If-Koubou

Изтегляне и други пакети Superfish стил HTTPS Breaking Adware

Изтегляне и други пакети Superfish стил HTTPS Breaking Adware (Как да)

Това е страшно време да бъде потребител на Windows. Lenovo обединяваше HTTPS-отвличане на Superfish adware, Comodo кораби с още по-зле дупка за сигурност, наречена PrivDog, и десетки други приложения като LavaSoft правят същото. Това е наистина лошо, но ако искате криптираните уеб сесии да бъдат отвлечени, просто се отправяйте към CNET Downloads или към някой безплатен сайт, защото всички те обединяват HTTPS-breaking adware сега.

Философията на Superfish започна, когато учените забелязаха, че Superfish, свързан с компютрите на Lenovo, инсталира фалшив сертификат за корен в Windows, който по същество отвлича всички HTTPS сърфиране, така че сертификатите винаги да изглеждат валидни, дори и да не са. несигурен начин, че всеки хакер на дебютния скрипт може да постигне същото.

След това инсталират прокси сървър в браузъра ви и принуждават цялото ви браузване, за да могат да вмъкват реклами. Точно така, дори когато се свързвате с банката си, здравната застрахователна институция или навсякъде, където трябва да сте сигурни. И вие никога няма да знаете, защото са счупили криптиране на Windows, за да ви показват реклами.

Но тъжният и тъжен факт е, че те не са единствените, които правят това - adware като Wajam, Geniusbox, Content Explorer и други, правят точно същото нещо, инсталиране на собствените си сертификати и принуждаване на всичките ви браузъри (включително сесии за браузване в HTTPS) да преминат през прокси сървъра си. И вие можете да се заразите с тези глупости просто като инсталирате два от първите 10 приложения на CNET Downloads.

Долният ред е, че повече не можете да вярвате на тази икона със зелена брава в адресната лента на браузъра си. И това е страшно, страшно нещо.

Как HTTPS-отвличане Adware работи, и защо е толкова лошо

Ummm, ще трябва да продължите и да затворите този раздел. Mmkay?

Както вече показахме, ако направите огромната гигантска грешка да се доверите на CNET Downloads, вече можете да бъдете заразени с този тип рекламен софтуер. Два от десетте най-големи изтегляния на CNET (KMPlayer и YTD) обединяват два различни типа HTTPS-отвличане adware, а в нашето изследване установихме, че повечето други безплатни сайтове вършат същото.

Забележка:инсталаторите са толкова сложни и объркани, че не сме сигурни кой е технически прави "групирането", но CNET популяризира тези приложения на своята начална страница, така че наистина е въпрос на семантика. Ако препоръчвате на хората да изтеглят нещо, което е лошо, вие сте еднакво виновни. Ние също така открихме, че много от тези рекламни компании са тайно същите хора, използващи различни имена на компании.

Въз основа на номерата за изтегляне от списъка с 10 най-големи CNET файлове за изтегляне, един милион души са заразени всеки месец с рекламен софтуер, който отвлича криптираните уеб сесии към банката им или имейл или нещо, което трябва да бъде защитено.

Ако сте направили грешката да инсталирате KMPlayer и вие успеете да пренебрегнете всички други crapware, ще получите този прозорец. И ако случайно кликнете върху "Приемане" (или натиснете грешен клавиш), системата ви ще бъде подредена.

Изтегляне на сайтове трябва да се срамува от себе си.

Ако приключите с изтеглянето на нещо от още по-скучен източник, като изтеглянето на реклами в любимата ви търсачка, ще видите цял списък от неща, които не са добри. И сега знаем, че много от тях ще спрат напълно проверката на удостоверенията на HTTPS, оставяйки ви напълно уязвими.

Lavasoft Web Companion също разбива HTTPS криптиране, но този пакет инсталира и adware.

След като се заразите с някое от тези неща, първото нещо, което се случва, е, че зададената от вас система за прокси да мине през локален прокси сървър, който се инсталира на компютъра ви. Обърнете специално внимание на елемента "Secure" по-долу. В този случай от Wajam Internet "Enhancer", но може да бъде Superfish или Geniusbox или някой от другите, които намерихме, всички те работят по същия начин.

Иронично е, че Lenovo използва думата "подобри", за да опише Superfish.

Когато отидете на сайт, който трябва да бъде защитен, ще видите зелената икона на заключване и всичко ще изглежда напълно нормално. Можете дори да кликнете върху заключването, за да видите подробностите, и ще изглежда, че всичко е наред. Използвате защитена връзка и дори Google Chrome ще съобщи, че сте свързани с Google със защитена връзка.Но не сте!

Системните сигнали LLC не са истински коренни сертификати и всъщност преминавате през прокси сървър "човек в средата", който вкарва реклами в страници (и кой знае какво друго). Трябва просто да ги изпратите по имейл всичките си пароли, би било по-лесно.

Сигнал за системата: Вашата система е компрометирана.

След като рекламният елемент е инсталиран и прокси по целия трафик, ще започнете да виждате наистина неприятни реклами навсякъде. Тези реклами се показват на защитени сайтове като Google, замествайки действителните реклами от Google, или се показват като изскачащи прозорци навсякъде, като поемат всеки сайт.

Бих искал моя Google без зловредни връзки, благодаря.

По-голямата част от този рекламен софтуер показва "рекламни" връзки към изцяло зловредния софтуер. Така че, докато самият рекламен софтуер може да е правен неудобство, те дават възможност на някои наистина, наистина лоши неща.

Те изпълняват това, като инсталират своите фалшиви коренни сертификати в магазина за сертификати на Windows и след това проксизират сигурните връзки, докато ги подписват с фалшивия си сертификат.

Ако погледнете панела Сертификати на Windows, можете да видите всички видове напълно валидни сертификати ... но ако вашият компютър има инсталиран някакъв вид рекламен софтуер, ще видите фалшиви неща като System Alerts, LLC или Superfish, Wajam или десетки други фалшификати.

Това ли е от корпорацията "Чадър"?

Дори и да сте били заразени и след това да премахнете лошото програмно осигуряване, сертификатите все още може да са там, правейки ви уязвими към други хакери, които са извадили частните ключове. Много от инсталаторите на adware не премахват сертификатите, когато ги деинсталирате.

Те са всички "Атаки на човек в средата" и ето как работят

Това е от истинска жива атака от страхотния изследовател по сигурността Роб Греъм

Ако вашият компютър има фалшиви коренни сертификати, инсталирани в магазина за сертификати, вече сте уязвими към атаките "човек-в-средата". Какво означава това, ако се свържете с обществена гореща точка или някой има достъп до вашата мрежа или успява да измъкне нещо от теб, може да замени легитимни сайтове с фалшиви сайтове. Това може да звучи пресилено, но хакерите са успели да използват DNS отвличания на някои от най-големите сайтове в мрежата, за да отвлекат потребителите на фалшив сайт.

След като бъдете отвлечени, те могат да четат всичко, което изпращате на частен сайт - пароли, лична информация, здравна информация, имейли, социални номера, банкова информация и т.н. И никога няма да разберете, защото браузърът ви ще ви каже че вашата връзка е сигурна.

Това работи, защото шифроването с публичен ключ изисква както публичен ключ, така и частен ключ. Публичните ключове се инсталират в магазина за сертификати, а частният ключ трябва да бъде известен само от уеб сайта, който посещавате. Но когато нападателите могат да отвлекат вашите коренни сертификати и да държат както публични, така и частни ключове, те могат да направят всичко, което искат.

В случая с Superfish те използват един и същ частен ключ на всеки компютър, в който е инсталиран Superfish, и в рамките на няколко часа изследователите по сигурността успяха да извлекат частните ключове и да създадат уебсайтове, за да проверят дали сте уязвими и да докажете, да бъдат отвлечени. За Wajam и Geniusbox ключовете са различни, но Content Explorer и някои други реклами също използват същите ключове навсякъде, което означава, че този проблем не е уникален за Superfish.

Това става по-лошо: Повечето от тези глупости забраняват напълно удостоверяване на HTTPS

Вчера изследователите в областта на сигурността откриха още по-голям проблем: всички тези прокси сървъри HTTPS забраниха всички потвърждавания, докато изглеждаше, че всичко е наред.

Това означава, че можете да отидете на уеб сайт HTTPS, който има напълно невалиден сертификат, и този рекламен софтуер ще ви каже, че сайтът е добре. Тествахме рекламата, която споменахме по-рано, и всички те деактивират напълно проверката на HTTPS, така че няма значение дали частните ключове са уникални или не. Шокиращо лошо!

Всички тези реклами напълно нарушават проверката на сертификатите.

Всеки, който има инсталиран рекламен софтуер, е уязвим за всякакви атаки и в много случаи продължава да бъде уязвим, дори когато рекламният софтуер е премахнат.

Можете да проверите дали сте уязвими към проверките на Superfish, Komodia или невалидни сертификати, използвайки сайта за тестове, създаден от изследователи по сигурността, но както вече показахме, има много повече рекламни средства, които правят същото и от нашето изследване , нещата ще продължат да се влошават.

Защитете себе си: Проверете панела за сертификати и изтрийте лошите записи

Ако се притеснявате, трябва да проверите магазина си за сертификати, за да се уверите, че нямате инсталирани никакви уникални сертификати, които по-късно могат да бъдат активирани от някой от прокси сървърите. Това може да е малко сложно, защото там има много неща и повечето от тях трябва да са там. Също така нямаме добър списък на това, което трябва и не трябва да съществува.

Използвайте WIN + R, за да издърпате диалога Run и след това напишете "mmc", за да издърпате прозореца на Microsoft Management Console. След това използвайте File -> Add / Remove Snap-ins и изберете Сертификати от списъка вляво, след което го добавете в дясната страна. Уверете се, че сте избрали Компютърна сметка в следващия диалогов прозорец, след което щракнете върху останалите.

Вие ще искате да отидете на Trusted Root Сертифициране Authorities и търсят наистина sketchy вписванията като всеки от тези (или нещо подобно на тези)

  • Sendori
  • Purelead
  • Ракетно табло
  • Супер риба
  • Lookthisup
  • Пандо
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler е легитимен инструмент за разработчици, но злонамереният софтуер е отвлечен от техния сертификат)
  • Системни предупреждения, LLC
  • CE_UmbrellaCert

Кликнете с десния бутон на мишката и Изтрийте някой от тези записи, които намирате. Ако сте видели нещо неправилно, когато сте тествали Google в браузъра си, не забравяйте да го изтриете и вие. Просто бъдете внимателни, защото ако изтриете грешните неща тук, ще разбиете Windows.

Надяваме се, че Microsoft пуска нещо, за да провери коренните ви сертификати и да се увери, че има само добри. Теоретично бихте могли да използвате този списък от Microsoft на сертификатите, изисквани от Windows, и след това да актуализирате най-новите коренни сертификати, но това е напълно непроверено в този момент и ние наистина не го препоръчваме, докато някой не го изпробва.

След това ще трябва да отворите уеб браузъра си и да намерите сертификатите, които вероятно са кеширани там. За Google Chrome отворете "Настройки", "Разширени настройки" и след това "Управление на сертификати". Под "Лични" можете лесно да кликнете върху бутона "Премахване" на всички лоши сертификати ...

Но когато отидете на доверени органи за сертифициране на корени, ще трябва да кликнете върху Разширени и след това да махнете отметката от всичко, което виждате, за да спрете да давате разрешения на този сертификат ...

Но това е лудост.

Отидете до дъното на прозореца за разширени настройки и кликнете върху "Нулиране на настройките", за да възстановите напълно настройките по подразбиране на Chrome. Направете същото за всеки друг браузър, който използвате, или напълно деинсталирайте, избършете всички настройки и след това го инсталирайте отново.

Ако вашият компютър е засегнат, вероятно сте по-добре да направите напълно чиста инсталация на Windows. Просто не забравяйте да архивирате вашите документи и снимки и всичко това.

И така, как се предпазвате?

Почти е невъзможно напълно да се защитите, но тук има няколко общи насоки, които да ви помогнат:

  • Проверете сайта за тестване за потвърждаване Superfish / Komodia / Certification.
  • Активирайте функцията Click-To-Play за плъгини в браузъра, които ще ви помогнат да се предпазите от всички тези нулеви флашове и други дупки за сигурност на приставките.
  • Бъдете наистина внимателни какво изтегляте и се опитайте да използвате Ninite, когато абсолютно трябва.
  • Обърнете внимание на това, което кликвате по всяко време, когато кликнете.
  • Обмислете използването на инструментариума на Microsoft (Enhanced Mitigation Experience Tool Kit) или Malwarebytes Anti-Exploit, за да защитите браузъра си и други критични приложения от дупки в сигурността и нулеви атаки.
  • Уверете се, че всички ваши софтуерни, плъгини и антивирусни престои се актуализират и това включва и актуализации на Windows.

Но това е ужасно много работа, защото просто искам да преглеждам мрежата, без да бъда отвлечена. Това е като работа с TSA.

Екосистемата на Windows е кавалдад на crapware. А сега основната сигурност на интернет е нарушена за потребителите на Windows. Microsoft трябва да реши това.