Úvodná » ako » Download.com a ďalší balík Superfish-Style HTTPS Breaking Adware

    Download.com a ďalší balík Superfish-Style HTTPS Breaking Adware

    Je to desivý čas byť používateľom systému Windows. Spoločnosť Lenovo spájala HTTPS-únos s Superfish adware, Comodo sa dodáva s ešte horším bezpečnostným otvorom nazývaným PrivDog a desiatky ďalších aplikácií, ako je LavaSoft, robia to isté. Je to naozaj zlé, ale ak chcete, aby vaše šifrované webové relácie boli unesené, hneď sa obráťte na CNET Downloads alebo na akúkoľvek bezplatnú stránku, pretože všetky tieto balíky sú adware prelomujúce HTTPS.

    Superfish fiasko začalo, keď si vedci uvedomili, že Superfish, ktorý je súčasťou počítačov spoločnosti Lenovo, inštaloval falošný koreňový certifikát do systému Windows, ktorý v podstate zablokuje všetky prehliadania protokolu HTTPS, takže certifikáty vždy vyzerajú platné, aj keď nie sú, a urobili to v takom neistý spôsob, že každý skript kiddie hacker mohol dosiahnuť to isté.

    A potom inštalujú proxy do vášho prehliadača a nútia všetko vaše prehliadanie cez to, aby mohli vložiť reklamy. To je správne, aj keď sa pripojíte k svojej banke, zdravotnej poisťovni alebo kdekoľvek, kde by ste mali byť bezpeční. A nikdy by ste to nevedeli, pretože prelomili šifrovanie systému Windows a zobrazili vám reklamy.

    Ale smutný, smutný fakt je, že nie sú jediní, ktorí to robia - adware ako Wajam, Geniusbox, Content Explorer a iní všetci robia to isté, inštaláciu vlastných certifikátov a vynútenie všetkých vašich prehliadaní (vrátane šifrovaných relácií prehliadania HTTPS), aby prešli cez svoj proxy server. A môžete sa nakaziť týmto nezmyslom len inštaláciou dvoch z top 10 aplikácií na stiahnutie CNET.

    Spodný riadok je, že už nemôžete veriť ikonu zeleného zámku v paneli s adresou vášho prehliadača. A to je desivá, strašidelná vec.

    Ako funguje adware HTTPS-Hijacking a prečo je to tak zlé

    Ummm, budem potrebovať, aby ste sa vydali a zatvorili tá karta. Mmkay?

    Ako sme už ukázali, ak robíte obrovskú gigantickú chybu dôvery CNET na stiahnutie, už by ste mohli byť infikovaní týmto typom adware. Dve z desiatich najlepších stiahnutí na CNET (KMPlayer a YTD) spájajú dva rôzne typy adware HTIPS, a v našom výskume sme zistili, že väčšina ostatných stránok freeware robí to isté.

    Poznámka: inštalatéri sú tak zložité a komplikované, že si nie sme istí, kto je technicky robiť "zväzovanie", ale CNET propaguje tieto aplikácie na svojej domovskej stránke, takže je to naozaj záležitosť sémantiky. Ak odporúčate, aby si ľudia stiahli niečo, čo je zlé, rovnako ste sa dopustili chyby. Zistili sme tiež, že mnohé z týchto reklamných spoločností sú tajne rovnakými ľuďmi, ktorí používajú rôzne názvy spoločností.

    Na základe stiahnutých čísel z prvého zoznamu na stránke CNET, milión ľudí je každý mesiac infikovaný adware, ktorý unesie svoje šifrované webové relácie do svojej banky alebo e-mailu alebo čokoľvek, čo by malo byť bezpečné.

    Ak ste urobili chybu pri inštalácii KMPlayer a dokážete ignorovať všetky ostatné crapware, dostanete toto okno. Ak omylom kliknete na tlačidlo Prijať (alebo stlačíte nesprávny kľúč), váš systém sa vymaže.

    Stránky na stiahnutie by sa mali za seba hanbiť.

    Ak ste skončili s prevzatím niečoho z ešte skeptickejšieho zdroja, napríklad sťahovaním reklám vo vašom obľúbenom vyhľadávacom nástroji, uvidíte celý zoznam tých, ktoré nie sú dobré. A teraz vieme, že mnohí z nich úplne zrušia validáciu certifikátu HTTPS, takže ste úplne zraniteľní.

    Lavasoft Web Companion tiež porušuje šifrovanie HTTPS, ale tento balíček nainštaloval aj adware.

    Akonáhle sa dostanete infikované niektorou z týchto vecí, prvá vec, ktorá sa stane, je to, že nastaví váš systém proxy, aby prešiel lokálnym proxy, ktorý inštaluje na vašom počítači. Venujte zvláštnu pozornosť položke "Bezpečné" nižšie. V tomto prípade to bolo z Wajam Internet "Enhancer", ale mohlo by to byť Superfish alebo Geniusbox alebo niektorý z ostatných, ktoré sme našli, všetci pracujú rovnakým spôsobom.

    Je ironické, že spoločnosť Lenovo používala slovo "vylepšiť" na opis Superfishe.

    Keď prejdete na stránku, ktorá by mala byť bezpečná, uvidíte zelenú ikonu zámku a všetko bude vyzerať úplne normálne. Môžete dokonca kliknúť na zámok a zobraziť podrobnosti. Zdá sa, že všetko je v poriadku. Používate zabezpečené pripojenie a dokonca aj prehliadač Google Chrome nahlási, že ste pripojený k sieti Google pomocou zabezpečeného pripojenia. Ale vy nie ste!

    System Alerts LLC nie je skutočným koreňovým certifikátom a práve prechádzate prostredníkom typu Man-in-the-Middle, ktorý vkladá reklamy do stránok (a kto vie čo ďalej). Mali by ste len poslať e-mailom všetky svoje heslá, bolo by to jednoduchšie.

    Upozornenie systému: Váš systém bol ohrozený.

    Akonáhle je adware nainštalovaný a proxy celá vaša návštevnosť, začnete vidieť naozaj nepríjemné reklamy na celom mieste. Tieto reklamy sa zobrazujú na zabezpečených stránkach, ako je napríklad Google, nahrádzajú skutočné reklamy Google, alebo sa zobrazujú ako vyskakovacie okná a preberajú všetky stránky.

    Chcel by som mať Google bez odkazov na škodlivý softvér, vďaka.

    Väčšina tohto adware zobrazuje odkazy "ad" na úplný škodlivý softvér. Takže aj keď samotný adware môže byť legálnym obťažovaním, umožňujú niektoré naozaj, naozaj zlé veci.

    Dosiahli to tým, že nainštalujú svoje falošné koreňové certifikáty do úložiska certifikátov systému Windows a následne zabezpečia zabezpečené pripojenie prostredníctvom podpísania ich falošného certifikátu.

    Ak sa pozriete na panel Certifikáty Windows, môžete vidieť všetky druhy úplne platných certifikátov ... ale ak máte v počítači nejaký inštalovaný adware, uvidíte falošné veci ako System Alerts, LLC alebo Superfish, Wajam alebo desiatky ďalších falzifikátov.

    Je to z firmy Umbrella?

    Dokonca aj v prípade, že ste boli infikovaný a potom odstránený škodlivý softvér, certifikáty môžu byť stále tam, čo vás stáva zraniteľným voči ostatným hackerom, ktorí mohli extrahovať súkromné ​​kľúče. Mnoho inštalátorov adware nevyberie certifikáty, keď ich odinštalujete.

    Sú to všetko útoky na človeka a to je to, ako fungujú

    Toto je zo skutočného živého útoku úžasného bezpečnostného výskumníka Roba Grahama

    Ak máte vo svojom počítači nainštalované falošné koreňové certifikáty v obchode s certifikátmi, teraz ste zraniteľní voči útokom typu Man-in-the-Middle. Čo to znamená, ak sa pripojíte na verejnú hotspot alebo ktokoľvek dostane prístup k vašej sieti, alebo sa vám podarí narušiť niečo, čo je pred vami, môžu nahradiť legitímne stránky falošnými stránkami. To by mohlo znieť veľmi vyčerpaná, ale hackeri boli schopní využívať únosy DNS na niektorých z najväčších webových stránok na webe, aby unesli používateľov na falošnú stránku.

    Akonáhle ste unesený, môžu si prečítať každú vec, ktorú zadávate na súkromnú stránku - heslá, súkromné ​​informácie, zdravotné informácie, e-maily, čísla sociálneho poistenia, bankové informácie atď. A nikdy neviete, pretože váš prehliadač vám povie že vaše pripojenie je bezpečné.

    Toto funguje, pretože šifrovanie verejným kľúčom vyžaduje verejný kľúč aj súkromný kľúč. Verejné kľúče sú nainštalované v obchode s certifikátmi a súkromný kľúč by mal byť známy iba na webových stránkach, ktoré ste navštívili. Ale keď útočníci môžu zbaviť váš koreňový certifikát a držať verejné aj súkromné ​​kľúče, môžu robiť všetko, čo chcú.

    V prípade Superfish používali rovnaký súkromný kľúč na každom počítači, na ktorom bol nainštalovaný produkt Superfish, av priebehu niekoľkých hodín výskumníci v oblasti zabezpečenia dokázali získať súkromné ​​kľúče a vytvoriť webové stránky na otestovanie toho, či ste zraniteľní, a preukázať, že ste mohli byť unesený. Pre Wajam a Geniusbox sú kľúče odlišné, ale Content Explorer a niektoré ďalšie adware používajú rovnaké klávesy všade, čo znamená, že tento problém nie je jedinečný pre Superfish.

    Zhoršuje sa to: Väčšina z toho kecy zakáže celú validáciu HTTPS

    Len včera objavili výskumníci v oblasti bezpečnosti ešte väčší problém: Všetky tieto proxy servery HTTPS zablokujú všetky validácie a zároveň vyzerajú, že všetko je v poriadku.

    To znamená, že môžete prejsť na webovú stránku HTTPS, ktorá má úplne neplatný certifikát a tento adware vám povie, že stránka je v poriadku. Vyskúšali sme adware, ktorý sme spomenuli už skôr, a všetky z nich úplne deaktivujú overenie HTTPS, takže nezáleží na tom, či sú súkromné ​​kľúče jedinečné alebo nie. Šokujúco zlé!

    Všetok tento adware úplne porušuje kontrolu certifikátov.

    Každý, kto má nainštalovaný adware, je zraniteľný voči všetkým druhom útokov av mnohých prípadoch aj naďalej byť zraniteľný aj vtedy, keď je adware odstránený.

    Môžete skontrolovať, či ste zraniteľní voči kontrole Superfish, Komodia alebo neplatnému certifikátu pomocou testovacích stránok vytvorených výskumnými pracovníkmi v oblasti bezpečnosti, ale ako sme už ukázali, existuje oveľa viac adware, ktoré tam robia to isté, a z nášho výskumu , veci sa naďalej zhoršujú.

    Chráňte sa: skontrolujte panel certifikátov a odstráňte zlé príspevky

    Ak sa obávate, mali by ste skontrolovať, či máte uložený certifikát, aby ste sa uistili, že nemáte nainštalované žiadne skryté certifikáty, ktoré by neskôr mohli aktivovať niektorý proxy server. To môže byť trochu komplikované, pretože tam je veľa vecí a väčšina z nich by mala byť tam. Nemáme tiež dobrý zoznam toho, čo by malo a nemalo by tam byť.

    Pomocou programu WIN + R vytiahnite dialógové okno Spustiť a potom zadajte "mmc" a vytiahnite okno Microsoft Management Console. Potom použite Súbor -> Pridať alebo odstrániť moduly a vyberte položku Certifikáty zo zoznamu vľavo a potom ho pridajte na pravej strane. V ďalšom dialógovom okne vyberte možnosť Počítačový účet a potom kliknite na zvyšok.

    Budete chcieť ísť na Dôveryhodné koreňové certifikačné autority a pozrieť sa na naozaj skreslené záznamy, ako je niektorý z týchto (alebo niečo podobné)

    • Sendori
    • Purelead
    • Raketa Tab
    • Super Ryby
    • Lookthisup
    • Pando
    • Waja
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (Fiddler je legitímny nástroj pre vývojárov, ale malware ich unesel)
    • Systémové upozornenia, LLC
    • CE_UmbrellaCert

    Kliknite pravým tlačidlom myši a vyberte niektorý z týchto položiek, ktoré nájdete. Ak ste v prehliadači Google skúšali niečo nesprávne, nezabudnite ho tiež odstrániť. Len buďte opatrní, pretože ak vymažete nesprávne veci tu, budete prelomiť Windows.

    Dúfame, že spoločnosť Microsoft uvoľní niečo, aby skontrolovala vaše koreňové certifikáty a uistila sa, že sú k dispozícii iba tie dobré. Teoreticky by ste mohli používať tento zoznam od spoločnosti Microsoft od certifikátov požadovaných systémom Windows a potom aktualizovať na najnovšie koreňové certifikáty, ale v tomto momente to je úplne netestované a my to naozaj neodporúčame, kým to niekto nevyskúša.

    Ďalej budete musieť otvoriť webový prehliadač a nájsť certifikáty, ktoré sú tam pravdepodobne uložené do vyrovnávacej pamäte. Pre prehliadač Google Chrome prejdite na položku Nastavenia, Rozšírené nastavenia a potom na položku Správa certifikátov. V časti Osobné môžete ľahko kliknúť na tlačidlo Odstrániť na akýchkoľvek chybných certifikátoch ...

    Keď však idete na dôveryhodné koreňové certifikačné autority, budete musieť kliknúť na položku Rozšírené a potom zrušiť začiarknutie všetkého, čo vidíte, aby ste prestali udeľovať povolenie tomuto certifikátu ...

    Ale to je šialenstvo.

    Prejdite do dolnej časti okna Rozšírené nastavenia a kliknite na tlačidlo Obnoviť nastavenia, aby sa Chrome úplne resetovalo na predvolené hodnoty. Urobte to isté pre akýkoľvek iný prehliadač, ktorý používate, alebo úplne odinštalujte, utierajte všetky nastavenia a potom ho znova nainštalujte.

    Ak bol váš počítač ovplyvnený, pravdepodobne by ste mali lepšie urobiť úplne čistú inštaláciu systému Windows. Jednoducho sa uistite, že zálohujete svoje dokumenty a obrázky a to všetko.

    Takže ako sa chrániť?

    Je takmer nemožné, aby ste sa úplne ochránili, ale tu je niekoľko usmernení, ktoré vám pomôžu:

    • Skontrolujte testovacie miesto testovania Superfish / Komodia / Certification.
    • Aktivujte funkciu Click-To-Play pre zásuvné moduly vo vašom prehliadači, ktoré vám pomôžu ochrániť vás pred všetkými týmito nulovými bleskovými a ďalšími bezpečnostnými dierami..
    • Buďte naozaj opatrní, čo si stiahnete a pokúste sa použiť Ninite, keď to absolútne musíte.
    • Dávajte pozor na to, čo kliknete, kedykoľvek kliknete.
    • Zvážte použitie nástroja Microsoft Enhanced Mitigation Experience Toolkit (EMET) alebo programu Malwarebytes Anti-Exploit na ochranu vášho prehliadača a ďalších dôležitých aplikácií pred bezpečnostnými dierami a útokmi na nulové dni.
    • Uistite sa, že sú všetky aktualizácie softvéru, doplnkov a antivírusov aktualizované a obsahuje aj aktualizácie systému Windows.

    Ale to je strašne veľa práce práve preto, že chcem prechádzať na web bez toho, aby ste boli unesení. Je to ako keby sme sa zaoberali TSA.

    Ekosystém systému Windows je kavalkádou crapware. A teraz je pre používateľov Windows narušená základná bezpečnosť internetu. Spoločnosť Microsoft to musí vyriešiť.