Pobierane pakiety Download.com i inne SuperTime HTTPS Breaking Adware
To straszny czas, aby być użytkownikiem systemu Windows. Lenovo łączyło porwanie oprogramowania typu superfish z HTTPS, Comodo jest dostarczane z jeszcze gorszą luką w zabezpieczeniach o nazwie PrivDog, a dziesiątki innych aplikacji, takich jak LavaSoft, robią to samo. Jest naprawdę źle, ale jeśli chcesz, aby twoje zaszyfrowane sesje internetowe zostały przejęte, po prostu przejdź do pobierania CNET lub dowolnej darmowej witryny, ponieważ wszystkie one łączą teraz adware łamiące HTTPS..
Fiasko Superfish zaczęło się, gdy naukowcy zauważyli, że Superfish, zainstalowany na komputerach Lenovo, instalował fałszywy certyfikat główny w systemie Windows, który przejął kontrolę nad wszystkimi przeglądaniami HTTPS, tak aby certyfikaty zawsze wyglądały poprawnie, nawet jeśli nie były, i zrobiły to w taki sposób. niepewny sposób, w jaki każdy haker skryptowy dla dzieci mógłby osiągnąć to samo.
Następnie instalują serwer proxy w przeglądarce i zmuszają do przeglądania go, aby móc wstawiać reklamy. Zgadza się, nawet jeśli łączysz się ze swoim bankiem, witryną ubezpieczenia zdrowotnego lub gdziekolwiek, co powinno być bezpieczne. I nigdy się tego nie dowiesz, ponieważ złamali szyfrowanie Windows, aby wyświetlać reklamy.
Ale smutnym, smutnym faktem jest to, że nie tylko oni to robią - adware takie jak Wajam, Geniusbox, Content Explorer i inne robią dokładnie to samo, instalowanie własnych certyfikatów i zmuszanie do przeglądania stron internetowych (w tym sesji zaszyfrowanych za pomocą HTTPS) do przechodzenia przez ich serwer proxy. I możesz zarazić się tymi bzdurami, instalując dwie z 10 najlepszych aplikacji w witrynie CNET Downloads.
Najważniejsze jest to, że nie możesz już ufać tej zielonej ikonie kłódki na pasku adresu przeglądarki. To przerażające, przerażające.
Jak działa adnotacja typu HTTPS-Adware i dlaczego jest tak źle
Ummm, potrzebuję cię, żebyś kontynuował i zamknął tę kartę. Mmkay?Jak już wcześniej wykazaliśmy, jeśli popełnisz gigantyczny błąd polegający na zaufaniu do pobierania CNET, możesz już zostać zainfekowany tego typu adware. Dwa z dziesięciu najlepszych pobrań w CNET (KMPlayer i YTD) łączą dwa różne typy adware typu hakowanie HTTPS, W naszych badaniach odkryliśmy, że większość innych darmowych witryn robi to samo.
Uwaga: instalatorzy są tak trudni i zawiłe, że nie jesteśmy pewni, kto to jest technicznie robi "sprzedaż wiązaną", ale CNET promuje te aplikacje na ich stronie głównej, więc to naprawdę kwestia semantyki. Jeśli polecasz ludziom pobieranie czegoś, co jest złe, jesteś równie winny. Odkryliśmy również, że wiele z tych firm adware to potajemnie ci sami ludzie używający różnych nazw firm.
Na podstawie numerów pobranych z pierwszej 10 listy tylko w przypadku pobrań CNET miliony ludzi są co miesiąc infekowane adware, które przejmuje ich zaszyfrowane sesje internetowe do swojego banku, poczty elektronicznej lub wszystkiego, co powinno być bezpieczne.
Jeśli popełniłeś błąd podczas instalacji KMPlayera i zignorujesz wszystkie inne crapware, zobaczysz to okno. A jeśli przypadkowo klikniesz Zaakceptuj (lub uderzysz w niewłaściwy klucz), twój system zostanie wysłany.
Witryny pobierania powinny się wstydzić.Jeśli skończyło się pobieranie czegoś z jeszcze bardziej pobieżnego źródła, takiego jak reklamy pobierania w ulubionej wyszukiwarce, zobaczysz całą listę rzeczy, które nie są dobre. A teraz wiemy, że wielu z nich całkowicie złamie walidację certyfikatu HTTPS, pozostawiając Cię całkowicie bezbronnym.
Lavasoft Web Companion przełamuje również szyfrowanie HTTPS, ale ten pakiet również zainstalował adware.Po zainfekowaniu jedną z tych rzeczy, pierwszą rzeczą, która się dzieje jest to, że ustawia proxy systemu, aby uruchomić za pośrednictwem lokalnego serwera proxy, który instaluje na komputerze. Zwróć szczególną uwagę na element "Bezpieczny" poniżej. W tym przypadku było to z Wajam Internet "Enhancer", ale mogło to być Superfish, Geniusbox lub jakiekolwiek inne, które znaleźliśmy, wszystkie działają tak samo..
Ironiczne jest to, że Lenovo użyło słowa "poprawić", aby opisać Superfish.Po przejściu do witryny, która powinna być bezpieczna, zobaczysz zieloną ikonę kłódki i wszystko będzie wyglądać zupełnie normalnie. Możesz nawet kliknąć zamek, aby zobaczyć szczegóły, i okaże się, że wszystko jest w porządku. Korzystasz z bezpiecznego połączenia, a nawet Google Chrome zgłosi, że masz połączenie z Google za pomocą bezpiecznego połączenia. Ale nie jesteś!
System Alerts LLC nie jest prawdziwym certyfikatem głównym i faktycznie przechodzisz przez pośredniczący serwer pośredniczący, który wstawia reklamy na strony (i kto wie, co jeszcze). Powinieneś po prostu wysłać im wszystkie swoje hasła, byłoby to łatwiejsze.
System Alert: Twój system został naruszony.Po zainstalowaniu adware i przepracowaniu całego ruchu zobaczysz naprawdę okropne reklamy w każdym miejscu. Reklamy te wyświetlają się w bezpiecznych witrynach, takich jak Google, zastępując rzeczywiste reklamy Google, lub wyświetlają się jako wyskakujące okienka w dowolnym miejscu, przejmując każdą witrynę.
Chciałbym, aby moje linki do Google bez złośliwego oprogramowania, dzięki.Większość tego adware pokazuje linki "reklamy" do jawnego złośliwego oprogramowania. Tak więc, chociaż samo adware może być uciążliwością prawną, umożliwiają one naprawdę, naprawdę złe rzeczy.
Osiągają to, instalując fałszywe certyfikaty główne w magazynie certyfikatów systemu Windows, a następnie proxy za bezpieczne połączenia podczas podpisywania ich za pomocą fałszywego certyfikatu.
Jeśli zajrzysz do panelu certyfikatów systemu Windows, zobaczysz wszystkie rodzaje całkowicie poprawnych certyfikatów ... ale jeśli masz zainstalowany jakiś rodzaj adware, zobaczysz fałszywe rzeczy, takie jak Alerty systemowe, LLC lub Superfish, Wajam lub dziesiątki innych podróbek.
Czy to od korporacji Umbrella?Nawet jeśli zostałeś zainfekowany, a następnie usunięto szkodliwe oprogramowanie, certyfikaty nadal mogą tam być, co naraża Cię na ataki innych hakerów, którzy mogli wyodrębnić klucze prywatne. Wiele programów adware nie usuwa certyfikatów po ich odinstalowaniu.
Są to wszystkie średnie ataki typu "środkowy atak" i oto jak działają
Wynika to z prawdziwego ataku na żywo przez niesamowitego badacza bezpieczeństwa Roba GrahamaJeśli twój komputer ma fałszywe certyfikaty główne zainstalowane w magazynie certyfikatów, jesteś teraz podatny na ataki typu Man-in-the-Middle. Oznacza to, że jeśli łączysz się z publicznym hotspotem, ktoś uzyska dostęp do twojej sieci lub uda Ci się zhakować coś przed tobą, może zastąpić legalne strony fałszywymi witrynami. Może to zabrzmieć niepotrzebnie, ale hakerzy mogli wykorzystać przechwytywanie DNS w niektórych z największych witryn w sieci, aby porwać użytkowników do fałszywej witryny.
Po przejęciu użytkownik może przeczytać każdą rzecz, którą przesyła do prywatnej witryny - hasła, informacje prywatne, informacje zdrowotne, e-maile, numery ubezpieczenia społecznego, informacje bankowe itp. Nigdy nie wiadomo, ponieważ przeglądarka powie Ci że twoje połączenie jest bezpieczne.
Działa to, ponieważ szyfrowanie klucza publicznego wymaga zarówno klucza publicznego, jak i klucza prywatnego. Klucze publiczne są instalowane w magazynie certyfikatów, a klucz prywatny powinien być znany tylko odwiedzanej witrynie. Ale gdy atakujący może przejąć twój certyfikat główny i przytrzymać zarówno klucze publiczne, jak i prywatne, mogą zrobić wszystko, co chcą.
W przypadku Superfish, użyli tego samego klucza prywatnego na każdym komputerze, na którym zainstalowano Superfish, a w ciągu kilku godzin badacze bezpieczeństwa mogli wyodrębnić klucze prywatne i utworzyć strony internetowe, aby sprawdzić, czy jesteś podatny na zranienie, i udowodnić, że możesz zostać porwany. Dla Wajam i Geniusbox klucze są różne, ale Content Explorer i inne adware również używają tych samych kluczy wszędzie, co oznacza, że ten problem nie jest unikalny dla Superfish.
Gorzej: większość tego Crap całkowicie wyłącza walidację HTTPS
Zaledwie wczoraj, badacze bezpieczeństwa odkryli jeszcze większy problem: wszystkie te serwery proxy HTTPS wyłączają wszystkie sprawdzanie poprawności, jednocześnie sprawiając, że wszystko jest w porządku.
Oznacza to, że możesz przejść do strony HTTPS, która ma całkowicie niepoprawny certyfikat, a to adware powie Ci, że strona jest w porządku. Testowaliśmy adware, o którym wspomnieliśmy wcześniej, i całkowicie wyłączają one walidację HTTPS, więc nie ma znaczenia, czy klucze prywatne są unikatowe, czy nie. Szokująco źle!
Całe to adware całkowicie łamie sprawdzanie certyfikatu.Każdy użytkownik z zainstalowanym oprogramowaniem reklamowym jest podatny na różnego rodzaju ataki, aw wielu przypadkach nadal jest podatny na atak nawet po usunięciu adware.
Możesz sprawdzić, czy jesteś podatny na Superfish, Komodię lub nieważne sprawdzanie certyfikatu za pomocą strony testowej stworzonej przez analityków bezpieczeństwa, ale jak już wykazaliśmy, jest o wiele więcej adware, robiąc to samo iz naszych badań , rzeczy będą się pogarszać.
Zabezpiecz się: Sprawdź panel Certyfikaty i usuń nieprawidłowe wpisy
Jeśli się martwisz, powinieneś sprawdzić swój magazyn certyfikatów, aby upewnić się, że nie masz zainstalowanych żadnych szkicowych certyfikatów, które mogłyby później zostać aktywowane przez czyjś serwer proxy. Może to być trochę skomplikowane, ponieważ jest tam dużo rzeczy i większość z nich powinna tam być. Nie mamy też dobrej listy tego, co powinno i czego nie powinno tam być.
Użyj WIN + R, aby otworzyć okno dialogowe Uruchom, a następnie wpisz "mmc", aby otworzyć okno Microsoft Management Console. Następnie użyj opcji Plik -> Dodaj / Usuń przystawki i wybierz Certyfikaty z listy po lewej stronie, a następnie dodaj ją po prawej stronie. Upewnij się, że wybierasz Konto komputera w następnym oknie dialogowym, a następnie klikniesz resztę.
Będziesz chciał udać się do zaufanych głównych urzędów certyfikacji i szukać naprawdę szkicowych wpisów, takich jak te (lub coś podobnego do nich)
- Sendori
- Purelead
- Zakładka Rocket
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEhhance
- DO_NOT_TRUSTFiddler_root (Fiddler to legalne narzędzie programistyczne, ale złośliwe oprogramowanie przeniosło swój certyfikat)
- Alerty systemowe, LLC
- CE_UmbrellaCert
Kliknij prawym przyciskiem myszy i Usuń dowolne znalezione pozycje. Jeśli zauważyłeś coś nieprawidłowego podczas testowania Google w przeglądarce, pamiętaj o usunięciu tego również. Po prostu bądź ostrożny, ponieważ jeśli usuniesz niewłaściwe rzeczy, złamiesz Windows.
Mamy nadzieję, że Microsoft wyda coś, aby sprawdzić swoje certyfikaty główne i upewnić się, że są tylko dobre. Teoretycznie możesz użyć tej listy od firmy Microsoft z certyfikatów wymaganych przez system Windows, a następnie zaktualizować do najnowszych certyfikatów głównych, ale jest to w tym momencie całkowicie niesprawdzone i naprawdę nie zalecamy, dopóki ktoś tego nie przetestuje.
Następnie musisz otworzyć przeglądarkę internetową i znaleźć certyfikaty, które są tam prawdopodobnie buforowane. W przeglądarce Google Chrome przejdź do Ustawienia, Ustawienia zaawansowane, a następnie Zarządzaj certyfikatami. W sekcji Osobiste możesz łatwo kliknąć przycisk Usuń na każdym złym certyfikacie ...
Ale kiedy przejdziesz do Zaufanych Głównych Urzędów Certyfikacji, będziesz musiał kliknąć Zaawansowane, a następnie odznaczyć wszystko, co widzisz, aby przestać dawać uprawnienia do tego certyfikatu ...
Ale to szaleństwo.
Przejdź na dół okna Ustawienia zaawansowane i kliknij Resetuj ustawienia, aby całkowicie zresetować Chrome do ustawień domyślnych. Zrób to samo dla dowolnej innej używanej przeglądarki lub całkowicie odinstaluj, usuwając wszystkie ustawienia, a następnie zainstaluj ponownie.
Jeśli twój komputer został naruszony, prawdopodobnie lepiej jest zrobić całkowicie czystą instalację systemu Windows. Po prostu upewnij się, że wykonałeś kopię zapasową dokumentów i zdjęć.
Więc jak się chronić?
Jest prawie niemożliwe, aby całkowicie chronić siebie, ale oto kilka zdroworozsądkowych wskazówek, które mogą ci pomóc:
- Sprawdź stronę testu walidacji Superfish / Komodia / Certification.
- Włącz Plug-in-Play dla wtyczek w przeglądarce, co pomoże chronić Cię przed wszystkimi tymi zerowymi dniami Flash i innymi dziurami bezpieczeństwa wtyczki.
- Bądź naprawdę ostrożny, co pobierasz i spróbuj użyć Ninite, kiedy absolutnie musisz.
- Zwróć uwagę na to, co klikasz przy każdym kliknięciu.
- Rozważ skorzystanie z pakietu Microsoft Enhanced Mitigation Experience Toolkit (EMET) lub Malwarebytes Anti-Exploit w celu ochrony przeglądarki i innych krytycznych aplikacji przed lukami w zabezpieczeniach i atakami zero-day.
- Upewnij się, że wszystkie oprogramowanie, wtyczki i antywirusy są aktualizowane, a także zawiera aktualizacje systemu Windows.
Ale to bardzo dużo pracy, jeśli chcesz po prostu przeglądać internet, nie będąc porwanym. To jest jak radzenie sobie z TSA.
Ekosystem Windows to kawalkada crapware. A teraz podstawowe bezpieczeństwo Internetu jest zepsute dla użytkowników Windows. Microsoft musi to naprawić.