Domača » kako » Download.com in drugi paket Superfish-Style HTTPS Breaking Adware

    Download.com in drugi paket Superfish-Style HTTPS Breaking Adware

    Čas je, da ste uporabnik operacijskega sistema Windows. Lenovo je povezal HTTPS-ugrabitev Superfish adwarea, Comodo je dobavil še slabšo varnostno luknjo, imenovano PrivDog, in desetine drugih aplikacij, kot je LavaSoft, počnejo enako. Res je slabo, če pa želite, da se vaše šifrirane spletne seje ugrabijo, se pomaknite na CNET datoteke ali katero koli brezplačno spletno mesto, ker zdaj združujejo oglaševalski program HTTPS.

    Fijasko Superfish se je začelo, ko so raziskovalci opazili, da je Superfish, ki je na računalnikih Lenovo, namestil lažni korenski certifikat v operacijski sistem Windows, ki v bistvu ovira vse brskanje po HTTPS, tako da so certifikati vedno videti veljavni, tudi če niso, in so to storili na tak način negotov način, da bi lahko vsak skript kiddie hacker dosegel isto stvar.

    In potem namestijo proxy v vaš brskalnik in prisilijo vse vaše brskanje po njem, da lahko vstavijo oglase. To je prav, tudi če se povežete z banko ali zdravstveno zavarovanje, ali kjerkoli, kjer bi morali biti varni. In nikoli ne veš, ker so zlomili šifriranje za prikazovanje oglasov.

    Toda žalostno, žalostno dejstvo je, da to niso edini - Adware, kot sta Wajam, Geniusbox, Content Explorer in drugi, delajo isto stvar, namestite lastne certifikate in prisilite vse brskanje (vključno s šifriranimi brskalniki HTTPS), da gredo skozi svoj proxy strežnik. In lahko se okužite s to nesmiseljo samo tako, da namestite dve izmed 10 najboljših aplikacij na CNET prenosih.

    Najpomembnejše je, da v naslovni vrstici brskalnika ne morete več zaupati zeleni ikoni ključavnice. In to je strašljiva, strašljiva stvar.

    Kako HTTPS-ugrabitev Adware deluje, in zakaj je tako slabo

    Ummm, potrebujem te, da zapreš ta zavihek. Mmkay?

    Kot smo prikazali že prej, če naredite ogromno napako zaupanja CNET prenosom, ste lahko že bili okuženi s to vrsto adwarea. Dva izmed desetih najpogostejših prenosov na CNET (KMPlayer in YTD) združujeta dve različni vrsti adwarea za HTTPS., in v naši raziskavi smo ugotovili, da večina drugih brezplačnih spletnih mest počne isto.

    Opomba: monterji so tako zapleteni in zapleteni, da nismo prepričani, kdo je tehnično S tem, ko CNET spodbuja te aplikacije na svoji domači strani, je res stvar semantike. Če priporočate, da ljudje prenesejo nekaj, kar je slabo, ste prav tako krivi. Ugotovili smo tudi, da so številne od teh oglaševalskih podjetij skrivaj ista oseba, ki uporablja različna imena podjetij.

    Na podlagi številk za prenos iz 10 najboljših seznamov na CNET prenosih, je vsak mesec okužen milijon ljudi z adwareom, ki ugrablja njihove šifrirane spletne seje v banko ali elektronsko pošto ali karkoli, kar bi moralo biti varno.

    Če ste naredili napako pri namestitvi KMPlayerja in ste uspeli prezreti vse druge crapware, vam bo to okno predstavljeno. In če ste po nesreči kliknili Accept (ali pritisnite na napačno tipko), se bo vaš sistem zlomil.

    Nalaganje spletnih mest se mora sramovati.

    Če ste na koncu prenesli nekaj iz še bolj nedorečenega vira, kot so prenosi oglasov v vaš najljubši iskalnik, boste videli celoten seznam stvari, ki niso dobre. Zdaj vemo, da bodo mnogi od njih popolnoma prekinili preverjanje veljavnosti certifikata HTTPS, tako da boste postali popolnoma ranljivi.

    Lavasoft Web Companion prav tako zlomi šifriranje HTTPS-a, toda ta povezovalec je namestil tudi adware.

    Ko se okužite s katero koli od teh stvari, se prva stvar, ki se zgodi, določi, da vaš sistemski strežnik proxy teče skozi lokalni proxy, ki ga namesti v računalnik. Bodite posebno pozorni na spodaj navedeno besedilo “Secure”. V tem primeru je to bil Wanamov internet "Enhancer", vendar je lahko Superfish ali Geniusbox ali katera koli druga, ki smo jo našli, vsi delujejo na enak način..

    Ironično je, da je Lenovo za opis Superfish uporabljal besedo »povečati«.

    Ko greste na mesto, ki bi moralo biti varno, boste videli zeleno ikono za zaklepanje in vse bo videti povsem normalno. Lahko celo kliknete na ključavnico, da si ogledate podrobnosti, in zdi se, da je vse v redu. Uporabljate varno povezavo in tudi Google Chrome bo poročal, da ste povezani z Googlom z varno povezavo. Ampak ti nisi!

    Sistemska opozorila LLC ni pravo korensko potrdilo in dejansko gre skozi posrednika Man-in-the-Middle, ki vstavlja oglase na strani (in kdo ve kaj še). Moral bi jim poslati vsa gesla, lažje bi bilo.

    Sistemsko opozorilo: vaš sistem je ogrožen.

    Ko je adware nameščen in preusmeri ves vaš promet, boste začeli videti res neprijetne oglase po vsem mestu. Ti oglasi se prikazujejo na varnih spletnih mestih, kot so Google, ki zamenjujejo dejanske Googlove oglase, ali pa se pojavljajo kot pojavna okna po vsem mestu, ki prevzamejo vsako spletno mesto.

    Želim, da moj Google brez zlonamernih povezav, hvala.

    Večina tega adwarea prikazuje povezave »ad« z dokončno škodljivo programsko opremo. Torej, medtem ko adware sama bi lahko pravna nadloga, ki jih omogočajo nekatere res, zelo slabe stvari.

    To dosežejo z namestitvijo svojih ponarejenih korenskih potrdil v prostor za potrdila sistema Windows in nato s posredovanjem varnih povezav, ko jih podpišejo s svojim ponarejenim potrdilom..

    Če pogledate v okno Certifikati Windows, lahko vidite vse vrste popolnoma veljavnih potrdil ... če pa je v računalniku nameščen nekakšen adware, boste videli lažne stvari, kot so System Alerts, LLC ali Superfish, Wajam ali desetine drugih ponaredkov.

    Je to od korporacije Umbrella?

    Tudi če ste bili okuženi in nato odstranili škodljivo programsko opremo, so lahko certifikati še vedno tam, zaradi česar ste ranljivi za druge hekerje, ki so morda izvlekli zasebne ključe. Številni namestitveni programi ne odstranijo potrdil, ko jih odstranite.

    Vsi so človeški-v-srednjem napadu in tukaj je, kako delujejo

    To je iz resničnega živčnega napada odličnega varnostnega raziskovalca Roba Grahama

    Če je v računalniku nameščen ponarejen korenski certifikat, ki je nameščen v prostoru za potrdila, ste zdaj ranljivi za napade človeka v sredini. To pomeni, da če se povežete z javno dostopno točko ali če nekdo dobi dostop do vašega omrežja, ali pa vam uspe vdreti nekaj od vas navzgor, lahko nadomestijo legitimna spletna mesta s ponarejenimi spletnimi mesti. To se morda zdi preveč napačno, toda hekerji so lahko na nekaterih največjih spletnih mestih na spletu izkoristili zapore DNS, da bi uporabnike ugrabili na ponarejeno spletno mesto.

    Ko ste ugrabljeni, lahko preberejo vsako stvar, ki jo oddate v zasebno stran - gesla, zasebne informacije, zdravstvene informacije, e-poštna sporočila, številke socialnega zavarovanja, bančne podatke itd. da je vaša povezava varna.

    To deluje, ker šifriranje javnega ključa zahteva javni ključ in zasebni ključ. Javni ključi so nameščeni v prostoru za potrdila, zasebni ključ pa mora poznati samo spletno mesto, ki ste ga obiskali. Toda, ko lahko napadalci ugrabijo vaš korenski certifikat in imajo tako javne kot zasebne ključe, lahko storijo vse, kar želijo.

    V primeru Superfisha so uporabljali isti zasebni ključ na vsakem računalniku, na katerem je nameščen Superfish, in v nekaj urah so lahko varnostni raziskovalci izvlekli zasebne ključe in ustvarili spletne strani, s katerimi bi preverili, ali ste ranljivi, in dokazali, da ste lahko ugrabljena. Za Wajam in Geniusbox so ključi različni, vendar Content Explorer in nekateri drugi adware vsepovsod uporabljajo iste ključe, kar pomeni, da ta problem ni edinstven za Superfish.

    Slabše je: večina tega sranja onemogoči popolno preverjanje veljavnosti HTTPS

    Včeraj so varnostni raziskovalci odkrili še večji problem: vsi ti HTTPS pooblaščenci onemogočijo preverjanje veljavnosti, medtem ko je videti, kot da je vse v redu..

    To pomeni, da lahko obiščete spletno mesto HTTPS, ki ima povsem neveljavno potrdilo, in ta oglas vam bo povedal, da je spletno mesto v redu. Preizkusili smo adware, ki smo ga omenili prej, in vsi v celoti onemogočijo preverjanje veljavnosti HTTPS, zato ni pomembno, ali so zasebni ključi edinstveni ali ne. Šokantno slabo!

    Vse to adware popolnoma prekine preverjanje potrdil.

    Vsi, ki imajo nameščen oglaševalski program, so ranljivi za vse vrste napadov in v mnogih primerih so še vedno ranljivi tudi po odstranitvi adwarea.

    Preverite lahko, ali ste ranljivi za Superfish, Komodia ali preverjanje veljavnosti neveljavnih potrdil s testno spletno stranjo, ki so jo ustvarili varnostni raziskovalci, a kot smo že pokazali, je na voljo veliko več adwarea, ki dela isto stvar in iz naše raziskave. stvari se bodo še naprej slabšale.

    Zaščitite se: Preverite ploščo s certifikati in izbrišite napačne vnose

    Če ste zaskrbljeni, preverite, ali ste v certifikatnem prostoru preverili, da nimate nameščenih nedorečenih potrdil, ki bi jih pozneje lahko aktiviral nekdo od proxy strežnika. To je lahko malo zapleteno, ker je v njej veliko stvari, večina pa naj bi bila tam. Prav tako nimamo dobrega seznama, kaj bi bilo in kaj ne bi smelo biti tam.

    Z WIN + R povlecite pogovorno okno Zaženi, nato pa vnesite »mmc«, da odprete okno Microsoftove konzole za upravljanje. Nato uporabite File -> Add / Remove Snap-ins in na seznamu na levi izberite Certificates, nato pa ga dodajte na desno stran. V naslednjem pogovornem oknu izberite Računalniški račun in nato kliknite preostanek.

    Boste želeli obiskati Trusted Root Certification Authorities in iskati resnično nedorečene vnose, kot je katera koli od teh (ali kaj podobnega)

    • Sendori
    • Purelead
    • Tabulator Rocket
    • Super riba
    • Lookthisup
    • Pando
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (Fiddler je legitimno orodje za razvijalce, vendar je zlonamerna programska oprema ugrabila njihov certifikat)
    • Sistemska opozorila, LLC
    • CE_UmbrellaCert

    Z desno tipko miške kliknite in Izbriši vse vnose, ki jih najdete. Če ste videli nekaj nepravilnega, ko ste testirali Google v brskalniku, ga morate tudi izbrisati. Samo bodite previdni, ker če tukaj izbrišete napačne stvari, boste prekinili Windows.

    Upamo, da bo Microsoft objavil nekaj, kar bo preverilo vaše korenske certifikate in zagotovilo, da so tam le dobri. Teoretično lahko ta seznam uporabite pri Microsoftovih certifikatih, ki jih zahteva Windows, in nato posodobite na najnovejše korenske certifikate, vendar je to v tem trenutku popolnoma nepreverjeno in res ne priporočamo, dokler tega ne izvede nekdo.

    Nato boste morali odpreti spletni brskalnik in poiskati potrdila, ki so verjetno tam shranjena. Za Google Chrome pojdite v Nastavitve, Napredne nastavitve in nato Upravljanje potrdil. Pod možnostjo Osebno lahko preprosto kliknete gumb Odstrani na vseh slabih potrdilih ...

    Toda ko greste do zaupanja vrednih korenskih organov za potrjevanje, boste morali klikniti Napredno in nato počistiti vse, kar vidite, da ne želite več dovoliti tega potrdila ...

    Ampak to je norost.

    Pojdite na dno okna Napredne nastavitve in kliknite Ponastavi nastavitve, da Chrome povsem ponastavi na privzete nastavitve. Enako storite za kateri koli drug brskalnik, ki ga uporabljate, ali ga popolnoma odstranite, obrišite vse nastavitve in ga znova namestite.

    Če je bil računalnik prizadet, je verjetno bolje, da izvedete popolnoma čisto namestitev sistema Windows. Poskrbite, da boste varnostno kopirali dokumente in slike in vse to.

    Torej, kako se zaščitite?

    Skoraj nemogoče je, da bi se popolnoma zaščitili, vendar je tukaj nekaj smernic zdrave pameti, ki vam bodo pomagale:

    • Preverite preskusno mesto Superfish / Komodia / Certification validation.
    • V brskalniku omogočite možnost »klikni za prikaz« za vtičnike, ki vas bodo zaščitili pred vsemi tistimi ničelnimi Flash-ovami in drugimi varnostnimi luknjami vtičnikov.
    • Bodite zelo previdni, kaj prenesete in poskusite uporabiti Ninite, ko morate nujno.
    • Bodite pozorni na to, kar kliknete kadarkoli kliknete.
    • Razmislite o uporabi Microsoftovega orodja za izboljšanje izkušenj (EMET) ali Malwarebytes Anti-Exploit za zaščito brskalnika in drugih kritičnih aplikacij pred varnostnimi luknjami in napadi ničelnega dne..
    • Prepričajte se, da je vsa programska oprema, vtičniki in protivirusni programi še vedno posodobljeni, vključno s posodobitvami za Windows.

    Ampak to je zelo veliko dela, ker si želiš brskati po spletu, ne da bi bil ugrabljen. To je kot obravnava TSA.

    Ekosistem Windows je cavalcade crapware. In zdaj je osnovna varnost interneta pokvarjena za uporabnike operacijskega sistema Windows. Microsoft mora to popraviti.