19Jul
Windows kullanıcısı olmak korkunç bir zamandır. Lenovo, HTTPS kaçırma Superfish reklam yazılımını, Comodo'nun PrivDog adlı daha da kötü bir güvenlik duvarı ile birlikte gönderildiğini ve LavaSoft gibi onlarca başka uygulamanın aynısını yapıyor. Gerçekten çok kötü, ancak şifrelenmiş web oturumlarınızın kaçırılmasını istiyorsanız, CNET İndirmelerine veya herhangi bir freeware siteye gidin; çünkü hepsi şimdi HTTPS kıran reklam yazılımını paketliyor.
Superfish fiyaskosu, araştırmacılar, Lenovo bilgisayarlarında bulunan Superfish'in Windows'a sahte bir kök sertifikası yüklediğini fark ettiğinde başladı; böylece, sertifika her zaman olmasa bile geçerliliğini korur ve böylece böyle yaptılar.herhangi bir script kiddie hackerının aynı şeyi yapabileceği güvensiz bir şekilde.
Sonra tarayıcınıza bir proxy yüklüyor ve reklamları ekleyebilmeleri için tüm taramalarınızı zorlamış oluyorlar. Bu, bankanıza, sağlık sigortanıza veya güvenli olması gereken herhangi bir yere bağladığınızda bile doğrudur. Ve asla bilemezsiniz, çünkü size reklam göstermek için Windows şifrelemesini ihlal ettiler.
Ancak üzgün, üzücü gerçek şu ki, Wajam, Geniusbox, Content Explorer ve diğerleri gibi reklam yazılımı yalnızca ile aynı şeyi yapıyor, kendi sertifikalarını yüklüyor ve tüm gözatma işlemlerinizi zorluyor( HTTPS şifreli gezinme oturumları da dahil olmak üzere) proxy sunucularından geçmeleri için izin verir. CNET İndirmelerindeki en iyi 10 uygulamadan sadece ikisini kurarak bu saçmalıktan bulaştırabilirsiniz.
Alt satırda, tarayıcınızın adres çubuğundaki yeşil kilit simgesine güvenemezsiniz. Ve bu korkunç, korkunç bir şey.
HTTPS Kaçırma Adware Nasıl Çalışır ve Neden Kötü Nedir
Daha önce göstermiş olduğumuz gibi, CNET İndirmelerine güvenmek için büyük bir dev hata yaparsanız, zaten bu tür bir reklam yazılımıyla bulaşmış olabilirsiniz. CNET'deki ilk on indirmeden ikisi( KMPlayer ve YTD) iki farklı HTTPS kaçırma reklam yazılımı olan 'yi paketliyoruz ve araştırmamızda çoğu diğer freeware sitelerin aynı şeyi yaptığını tespit ettik.
Not: kurulumcuları çok karmaşık ve kıvrımlı olduğundan teknik olarak 'nin "paketleme" yaptıklarından emin değiliz, ancak CNET ana sayfasında bu uygulamaları desteklemektedir, bu yüzden gerçekten bir semantik meselesidir.İnsanlara kötü bir şey indirmesini öneriyorsanız, eşit derecede hatanız vardır. Ayrıca, bu reklam şirketlerinin çoğunun gizlice farklı şirket adlarını kullanan insanlar olduğunu da keşfettik.
Yalnızca CNET İndirmeleri'ndeki en iyi 10 listeden gelen indirme sayılarına dayanarak, şifrelenmiş web oturumlarını bankalarına veya e-postalarına veya güvenli olması gereken her şeyi ele geçiren reklam yazılımıyla her ay milyonlarca kişi bulaşmaktadır.
Eğer KMPlayer'ı yüklediğinizde hata yaptıysanız ve diğer tüm crapware dosyalarını yoksayarsanız, bu pencere size sunulacaktır. Ve yanlışlıkla Accept( Kabul et) düğmesine tıklarsanız( veya yanlış tuşa basarsanız) sisteminiz pornolanır.
En sevdiğiniz arama motorundaki indirilen reklamlar gibi daha eskizlenmiş bir kaynaktan bir şeyler indirdiyseniz, iyi olmayan bir şeyler listesini göreceksiniz. Ve şimdi, birçoğunun, tamamen savunmasız bırakarak HTTPS sertifika doğrulamasını tamamen bozacağını biliyoruz.
Kendinize bunlardan herhangi biriyle bulaştıktan sonra, oluşan ilk şey, sistem proxy'nizi bilgisayarınıza yüklediği yerel bir proxy üzerinden çalıştırmak üzere ayarlamanızdır. Aşağıdaki "Güvenli" öğeye özel dikkat gösterin. Bu durumda Wajam İnternet'ten "Enhancer" alındı, ancak Superfish veya Geniusbox veya bulduğumuz diğerlerinden herhangi biri olabilir, hepsi aynı şekilde çalışıyor.
Güvenli olmanız gereken bir siteye gittiğinizde, yeşil kilit simgesini görürsünüz ve her şey mükemmel bir şekilde normal görünür. Ayrıntıları görmek için kilidi bile tıklatabilirsiniz ve her şeyin yolunda olduğu görünüyor. Güvenli bir bağlantı kullanıyorsunuz ve Google Chrome bile Google'a bağlandığınızı güvenli bir bağlantı ile bildiriyor. Ama değilsin!
System Alerts LLC gerçek bir kök sertifikası değildir ve aslında sayfalara reklamlar yerleştiren( ve başka kim bilir) bir Man-in-the-Middle proxy vasıtasıyla geçiyorsunuzdur. Onlara tüm şifrelerini e-postayla göndermelisin, daha kolay olurdu.
Reklam yazılımı yüklendikten ve tüm trafiğinizin proxy'lenmesinden sonra, her yerde gerçek anlamda iğrenç reklamlar görmeye başlarsınız. Bu reklamlar, gerçek Google reklamlarını değiştiren Google gibi güvenli sitelerde gösterilir veya her yere popup göndererek her siteden geçer.
Bu reklamın çoğunda, doğrudan kötü amaçlı yazılımlara "reklam" bağlantıları gösteriliyor. Adware kendisi yasal bir sıkıntı olabilir, bu yüzden bazı gerçekten, gerçekten kötü şeyler etkinleştirin.
Sahte kök sertifikalarını Windows sertifika deposuna yükleyip sahte sertifikayla imzalarken güvenli bağlantıları proxyleştirerek bunu başarıyorlar.
Windows Sertifikaları paneline bakarsanız, tamamen geçerli sertifikaların her türlü halini görebilirsiniz. .. ancak bilgisayarınızda birtakım reklam yazılımları varsa, Sistem Uyarıları, LLC veya Superfish, Wajam gibi sahte şeyleri göreceksiniz,ya da onlarca başka sahte.
Enfekte olmuş ve daha sonra kötü amaçlı yazılımları kaldırmış olsanız bile, sertifikalar hala orada olabilir ve böylece size özel anahtarları çıkartmış olabilecek diğer bilgisayar korsanlarına karşı savunmasız kalırsınız. Reklam yazılımları yükleyicilerinin çoğu, kaldırdığınızda sertifikaları kaldırmaz.
Hepsi Adam-in-the-Middle Attack'ler ve İşte Nasıl Çalışırlar
'nin gerçek bir canlı saldırısından kaynaklanıyor Bilgisayarınızda sertifika deposunda sahte kök sertifikalar varsa, şimdiMan-in-the-Middle saldırılarına açıktır. Bunun anlamı, genel bir hotspot'a bağlanırsanız veya birileri ağınıza erişirse veya sizin tarafınızdan bir şey kesmek için yönetirse, meşru siteleri sahte sitelerle değiştirebilirler. Bu çok zorlanmış gibi gelebilir ancak bilgisayar korsanları, sahte bir siteye kullanıcıları kaçırmak için web'deki bazı büyük sitelerin DNS kaçırmalarını kullanabilmişlerdi.
Kaçırdıktan sonra, şifreler, özel bilgiler, sağlık bilgileri, e-postalar, sosyal güvenlik numaraları, bankacılık bilgileri vb. Gibi özel bir siteye gönderdiğiniz her şeyi okuyabilirler. Ve tarayıcınızbağlantının güvenli olduğunu.
Bu, ortak anahtar şifrelemesi hem bir genel anahtar hem de bir özel anahtar gerektirdiğinden çalışır. Genel anahtarlar sertifika deposunda yüklenir ve özel anahtar yalnızca ziyaret ettiğiniz web sitesi tarafından bilinmelidir. Ancak saldırganlar kök sertifikanızı ele geçirirken hem genel hem de gizli anahtarları tutabilir, istedikleri her şeyi yapabilirsiniz.
Superfish söz konusu olduğunda, Superfish'in yüklü olduğu her bilgisayarda aynı özel anahtarı kullandılar ve birkaç saat içinde güvenlik araştırmacısı, özel anahtarları çıkarıp güvenlik açığının zayıf olup olmadığını sınamak için web siteleri oluşturmayı başardı.kaçırılabilir. Wajam ve Geniusbox için anahtarlar farklıdır, ancak İçerik Gezgini ve diğer bazı reklam yazılımları aynı tuşları her yerde kullanmaktadır, bu da bu sorun Superfish'e özgü değildir.
Kötüleşti: Bu Crapın Çoğu, HTTPS Doğrulamasını Tümüyle Devre Dışı Bırakıyor
Dün yeni güvenlik araştırmacıları daha da büyük bir sorun keşfetti: Bu HTTPS vekillerinin tümü tüm doğrulamayı devre dışı bırakırken, her şey yolunda gidermeye hazır hale getiriyor.
Bu tamamen geçersiz bir sertifikaya sahip bir HTTPS web sitesine gidebileceğiniz anlamına gelir ve bu reklam yazılımı sitenin gayet uygun olduğunu size söyleyecektir. Daha önce bahsettiğimiz reklam yazılımını test ettik ve hepsi HTTPS doğrulamasını tamamen devre dışı bırakıyorlar, bu nedenle özel anahtarların benzersiz olup olmamaları önemli değil.Şaşkın fena!
Adware yüklü olan herkes her türlü saldırıya karşı savunmasızdır ve birçok durumda adware kaldırıldığında bile savunmasız olmaya devam eder.
Güvenlik araştırmacılar tarafından oluşturulan test sitesini kullanarak Superfish, Komodia veya geçersiz sertifika kontrol için savunmasız olup olmadığını kontrol edebilirsiniz, ancak zaten gösterdiğimiz gibi, aynı şeyi yapan çok daha fazla reklam var vearaştırma, işler daha da kötüye gitmeye devam edecek.
Kendinizi Koruyun: Sertifikalar Paneli'ni kontrol edin ve Kötü Girdileri Sil
Endişeleniyorsanız daha sonra birinin proxy sunucusu tarafından etkinleştirilebilecek herhangi bir kabataslak sertifikanızın yüklü olmadığından emin olmak için sertifika mağazanızı kontrol etmeniz gerekir. Bu biraz karmaşık olabilir, çünkü orada çok şey var ve çoğunun orada olması gerekiyordu. Ayrıca, orada olması gereken ne olmaması gerektiği konusunda iyi bir listemiz yok.
Çalıştır iletişim kutusunu yukarı çekmek için WIN + R kullanın ve ardından bir Microsoft Yönetim Konsolu penceresi açmak için "mmc" yazın. Daha sonra Dosya - & gt;Ek Bileşen Ekle / Kaldır'ı tıklayın ve soldaki listeden Sertifikalar'ı seçin ve ardından sağ tarafa ekleyin. Bir sonraki iletişim kutusunda Bilgisayar hesabı seçtiğinizden emin olun ve gerisini tıklayın.
Güvenilir Kök Sertifika Yetkililerine gitmek ve bunlardan herhangi biri gibi gerçekten kabataslak girdileri aramak için
- Sendori
- Purelead
- Roket Tab
- Süper Balık
- Görünüm
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler meşru bir geliştirici araçtır, ancak kötü niyetli yazılımlar sertifikalarını kaçırmıştır)
- Sistem Uyarıları, LLC
- CE_UmbrellaCert
Bulduğunuz bu girdileri sağ tıklatın ve Silin. Google'ı tarayıcınızda test ettiğinizde yanlış bir şey gördüyseniz, bir tanesini de silmeyi unutmayın. Dikkatli ol, çünkü burada yanlış şeyleri silmek için Windows'u keseceksin.
Microsoft'un kök sertifikalarınızı kontrol etmek için bir şey yayınladığını ve sadece iyi olanların olup olmadığını kontrol etmesini umuyoruz. Teorik olarak, Microsoft tarafından bu listeyi Windows'un gerektirdiği sertifikalardan kullanabilir ve daha sonra en son kök sertifikalara güncelleyebilirsiniz; ancak bu noktada tamamen test edilmemiştir ve birisi bunu test edene kadar bunu kesinlikle tavsiye etmiyoruz.
Sonra, web tarayıcınızı açmanız ve orada büyük olasılıkla önbelleğe alınmış sertifikaları bulmanız gerekecek. Google Chrome için Ayarlar'a, Gelişmiş Ayarlar'a ve ardından Sertifikaları yönet'e gidin. Personal altında herhangi bir kötü sertifika üzerinde Remove düğmesini kolayca tıklayabilirsiniz. ..
Ancak Güvenilir Kök Sertifika Yetkililerine gittiğinizde Gelişmiş'i tıklatmanız ve ardından o sertifikaya izin vermeyi durdurmak için gördüğünüz şeylerin işaretini kaldırmanız gerekecektir. ..
Ama bu delilik.
Gelişmiş Ayarlar penceresinin altına gidin ve Chrome'u varsayılanlara sıfırlamak için Ayarları sıfırla'yı tıklayın. Aynı şeyi, kullandığınız diğer tarayıcılar için yapın veya tüm ayarları silin ve sonra da yeniden yükleyin.
Bilgisayarınız etkilenmişse, muhtemelen Windows'u tamamen temiz yüklemeyi tercih edebilirsiniz. Sadece belgelerinizi, resimlerinizi ve hepsini yedeklediğinizden emin olun.
Peki kendinizi nasıl koruyorsunuz?
Kendinizi tamamen korumak neredeyse imkânsızdır, ancak size yardımcı olması için birkaç sağduyu kuralları:
- Superfish / Komodia / Sertifikasyon doğrulama test sitesini kontrol edin.
- Tarayıcınızdaki Eklentiler için Tıkla Oynat özelliğini etkinleştirin; bu sıfır gün Flash'tan ve diğer eklenti güvenlik açıklarının hepsinden sizi koruyacaktır.
- Ne yüklediğinize dikkat edin ve kesinlikle yapmanız gerektiğinde Ninite'yi kullanmaya çalışın.
- Tıkladığınız zaman tıkladığınıza dikkat edin.
- Tarayıcınızı ve diğer kritik uygulamaları güvenlik açıklarından ve sıfır günlük saldırılardan korumak için Microsoft'un Gelişmiş Zarar Görme Deneyimi Araç Setini( EMET) veya Malwarebytes Anti-Exploit'i kullanmayı düşünün.
- Yazılımlarınızın, eklentilerinin ve anti-virüslerin güncellenmiş olarak kalmasını ve Windows Güncellemelerini de içerdiğinden emin olun.
Ancak kaçırılmadan internette gezinmek istemek için çok fazla iş var. TSA ile uğraşmak gibi bir şey.
Windows ekosistemi crapware bir süvari kılıfıdır. Ve şimdi Internet'in temel güvenliği Windows kullanıcıları için koptu. Microsoft'un bunu düzeltmesi gerekiyor.