Este un timp înfricoșător pentru a fi utilizator de Windows. Lenovo a legat HTTPS-adware-ul Superfish, Comodo livrează cu o gaură de securitate chiar mai rea numită PrivDog, iar zeci de alte aplicații precum LavaSoft fac același lucru. Este foarte rău, dar dacă doriți ca sesiunile dvs. criptate de web să fie deturnate doar capul la descărcări CNET sau orice site freeware, deoarece acestea sunt toate pachet adware HTTPS-rupere acum.
Fișierul Superfish a început atunci când cercetătorii au observat că Superfish, atașat pe computerele Lenovo, instalează un certificat rădăcină fals în Windows care în mod esențial deturnează toate browserele HTTPS, astfel încât certificatele să pară întotdeauna valide chiar dacă nu sunt, și au făcut-o într- astfel încât orice scenarist hacker de scenariu ar putea realiza același lucru.
Și apoi instalează un proxy în browser-ul dvs. și forțează toate navigarea dvs. prin intermediul acestuia, astfel încât să poată introduce anunțuri. Așa e, chiar și atunci când te conectezi la bancă, la site-ul de asigurări de sănătate sau oriunde ar trebui să fii sigur. Și nu ați ști niciodată, pentru că au rupt criptarea Windows pentru a vă afișa anunțuri.
Dar, trist, trist faptul este că ei nu sunt singurii care fac asta - adware cum ar fi Wajam, Geniusbox, Content Explorer și altele fac tot același lucru, instalând propriile certificate și forțând toate browserele (inclusiv sesiunile de navigare criptate HTTPS) să treacă prin serverul proxy. Și vă puteți infecta cu acest nonsens doar instalând două dintre primele 10 aplicații pe descărcările CNET.
Linia de jos este că nu mai puteți avea încredere în pictograma de blocare verde în bara de adrese a browserului dvs. Și asta e un lucru înfricoșător, înfricoșător.
Ummm, o să am nevoie să mergi înainte și să închizi acea filă. Mmkay? Așa cum am arătat mai devreme, dacă faceți o greșeală uriașă de a avea încredere în descărcările CNET, puteți fi deja infectat cu acest tip de adware. Două dintre primele descărcări de pe CNET (KMPlayer și YTD) cuprind două tipuri diferite de adware HTTPS-deturnare, iar în cercetarea noastră am constatat că majoritatea celorlalte site-uri freeware fac același lucru.
Notă:instalatorii sunt atât de complicați și complicați încât nu suntem siguri cine este tehnic facând "gruparea", dar CNET promovează aceste aplicații pe pagina lor de pornire, deci este într-adevăr o chestiune de semantică. Dacă recomandăm oamenilor să descarce ceva care este rău, sunteți la fel de greșit. De asemenea, am descoperit că multe dintre aceste companii adware sunt în mod secret aceleași persoane care folosesc nume diferite de companii.
Bazându-se pe numerele de descărcare din lista de top 10 numai în descărcările CNET, un milion de persoane sunt infectate în fiecare lună cu adware care le deturnează sesiunile web criptate către bancă sau email sau orice altceva care ar trebui să fie sigur.
Dacă ați făcut greșeli de instalare a KMPlayer și reușiți să ignorați toate celelalte programe crap, vi se va afișa această fereastră. Și dacă faceți clic accidental Acceptați (sau apăsați tasta greșită) sistemul dvs. va fi pwned.
Site-urile de descărcare ar trebui să fie rușine de ei înșiși. Dacă ați ajuns să descărcați ceva dintr-o sursă și mai subtilă, cum ar fi anunțurile de descărcare din motorul de căutare preferat, veți vedea o listă completă de lucruri care nu sunt bune. Și acum știm că mulți dintre ei vor rupe complet validarea certificatului HTTPS, lăsându-vă complet vulnerabili.
Lavasoft Web Companion rupe de asemenea criptarea HTTPS, dar acest pachet instalat și adware. Odată ce v-ați infectat cu oricare dintre aceste lucruri, primul lucru care se întâmplă este setarea proxy-ului dvs. de sistem pentru a rula printr-un proxy local pe care îl instalează pe computer. Acordați o atenție deosebită elementului "securizat" de mai jos. În acest caz, a fost de la Wajam Internet "Enhancer", dar ar putea fi Superfish sau Geniusbox sau oricare dintre celelalte pe care le-am găsit, toate funcționează la fel.
Este ironic faptul că Lenovo a folosit cuvântul "spori" pentru a descrie Superfish. Când te duci la un site care ar trebui să fie sigur, vei vedea pictograma verde de blocare și totul va arăta perfect normal. Puteți chiar să faceți clic pe blocare pentru a vedea detaliile și va apărea că totul este bine. Utilizați o conexiune securizată și chiar Google Chrome va raporta că sunteți conectat la Google printr-o conexiune securizată.Dar nu esti!
System Alerts LLC nu este un certificat autentic de rădăcină și de fapt treceți printr-un proxy Man-in-Middle care introduce anunțuri în pagini (și cine știe ce altceva). Ar trebui să le trimiteți prin e-mail toate parolele dvs., ar fi mai ușor.
Alertă sistem: sistemul dvs. a fost compromis. După instalarea programului adware și a proxy-ului întregului dvs. trafic, veți începe să vedeți reclame cu adevărat neplăcute peste tot. Aceste anunțuri se afișează pe site-uri securizate, cum ar fi Google, înlocuind anunțurile Google efective, sau apar ca pop-up-uri peste tot, preluând fiecare site.
Aș dori ca Google meu fără link-uri malware, mulțumesc. Majoritatea adware-urilor afișează link-uri "ad" la programe periculoase. Deci, în timp ce adware-ul în sine ar putea fi o provocare legală, ele permit unele lucruri foarte, foarte rele.
Ei realizează acest lucru prin instalarea certificatelor rădăcină falsă în magazinul de certificate Windows și apoi prin proxyarea conexiunilor securizate în timp ce le semnează cu certificatul lor fals.
Dacă te uiți în panoul Certificări Windows, poți vedea tot felul de certificate complet valabile ... dar dacă PC-ul tău are un anumit tip de adware instalat, vei vedea lucruri false precum System Alerts, LLC sau Superfish, Wajam sau zeci de alte falsuri.
Este de la compania Umbrella? Chiar dacă ați fost infectat și apoi ați eliminat defectul, certificatele ar putea fi acolo, făcându-vă vulnerabile față de alți hackeri care ar fi extras cheile private. Mulți dintre instalatorii de programe adware nu elimină certificatele atunci când le dezinstalați.
Acest lucru provine dintr-un adevărat atac viu al cercetătorului de securitate Rob Graham În cazul în care PC-ul dvs. are certificate false rădăcină instalate în magazinul de certificate, sunteți acum vulnerabil la atacurile "Man-in-the-Middle". Ce înseamnă asta dacă te conectezi la un hotspot public, sau cineva accesează rețeaua ta sau reușește să spargă ceva în amonte de tine, poate înlocui site-urile legitime cu site-uri false. Acest lucru s-ar putea suna prea mult, dar hackerii au fost capabili să folosească hackeri DNS pe unele dintre cele mai mari site-uri de pe web pentru a ataca utilizatorii la un site fals.
Odată ce sunteți deturnat, puteți citi fiecare lucru pe care îl trimiteți unui site privat - parole, informații private, informații despre sănătate, e-mailuri, numere de securitate socială, informații bancare etc. Și niciodată nu veți ști că browserul dvs. vă va spune că conexiunea dvs. este sigură.
Aceasta funcționează deoarece criptarea cheii publice necesită atât o cheie publică, cât și o cheie privată. Cheile publice sunt instalate în magazinul de certificate, iar cheia privată ar trebui să fie cunoscută numai pe site-ul pe care îl vizitați. Dar când atacatorii pot să-ți deturneze certificatul rădăcină și să dețină atât cheile publice, cât și cele private, pot face tot ce vor.
În cazul lui Superfish, aceștia au folosit aceeași cheie privată pe fiecare computer care a instalat Superfish, iar în câteva ore cercetătorii în domeniul securității au putut extrage cheile private și crea site-uri web pentru a testa dacă sunteți vulnerabil și pentru a dovedi că ați putea fi deturnat. Pentru butoanele Wajam și Geniusbox, tastele sunt diferite, dar Content Explorer și alte adware utilizează de asemenea aceleași chei peste tot ceea ce înseamnă că această problemă nu este unică pentru Superfish.
Doar ieri, cercetătorii de securitate au descoperit o problemă și mai mare: Toți acești proxy-uri HTTPS dezactivează validarea în timp ce arată că totul este bine.
Aceasta înseamnă că puteți merge pe un site HTTPS care are un certificat complet nevalid, iar acest adware vă va spune că site-ul este în regulă. Am testat adware-ul pe care l-am menționat mai devreme și toate dezactivează în întregime validarea HTTPS, deci nu contează dacă cheile private sunt unice sau nu. Șocant rău!
Toate aceste adware completează complet verificarea certificatelor. Oricine are instalat un adware este vulnerabil la tot felul de atacuri și în multe cazuri continuă să fie vulnerabil chiar și atunci când adware-ul este eliminat.
Puteți verifica dacă sunteți vulnerabil la verificarea certificatelor Superfish, Komodia sau a unui certificat invalid utilizând site-ul testat creat de cercetători în domeniul securității, dar după cum am demonstrat deja, există mult mai mult adware care face același lucru și din cercetarea noastră , lucrurile vor continua să se înrăutățească.
Dacă sunteți îngrijorat, ar trebui să verificați magazinul de certificate pentru a vă asigura că nu aveți instalate niciun certificat schematic care ar putea fi activat mai târziu de serverul proxy al unei persoane. Acest lucru poate fi un pic complicat, deoarece există multe lucruri acolo și majoritatea trebuie să fie acolo. De asemenea, nu avem o listă bună a ceea ce ar trebui și nu ar trebui să fie acolo.
Utilizați WIN + R pentru a trage în sus dialogul Executare, apoi tastați "mmc" pentru a extrage o fereastră a Consolei de administrare Microsoft. Apoi, utilizați Fișier -> Adăugare / Eliminare snap-inuri și selectați Certificate din lista din stânga și apoi adăugați-o în partea dreaptă. Asigurați-vă că ați selectat contul Computer în următorul dialog, apoi faceți clic pe restul.
Veți dori să mergeți la Autoritățile de certificare a principalelor autorități de încredere și să căutați intrări într-adevăr greoaie ca oricare dintre acestea (sau ceva similar cu acestea)
Faceți clic cu butonul din dreapta și ștergeți oricare dintre intrările pe care le găsiți. Dacă ați văzut ceva incorect când ați testat Google în browserul dvs., asigurați-vă că îl ștergeți și pe acesta. Fii atent, pentru că dacă ștergi lucrurile greșite aici, vei sparge Windows.
Sperăm că Microsoft va lansa ceva pentru a vă verifica certificatele de bază și pentru a vă asigura că sunt doar bune. Teoretic, ai putea folosi această listă de la Microsoft pentru certificatele cerute de Windows și apoi să actualizezi cele mai recente certificate rădăcinoase, dar acest lucru este complet netestat în acest moment și într-adevăr nu recomandăm până când cineva testează acest lucru.
Apoi, va trebui să deschideți browserul dvs. web și să găsiți certificatele care sunt probabil stocate acolo. Pentru Google Chrome, accesați Setări, Setări avansate și apoi Gestionați certificatele. Sub Personal, puteți să faceți ușor clic pe butonul Eliminați pe orice certificat rău ...
Dar când te duci la Autoritățile de certificare a rădăcinilor de încredere, va trebui să faceți clic pe Advanced și apoi să debifați tot ceea ce vedeți pentru a nu mai acorda permisiuni pentru acel certificat ...
Dar asta e nebunie.
Mergeți în partea de jos a ferestrei Setări avansate și faceți clic pe Resetați setările pentru a reseta complet pe Chrome la valorile implicite. Faceți același lucru pentru orice alt browser pe care îl utilizați sau dezinstalați complet, ștergeți toate setările și apoi instalați-l din nou.
În cazul în care calculatorul dvs. a fost afectat, probabil că sunteți mai bine să faceți o instalare complet curată a Windows. Doar asigurați-vă că ați făcut copii de rezervă pentru documente și poze și pentru toate acestea.
Este aproape imposibil să te protejezi complet, dar iată câteva linii directoare pentru a vă ajuta:
Dar este o grămadă de muncă pentru că dorești doar să navighezi pe web fără a fi deturnat. E ca și cum ai face cu TSA.
Ecosistemul Windows este o cavalcadă de crapware. Și acum securitatea fundamentală a Internetului este întreruptă pentru utilizatorii Windows. Microsoft trebuie să repare acest lucru.
