Domovská » jak » Download.com a další balíček Superfish-Style HTTPS Breaking Adware

    Download.com a další balíček Superfish-Style HTTPS Breaking Adware

    Je to děsivý čas být uživatel Windows. Společnost Lenovo sdružuje HTTPS-únos Superfish adware, Comodo je dodáván s ještě horší bezpečnostní dírou nazývanou PrivDog a desítky dalších aplikací, jako je LavaSoft, dělají totéž. Je to opravdu špatné, ale pokud chcete, aby vaše šifrované webové relace byly uneseny, stačí se obrátit na CNET Download nebo na libovolnou freeware stránku, protože všechny jsou svázány s HTTPS-breaking adware.

    Superfish fiasko začalo, když si vědci všimli, že Superfish, který je součástí počítačů Lenovo, instaloval falešný kořenový certifikát do Windows, který v podstatě zneužívá veškeré procházení protokolem HTTPS, takže certifikáty vždy vypadají platné, i když nejsou, a to v takovém nejistým způsobem, že jakýkoli scénář hackerů v dětství může dosáhnout stejné věci.

    A pak instalují proxy do vašeho prohlížeče a vynucují vše procházení přes něj, aby mohly vkládat reklamy. To je správné, i když se připojujete k vaší bance, zdravotnímu pojištění nebo kdekoli, kde byste měli být v bezpečí. A vy byste to nikdy nevěděli, protože vám přerušili šifrování systému Windows, aby vám zobrazovaly reklamy.

    Smutný, smutný fakt však spočívá v tom, že to nejsou jediní - adware jako Wajam, Geniusbox, Content Explorer a další to vše dělají totéž, instalace vlastních certifikátů a vynucení všech procházení (včetně šifrovaných relací procházení protokolem HTTPS) procházením jejich proxy serveru. A můžete se s tímto nesmysly infikovat pouze instalací dvou z nejlepších 10 aplikací na stahování CNET.

    Spodní řádek je takový, že již nemůžete důvěřovat ikoně zeleného zámku v adresním řádku prohlížeče. A to je strašidelná strašidelná věc.

    Jak funguje adware HTTPS-Hijacking a proč je to tak špatné

    Ummm, budu potřebovat, abyste se vydali a uzavřete kartu. Mmkay?

    Jak jsme již ukázali, pokud uděláte obrovskou gigantickou chybu v důvěře ke stažení CNET, můžete již být infikován tímto typem adwaru. Dvě z deseti nejlepších souborů na CNET (KMPlayer a YTD) spojují dva různé typy adware HTIPS, a v našem výzkumu jsme zjistili, že většina ostatních webů freeware dělá totéž.

    Poznámka: instalatéři jsou tak choulostiví a složití, že si nejsme jisti, kdo je technicky dělá "sdružování", ale společnost CNET propaguje tyto aplikace na své domovské stránce, takže je to opravdu otázka sémantiky. Pokud doporučujete, aby lidé stáhli něco, co je špatné, jste stejně provineni. Zjistili jsme také, že mnoho z těchto reklamních firem je tajně stejných lidí, kteří používají různá jména společností.

    Na základě čísel stahovaných ze seznamu 10 nejčastěji na stránkách CNET Download je každý měsíc infikován milion lidí s adware, který unesl své šifrované webové relace do své banky nebo e-mailem nebo cokoliv, co by mělo být bezpečné.

    Pokud jste udělali chybu při instalaci KMPlayeru a nedokážete ignorovat všechny ostatní programy, zobrazí se vám toto okno. A pokud náhodou kliknete na tlačítko Accept (přijmout) (nebo stisknete nesprávný klíč), váš systém bude pwned.

    Stránky ke stažení by se měly stydět za sebe.

    Pokud jste skončili se stahováním něčeho z ještě více skeptického zdroje, jako jsou stažené reklamy ve vašem oblíbeném vyhledávači, uvidíte celý seznam věcí, které nejsou dobré. A teď víme, že mnoho z nich dokonale překročí validaci certifikátu HTTPS a zanechá vás zcela zranitelnou.

    Lavasoft Web Companion také porušuje šifrování HTTPS, ale tento balíček instaloval také adware.

    Jakmile se dostanete na sebe nakazení některého z těchto věcí, první věc, která se stane, je, že nastaví proxy systému pro spuštění přes místní proxy, který se instaluje na vašem počítači. Zvláštní pozornost věnujte položce "Bezpečná" níže. V tomto případě to bylo z Wajam Internet "Enhancer", ale mohlo by to být Superfish nebo Geniusbox nebo kterýkoli jiný, který jsme našli, všichni pracují stejným způsobem.

    Je ironické, že společnost Lenovo používala slovo "vylepšení" pro popis produktu Superfish.

    Když se dostanete na stránky, které by měly být bezpečné, uvidíte zelenou ikonu zámku a vše vypadá zcela normálně. Dokonce můžete kliknout na zámek, abyste viděli detaily, a zdá se, že je vše v pořádku. Používáte zabezpečené připojení a dokonce i Google Chrome ohlásí, že jste se připojili ke službě Google pomocí zabezpečeného připojení. Ale nejste!

    System Alerts LLC není opravdovým kořenovým certifikátem a právě procházíte prostředníkem typu Man-in-the-Middle, který vkládá reklamy do stránek (a kdo ví co jiného). Měli byste jim poslat e-mailem všechna hesla, bylo by to jednodušší.

    Systémová výstraha: Váš systém byl ohrožen.

    Jakmile je adware nainstalován a proxy všechny vaše provozu, začnete vidět opravdu nepříjemné reklamy všude tam. Tyto reklamy se zobrazují na zabezpečených stránkách, jako je Google, nahrazují skutečné reklamy Google, nebo se zobrazují jako vyskakovací okna všude tam, kde přebírají všechny stránky.

    Rád bych měl Google bez odkazů na malware, díky.

    Většina z tohoto adwaru zobrazuje odkazy "ad" na úplný malware. Takže zatímco samotný adware může být legální obtěžování, umožňují některé skutečně špatné věci.

    Dosahují to instalací svých falešných kořenových certifikátů do úložiště certifikátů systému Windows a následným proxyováním zabezpečených připojení při podepisování pomocí falešného certifikátu.

    Pokud se podíváte na panel Certifikáty Windows, můžete vidět nejrůznější zcela platné certifikáty ... ale pokud máte v počítači nainstalovaný nějaký typ adwaru, uvidíte falešné věci jako System Alerts, LLC nebo Superfish, Wajam nebo desítky dalších padělků.

    Je to z firmy Umbrella?

    Dokonce i v případě, že jste byli nakaženi a odstraněni škodlivý software, certifikáty by stále mohly existovat, což by znesnadňovalo ostatní hackery, kteří by mohli extrahovat soukromé klíče. Mnoho instalátorů adware nevyjímá certifikáty, když je odinstalujete.

    Jsou to všichni man-in-the-middle útoky a je to, jak fungují

    To je skutečný živý útok úžasného bezpečnostního badatele Rob Grahama

    Pokud je v počítači nainstalován falešný kořenový certifikát, jste nyní zranitelní útoky typu Man-in-the-Middle. Co to znamená, když se připojíte k veřejné hotspot, nebo někdo dostane přístup do vaší sítě, nebo se podaří hacknout něco před vstupem od vás, mohou nahradit legitimní stránky falešnými stránkami. To by mohlo znít dalekosáhlé, ale hackeři byli schopni využít únosy DNS na některých z největších webových stránek na webu, aby mohli únosci na falešné stránky.

    Jakmile jste uneseni, mohou si přečíst každou věc, kterou předkládáte soukromému webu - hesla, soukromé informace, zdravotní informace, e-maily, čísla sociálního zabezpečení, bankovní informace atd. A nikdy nebudete vědět, protože vám váš prohlížeč poví že vaše připojení je zabezpečené.

    To funguje, protože šifrování veřejného klíče vyžaduje jak veřejný klíč, tak soukromý klíč. Veřejné klíče jsou nainstalovány v úložišti certifikátů a soukromý klíč by měl být znám pouze na webových stránkách, které jste navštívili. Ale když útočníci mohou zbavit vašeho kořenového certifikátu a držet jak veřejné, tak soukromé klíče, mohou dělat cokoliv, co chtějí.

    V případě Superfish použili stejný soukromý klíč na každém počítači, ve kterém byl nainstalován produkt Superfish, a během několika hodin mohli vědci v oblasti bezpečnosti získat extrakty soukromých klíčů a vytvořit webové stránky, které testují, zda jste zranitelní, a dokázat, že byste mohli být unesen. Pro Wajam a Geniusbox jsou klíče odlišné, ale aplikace Content Explorer a některé další adware používají všude stejné klávesy, což znamená, že tento problém není pro Superfish jedinečný.

    Zhoršuje se to: Většina z tohoto zablokování úplně zakazuje validaci protokolu HTTPS

    Jen včera vědci v oblasti bezpečnosti zjistili ještě větší problém: Všechny tyto proxy HTTPS zakazují veškerou validaci a zároveň vypadají, že je vše v pořádku.

    To znamená, že můžete navštívit webové stránky HTTPS, které mají zcela neplatný certifikát, a tento adware vám řekne, že stránky jsou v pořádku. Testovali jsme adware, který jsme zmínili dříve, a to vše zcela zakazuje validaci protokolu HTTPS. Nezáleží tedy na tom, zda jsou soukromé klíče jedinečné nebo ne. Šokující zlé!

    Všechny tyto adware zcela porušují kontrolu certifikátů.

    Každý, kdo má nainstalovaný adware, je zranitelný vůči všem druhům útoků a v mnoha případech je i nadále zranitelný, i když je adware odstraněn.

    Můžete zkontrolovat, zda jste zranitelní kvůli kontrole certifikátů Superfish, Komodie nebo neplatným certifikátem pomocí zkušebního webu vytvořeného výzkumnými pracovníky v oblasti bezpečnosti, ale jak jsme již prokázali, existuje mnohem více adware, které dělají totéž, a z našeho výzkumu , věci se budou i nadále zhoršovat.

    Chraňte se: Zkontrolujte panel certifikátů a odstraňte špatné záznamy

    Máte-li obavy, měli byste zkontrolovat úložiště certifikátů, abyste se ujistili, že nemáte nainstalované náčrty certifikátů, které by mohly být později aktivovány jiným proxy serverem. To může být trochu komplikované, protože tam je spousta věcí a většina z nich má být tam. Nemáme také dobrý seznam toho, co by mělo a nemělo být.

    Použijte WIN + R pro vytažení dialogového okna Spustit a potom zadejte "mmc" pro vytažení okna konzoly Microsoft Management Console. Poté použijte Soubor -> Přidat nebo odebrat doplňky a v seznamu vlevo vyberte položku Certifikáty a poté je přidejte na pravou stranu. Zaškrtněte políčko Počítačový účet v dalším dialogovém okně a poté klikněte na zbytek.

    Budete chtít jít do důvěryhodných kořenových certifikačních autorit a hledat opravdu skryté záznamy, jako je některý z těchto (nebo něco podobného)

    • Odeslat
    • Purelead
    • Rocket Tab
    • Super ryba
    • Podívejte se
    • Pando
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (Fiddler je legitimní vývojářský nástroj, ale malware má unesený jejich cert)
    • System Alerts, LLC
    • CE_UmbrellaCert

    Klepněte pravým tlačítkem myši a Vymazat některou z nalezených položek. Pokud jste při prohlížení Google v prohlížeči zjistili něco nesprávného, ​​nezapomeňte ho smazat také. Jen buďte opatrní, protože pokud vymažete špatné věci, přerušíte Windows.

    Doufáme, že společnost Microsoft vydala něco pro kontrolu vašich kořenových certifikátů a ujistěte se, že jsou k dispozici jen ty dobré. Teoreticky byste mohli používat tento seznam certifikátů od společnosti Microsoft od společnosti Microsoft a poté aktualizovat na nejnovější kořenové certifikáty, ale v tomto okamžiku je to úplně netestované. Opravdu to nedoporučujeme, dokud to někdo nevyzkouší.

    Poté budete muset otevřít webový prohlížeč a najít certifikáty, které jsou pravděpodobně ukládány do mezipaměti. V prohlížeči Google Chrome přejděte do části Nastavení, Pokročilé nastavení a potom Správa certifikátů. V části Osobní můžete jednoduše kliknout na tlačítko Odebrat na špatné certifikáty ...

    Ale když půjdete do Důvěryhodných kořenových certifikačních autorit, budete muset kliknout na Pokročilé a zrušit zaškrtnutí všeho, co vidíte, abyste přestali vydávat oprávnění k tomuto certifikátu ...

    Ale to je šílenství.

    Přejděte do dolní části okna Pokročilé nastavení a klikněte na tlačítko Obnovit nastavení, chcete-li Chrome zcela resetovat na výchozí hodnoty. Proveďte totéž pro libovolný jiný prohlížeč, který používáte, nebo zcela odinstalujte, utíráte všechna nastavení a poté jej znovu nainstalujte.

    Pokud byl váš počítač ovlivněn, pravděpodobně byste měli udělat úplně čistou instalaci systému Windows. Jen se ujistěte, že zálohujete své dokumenty a obrázky a to vše.

    Tak jak se chráníte?

    Je téměř nemožné se úplně ochránit, ale zde je několik pokynů pro společné smysly, které vám pomohou:

    • Zkontrolujte zkušební místo ověření Superfish / Komodia / Certification.
    • Povolte funkci Click-To-Play pro pluginy ve vašem prohlížeči, které vám pomohou ochránit vás před všemi těmito nulovými bleskovými a dalšími bezpečnostními jamkami pluginů..
    • Buďte opravdu opatrní, co si stáhnete a zkuste použít Ninite, když to naprosto musíte.
    • Věnujte pozornost tomu, co kliknete kdykoliv kliknete.
    • Zvažte použití nástroje Microsoft Enhanced Mitigation Experience Toolkit (EMET) nebo Malwarebytes Anti-Exploit k ochraně vašeho prohlížeče a dalších důležitých aplikací z bezpečnostních otvorů a útoků za nulový den.
    • Ujistěte se, že všechny vaše softwarové, pluginy a antivirové pobyty jsou aktualizovány a obsahuje také aktualizace systému Windows.

    Ale to je strašně spousta práce, protože prostě chceme procházet web, aniž bychom byli uneseni. Je to jako s TSA.

    Ekosystém Windows je kavalkádou crapware. A nyní je pro uživatele systému Windows narušena základní bezpečnost Internetu. Společnost Microsoft potřebuje tento problém vyřešit.