19Jul
Det är en skrämmande tid att vara en Windows-användare. Lenovo hämtade HTTPS-kapning Superfish-adware, Comodo-fartyg med ett ännu värre säkerhetshål som heter PrivDog, och dussintals andra appar som LavaSoft gör detsamma. Det är verkligen dåligt, men om du vill ha dina krypterade webbsessioner att bli kapade, gå bara till CNET-nerladdningar eller någon freeware-webbplats, eftersom de alla buntar HTTPS-brytande adware nu.
Superfish-fiasko började när forskare märkte att Superfish, som fanns på Lenovo-datorer, installerade ett falskt rotcertifikat i Windows som i huvudsak kapar alla HTTPS-surfar så att certifikaten alltid ser giltiga ut, även om de inte är, och de gjorde det i sådanaett osäkert sätt att alla skriptkiddiehackare skulle kunna utföra samma sak.
Och sedan installerar de en proxy i din webbläsare och tvingar all din surfning igenom den så att de kan infoga annonser. Det är rätt, även när du ansluter till din bank, eller sjukförsäkring webbplats, eller var som helst som borde vara säker. Och du skulle aldrig veta, eftersom de bröt Windows-kryptering för att visa annonser.
Men det ledsna, tråkiga faktum är att de inte är de enda som gör det här - adware som Wajam, Geniusbox, Content Explorer och andra gör alla exakt samma sak , installerar egna certifikat och tvingar all din surfning( inklusive HTTPS-krypterade surfningssessioner) för att gå igenom sin proxyserver. Och du kan bli smittad med denna nonsens genom att installera två av de 10 bästa appsna på CNET-nerladdningar.
Grunden är att du inte längre kan lita på den gröna låsikonen i webbläsarens adressfält. Och det är en läskig, skrämmande sak.
Hur HTTPS-Hijacking Adware fungerar, och varför det är så dåligt
Som vi tidigare visat, om du gör det enorma gigantiska misstaget att lita på CNET-nedladdningar, kan du redan vara smittad med den här typen av adware. Två av de översta tio nedladdningarna på CNET( KMPlayer och YTD) sammanfogar två olika typer av HTTPS-hijacking-adware , och i vår forskning fann vi att de flesta andra freeware-webbplatser gör samma sak.
Obs! installatörerna är så knepiga och försvunna att vi inte är säkra vem som tekniskt gör "bundling", men CNET marknadsför dessa appar på deras hemsida, så det handlar verkligen om semantik. Om du rekommenderar att personer hämtar något som är dåligt, har du lika fel. Vi har också funnit att många av dessa adwareföretag är hemligt samma personer som använder olika företagsnamn.
Baserat på nedladdningsnumren från topp 10-listan på CNET-nedladdningar ensam smittas en miljon människor varje månad med adware som kapar sina krypterade webbsessioner till sin bank eller e-post eller något som borde vara säkert.
Om du gjorde misstaget att installera KMPlayer, och du lyckas ignorera alla andra crapware kommer du att presenteras med det här fönstret. Och om du av misstag klickar på Acceptera( eller tryck på fel tangent) kommer ditt system att pwned.
Om du slutade hämta något från en ännu mer sketchy källa, som nedladdningsannonserna i din favorit sökmotor, ser du en hel lista med saker som inte är bra. Och nu vet vi att många av dem kommer att fullständigt bryta HTTPS-certifikatvalidering, vilket gör att du är helt sårbar.
När du blir smittad med något av dessa saker är det första som händer att det ställer in din proxy för att köra igenom en lokal proxy som den installerar på din dator. Var särskilt uppmärksam på "Säkert" objektet nedan. I det här fallet var det från Wajam Internet "Enhancer", men det kan vara Superfish eller Geniusbox eller någon av de andra som vi hittat, de fungerar alla på samma sätt.
När du går till en webbplats som ska vara säker, ser du ikonen för grön lås och allt ser helt normalt ut. Du kan även klicka på låset för att se detaljerna, och det kommer att visa sig att allt är bra. Du använder en säker anslutning, och även Google Chrome kommer att rapportera att du är ansluten till Google med en säker anslutning. Men du är inte!
System Alerts LLC är inte ett riktigt rotcertifikat och du går faktiskt genom en proxy som är in-the-middle som sätter in annonser på sidor( och vem vet vad mer).Du ska bara maila dem alla dina lösenord, det skulle vara enklare.
När adware är installerad och proxying all din trafik börjar du se riktigt motbjudande annonser överallt. Dessa annonser visas på säkra webbplatser, till exempel Google, ersätter de faktiska Google-annonserna, eller de visas som popup-filer överallt och tar över alla webbplatser.
De flesta av dessa adware visar "annons" länkar till direkt skadlig kod. Så medan adware själv kan vara en juridisk olägenhet, möjliggör de några riktigt, riktigt dåliga saker.
De uppnår detta genom att installera sina falska rotcertifikat i Windows-certifikatbutiken och sedan proxya de säkra anslutningarna när de loggar in med sitt falska certifikat.
Om du tittar på panelen för Windows-certifikat kan du se alla typer av helt giltiga certifikat. .. men om din dator har någon typ av adware installerad, kommer du att se falska saker som System Alerts, LLC eller Superfish, Wajam,eller dussintals andra förfalskningar.
Även om du har smittats och sedan tagit bort skadlig kod, kan certifikaten fortfarande vara där, vilket gör dig utsatt för andra hackare som kan ha tagit ut privata nycklar. Många av adwareinstallatörerna tar inte bort certifikaten när du avinstallerar dem.
De är alla människa-i-mittenattackerna och här fungerar de
Om din dator har falska rotcertifikat installerade i certifikatbutiken är du nusårbar för Man-in-the-Middle angrepp. Vad det här betyder är om du ansluter till ett offentligt hotspot eller någon får tillgång till ditt nätverk eller lyckas hacka något uppströms från dig, kan de ersätta legitima webbplatser med falska webbplatser. Det här låter kanske långt, men hackare har kunnat använda DNS-hijackar på några av de största webbplatser på webben för att kapra användare till en falsk webbplats.
När du har kapats kan du läsa varje enskild sak som du skickar till en privat webbplats - lösenord, privat information, hälsoinformation, e-postmeddelanden, personnummer, bankinformation etc. Och du vet aldrig eftersom din webbläsare kommer att berättadu att din anslutning är säker.
Det fungerar eftersom public key-kryptering kräver både en offentlig nyckel och en privat nyckel. De offentliga nycklarna är installerade i certifikatbutiken, och den privata nyckeln bör endast vara känd av webbplatsen du besöker. Men när angripare kan kapa ditt rotcertifikat och hålla både de offentliga och privata nycklarna, kan de göra allt de vill ha.
Vid Superfish användes samma privata nyckel på varje dator som har Superfish installerad och inom några timmar kunde säkerhetsforskare extrahera privata nycklar och skapa webbplatser för att testa om du är sårbar och bevisa att dukan kapas. För Wajam och Geniusbox är nycklarna olika, men Content Explorer och någon annan adware använder också samma nycklar överallt, vilket innebär att detta problem inte är unikt för Superfish.
Det blir värre: Det mesta av denna crap avaktiverar HTTPS-validering helt
Bara igår upptäckte säkerhetsforskare ett ännu större problem: Alla dessa HTTPS-proxyer inaktiverar all validering medan den ser ut som allting är bra.
Det betyder att du kan gå till en HTTPS-webbplats som har ett helt ogiltigt certifikat, och den här adware kommer att berätta att webbplatsen är bra. Vi testade adware som vi nämnde tidigare och de inaktiverar alla HTTPS-validering helt, så det spelar ingen roll om de privata nycklarna är unika eller inte. Chockerande dåligt!
Vem som helst med adware installerad är sårbar för alla typer av attacker och i många fall fortsätter att vara sårbara även när adware tas bort.
Du kan kontrollera om du är sårbar mot Superfish, Komodia eller ogiltig certifieringskontroll med hjälp av testplatsen som skapats av säkerhetsforskare, men som vi redan har visat finns det mycket mer adware där ute som gör detsamma och från vårforskning, saker kommer att fortsätta bli värre.
Skydda dig: Kontrollera certifikatpanelen och ta bort dåliga poster
Om du är orolig bör du kolla din certifikatbutik för att se till att du inte har några sketchy certifikat installerade som senare kan aktiveras av någon proxyserver. Det här kan vara lite komplicerat, för det finns många saker där, och det mesta ska vara där. Vi har inte heller en bra lista över vad som borde och borde inte vara där.
Använd WIN + R för att dra upp dialogrutan Kör, och skriv sedan "mmc" för att dra upp ett Microsoft Management Console-fönster. Använd sedan Fil - & gt;Lägg till / ta bort Snapin-moduler och välj Certifikat från listan till vänster och lägg sedan till den till höger. Se till att du väljer Computer-konto i nästa dialogruta och klicka sedan på resten.
Du vill gå till Trusted Root Certification Authorities och leta efter riktigt sketchy poster som någon av dessa( eller något liknande dem)
- Sendori
- Purelead
- Rakettflik
- Superfisk
- Lookthisup
- Pando
- Wajam
- WajaNEhans
- DO_NOT_TRUSTFiddler_root( Fiddler är ett legitimt utvecklarverktyg men skadlig kod har kapat sitt cert)
- System Alerts, LLC
- CE_UmbrellaCert
Högerklicka och ta bort några av de poster du hittar. Om du såg något fel när du testade Google i din webbläsare, var noga med att ta bort den också.Var försiktig, för om du tar bort de felaktiga sakerna här, kommer du att bryta Windows.
Vi hoppas att Microsoft släpper ut något för att kontrollera dina rotcertifikat och se till att bara bra finns där. Teoretiskt kan du använda den här listan från Microsoft av de certifikat som krävs av Windows och uppdatera sedan till de senaste rotcertifikaten, men det är helt otestat just nu, och vi rekommenderar verkligen det inte förrän någon testar det här.
Därefter måste du öppna din webbläsare och hitta de certifikat som troligtvis är cachade där. För Google Chrome, gå till Inställningar, Avancerade inställningar och Hantera certifikat. Under Personlig kan du enkelt klicka på knappen Ta bort på några dåliga certifikat. ..
Men när du går till Trusted Root Certification Authorities måste du klicka på Advanced och avmarkera allt som du ser för att sluta ge behörigheter till certifikatet. ..
Men det är galenskap.
Gå till botten av fönstret Avancerade inställningar och klicka på Återställ inställningar för att helt återställa Chrome till standardinställningar. Gör samma sak för vilken annan webbläsare du använder, eller helt avinstallera, torka alla inställningar och installera sedan igen.
Om din dator har påverkats, är du förmodligen bättre att göra en helt ren installation av Windows. Var noga med att säkerhetskopiera dina dokument och bilder och allt detta.
Så hur skyddar du dig själv?
Det är nästan omöjligt att skydda dig helt, men här är några riktlinjer för sunt förnuft för att hjälpa dig:
- Kontrollera testplatsen för Superfish / Komodia / Certification.
- Aktivera Click-to-Play för plugins i din webbläsare, vilket hjälper dig att skydda dig från alla dessa nolldagars Flash och andra pluginsäkerhetshål som finns.
- Var noga med vad du laddar ner och försök använda Ninite när du absolut måste.
- Var uppmärksam på vad du klickar när du klickar.
- Överväg att använda Microsofts förbättrade verktyg för att förbättra upplevelsen av verktygsverktyg( EMET) eller Malwarebytes Anti-Exploit för att skydda din webbläsare och andra kritiska applikationer från säkerhetshål och nolldagsangrepp.
- Se till att all din programvara, plugins och anti-virus är uppdaterade, och det inkluderar även Windows-uppdateringar.
Men det är en väldigt mycket arbete för att bara vilja surfa på webben utan att bli kapad. Det är som att hantera TSA.
Windows-ekosystemet är en cavalcade av crapware. Och nu är den grundläggande säkerheten på Internet bruten för Windows-användare. Microsoft behöver fixa det här.