Download.com ja muut Bundle Superfish -tyylinen HTTPS Breaking Adware
Se on pelottava aika olla Windows-käyttäjä. Lenovo niputti HTTPS-kaappauksen Superfish-mainosohjelman, Comodo toimittaa vielä huonomman turvallisuusreiän PrivDogiksi, ja kymmeniä muita sovelluksia, kuten LavaSoft, tekevät samoin. Se on todella huono, mutta jos haluat salattujen web-istuntojen kaappaamisen vain CNET-latauksiin tai mihin tahansa freeware-sivustoon, koska ne kaikki yhdistävät nyt HTTPS-rikkovia mainosohjelmia.
Superfish-fiasko alkoi, kun tutkijat huomasivat, että Lenovon tietokoneisiin yhdistetty Superfish asensi väärennettyjä root-varmenteita Windowsiin, joka olennaisesti hijactaa kaikki HTTPS-selaukset, jotta varmenteet näyttävät aina voimassa, vaikka ne eivät olisikaan, ja he tekivät sen epävarma tapa, että jokainen skripti kiddie-hakkeri voisi saavuttaa saman asian.
Ja sitten he asentavat välityspalvelimen selaimeesi ja pakottavat kaikki selaamisen läpi, jotta he voivat lisätä mainoksia. Se on oikein, vaikka olisit yhteydessä pankkisi tai sairausvakuutuspaikkasi tai missä tahansa, missä pitäisi olla turvallinen. Ja et koskaan tiedä, koska he rikkovat Windows-salauksen näyttääkseen mainoksesi.
Mutta surullinen, surullinen tosiasia on, että he eivät ole ainoat, jotka tekevät tämän - Adware, kuten Wajam, Geniusbox, Content Explorer ja muut, tekevät kaikki samaa, omien varmenteiden asentaminen ja kaikkien selausten (mukaan lukien HTTPS-salattujen selausistuntojen) pakottaminen läpi välityspalvelimen. Ja voit saada tartunnan tästä hölynpölystä vain asentamalla kaksi parhaasta 10 sovelluksesta CNET-latauksissa.
Rivi on, että et voi enää luottaa vihreän lukon kuvakkeeseen selaimesi osoiterivillä. Ja se on pelottava, pelottava asia.
Miten HTTPS-kaappaus Adware toimii ja miksi se on niin huono
Minun täytyy mennä eteenpäin ja sulkea tämä välilehti. Mmkay?Kuten olemme aiemmin osoittaneet, jos teet valtavan valtavan virheen luottaessasi CNET-latauksiin, saatat jo tarttua tämäntyyppisiin mainosohjelmiin. Kaksi CNET: n kymmenestä latauksesta (KMPlayer ja YTD) yhdistää kaksi erilaista HTTPS-kaappaustekniikkaa, ja tutkimuksessamme havaitsimme, että useimmat muut freeware-sivustot tekevät samaa.
Huomautus: asentajat ovat niin hankalia ja mutkikkaita, että emme ole varmoja kuka on teknisesti "niputtaminen", mutta CNET edistää näitä sovelluksia kotisivullaan, joten se on itse asiassa semanttinen asia. Jos suosittelet, että ihmiset lataavat jotain, mikä on huono, olet yhtä vika. Olemme myös huomanneet, että monet näistä mainosyrityksistä ovat salaa samat henkilöt, jotka käyttävät erilaisia yrityksen nimiä.
CNET-latausten Top 10 -luettelosta löytyvien latauslukujen perusteella miljoona ihmistä tarttuu joka kuukausi mainosohjelmiin, jotka kaappaavat salattuja web-istuntojaan pankkiinsa tai sähköpostiinsa tai mitä tahansa, joka on turvallinen.
Jos teit virheen asentaessasi KMPlayer-ohjelmaa, ja onnistut sivuuttamaan kaikki muut crapware-ohjelmat, näyttöön tulee tämä ikkuna. Ja jos napsautat vahingossa Hyväksy (tai napsautat väärää avainta), järjestelmäsi pwned.
Ladattavien sivustojen pitäisi häpeää itseään.Jos päätyit lataamaan jotain entistä luonnollisemmasta lähteestä, kuten latausmainokset suosikkihakukoneessasi, näet koko luettelon tavarista, jotka eivät ole hyviä. Ja nyt tiedämme, että monet heistä aiotaan rikkoa HTTPS-sertifikaatin vahvistamisen kokonaan, jolloin saat täysin haavoittuvia.
Lavasoft Web Companion myös rikkoo HTTPS-salausta, mutta tämä paketti on myös asentanut mainosohjelmat.Kun olet saanut itsesi tartunnan jollakin näistä asioista, ensimmäinen asia, joka tapahtuu, on se, että järjestelmä asettaa välityspalvelimen suorittamaan paikallisen välityspalvelimen, jonka se asentaa tietokoneeseen. Kiinnitä erityistä huomiota alla olevaan ”Secure” -kohtaan. Tällöin se oli peräisin Wajam Internetistä ”Enhancer”, mutta se voi olla Superfish tai Geniusbox tai jokin niistä, jotka olemme löytäneet, ne kaikki toimivat samalla tavalla.
On ironista, että Lenovo käytti sanaa "parantaa" kuvaamaan Superfishia.Kun menet sivustoon, jonka pitäisi olla turvallinen, näet vihreän lukon kuvakkeen ja kaikki näyttää täysin normaalilta. Voit jopa napsauttaa lukkoa nähdäksesi yksityiskohdat, ja näyttää siltä, että kaikki on kunnossa. Käytät suojattua yhteyttä, ja jopa Google Chrome ilmoittaa, että olet yhteydessä Googleen turvallisella yhteydellä. Mutta et ole!
System Alerts LLC ei ole todellinen juuritodistus, ja käytät itse välitöntä välityspalvelinta, joka lisää mainoksia sivuille (ja kuka tietää mitä muuta). Sinun pitäisi vain lähettää sähköpostia kaikille salasanoillesi, se olisi helpompaa.
Järjestelmän hälytys: Järjestelmä on vaarantunut.Kun mainosohjelmat on asennettu ja kaikki liikenne on lähdössä, alat nähdä todella epämiellyttäviä mainoksia kaikkialla. Nämä mainokset näkyvät turvallisissa sivustoissa, kuten Googlessa, korvaamalla todelliset Google-mainokset, tai ne näkyvät ponnahdusikkunana kaikkialla, ottamalla käyttöön jokaisen sivuston.
Haluaisin, että Google ei ole haittaohjelmien linkkejä.Suurin osa tästä mainosohjelmasta näyttää “mainoksia” linkkejä suoraan haittaohjelmiin. Joten vaikka mainosohjelmat voivat olla oikeudellisia haittoja, ne mahdollistavat joitakin todella, todella huonoja juttuja.
Ne saavuttavat tämän asentamalla väärennettyjä juurivarmenteita Windows-sertifikaattivarastoon ja lähettämällä sitten suojatut yhteydet allekirjoittaessaan ne väärennöskirjaan.
Jos tarkastelet Windows-sertifikaatit-paneelissa, voit nähdä kaikenlaisia täysin voimassa olevia varmenteita… mutta jos tietokoneessasi on jonkin verran mainosohjelmia, näet väärennettyjä asioita, kuten System Alerts, LLC tai Superfish, Wajam tai kymmeniä muita väärennöksiä.
Onko se Umbrella-yhtiöltä?Vaikka olisit saanut tartunnan ja poistanut sitten haittaohjelmat, varmenteet saattavat silti olla siellä, mikä tekee sinut alttiiksi muille hakkereille, jotka ovat saattaneet purkaa yksityiset avaimet. Monet mainosohjelmien asentajat eivät poista varmenteita, kun poistat ne.
He ovat kaikki ihmisen keskellä hyökkäyksiä ja tässä miten he toimivat
Tämä on todellisen live-hyökkäyksen, jonka on tehnyt mahtava tietoturvatutkija Rob GrahamJos tietokoneessa on sertifikaattivarastoon asennettu väärennettyjä juuritodistuksia, olet nyt alttiina keskisuurille hyökkäyksille. Tämä tarkoittaa sitä, että jos muodostat yhteyden julkiseen hotspotiin, tai joku saa pääsyn verkkoon tai onnistuu hakemaan jotain ylävirtaan, he voivat korvata lailliset sivustot väärennettyjen sivustojen kanssa. Tämä saattaa kuulostaa kaukana haetuilta, mutta hakkerit ovat voineet käyttää DNS-hijacksia joissakin web-sivustoissa, jotta käyttäjät voidaan kaapata väärennettyyn sivustoon.
Kun olet kaapattu, he voivat lukea kaikki yksittäiset asiat, jotka lähetät yksityiselle sivustolle - salasanat, yksityiset tiedot, terveystiedot, sähköpostit, sosiaaliturvatunnukset, pankkitiedot jne. Ja et koskaan tiedä, koska selaimesi kertoo että yhteys on turvallinen.
Tämä toimii, koska julkisen avaimen salaus vaatii sekä julkisen avaimen että yksityisen avaimen. Julkiset avaimet asennetaan varmenteeseen, ja yksityinen avain tulee tuntea vain vierailemassasi verkkosivustossa. Mutta kun hyökkääjät voivat kaapata juurivarmenteen ja pitää sekä julkisia että yksityisiä avaimia, he voivat tehdä mitä tahansa.
Superfishin tapauksessa he käyttivät samaa yksityistä avainta jokaisessa tietokoneessa, johon on asennettu Superfish, ja muutamassa tunnissa tietoturvatutkijat pystyivät purkamaan yksityiset avaimet ja luomaan verkkosivustoja, joilla voit testata, olisitko haavoittuva kaapata. Wajamille ja Geniusboxille avaimet ovat erilaisia, mutta Content Explorer ja muut mainosohjelmat käyttävät samoja avaimia kaikkialla, mikä tarkoittaa, että ongelma ei ole Superfishille ainutlaatuinen.
Se saa pahempaa: suurin osa tästä Crapista poistaa HTTPS-vahvistuksen kokonaan käytöstä
Vain eilen tietoturvatutkijat löysivät vieläkin suuremman ongelman: Kaikki nämä HTTPS-välityspalvelimet estävät kaikki validoinnit ja näyttävät siltä, että kaikki näyttää hienolta.
Tämä tarkoittaa sitä, että voit siirtyä HTTPS-sivustoon, jossa on täysin virheellinen todistus, ja tämä mainosohjelma kertoo, että sivusto on hieno. Testasimme aiemmin mainitsemamme mainosohjelmat ja ne kaikki estävät HTTPS-validoinnin kokonaan, joten ei ole väliä, ovatko yksityiset avaimet ainutlaatuisia vai ei. Järkyttävän huono!
Kaikki tämä mainosohjelma rikkoo täysin sertifikaatin tarkistamisen.Kuka tahansa, joka on asentanut mainosohjelman, on alttiina kaikenlaisille hyökkäyksille, ja monissa tapauksissa ne ovat edelleen haavoittuvia, vaikka mainosohjelmat poistetaan.
Voit tarkistaa, oletko alttiina Superfishille, Komodialle tai kelpaamattomalle varmenteiden tarkistukselle käyttämällä tietoturvatutkijoiden luomaa testipaikkaa, mutta kuten olemme jo osoittaneet, siellä on paljon enemmän mainosohjelmia, jotka tekevät saman asian, ja tutkimuksestamme , asiat jatkavat pahenemista.
Suojaa itse: Tarkista sertifikaatit-paneeli ja poista huonot merkinnät
Jos olet huolissasi, sinun on tarkistettava varmenteesi varmistaaksesi, että sinulla ei ole asennettuja luonnosvarmenteita, jotka voisivat myöhemmin aktivoida jonkun välityspalvelimen. Tämä voi olla hieman monimutkainen, koska siellä on paljon tavaraa, ja useimmiten sen pitäisi olla siellä. Meillä ei myöskään ole hyvää luetteloa siitä, mitä pitäisi ja ei pitäisi olla siellä.
Käytä WIN + R-näppäintä vetääksesi Suorita-valintaikkunaa ja kirjoita sitten Microsoft Management Console -ikkuna kirjoittamalla “mmc”. Käytä sitten File -> Add / Remove Snap-ins ja valitse sertifikaatit vasemmalla olevasta luettelosta ja lisää se sitten oikealle puolelle. Varmista, että valitset Tietokone-tilin seuraavassa valintaikkunassa ja napsauta sitten loput.
Haluatko mennä luotettaviin juurihyväksyntäviranomaisiin ja etsiä todella piirrettyjä merkintöjä, kuten mitä tahansa näistä (tai jotain vastaavaa)
- Sendori
- Purelead
- Rocket-välilehti
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler on laillinen kehittäjätyökalu, mutta haittaohjelma on kaapannut certin)
- System Alerts, LLC
- CE_UmbrellaCert
Napsauta hiiren kakkospainikkeella ja poista haluamasi merkinnät. Jos näet jotain väärää, kun olet testannut Googlea selaimessasi, poista se myös. Ole varovainen, sillä jos poistat väärät asiat täällä, aiot rikkoa Windowsin.
Toivomme, että Microsoft julkaisee jotain tarkistaakseen root-varmenteitasi ja varmista, että vain hyviä ovat siellä. Teoreettisesti voit käyttää tätä luetteloa Microsoftin Windows-sertifikaattien edellyttämistä sertifikaateista ja päivittää sitten uusimpiin juurivarmenteisiin, mutta se ei ole testattu tässä vaiheessa, ja emme todellakaan suosittele sitä ennen kuin joku testaa tämän.
Seuraavaksi sinun täytyy avata selaimesi ja löytää todistukset, jotka ovat todennäköisesti välimuistissa. Google Chromessa siirry kohtaan Asetukset, Lisäasetukset ja Hallitse sertifikaatteja. Henkilökohtainen-kohdassa voit helposti napsauttaa Poista-painiketta kaikilla huonoilla varmenteilla…
Mutta kun siirryt luotettaviin juurihyväksyntäviranomaisiin, sinun on napsautettava Lisäasetukset-kohtaa ja poistettava sitten valintaruudun valinta, jos haluat lopettaa kyseisen sertifikaatin antamisen ...
Mutta se on hulluutta.
Siirry Lisäasetukset-ikkunan alaosaan ja napsauta Palauta asetukset, jos haluat nollata Chromeen oletusasetukset. Tee sama mitä tahansa käyttämääsi selainta käytettäessä tai poista kokonaan, pyyhi kaikki asetukset ja asenna se uudelleen.
Jos tietokoneesi on vaikuttanut, olet luultavasti parempi tehdä täysin puhdas Windows-asennus. Varmista, että varmuuskopioit asiakirjat ja kuvat ja kaikki.
Joten miten suojaat itseäsi?
On lähes mahdotonta täysin suojata itseäsi, mutta tässä on muutamia tervettä järkeä koskevia ohjeita, jotka auttavat sinua:
- Tarkista Superfish / Komodia / Sertifioinnin testauspaikka.
- Ota selaimessasi käyttöön plugin-to-play, jonka avulla voit suojata kaikkia näitä nollapäiväisiä Flash- ja muita plugin-suojausreikiä.
- Ole varovainen, mitä lataat ja yritä käyttää Niniteä, kun ehdottomasti tarvitset.
- Kiinnitä huomiota siihen, mitä napsautat napsauttamalla.
- Harkitse Microsoftin tehostetun lieventämiskokemuksen työkalupakettia (EMET) tai Malwarebytes Anti-Exploittia suojataksesi selaimesi ja muita kriittisiä sovelluksia tietoturva-aukoista ja nollapäiväisistä hyökkäyksistä.
- Varmista, että kaikki ohjelmistot, laajennukset ja virustorjunta pysyvät ajan tasalla, ja myös Windows-päivitykset.
Mutta se on hirveän paljon työtä vain halutessasi selata Webiä ilman kaapattua. Se on kuin TSA: n kanssa.
Windows-ekosysteemi on crapwaren cavalcade. Ja nyt Internetin perusturvallisuus on rikki Windows-käyttäjille. Microsoftin on korjattava tämä.