Download.com és mások Kötés Superfish-stílus HTTPS Breaking Adware
Ijesztő idő, hogy Windows-felhasználó legyen. A Lenovo a HTTPS-hijacking Superfish adware-t kötötte össze, a Comodo még rosszabb biztonsági nyílással, a PrivDog nevű hajóval, és több tucat egyéb alkalmazás, mint például a LavaSoft, ugyanezt teszi. Ez nagyon rossz, de ha azt szeretné, hogy a titkosított webes munkamenetet csak a CNET letöltésekre vagy bármilyen ingyenes webhelyre vonják be, mert mostanában a HTTPS-törésű adware-eket csomagolják össze.
A Superfish fiaskó akkor kezdődött, amikor a kutatók észrevették, hogy a Superfish, amely a Lenovo számítógépekre csomagolva, hamis gyökértanúsítványt telepített a Windows-ba, amely lényegében minden HTTPS böngészést megszakít, hogy a tanúsítványok mindig érvényesek legyenek, még akkor is, ha nem. bizonytalan módon, hogy bármelyik forgatókönyv, a kiddie hacker képes ugyanezt elérni.
Ezután telepít egy proxy-t a böngészőjébe, és arra kényszeríti az összes böngészést, hogy beilleszthessen hirdetéseket. Ez akkor is igaz, ha csatlakozik a bankjához, vagy az egészségbiztosítási oldalhoz, vagy bárhol, ahol biztonságosnak kell lennie. És soha nem tudhatnád, mert a Windows titkosítását megszakították hirdetései megjelenítéséhez.
De a szomorú, szomorú tény az, hogy nem az egyetlen, aki ezt teszi - olyan adware, mint a Wajam, a Geniusbox, a Content Explorer, és mások is ugyanezt teszik, saját tanúsítványok telepítése és az összes böngészés (beleértve a HTTPS titkosított böngészési munkameneteket) kényszerítése a proxy szerveren keresztül. Ezzel a nonszenszkel csak fertőzött, ha a top 10 alkalmazás közül kettőt telepít a CNET Downloads-be.
A lényeg az, hogy a böngésző címsorában már nem tudja bízni a zöld zár ikonját. És ez egy ijesztő, ijesztő dolog.
Hogyan működik a HTTPS-eltérítő adware, és miért olyan rossz
Ummm, szükségem van rád, hogy menjen előre és zárja be a lapot. Mmkay?Amint azt már korábban bemutattuk, ha a hatalmas gigantikus hibát vétette a CNET letöltések bizalmában, akkor már meg is lehet fertőzött az ilyen típusú adware-ekkel. A CNET (KMPlayer és YTD) tíz leggyakoribb letöltésének kettője két különböző HTTPS-eltérítő adware-t tartalmaz., és kutatásaink során azt találtuk, hogy a legtöbb más ingyenes webhely ugyanezt teszi.
Jegyzet: a telepítők annyira bonyolultak és összecsaptak, hogy nem vagyunk biztosak abban, hogy ki technikailag a „kötegelés”, de a CNET ezeket az alkalmazásokat saját honlapján támogatja, így valójában szemantika. Ha azt javasoljuk, hogy az emberek rosszul töltsenek le valamit, akkor egyenlően hibás. Azt is megállapítottuk, hogy ezek közül az adware-vállalatok közül sokan titkosan használják a különböző cégneveket.
A kizárólag a CNET Downloads top 10 listáján található letöltési számok alapján havonta egymillió ember fertőzött meg olyan adware-sel, amely titkosított webes üléseit a bankjához vagy e-mailjéhez eltéríti, vagy bármi, ami biztonságos.
Ha tévedtél a KMPlayer telepítésével, és sikerül figyelmen kívül hagynod a többi crapware-t, akkor ezt az ablakot fogod bemutatni. És ha véletlenül megnyomja az Elfogadás (vagy a rossz gombot), a rendszer pwned lesz.
A letöltési oldalak szégyenkezik magukkal.Ha valamit még egy vázlatosabb forrásból töltött le, mint például a kedvenc keresőmotorjaiban letöltött hirdetések, akkor megjelenik egy olyan lista, amely nem jó. Most már tudjuk, hogy sokan teljesen megtörik a HTTPS tanúsítvány érvényesítését, így teljesen sérülékenyek maradnak.
A Lavasoft Web Companion a HTTPS titkosítását is megszakítja, de ez a csomagot is telepítette.Miután megfertőzte ezeket a dolgokat, az első dolog az, hogy a rendszer proxyját egy helyi proxy segítségével futtatja, amelyet a számítógépre telepít. Különös figyelmet kell fordítani az alábbi „Biztonságos” elemre. Ebben az esetben a Wajam Internetről „Enhancer” volt, de lehet Superfish vagy Geniusbox vagy bármely más, amit találtunk, ugyanúgy működnek.
Ironikus, hogy a Lenovo a „fokozás” szót használta a Superfish leírására.Amikor egy olyan webhelyre megy, amely biztonságosnak látszik, megjelenik a zöld zár ikon, és minden rendben lesz. Akkor is rákattinthat a zárra a részletek megtekintéséhez, és úgy tűnik, hogy minden rendben van. Biztonságos kapcsolatot használ, és még a Google Chrome is bejelentette, hogy biztonságos kapcsolatot létesített a Google-hoz. De te nem vagy!
A System Alerts LLC nem igazi gyökértanúsítvány, és valóban olyan ember-in-the-Middle proxy-t használ, amely a hirdetéseket oldalakra helyezi (és ki tudja, mi más). Csak küldje el nekik az összes jelszót, könnyebb lenne.
Rendszer riasztás: A rendszer sérült.Amint az adware telepítve van, és az összes forgalmat közelíti meg, elkezd látni az egész helyszínen igazán kellemetlen hirdetéseket. Ezek a hirdetések olyan biztonságos webhelyeken jelennek meg, mint a Google, amelyek helyettesítik a tényleges Google-hirdetéseket, vagy felugró ablakként jelennek meg az egész helyen, és átveszi az összes webhelyet.
Köszönöm a Google-nak rosszindulatú linkeket.Ennek az adware-nek többsége „reklám” linkeket mutat a rosszindulatú programokra. Tehát bár az adware maga is jogellenes lehet, lehetővé teszik néhány igazán rossz dolgot.
Ezt úgy hajtják végre, hogy hamis gyökértanúsítványaikat telepítik a Windows tanúsítványtárolóba, majd a biztonságos kapcsolatokat a hamis tanúsítványuk aláírásával továbbítják..
Ha megnézed a Windows Tanúsítványok panelen, akkor mindenféle teljesen érvényes tanúsítványt láthatsz ... de ha a számítógépednek van valamilyen adware típusa, akkor hamis dolgokat fogsz látni, mint a System Alerts, LLC vagy a Superfish, Wajam, vagy tucatnyi más hamisítvány.
Ez az Umbrella cégtől származik?Még akkor is, ha fertőzött, és eltávolította a rosszindulatú programokat, a tanúsítványok még mindig ott lesznek, így sérülékenyek lehetnek más hackerekre, amelyek esetleg kivették a magánkulcsokat. Sok adware-telepítő nem távolítja el a tanúsítványokat, amikor eltávolítja őket.
Ők minden ember közepén támadnak és itt vannak, hogyan működnek
Ez egy igazi, Rob Graham biztonsági kutató élő támadásából származikHa a számítógépen hamis gyökértanúsítványok vannak telepítve a tanúsítványtárolóba, akkor most érzékenyek lehetnek az ember közepette támadásokra. Ez azt jelenti, hogy ha csatlakozik egy nyilvános hotspothoz, vagy valaki hozzáfér a hálózatához, vagy sikerül valamit felzárkózni tőled, akkor helyettesítheti a helyes helyeket hamis oldalakkal. Ez messziről elszenvedettnek tűnhet, de a hackerek képesek voltak a DNS-hijacks-ek használatára az interneten található legnagyobb webhelyeken, hogy megakadályozzák a felhasználókat egy hamis webhelyre.
Miután elrabolták, minden olyan dolgot elolvashatnak, amelyet Ön egy saját webhelyre küldött - jelszavakat, személyes információkat, egészségügyi információkat, e-maileket, társadalombiztosítási számokat, banki információkat stb. hogy a kapcsolat biztonságos.
Ez azért működik, mert a nyilvános kulcs titkosításához nyilvános kulcs és privát kulcs szükséges. A nyilvános kulcsokat a tanúsítványtárolóba telepítik, és a privát kulcsot csak a meglátogatott webhely ismerheti. De ha a támadók elkaphatják a gyökértanúsítványt, és mind a nyilvános, mind a magánkulcsokat megtarthatják, bármit megteszhetnek, amit akarnak.
A Superfish esetében ugyanazt a magánkulcsot használták minden olyan számítógépen, amelyen a Superfish telepítve van, és néhány órán belül a biztonsági kutatók kivonhatták a privát kulcsokat, és webhelyeket hozhattak létre, hogy teszteljék, hogy sérülékeny-e, és bizonyítani tudja, hogy legyőzni. A Wajam és a Geniusbox esetében a kulcsok eltérőek, de a Content Explorer és néhány más adware ugyanazt a kulcsot használja mindenütt, ami azt jelenti, hogy ez a probléma nem egyedülálló a Superfish számára.
Rosszabb lesz: A Crap legtöbbje letiltja a HTTPS érvényesítését
Csak tegnap, a biztonsági kutatók még nagyobb problémát fedeztek fel: Mindezek a HTTPS proxyk letiltják az összes érvényesítést, miközben úgy tűnik, hogy minden rendben van..
Ez azt jelenti, hogy egy teljesen érvénytelen tanúsítvánnyal rendelkező HTTPS-webhelyre juthat, és ez az adware megmondja, hogy az oldal csak rendben van. Kipróbáltuk a korábban említett adware-ket, és ezek teljes egészében letiltják a HTTPS-hitelesítést, így nem számít, hogy a magánkulcsok egyediek-e vagy sem. Megdöbbentően rossz!
Mindez az adware teljesen megszünteti a tanúsítványok ellenőrzését.Bárki, akinek telepítve van az adware, sebezhető mindenféle támadásra, és sok esetben továbbra is sebezhető még akkor is, ha az adware eltávolításra kerül.
Ellenőrizheti, hogy sérülékeny-e a Superfish, a Komodia vagy az érvénytelen tanúsítványellenőrzés ellen a biztonsági kutatók által létrehozott teszthelyen, de amint azt már bemutattuk, sokkal több adware van ott ugyanezt, és a kutatásunkból , a dolgok továbbra is rosszabbodnak.
Védje magát: Ellenőrizze a Tanúsítványok panelt és törölje a rossz bejegyzéseket
Ha aggódik, ellenőrizze a tanúsítványtárolót, hogy megbizonyosodjon arról, hogy nincsenek telepítve olyan vázlatos tanúsítványok, amelyeket később valaki proxyszervere aktiválhat. Ez egy kicsit bonyolultabb lehet, mert rengeteg dolog van benne, és a legtöbbnek ott kell lennie. Nem is rendelkezünk jó listával arról, hogy mi legyen és nem kellene ott lenni.
A WIN + R gombbal húzza fel a Futtatás párbeszédpanelt, majd írja be az „mmc” parancsot a Microsoft Management Console ablak felemeléséhez. Ezután használja a File -> Add / Remove Snap-ins elemet, és válassza ki a Tanúsítványokat a bal oldali listából, majd adja hozzá a jobb oldalhoz. Győződjön meg róla, hogy a következő párbeszédablakban válassza a Számítógép-fiókot, majd kattintson a többi elemre.
Meg akarod menni a Megbízható gyökér tanúsító hatóságokhoz, és keressetek igazán vázlatos bejegyzéseket, mint ezek bármelyike (vagy ezekhez hasonló)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (a Fiddler jogszerű fejlesztőeszköz, de a rosszindulatú programok eltérítették a certjét)
- System Alerts, LLC
- CE_UmbrellaCert
Kattintson a jobb gombbal, és törölje azokat a bejegyzéseket, amelyeket megtalál. Ha valami rosszat látott, amikor a Google-t tesztelte a böngészőjében, győződjön meg róla, hogy ezt is törli. Csak légy óvatos, mert ha a helytelen dolgokat itt törli, a Windows-t megszakítja.
Reméljük, hogy a Microsoft kiadásokat bocsát ki a gyökértanúsítványok ellenőrzésére, és győződjön meg róla, hogy csak a jó tanúsítványok vannak. Elméletileg használhatja ezt a listát a Microsoft által a Windows által kért tanúsítványokról, majd frissítheti a legfrissebb gyökértanúsítványokat, de ez most teljesen nem tesztelt, és tényleg nem ajánljuk, amíg valaki ezt nem teszteli.
Ezután meg kell nyitnia a böngészőjét, és meg kell találnia azokat a tanúsítványokat, amelyek valószínűleg ott vannak a gyorsítótárban. A Google Chrome alkalmazáshoz menjen a Beállítások, Speciális beállítások, majd a Tanúsítványok kezelése lehetőségre. A Személyes menüben a rossz tanúsítványokon egyszerűen kattintson az Eltávolítás gombra.
Ha azonban a Megbízható gyökér tanúsító hatóságokhoz megy, kattintson a Speciális elemre, majd törölje a jelölőnégyzet jelölését, ha megállítja az engedély megadását…
De ez őrület.
Menjen az Advanced Settings (Speciális beállítások) ablak aljára, és kattintson a Reset settings (Visszaállítás beállítások) gombra a Chrome alapértelmezett beállításainak teljes visszaállításához. Tegye ugyanezt a többi böngészőnél is, vagy teljesen eltávolítsa, törölje le az összes beállítást, majd telepítse újra.
Ha a számítógépet érintette, akkor valószínűleg jobb a Windows tiszta telepítése. Csak győződjön meg róla, hogy biztonsági másolatot készít a dokumentumokról és a képekről, és mindezt.
Tehát hogyan védi meg magát?
Szinte lehetetlen teljesen megvédeni magát, de itt van néhány józan ész, hogy segítsen:
- Ellenőrizze a Superfish / Komodia / Certification hitelesítési teszt helyét.
- Böngészőjében engedélyezheti a kattintásonkénti lejátszást a beépülő modulokhoz, ami segít megvédeni Önt a nulla naptól származó Flash és más bővítmény biztonsági lyukak között.
- Legyen igazán óvatos, amit letölt, és próbálja meg használni a Ninitot, amikor feltétlenül szükség van rá.
- Ügyeljen arra, hogy rákattintjon, amikor rákattint.
- Fontolja meg a Microsoft Enhanced Mitigation Experience Toolkit (EMET) vagy a Malwarebytes Anti-Exploit használatát a böngésző és más kritikus alkalmazások védelme érdekében a biztonsági lyukak és a nulla napos támadások ellen.
- Győződjön meg róla, hogy az összes szoftver, bővítmény és víruskereső frissítve marad, és amely tartalmazza a Windows frissítéseket is.
De ez egy szörnyű munka ahhoz, hogy csak az interneten böngészhessen, anélkül, hogy eltérítenénk. Olyan, mint a TSA-val.
A Windows ökoszisztéma crapware cavalcade. És most az Internet alapvető biztonsága sérült a Windows felhasználók számára. A Microsoftnak ezt meg kell oldania.