Download.com i drugi Bundle Superfish-Style HTTPS razbijanje adware
Vrijeme je za korisnika Windowsa zastrašujuće. Lenovo je povezao HTTPS otmicu adware-a Superfish, Comodo se isporučuje s još lošijom sigurnosnom rupom zvanom PrivDog, a desetine drugih aplikacija poput LavaSoft-a rade isto. To je stvarno loše, ali ako želite da se vaše kriptirane web sesije ukradu, samo idite na CNET Downloads ili bilo koju besplatnu web-lokaciju, jer svi oni sada grupiraju HTTPS-adware.
Fijasko Superfish počeo je kada su istraživači primijetili da Superfish, koji se nalazi na Lenovo računalima, instalira lažni korijenski certifikat u Windows koji suštinski otima sva HTTPS pregledavanja tako da certifikati uvijek izgledaju valjano čak i ako nisu, te su to učinili na takav način nesiguran način na koji bi bilo koji kiddie haker mogao napraviti istu stvar.
Zatim instaliraju proxy u vaš preglednik i prisiljavaju sve vaše pregledavanje tako da mogu umetati oglase. To je točno, čak i kada se povežete sa svojom bankom ili mjestom zdravstvenog osiguranja, ili na bilo kojem drugom mjestu koje bi trebalo biti sigurno. I nikad ne biste znali, jer su razbili Windows šifriranje da bi vam pokazali oglase.
Ali tužna, tužna činjenica je da oni nisu jedini koji to rade - adware kao što su Wajam, Geniusbox, Content Explorer i drugi rade istu stvar, instaliranje vlastitih certifikata i prisiljavanje čitavog pregledavanja (uključujući HTTPS šifrirane sesije pregledavanja) da prođu kroz njihov proxy poslužitelj. I možete dobiti okužen sa ovaj glupost pravedan mimo instalacija dva od top 10 apps na CNET Downloads.
Zaključak je da više ne možete vjerovati toj zelenoj ikoni za zaključavanje u adresnoj traci preglednika. I to je zastrašujuća, zastrašujuća stvar.
Kako HTTPS-otmica adware radi, i zašto je tako loše
Ummm, morat ćete ići naprijed i zatvoriti tu karticu. Mmkay?Kao što smo već pokazali, ako napravite ogromnu gigantsku pogrešku u povjerenju CNET preuzimanja, već ste mogli biti zaraženi ovom vrstom adwarea. Dva od deset najboljih preuzimanja na CNET-u (KMPlayer i YTD) povezuju dva različita tipa HTTPS otmice adwarea, i u našem istraživanju smo otkrili da većina drugih freeware web-mjesta rade istu stvar.
Bilješka: instalateri su toliko lukavi i zamršeni da nismo sigurni tko je tehnički radeći “bundling”, ali CNET promovira ove aplikacije na svojoj početnoj stranici, tako da je doista stvar semantike. Ako preporučujete da ljudi preuzmu nešto loše, jednako ste krivi. Također smo otkrili da su mnoge od tih tvrtki adware tajno isti ljudi koji koriste različite nazive tvrtki.
Temeljeno na brojevima za preuzimanje s top 10 popisa na samim CNET datotekama, milijun ljudi zaraženo je svaki mjesec uz adware koji otima njihove kriptirane web sesije u svoju banku ili e-poštu ili bilo što što bi trebalo biti sigurno.
Ako ste pogriješili instaliranjem KMPlayera i uspijete zanemariti sve ostale alate za grafiku, prikazat će vam se ovaj prozor. A ako slučajno kliknete Prihvati (ili pogriješite ključ) vaš će sustav biti pwned.
Web-lokacije za preuzimanje trebale bi se stidjeti.Ako ste završili s preuzimanjem nečeg iz još nejasnijeg izvora, poput preuzimanja oglasa u omiljenoj tražilici, vidjet ćete cijeli popis stvari koje nisu dobre. I sada znamo da će mnogi od njih potpuno prekinuti provjeru valjanosti HTTPS certifikata, ostavljajući vas potpuno ranjivim.
Lavasoft Web Companion također razbija HTTPS enkripciju, ali i ovaj advertajzer je instalirao adware.Kada se jednom zarazite nekom od ovih stvari, prva stvar koja se dogodi jest da postavlja vaš proxy sustava da se pokreće kroz lokalni proxy koji se instalira na vaše računalo. Posebnu pozornost obratite na stavku "Sigurno" u nastavku. U ovom je slučaju to bio Wanamov Internet "Enhancer", ali to može biti Superfish ili Geniusbox ili bilo koje od drugih koje smo pronašli, svi rade na isti način.
Ironično je da je Lenovo upotrijebio riječ "poboljšati" da bi opisao Superfish.Kada odete na stranicu koja bi trebala biti sigurna, vidjet ćete zelenu ikonu lokota i sve će izgledati savršeno normalno. Možete čak i kliknuti na zaključavanje kako biste vidjeli detalje, a čini se da je sve u redu. Koristite sigurnu vezu, pa čak i Google Chrome izvješćuje da ste povezani s Googleom sigurnom vezom. Ali ti nisi!
System Alerts LLC nije pravi korijenski certifikat i vi zapravo prolazite kroz Man-in-the-Middle proxy koji ubacuje oglase na stranice (i tko zna što još). Trebali biste im samo poslati sve zaporke, bilo bi lakše.
Upozorenje sustava: Vaš je sustav ugrožen.Nakon što je adware instaliran i proxying sve svoje promet, da ćete početi vidjeti stvarno antipatičan oglase posvuda. Ovi se oglasi prikazuju na sigurnim web-lokacijama, kao što je Google, zamjenjujući stvarne Google oglase ili se pojavljuju kao skočni prozori diljem mjesta, preuzimajući svaku web-lokaciju.
Htio bih svoj Google bez malware linkova, hvala.Većina ovog adwarea prikazuje "ad" linkove na potpuno zlonamjerni softver. Dakle, iako adware sama po sebi može biti pravna smetnja, oni omogućuju neke stvarno, stvarno loše stvari.
To postižu instaliranjem svojih lažnih root certifikata u spremište za certifikate sustava Windows, a zatim proxy poslužitelj sigurnih veza dok ih potpisuju s lažnim certifikatom.
Ako pogledate u Windows certifikatnu ploču, možete vidjeti sve vrste potpuno važećih certifikata ... ali ako vaše računalo ima neku vrstu adwarea instaliranog, vidjet ćete lažne stvari kao što su System Alerts, LLC ili Superfish, Wajam, ili više desetaka drugih krivotvorina.
Je li to iz korporacije Umbrella?Čak i ako ste bili zaraženi, a zatim uklonili štetne sadržaje, certifikati su možda još uvijek prisutni, što vas čini ranjivima na druge hakere koji su možda izvukli privatne ključeve. Mnogi instalateri adwarea ne uklanjaju certifikate kada ih deinstalirate.
Oni su svi čovjek-u-srednjem napadu i evo kako oni rade
Ovo je iz stvarnog napada živog sigurnosnog istraživača Roba GrahamaAko vaše računalo ima lažne root certifikate instalirane u spremištu certifikata, sada ste ranjivi na napade čovjeka u sredini. To znači da ako se povežete s javnom hotspotom ili netko dobije pristup vašoj mreži ili uspije hakirati nešto gore od vas, oni mogu zamijeniti legitimne web-lokacije lažnim web-lokacijama. To može zvučati nevjerojatno, ali hakeri su mogli koristiti DNS otmice na nekim od najvećih web-lokacija kako bi oteli korisnike na lažnu web-lokaciju.
Jednom kad vas otmu, mogu pročitati svaku stvar koju pošaljete privatnoj stranici - lozinke, privatne informacije, zdravstvene informacije, e-poštu, brojeve socijalnog osiguranja, bankovne informacije itd. I nikada nećete znati jer će vam vaš preglednik reći da je vaša veza sigurna.
To radi jer šifriranje javnog ključa zahtijeva i javni ključ i privatni ključ. Javni ključevi su instalirani u spremištu certifikata, a privatni ključ trebao bi biti poznat samo web-lokaciji koju posjećujete. Ali kada napadači mogu oteti vaš root certifikat i držati i javne i privatne ključeve, mogu učiniti sve što žele.
U slučaju Superfisha, koristili su isti privatni ključ na svakom računalu na kojem je instaliran Superfish, te su u roku od nekoliko sati sigurnosni istraživači uspjeli izvući privatne ključeve i izraditi web-lokacije za provjeru da li ste ranjivi i dokazati da možete biti otet. Za Wajam i Geniusbox, tipke su različite, ali Content Explorer i neki drugi adver također koriste iste tipke svugdje, što znači da ovaj problem nije jedinstven za Superfish.
Dobiva još gore: većina ovog sranja onemogućuje potpunu provjeru valjanosti HTTPS-a
Samo jučer, sigurnosni istraživači otkrili su još veći problem: svi ovi HTTPS proxyji onemogućuju sve provjere valjanosti, a čine da izgleda kao da je sve u redu.
To znači da možete otići na HTTPS web-lokaciju koja ima potpuno nevažeći certifikat, a ovaj adware će vam reći da je web-lokacija sasvim u redu. Testirali smo adware koji smo ranije spomenuli i svi oni u potpunosti onemogućavaju provjeru valjanosti HTTPS-a, tako da nije važno jesu li privatni ključevi jedinstveni ili nisu. Šokantno loše!
Sve ovo adware potpuno prekida provjeru certifikata.Svatko tko ima instaliran adware ranjiv je na sve vrste napada, au mnogim slučajevima i dalje je ranjiv čak i kada je uklonjen adware.
Možete provjeriti jeste li osjetljivi na Superfish, Komodia ili provjeru nevažećih certifikata pomoću testne stranice koju su izradili istraživači sigurnosti, ali kao što smo već pokazali, postoji mnogo više adwarea koji radi istu stvar i iz našeg istraživanja , stvari će se i dalje pogoršavati.
Zaštitite se: Provjerite ploču s certifikatima i izbrišite loše unose
Ako ste zabrinuti, provjerite spremište certifikata kako biste bili sigurni da nemate instalirane skicirane certifikate koji bi kasnije mogli biti aktivirani nečijim proxy poslužiteljem. To može biti malo komplicirano, jer ima mnogo stvari unutra, a većina njih bi trebala biti tamo. Također nemamo dobar popis onoga što bi trebalo i ne bi trebalo biti tamo.
Upotrijebite WIN + R za pokretanje dijaloga Run, a zatim upišite "mmc" da biste otvorili prozor Microsoftove konzole za upravljanje. Zatim upotrijebite File -> Add / Remove Snap-ins i odaberite certifikate s popisa na lijevoj strani, a zatim ih dodajte na desnu stranu. U sljedećem dijaloškom okviru svakako odaberite Računalo, a zatim kliknite ostatak.
Želite otići u pouzdane korijenske certifikacijske autoritete i potražiti stvarno skicirane unose poput bilo kojeg od ovih (ili bilo čega sličnog)
- Sendori
- Purelead
- Kartica rakete
- Super riba
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler je legitiman alat za razvojne inženjere, ali je zlonamjerni softver otet njihov certifikat)
- Sustav upozorenja, LLC
- CE_UmbrellaCert
Desnom tipkom miša kliknite i Izbriši sve unose koje ste pronašli. Ako ste vidjeli nešto pogrešno kada ste testirali Google u svom pregledniku, svakako ga izbrišite. Samo budite oprezni, jer ako ovdje izbrišete pogrešne stvari, razbiti ćete Windows.
Nadamo se da će Microsoft objaviti nešto što će provjeriti vaše root certifikate i osigurati da postoje samo oni dobri. Teoretski možete koristiti Microsoftov popis certifikata koje zahtijeva Windows, a zatim ažurirati na najnoviji korijenski certifikat, ali to je u ovom trenutku potpuno neprovjereno i doista ga ne preporučujemo dok to netko ne testira.
Zatim ćete morati otvoriti web-preglednik i pronaći certifikate koji su vjerojatno tamo pohranjeni. Za Google Chrome otvorite Postavke, Napredne postavke, a zatim Upravljanje certifikatima. U odjeljku Osobno možete jednostavno kliknuti gumb Ukloni na svim lošim certifikatima ...
Ali kada odete u Trusted Root Certification Authorities (Trusted Root Certification Authorities), morat ćete kliknuti Advanced (Dodatno), a zatim poništiti označavanje svega što vidite da biste prestali davati dozvole tom certifikatu ...
Ali to je ludilo.
Idite na dno prozora Napredne postavke i kliknite Ponovno postavi postavke da biste potpuno vratili Chrome na zadane postavke. Učinite isto za bilo koji drugi preglednik koji koristite ili potpuno deinstalirajte, obrišite sve postavke, a zatim ga ponovno instalirajte.
Ako je to utjecalo na vaše računalo, vjerojatno je bolje provesti potpuno čistu instalaciju sustava Windows. Samo se pobrinite da napravite sigurnosnu kopiju dokumenata i slika i sve to.
Dakle, kako se možete zaštititi?
Gotovo je nemoguće u potpunosti zaštititi sebe, ali evo nekoliko smjernica zdravog razuma koje će vam pomoći:
- Provjerite testno mjesto Superfish / Komodia / Certification validation.
- Omogućite klikni za reprodukciju za dodatke u pregledniku, što će vas zaštititi od svih tih nultih dana Flash i drugih sigurnosnih rupa dodataka koje postoje.
- Budite jako oprezni što preuzimate i pokušajte koristiti Ninite kada apsolutno morate.
- Obratite pažnju na to što kliknete kad god kliknete.
- Razmislite o korištenju Microsoftovog poboljšanog alata za ublažavanje iskustava (EMET) ili Malwarebytes Anti-Exploit kako biste zaštitili svoj preglednik i druge kritične aplikacije od sigurnosnih rupa i nultih dana napada.
- Provjerite jesu li svi softver, dodaci i antivirusi i dalje ažurirani, a to uključuje i ažuriranja za sustav Windows.
Ali to je užasno puno posla za samo želju za pregledavanje web bez hijacked. To je kao da radite s TSA-om.
Windows ekosustav je kavalkada od crapwarea. A sada je osnovna sigurnost Interneta slomljena za korisnike Windowsa. Microsoft to treba popraviti.