Pagina principala » HOWTO » Download.com și alții Bundle Superfish-Style HTTPS Breaking Adware

    Download.com și alții Bundle Superfish-Style HTTPS Breaking Adware

    Este un timp înfricoșător pentru a fi utilizator de Windows. Lenovo a fost însoțită de HTTPS-deturnarea Superfish adware, Comodo nave cu o gaură de securitate chiar mai rău numit PrivDog, și zeci de alte aplicații, cum ar fi LavaSoft fac la fel. Este foarte rău, dar dacă doriți ca sesiunile dvs. criptate de web să fie detronate doar capul spre descărcări CNET sau orice site freeware, deoarece acestea sunt toate pachet adware HTTPS-rupere acum.

    Fișierul Superfish a început atunci când cercetătorii au observat că Superfish, inclus pe computerele Lenovo, instalează un certificat rădăcină fals în Windows care în mod esențial deturge toate browserele HTTPS, astfel încât certificatele să pară întotdeauna valide chiar dacă nu sunt, și au făcut-o într-o astfel de astfel incat orice hacker de scripturi de scripturi ar putea realiza acelasi lucru.

    Și apoi instalează un proxy în browser-ul dvs. și forțează toate navigarea dvs. prin intermediul acestuia, astfel încât să poată introduce anunțuri. Așa e, chiar și atunci când te conectezi la bancă, la site-ul de asigurări de sănătate sau oriunde ar trebui să fii sigur. Și nu ați ști niciodată, pentru că au rupt criptarea Windows pentru a vă afișa anunțuri.

    Dar tristul și tristul fapt este că ei nu sunt singurii care fac asta - adware cum ar fi Wajam, Geniusbox, Content Explorer și altele, toate fac exact același lucru, instalând propriile certificate și forțând toate browserele (inclusiv sesiunile de navigare criptate HTTPS) să treacă prin serverul proxy. Și vă puteți infecta cu acest nonsens doar instalând două din primele 10 aplicații pe descărcările CNET.

    Linia de jos este că nu mai puteți avea încredere în pictograma de blocare verde în bara de adrese a browserului dvs. Și asta e un lucru înfricoșător, înfricoșător.

    Cum funcționează HTTPS-Hijacking Adware și de ce este așa de rău

    Ummm, o să am nevoie să mergi înainte și să închizi acea filă. Mmkay?

    Așa cum am arătat mai devreme, dacă faceți greseala uriașă de a avea încredere în descărcările CNET, puteți fi deja infectat cu acest tip de adware. Două dintre primele descărcări de pe CNET (KMPlayer și YTD) cuprind două tipuri diferite de adware HTTPS-deturnare, iar în cercetarea noastră am constatat că majoritatea celorlalte site-uri freeware fac același lucru.

    Notă: instalatorii sunt atât de complicați și complicați încât nu suntem siguri cine este tehnic facând legătura, dar CNET promovează aceste aplicații pe pagina lor de pornire, deci e vorba de o semantică. Dacă recomandăm utilizatorilor să descarce ceva care este rău, sunteți la fel de greșit. De asemenea, am descoperit că multe dintre aceste companii adware sunt în secret aceleași persoane care folosesc nume diferite de companii.

    Bazându-se pe numerele de descărcare de pe lista de top 10 numai pe descărcările CNET, un milion de persoane sunt infectate în fiecare lună cu adware care le deturnează sesiunile criptate de web către banca lor sau e-mail sau orice altceva care ar trebui să fie sigur.

    Dacă ați făcut greșeala de a instala KMPlayer și reușiți să ignorați toate celelalte tipuri de programe, vi se va afișa această fereastră. Dacă faceți clic accidental pe Acceptați (sau apăsați tasta greșită) sistemul dvs. va fi pwned.

    Site-urile de descărcare ar trebui să fie rușine de ei înșiși.

    Dacă ați ajuns să descărcați ceva dintr-o sursă și mai schetică, cum ar fi anunțurile de descărcare din motorul de căutare preferat, veți vedea o listă completă de lucruri care nu sunt bune. Și acum știm că mulți dintre ei vor rupe complet validarea certificatului HTTPS, lăsându-vă complet vulnerabili.

    Lavasoft Web Companion rupe de asemenea criptarea HTTPS, dar acest pachet instalat și adware.

    Odată ce v-ați infectat cu oricare dintre aceste lucruri, primul lucru care se întâmplă este setarea proxy-ului dvs. de sistem pentru a rula printr-un proxy local pe care îl instalează pe computer. Acordați o atenție deosebită elementului "securizat" de mai jos. În acest caz, a fost de la Wajam Internet "Enhancer", dar ar putea fi Superfish sau Geniusbox sau oricare dintre celelalte pe care le-am găsit, toate funcționează la fel.

    Este ironic faptul că Lenovo a folosit cuvântul "spori" pentru a descrie Superfish.

    Când te duci la un site care ar trebui să fie sigur, vei vedea pictograma verde de blocare și totul va arăta perfect normal. Puteți chiar să faceți clic pe blocare pentru a vedea detaliile și va apărea că totul este bine. Utilizați o conexiune securizată și chiar Google Chrome va raporta că sunteți conectat la Google printr-o conexiune securizată. Dar nu ești!

    System Alerts LLC nu este un certificat rădăcină reală și de fapt faceți un proxy Man-in-Middle care introduce anunțuri în pagini (și cine știe ce altceva). Ar trebui să le trimiteți prin e-mail toate parolele dvs., ar fi mai ușor.

    Alertă sistem: sistemul dvs. a fost compromis.

    Odată ce anunțul este instalat și vă proxyază întregul trafic, veți începe să vedeți anunțuri cu adevărat neplăcute peste tot. Aceste anunțuri se afișează pe site-uri securizate, cum ar fi Google, înlocuind anunțurile Google reale, sau apar ca pop-up-uri peste tot, preluând fiecare site.

    Aș dori ca Google meu fără link-uri malware, mulțumesc.

    Majoritatea adware-urilor afișează link-uri "ad" la malware complet. Deci, în timp ce adware-ul în sine ar putea fi o provocare legală, ele permit unele lucruri foarte, foarte rele.

    Ei realizează acest lucru prin instalarea certificatelor rădăcină falsă în magazinul de certificate Windows și apoi prin proxyarea conexiunilor securizate în timp ce le semnează cu certificatul lor fals.

    Dacă te uiți în panoul de Certificate Windows, poți vedea tot felul de certificate complet valabile ... dar dacă PC-ul tău are un anumit tip de adware instalat, vei vedea lucruri false precum System Alerts, LLC sau Superfish, Wajam sau zeci de alte falsuri.

    Este de la compania Umbrella?

    Chiar dacă ați fost infectat și apoi ați eliminat produsul rău, certificatele ar putea fi acolo, făcându-vă vulnerabile față de alți hackeri care ar fi putut extrage cheile private. Mulți dintre instalatorii de programe adware nu elimină certificatele atunci când le dezinstalați.

    Acestea sunt toate atacurile omului în mijloc și de aici modul în care funcționează

    Acest lucru provine dintr-un adevărat atac viu al cercetătorului de securitate Rob Graham

    Dacă PC-ul dvs. are certificate false rădăcină instalate în magazinul de certificate, sunteți acum vulnerabil la atacurile "Man-in-the-Middle". Ce înseamnă asta dacă te conectezi la un hotspot public sau dacă cineva are acces la rețeaua ta sau reușește să spargă ceva în amonte de tine, poate înlocui site-urile legitime cu site-uri false. Acest lucru s-ar putea suna prea mult, dar hackerii au reușit să utilizeze hijack-uri DNS pe unele dintre cele mai mari site-uri de pe web pentru a ataca utilizatorii într-un site fals.

    Odată ce sunteți deturnat, pot citi fiecare lucru pe care îl trimiteți unui site privat - parole, informații private, informații despre sănătate, e-mailuri, numere de securitate socială, informații bancare etc. Și niciodată nu veți ști că browserul dvs. vă va spune că conexiunea dvs. este sigură.

    Aceasta funcționează deoarece criptarea cheii publice necesită atât o cheie publică, cât și o cheie privată. Cheile publice sunt instalate în magazinul de certificate, iar cheia privată ar trebui să fie cunoscută numai de site-ul pe care îl vizitați. Dar când atacatorii pot să-ți deturneze certificatul rădăcină și să dețină atât cheile publice, cât și cele private, pot face tot ce vor.

    În cazul lui Superfish, aceștia au folosit aceeași cheie privată pe fiecare computer care a instalat Superfish și în câteva ore cercetătorii în domeniul securității au reușit să extragă cheile private și să creeze site-uri web pentru a testa dacă sunteți vulnerabil și pentru a dovedi că ați putut fi deturnat. Pentru Wajam și Geniusbox, tastele sunt diferite, dar Content Explorer și alte adware utilizează de asemenea aceleași chei peste tot ceea ce înseamnă că această problemă nu este unică pentru Superfish.

    Ea devine mai rău: Cea mai mare parte din acest crap dezactivează validarea HTTPS în întregime

    Doar ieri, cercetătorii în domeniul securității au descoperit o problemă și mai mare: Toți acești proxy-uri HTTPS dezactivează validarea în timp ce arată că totul este bine.

    Aceasta înseamnă că puteți merge pe un site web HTTPS care are un certificat complet nevalid și acest adware vă va spune că site-ul este în regulă. Am testat adware-ul pe care l-am menționat mai devreme și toate dezactivează în întregime validarea HTTPS, deci nu contează dacă cheile private sunt unice sau nu. Șocant rău!

    Toate aceste adware completează complet verificarea certificatului.

    Oricine are instalat un adware este vulnerabil la tot felul de atacuri și, în multe cazuri, continuă să fie vulnerabil chiar și atunci când adware-ul este eliminat.

    Puteți verifica dacă sunteți vulnerabil la verificarea certificatelor Superfish, Komodia sau a unui certificat nevalid folosind site-ul testat creat de cercetătorii din domeniul securității, dar, după cum am demonstrat deja, există mult mai mult adware acolo făcând același lucru și din cercetarea noastră , lucrurile vor continua să se înrăutățească.

    Protejați-vă: Verificați panoul Certificate și Ștergeți înregistrările greșite

    Dacă vă faceți griji, ar trebui să verificați magazinul dvs. de certificate pentru a vă asigura că nu aveți instalate niciun certificat de tip sketchy care ar putea fi activat mai târziu de serverul proxy al unei persoane. Acest lucru poate fi puțin complicat, deoarece acolo sunt multe lucruri și majoritatea trebuie să fie acolo. De asemenea, nu avem o listă bună a ceea ce ar trebui și nu ar trebui să fie acolo.

    Utilizați WIN + R pentru a trage în sus dialogul Executare, apoi tastați "mmc" pentru a trage o fereastră a Consolei de administrare Microsoft. Apoi, utilizați Fișier -> Adăugați / Eliminați snap-inuri și selectați Certificate din lista din stânga și apoi adăugați-o în partea dreaptă. Asigurați-vă că ați selectat contul Computer în următorul dialog, apoi faceți clic pe restul.

    Veți dori să mergeți la Autoritățile de certificare a principalelor autorități de încredere și să căutați intrări într-adevăr greoaie ca oricare dintre acestea (sau ceva similar cu acestea)

    • Sendori
    • Purelead
    • Racheta Tab
    • Super pește
    • Lookthisup
    • Pando
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (Fiddler este un instrument legitim de dezvoltator, dar malware-ul a deturnat cert lor)
    • Alerte sistem, LLC
    • CE_UmbrellaCert

    Faceți clic cu butonul din dreapta și ștergeți oricare dintre intrările pe care le găsiți. Dacă ați văzut ceva incorect atunci când ați testat Google în browserul dvs., asigurați-vă că îl ștergeți și pe acesta. Fii atent, pentru că dacă ștergi lucrurile greșite aici, vei sparge Windows.

    Sperăm că Microsoft va lansa ceva pentru a vă verifica certificatele de bază și pentru a vă asigura că sunt doar bune. Teoretic ai putea folosi această listă de la Microsoft de la certificatele cerute de Windows și apoi să actualizezi cele mai recente certificate de root, dar asta e complet netestat în acest moment și într-adevăr nu-l recomandăm până când cineva testează acest lucru.

    Apoi, va trebui să deschideți browserul web și să găsiți certificatele care sunt probabil stocate acolo. Pentru Google Chrome, accesați Setări, Setări avansate și apoi Gestionați certificatele. Sub Personal, puteți să faceți ușor clic pe butonul Eliminați pe orice certificat rău ...

    Dar când te duci la autorități de certificare a principalelor certificate de încredere, va trebui să faceți clic pe Avansat și apoi să debifați tot ceea ce vedeți pentru a nu mai acorda permisiuni pentru acel certificat ...

    Dar asta e nebunie.

    Mergeți în partea de jos a ferestrei Setări avansate și dați clic pe Resetați setările pentru a reseta complet pe Chrome la valorile implicite. Faceți același lucru pentru orice alt browser care îl utilizați sau dezinstalați complet, ștergeți toate setările și apoi instalați-l din nou.

    Dacă calculatorul dvs. a fost afectat, probabil că sunteți mai bine să faceți o instalare complet curată a Windows. Doar asigurați-vă că vă faceți backup pentru documente și imagini și pentru toate acestea.

    Deci, cum te protejezi??

    Este aproape imposibil să vă protejați complet, dar aici sunt câteva linii directoare pentru a vă ajuta:

    • Verificați site-ul de testare pentru validarea Superfish / Komodia / Certification.
    • Activați funcția Click-To-Play pentru pluginurile din browserul dvs., ceea ce vă va ajuta să vă protejați de toate acele găuri de siguranță de la zero și alte găuri de securitate ale pluginurilor.
    • Fii cu adevărat atent ce descărcați și încercați să utilizați Ninite când trebuie absolut.
    • Acordați atenție la ceea ce faceți clic pe oricând faceți clic.
    • Luați în considerare utilizarea instrumentelor Microsoft Enhanced Mitigation Experience Toolkit (EMET) sau Malwarebytes Anti-Exploit pentru a vă proteja browserul și alte aplicații critice din găurile de securitate și atacurile de zero zile.
    • Asigurați-vă că toate software-ul, plug-in-urile și programele anti-virus sunt actualizate și include și actualizările Windows.

    Dar este o grămadă de muncă pentru că dorești doar să navighezi pe web fără a fi deturnat. E ca și cum ai face cu TSA.

    Ecosistemul Windows este o cavalcadă de crapware. Și acum securitatea fundamentală a Internetului este întreruptă pentru utilizatorii Windows. Microsoft trebuie să repare acest lucru.