktu Superfish.

Keď prejdete na stránku, ktorá by mala byť bezpečná, uvidíte zelenú ikonu zámku a všetko bude úplne normálne. Dokonca môžete kliknúť na zámok a zobraziť podrobnosti. Zdá sa, že všetko je v poriadku. Používate zabezpečené pripojenie a dokonca aj prehliadač Google Chrome oznámi, že ste so spoločnosťou Google pripojený k zabezpečenému pripojeniu. Ale ty nie si!

System Alerts LLC nie je skutočným koreňovým certifikátom a práve prechádzate cez proxy typu Man-in-the-Middle, ktorý vkladá reklamy do stránok( a kto vie čo ďalej).Mali by ste len poslať e-mailom všetky svoje heslá, bolo by to jednoduchšie. Upozornenie systému

: Váš systém bol ohrozený.

Akonáhle je adware nainštalovaný a proxy všetku vašu prevádzku, začnete vidieť naozaj nepríjemné reklamy všade. Tieto reklamy sa zobrazujú na zabezpečených stránkach, ako je napríklad Google, nahrádzajú skutočné reklamy Google, alebo sa zobrazujú ako vyskakovacie okná a preberajú všetky stránky.

Chcel by som svoj Google bez odkazov na škodlivý softvér, vďaka.

Väčšina z tohto adware zobrazuje odkazy "ad" na úplný malware. Takže aj keď samotný adware môže byť legálnym obťažovaním, umožňujú niektoré naozaj, naozaj zlé veci.

to dosiahnu tým, že nainštalujú svoje falošné koreňové certifikáty do úložiska certifikátov systému Windows a následne zabezpečia zabezpečené pripojenie pomocou podpísania ich falošného certifikátu.

Ak sa pozriete na panel Certifikáty Windows, môžete vidieť všetky druhy úplne platných certifikátov. .. ale ak máte v počítači nejaký inštalovaný adware, uvidíte falošné veci ako System Alerts, LLC alebo Superfish, Wajam,alebo desiatky ďalších falzifikátov.

Je to z firmy Umbrella?

Aj keď ste boli nakazený a potom odstránený škodlivý softvér, certifikáty môžu stále existovať, čo vás stáva zraniteľným voči ostatným hackerom, ktorí mohli extrahovať súkromné ​​kľúče. Mnoho inštalátorov adware nevyberie certifikáty, keď ich odinštalujete.

Sú to všetko útoky na človeka a to je to, ako pracujú

Toto je zo skutočného živého útoku úžasného bezpečnostného výskumníka Roba Grahama

Ak je váš počítač s falošnými koreňovými certifikátmi nainštalovaný v obchode s certifikátmi, teraz stezraniteľných voči útokom človeka v stredu.Čo to znamená, ak sa pripojíte na verejný prístupový bod, alebo ktokoľvek dostane prístup do vašej siete alebo sa vám podarí narušiť niečo nad vami, môžu nahradiť legitímne stránky falošnými stránkami. To by mohlo znieť prehnané, ale hackeri boli schopní používať DNS únosy na niektorých z najväčších webových stránok na webe, aby unesli používateľov na falošnú stránku.

Akonáhle ste unesený, môžu si prečítať každú vec, ktorú zadáte na súkromnú stránku - heslá, súkromné ​​informácie, zdravotné informácie, e-maily, čísla sociálneho zabezpečenia, bankové informácie atď. A nikdy nebudete vedieť,že vaše pripojenie je bezpečné.

Toto funguje, pretože šifrovanie verejného kľúča vyžaduje verejný kľúč aj súkromný kľúč.Verejné kľúče sú nainštalované v obchode s certifikátmi a súkromný kľúč by mal byť známy iba na webových stránkach, ktoré ste navštívili. Ale keď útočníci môžu uniesť váš koreňový certifikát a držať verejné aj súkromné ​​kľúče, môžu robiť všetko, čo chcú.

V prípade Superfish použili rovnaký súkromný kľúč na každom počítači, na ktorom bol nainštalovaný produkt Superfish. V priebehu niekoľkých hodín mohli vedci zabezpečenia získať súkromné ​​kľúče a vytvoriť webové stránky na overenie, či ste zraniteľní a preukázať, že stemohli byť unesení.Pre Wajam a Geniusbox sú kľúče odlišné, ale Content Explorer a niektoré ďalšie adware používajú rovnaké klávesy všade, čo znamená, že tento problém nie je pre spoločnosť Superfish jedinečný.

sa stáva horším: Väčšina tohto klija zablokuje overenie HTTPS úplne

Len včera objavili výskumníci v oblasti bezpečnosti ešte väčší problém: Všetky tieto proxy HTTPS zablokujú všetky validácie a zároveň vyzerajú, že všetko je v poriadku.

To znamená, že môžete prejsť na webovú stránku HTTPS, ktorá má úplne neplatný certifikát a tento adware vám povie, že stránka je v poriadku. Vyskúšali sme adware, ktorý sme spomenuli už skôr, a všetky z nich úplne deaktivujú overenie HTTPS, takže nezáleží na tom, či sú súkromné ​​kľúče jedinečné alebo nie.Šokujúco zlé!

Všetky tieto adware úplne porušujú kontrolu certifikátov.

Ktokoľvek s nainštalovaným adware je zraniteľný voči všetkým druhom útokov a v mnohých prípadoch je naďalej zraniteľný aj po odstránení adware.

Môžete skontrolovať, či ste zraniteľní voči kontrole Superfish, Komodia alebo neplatným certifikátom pomocou testovacieho webu vytvoreného výskumnými pracovníkmi v oblasti bezpečnosti, ale ako sme už ukázali, je tam oveľa viac adware, ktoré robia to isté a od našichvýskum, veci sa budú naďalej zhoršovať.

Protect Yourself: Kontrola panelu certifikátov a vymazanie chybných položiek

Ak máte strach, mali by ste skontrolovať svoj úložisko certifikátov, aby ste sa uistili, že nemáte nainštalované žiadne skryté certifikáty, ktoré by neskôr mohli aktivovať niektorý proxy server. To môže byť trochu komplikované, pretože tam je veľa vecí a väčšina z nich by mala byť tam. Nemáme tiež dobrý zoznam toho, čo by malo a nemalo by tam byť.

Použite WIN + R na vytiahnutie dialógového okna Spustiť a potom zadajte "mmc" a vytiahnite okno Microsoft Management Console. Potom použite súbor - & gt;Pridajte alebo odstráňte moduly Snap-in a vyberte položku Certifikáty zo zoznamu vľavo a potom ho pridajte na pravej strane. V ďalšom dialógovom okne vyberte možnosť Počítačový účet a potom kliknite na zvyšok.

Budete chcieť ísť do dôveryhodných koreňových certifikačných autorít a pozrieť sa na naozaj skryté záznamy, ako je ktorýkoľvek z týchto( alebo niečo podobné)

  • Sendori
  • Purelead
  • Rocket Tab
  • Super Fish
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root( Fiddler je legitímny nástroj pre vývojárov, ale malware ich unesel.)
  • Systémové upozornenia, LLC
  • CE_UmbrellaCert

Kliknite pravým tlačidlom myši a vyberte niektorý z týchto položiek, ktoré nájdete. Ak ste v prehliadači Google skúšali niečo nesprávne, nezabudnite ho tiež odstrániť.Len buďte opatrní, pretože ak vymažete nesprávne veci tu, budete prelomiť Windows.

Dúfame, že spoločnosť Microsoft uvoľní niečo, aby skontrolovala vaše koreňové certifikáty a uistila sa, že existujú len tie dobré.Teoreticky by ste mohli používať tento zoznam od spoločnosti Microsoft certifikátov požadovaných systémom Windows a potom aktualizovať na najnovšie koreňové certifikáty, ale v tomto momente to je úplne netestované a my to naozaj neodporúčame, kým to niekto nevyskúša.

Ďalej budete musieť otvoriť webový prehliadač a nájsť certifikáty, ktoré sú tam pravdepodobne uložené do vyrovnávacej pamäte. V prehliadači Google Chrome prejdite na položku Nastavenia, Rozšírené nastavenia a potom na položku Správa certifikátov. V časti Osobné môžete jednoducho kliknúť na tlačidlo Odstrániť na akýchkoľvek chybných certifikátoch. ..

Ale keď prejdete na Dôveryhodné koreňové certifikačné autority, budete musieť kliknúť na položku Rozšírené a potom zrušiť začiarknutie všetkého, čo vidíte, aby ste prestali udeľovať povolenie tomuto certifikátu. ..

Ale to je šialenstvo.

Prejdite do dolnej časti okna Rozšírené nastavenia a kliknite na tlačidlo Obnoviť nastavenia, ak chcete úplne obnoviť predvolené nastavenia prehliadača Chrome. Urobte to isté pre akýkoľvek iný prehliadač, ktorý používate, alebo úplne odinštalujte, utierajte všetky nastavenia a potom ho znova nainštalujte.

Ak bol váš počítač ovplyvnený, je pravdepodobne lepšie robiť úplne čistú inštaláciu systému Windows. Len sa uistite, že chcete zálohovať svoje dokumenty a obrázky a to všetko.

Takže ako sa chrániť?

Je skoro nemožné úplne ochrániť sami seba, ale tu je niekoľko usmernení, ktoré vám pomôžu:

  • Pozrite si skúšobný testovací server Superfish / Komodia / Certification.
  • Aktivujte funkciu Click-To-Play pre zásuvné moduly vo vašom prehliadači, ktoré vám pomôžu ochrániť vás pred všetkými týmito nulami zábleskovými bezpečnostnými otvormi.
  • Buďte naozaj opatrní, čo si stiahnete a pokúste sa použiť Ninite, keď to musíte.
  • Dávajte pozor na to, čo kliknete, kedykoľvek kliknete.
  • Zvážte použitie nástroja Microsoft Enhanced Mitigation Experience Toolkit( EMET) alebo programu Malwarebytes Anti-Exploit, aby ste ochránili váš prehliadač a iné dôležité aplikácie pred bezpečnostnými dierami a útokmi na nultý deň.
  • Uistite sa, že sú všetky aktualizácie softvéru, doplnkov a antivírusov aktualizované a obsahuje aj aktualizácie systému Windows.

Ale to je strašne veľa práce, pretože práve chcem prehliadať web bez toho, aby som bol unesený.Je to ako s TSA.

Ekosystém systému Windows je cavalcade crapware. A teraz je pre používateľov Windows narušená základná bezpečnosť internetu. Spoločnosť Microsoft to musí vyriešiť.