19Jul
Strašen čas je, da bi bil uporabnik sistema Windows. Lenovo je združil HTTPS-ugrabitev Superfish adware, Comodo ladje z še slabšo varnostno luknjo, imenovano PrivDog, in več deset drugih aplikacij, kot je LavaSoft, delajo enako. To je res slabo, vendar če želite, da se vaše šifrirano spletno seje ugrabijo, se obrnite na CNET Downloads ali katera koli brezplačna spletna mesta, ker so zdaj združili programsko opremo za brisanje HTTPS-a.
Fiasco Superfish se je začel, ko so raziskovalci opazili, da je Superfish, ki je bil v računalniku Lenovo Lenovo, v Windows nameščen lažen root certifikat, ki v bistvu zagreva vse brskanje po HTTPS-jih, tako da certifikati vedno postanejo veljavni, tudi če niso,nezanesljiv način, da bi katerikoli scenarij kiddie hacker lahko dosegel isto stvar.
In potem namestijo proxy v svoj brskalnik in prisilijo vse brskanje po njem, tako da lahko vstavijo oglase. To je prav, tudi če se povežete z vašo banko ali spletno stranjo zdravstvenega zavarovanja ali kjerkoli, ki mora biti varno. In nikoli ne bi vedeli, ker so prekinili šifriranje sistema Windows, da so vam pokazali oglase.
Toda žalostno, žalostno dejstvo je, da to niso edini, ki to počnejo - adware , kot so Wajam, Geniusbox, Content Explorer in drugi, počnejo popolnoma enako , namestijo lastne certifikate in prisilijo vse brskanje( vključno s šifriranimi brskalnimi posnetki HTTPS), da bi šli skozi njihov proxy strežnik. In se lahko okužite s to neumnostjo, tako da namestite dve od top 10 aplikacij na CNET Downloads.
Spodnja linija je, da v zeleno ključavnico v naslovni vrstici brskalnika ne morete več zaupati. In to je grozna, grozna stvar.
Kako HTTPS-Hijacking Adware deluje in zakaj je tako slabo
Kot smo že prej pokazali, če naredite ogromno ogromno napako zaupanja v prenosih CNET, bi lahko že bili okuženi s tovrstno programsko opremo. Dva od desetih najboljših prenosov na CNET( KMPlayer in YTD) združujeta dve različni vrsti ugrabitvenih adwareov HTTPS , v naših raziskavah pa smo ugotovili, da večina drugih freeware strani počne isto stvar.
Opomba: so monterji tako zapleteni in zmedeni, da nismo prepričani, kdo je tehnično , ki opravlja "vezano prodajo", CNET pa te programe promovira na svoji domači strani, zato je resnično vprašanje semantike.Če priporočate, da ljudje prenesejo nekaj slabega, ste enako krivdi. Ugotovili smo tudi, da so mnoge od teh oglaševalskih podjetij skrivaj isti ljudje, ki uporabljajo različna imena podjetij.
Na podlagi prenosnih števil iz zgornjega seznama 10 samo na prenosih CNET-a milijon ljudi se okuži vsak mesec z adware-jem, ki ugrablja svoje šifrirane spletne seje v svojo banko ali elektronsko pošto ali vse, kar bi moralo biti varno.
Če ste napako namestili KMPlayer in ste uspeli prezreti vse ostale zmešnjave, vam bo to okno prikazano. In če slučajno kliknete Sprejmi( ali pritisnete napačno tipko), bo sistem pandan.
Če ste na koncu prenesli nekaj iz še bolj skritega vira, kot so oglasi za prenos v svojem priljubljenem iskalniku, boste videli celoten seznam stvari, ki ni dobro. In zdaj vemo, da bodo mnogi med njimi popolnoma prekinili validacijo HTTPS certifikata, tako da boste popolnoma ranljivi.
Ko se okužite z eno od teh stvari, se najprej zgodi, da vaš sistemski posrednik zažene prek lokalnega proxyja, ki ga namesti na vaš računalnik. Posebno pozornost posvečajte elementu "Secure" spodaj. V tem primeru je bilo iz Wajam Interneta "Enhancer", vendar je lahko Superfish ali Geniusbox ali kateri koli od drugih, ki smo jih našli, vsi delajo na enak način.
Ko greste na spletno mesto, ki bi moralo biti varno, boste videli ikono zelene ključavnice in vse bo videti popolnoma normalno. Lahko celo kliknete na ključavnico, da si ogledate podrobnosti, in se bo zdelo, da je vse v redu. Uporabljate varno povezavo in tudi Google Chrome bo poročal, da ste z Googlom povezani z varno povezavo. Ampak niste!
System Alerts LLC ni resnično root certifikat in dejansko greste skozi proxy Man-in-the-Middle, ki vstavlja oglase na strani( in kdo ve, kaj drugega).Moral bi jim le poslati vsa gesla, bi bilo lažje. Sistemska opozorila
Ko je oglaševalska programska oprema nameščena in proksiram celoten promet, boste začeli videti resnično škodljive oglase po vsem mestu. Ti oglasi se prikazujejo na varnih spletnih mestih, na primer v Googlu, ki nadomeščajo dejanske Googlove oglase ali se prikazujejo kot pojavna okna po vsem mestu in prevzemajo vsa spletna mesta.
Večina teh adware prikazuje povezave »ad« do dokončne zlonamerne programske opreme. Torej, medtem ko je adware sama morda pravna nadloga, omogočajo nekaj resnično, resnično slabih stvari.
To dosežejo tako, da svoje lažne root certifikate namestijo v trgovino certifikatov Windows in nato proxy varne povezave, medtem ko jih podpišejo s svojim ponarednim certifikatom.
Če si ogledate ploščo Windows certifikati, si lahko ogledate vse vrste popolnoma veljavnih certifikatov. .. vendar če ima vaš računalnik nameščeno nekaj vrste oglaševalske programske opreme, boste videli ponarejene stvari, kot so System Alerts, LLC ali Superfish, Wajam,ali ducate drugih ponaredkov.
Tudi če ste bili okuženi in nato odstranili slabo programsko opremo, so morda še vedno prisotni certifikati, zaradi česar ste občutljivi na druge hekerje, ki so morda izločili zasebne ključe. Mnogi namestitveni programi za adware ne odstranjujejo potrdil, ko jih odstranite.
Oni so vsi Man-in-the-srednji napadi in tukaj so kako delujejo
Če ima vaš računalnik lažne root certifikate, nameščene v trgovini certifikatov, ste zdajranljivi za napade Man-in-the-Middle. Kaj to pomeni, če se povežete z javno dostopno točko ali če nekdo dobi dostop do vašega omrežja ali mu uspe kdo zgrabiti nase, lahko legitimne strani nadomestijo z lažnimi spletnimi mesti. To lahko zveni preveč prevzeto, vendar so hekerji na nekaterih največjih spletnih mestih na spletu lahko ugrabili uporabnike na lažno spletno mesto.
Ko ste ugrabljeni, lahko preberete vsako stvar, ki jo pošljete zasebni spletni strani - gesla, zasebne informacije, zdravstvene podatke, e-poštna sporočila, številke socialnega zavarovanja, bančne podatke itd. In nikoli ne boste vedeli, ker bo vaš brskalnik povedalda je vaša povezava varna.
To deluje, ker šifriranje javnega ključa zahteva javni ključ in zasebni ključ.Javni ključi so nameščeni v trgovini certifikatov, zasebni ključ pa mora biti znan le na spletni strani, ki jo obiskujete. Toda, ko napadalci lahko ugrabijo vaš root certifikat in imajo javna in zasebna ključa, lahko storijo vse, kar hočejo.
V primeru podjetja Superfish so na vsakem računalniku, v katerem je nameščen Superfish, uporabljali isti zasebni ključ, v nekaj urah pa so lahko raziskovalci na področju varnosti izvlekli zasebne ključe in ustvarili spletne strani, da bi preverili, ali ste ranljivi in dokažejo, da stebi se lahko ugrabili. Za Wajam in Geniusbox so ključi drugačni, vendar vsebinski Explorer in drugi adware tudi uporabljajo povsod iste ključe, kar pomeni, da ta problem ni edinstven za Superfish.
Gets Worse: večina tega dreka onemogoča HTTPS validacijo v celoti
Še včeraj so varnostni raziskovalci odkrili še večji problem: Vsi ti HTTPS pooblaščenci onemogočijo vse validacije, medtem ko izgleda, da je vse v redu.
To pomeni, da lahko obiščete spletno mesto HTTPS, ki ima popolnoma neveljavno potrdilo, in ta oglas vas bo povedal, da je spletno mesto v redu. Testirali smo oglaševalsko programsko opremo, ki smo jo omenili prej in v celoti onemogočimo validacijo HTTPS-ja, zato ni pomembno, ali so zasebni ključi edinstveni ali ne.Šokantno slabo!
Vsakdo, ki je nameščen v adware, je ranljiv za vse vrste napadov in v mnogih primerih še vedno ranljiv, tudi ko je odstranjen adware.
Preverite, ali ste ranljivi za Superfish, Komodia ali preverjanje neveljavnega potrdila z uporabo mesta za testiranje, ki so jo ustvarili varnostni raziskovalci, ampak kot smo že dokazali, obstaja veliko več adware-jev, ki delajo isto stvar, in iz našese bodo stvari še naprej poslabšale.
Protect Yourself: preverite ploščo s certifikati in izbrišite slabe vnose
Če vas skrbi, preverite skladišče potrdil, da se prepričate, da nimate nameščenih nobenih navideznih potrdil, ki bi jih pozneje lahko aktiviral nečiji proxy strežnik. To je lahko malo zapleteno, ker je tam veliko stvari, večina pa naj bi bila tam. Nimamo pa tudi dobrega seznama, kaj bi moralo biti in ne bi smelo biti tam.
Uporabite WIN + R, da povlečete pogovorno okno Run in vnesite »mmc«, da povlečete okno Microsoft Management Console. Nato uporabite File - & gt;Add / Remove Snap-ins in izberite seznam potrdil s seznama na levi strani, nato pa ga dodajte na desno stran. V naslednjem pogovornem oknu izberite Računalniški račun in nato kliknite drugo.
Želeli boste iti v zaupanja vredne korenske certifikacijske organe in poiskati res sketchy vnose, kot je katera koli od teh( ali kaj podobnega tem)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler je legitimno orodje za razvijalce, vendar je zlonamerna programska oprema ugrabila svoje certifikate)
- System Alerts, LLC
- CE_UmbrellaCert
Z desno miškino tipko kliknite Izbriši vse vnose, ki jih najdete.Če ste videli nekaj nepravilnega, ko ste v brskalniku preizkusili Googlu, tudi to izbrišite. Bodite previdni, ker če izbrišete napačne stvari tukaj, boste zlomili Windows.
Upamo, da Microsoft izpusti nekaj, da preveri root certifikate in se prepriča, da so tam le dobre. Teoretično lahko uporabite ta seznam od Microsoftov certifikatov, ki jih zahteva Windows, in nato posodobite na najnovejša korenska potrdila, vendar to ni povsem preizkušeno na tej točki in res ne priporočamo, dokler kdo to ne preizkusi.
Nato boste morali odpreti svoj spletni brskalnik in poiskati potrdila, ki so tam verjetno shranjeni. Za Google Chrome pojdite v Nastavitve, Napredne nastavitve in nato Upravljanje certifikatov. Pod Osebno lahko preprosto kliknete gumb »Odstrani« na poljubnih slabih potrdilih. ..
Ko pa greste v pooblaščene organe za overjanje korenin, boste morali klikniti Napredno in nato počistiti vse, kar vidite, da prenehate dajati dovoljenja temu certifikatu. ..
Ampak to je norost.
Pojdite na dno okna z naprednimi nastavitvami in kliknite Nastavitve ponastavitve, da povrnete Chrome v privzete vrednosti. Naredite isto za kateri koli drug brskalnik, ki ga uporabljate, ali pa popolnoma odstranite, obrišite vse nastavitve in ga znova namestite.
Če je bil vaš računalnik prizadet, vam verjetno bolje naredite povsem čisto namestitev operacijskega sistema Windows. Samo varnostno kopirajte svoje dokumente in slike in vse to.
Torej, kako se zaščitite?
Skoraj nemogoče je, da se popolnoma zaščitite, vendar je tukaj nekaj smernic, ki vam bodo pomagale:
- Preverite spletno mesto testiranja validacije Superfish / Komodia / certifikat.
- Omogočite »klikni za igranje« za vtičnike v brskalniku, ki vam bodo pomagali zaščititi pred vsemi tistimi brezžičnimi bliskovnimi in drugimi varnostnimi luknjami za vtičnike.
- Bodite zelo previdni, kaj boste prenesli in poskusite uporabiti Ninita, ko morate nujno.
- Bodite pozorni na to, kar kliknete ob vsakem kliku.
- Razmislite o uporabi Microsoftovega izboljšanega orodja za zmanjševanje občutljivosti( EMET) ali programa Malwarebytes Anti-Exploit, da zaščitite brskalnik in druge kritične aplikacije iz varnostnih lukenj in ničelnih napadov.
- Prepričajte se, da so vse vaše programske opreme, vtičnikov in protivirusnih programov posodobljene, in to vključuje tudi posodobitve sistema Windows.
Ampak to je grozno veliko dela za samo želijo brskati po spletu, ne da bi ga ugrabili. To je kot obravnavanje TSA.
Windows ekosistem je cavalcade crapware. In zdaj je temeljna varnost interneta prekinjena za uporabnike operacijskega sistema Windows. Microsoft mora to popraviti.