If-Koubou

Download.com un citu paketi Superfish-Style HTTPS pārtraucot Adware

Download.com un citu paketi Superfish-Style HTTPS pārtraucot Adware (Kā)

Tas ir biedējošs laiks, lai būtu Windows lietotājs. Lenovo bija saistīta ar HTTPS uzlaušanas Superfish reklāmprogrammatūru, Comodo kuģi ar vēl sliktāku drošības caurumu, ko sauc par PrivDog, un desmitiem citu lietotņu, piemēram, LavaSoft, dara to pašu. Tas ir patiešām slikts, bet, ja vēlaties, lai jūsu šifrētās tīmekļa sesijas tiktu nolaupītas, vienkārši dodieties uz CNET lejupielādēm vai jebkuru bezmaksas vietni, jo tie visi ir komplektā HTTPS pārrāvoši adware.

Superfish fiasko sākās, kad pētnieki pamanīja, ka Superfish, kas ir iekļauts Lenovo datoros, instalēja Windows viltus saknes sertifikātu, kas būtiski aizkavē visu HTTPS pārlūkošanu, lai sertifikāti vienmēr būtu pareizi, pat ja tie nav, un viņi to darīja šādā veidā nedrošs veids, ka jebkura scenārija kiddie hakeris varētu paveikt to pašu.

Un tad viņi savā pārlūkprogrammā instalē starpniekserveri un piespiež to visu pārlūkot, lai viņi varētu ievietot reklāmas. Tas ir pareizi, pat tad, kad izveidojat savienojumu ar savu banku vai veselības apdrošināšanas vietni vai jebkur citur, kas ir droša. Un jūs nekad zināt, jo viņi pārtrauca Windows šifrēšanu, lai parādītu jūsu reklāmas.

Bet skumjš, skumji fakts ir tas, ka viņi nav vienīgie, kas to dara - Adware, piemēram, Wajam, Geniusbox, Content Explorer un citi, tiek darīts tieši tāpat, instalējot savus sertifikātus un piespiežot pārlūkošanu (ieskaitot HTTPS šifrētas pārlūkošanas sesijas), lai pārlūkotu starpniekserveri. Un jūs varat inficēties ar šo neskaidrību, vienkārši instalējot divas no 10 populārākajām lietotnēm vietnē CNET Downloads.

Apakšējā līnija ir tāda, ka jūs vairs nevarat uzticēties šai zaļās bloķēšanas ikonai jūsu pārlūkprogrammas adreses joslā. Un tas ir biedējošs, biedējošs lieta.

Kā darbojas HTTPS-nolaupīšana Adware un kāpēc tas ir tik slikti

Ummm, man ir nepieciešams, lai tu iet uz priekšu un aizveri šo cilni. Mmkay?

Kā mēs esam to parādījuši iepriekš, ja jūs veicat milzīgu milzīgu kļūdu, uzticoties CNET lejupielādēm, jūs jau varētu būt inficēti ar šāda veida reklāmprogrammatūru. Divas no desmit lejupielādes vietnē CNET (KMPlayer un YTD) apvieno divus dažādus HTTPS uzbrukuma reklāmkarogu veidus, un mūsu pētījumā mēs noskaidrojām, ka lielākā daļa citu freeware vietņu dara to pašu.

Piezīme:uzstādītāji ir tik grūts un izliekts, ka mēs neesam pārliecināti, kas ir tehniski veicot "komplektēšanu", bet CNET veicina šīs lietotnes savā mājas lapā, tāpēc tas patiešām ir semantikas jautājums. Ja jūs ieteiktu, ka cilvēki lejupielādē kaut ko sliktu, jūs esat tikpat vainīgs. Esam arī konstatējuši, ka daudzi no šiem reklāmprogrammu uzņēmumiem ir slepeni tie paši cilvēki, kuri izmanto dažādus uzņēmuma nosaukumus.

Pamatojoties uz lejupielādes numuriem no 10 populārākajām saraksta CNET lejupielādēm, miljons cilvēku ir inficēti katru mēnesi ar reklāmprogrammatūru, kas uzbruka viņu šifrētajām tīmekļa sesijām savā bankā vai e-pastā vai jebko, kas būtu drošs.

Ja jūs pieļāvāt kļūdu, instalējot KMPlayer, un jūs spēsiet ignorēt visu citu crapware, šis logs tiks parādīts. Un, ja jūs nejauši noklikšķinājāt uz Pieņemt (vai pieskarieties nepareizajam taustiņam), sistēma tiks noņemta.

Lejupielādētajām vietnēm vajadzētu kaunēties par sevi.

Ja jūs beidzat lejupielādējat kaut ko no vēl sarežģītāka avota, piemēram, lejupielādes reklāmas savā iecienītākajā meklētājprogrammā, jūs redzēsit visu to stuff, kas nav labi. Un tagad mēs zinām, ka daudzi no viņiem gatavojas pilnībā pārtraukt HTTPS sertifikāta apstiprināšanu, atstājot jūs pilnīgi neaizsargātu.

Lavasoft Web Companion arī pārtrauc HTTPS šifrēšanu, bet šis pakotnes lietotājs ir arī instalējis adware.

Kad esat saņēmis sevi ar kādu no šīm lietām, vispirms ir tas, ka jūsu sistēmas proxy tiek palaists vietējā proxy, ko tā instalē datorā. Pievērsiet īpašu uzmanību zemāk esošajam elementam "Secure". Šajā gadījumā tas bija no Wajam interneta "Enhancer", bet tas varētu būt Superfish vai Geniusbox vai kāds no citiem, ko esam atraduši, viņi visi strādā vienādi.

Ir ironiski, ka Lenovo izmantoja vārdu "uzlabot", lai aprakstītu Superfish.

Kad apmeklējat vietni, kurai vajadzētu būt drošai, redzēsiet zaļās bloķēšanas ikonu un viss izskatīsies pilnīgi normāli. Jūs varat pat noklikšķināt uz slēdzenes, lai skatītu detaļas, un parādīsies, ka viss ir kārtībā. Jūs izmantojat drošu savienojumu un pat Google Chrome ziņos, ka esat izveidojis savienojumu ar Google, izmantojot drošu savienojumu.Bet jūs neesat!

System Alerts LLC nav īsts saknes sertifikāts, un jūs patiešām izmantojat starpniekserveri Man-in-the-Middle, kas ievieto reklāmas lapās (un kas zina, kas vēl). Jums vajadzētu vienkārši nosūtīt viņiem visas savas paroles, tas būtu vieglāk.

Sistēmas brīdinājums: jūsu sistēma ir apdraudēta.

Kad adware ir instalēta un visas jūsu datplūsmas tiek aktivizētas, jūs sākat redzēt patiešām nepatīkamas reklāmas visā vietā. Šīs reklāmas tiek rādītas drošās vietnēs, piemēram, Google, aizstājot faktiskās Google reklāmas, vai tās tiek parādītas logos visur, pārņemot katru vietni.

Es gribētu, lai mans Google bez ļaunprātīgas programmatūras saitēm, paldies.

Lielākā daļa no šīm reklāmprogrammām rāda reklāmas saites uz tiešajām ļaundabīgajām programmām. Tātad, kamēr Adware pati par sevi varētu būt juridiskas neērtības, tās ļauj daži patiešām, patiešām slikti stuff.

Viņi to paveic, instalējot viņu viltus saknes sertifikātus Windows sertifikātu veikalā un pēc tam noslēdzot drošus savienojumus, parakstot tos ar viltotiem sertifikātiem.

Ja paskatās Windows sertifikātu panelī, jūs varat redzēt visu veidu pilnīgi derīgus sertifikātus ... bet, ja jūsu datoram ir instalēts kāds veida reklāmprogrammatūra, jūs redzēsiet viltotas lietas, piemēram, System Alerts, LLC vai Superfish, Wajam vai desmitiem citu viltojumu.

Vai tas ir no Umbrella korporācijas?

Pat ja jūs esat inficēts un pēc tam noņemat sliktu programmatūru, sertifikāti joprojām varētu būt turēti, padarot jūs neaizsargātu pret citiem hakeriem, kuri, iespējams, ir izgājuši privātās atslēgas. Daudzi adware uzstādītāji neizņem sertifikātus, tos atinstalējot.

Viņi ir viss cilvēks vidū uzbrukumā, un lūk, kā viņi strādā

Tas ir no reāla dzīvības uzbrukuma, ko paveicis labais drošības pētnieks Robs Grahams

Ja jūsu datorā sertifikātu veikalā ir instalēti viltus saknes sertifikāti, tagad jūs esat neaizsargāti pret uzbrukumiem "Man-in-the-Middle". Tas nozīmē, ka, ja jūs izveidojat savienojumu ar publisko krātuves punktu vai kāds piekļūst savam tīklam, vai arī jūs varat izlauzties no jums augšup pa straumi, viņi var aizstāt likumīgās vietnes ar viltotām vietnēm. Tas var izklausīties tālajā, bet hackers varēja izmantot DNS hijacks dažās lielākajās vietnēs tīmeklī, lai ļaunprātīgi izmantotu lietotājus viltus vietnei.

Kad esat uzlauzts, viņi var izlasīt katru lietu, ko iesniedzat privātai vietnei - paroles, privātā informācija, informācija par veselību, e-pastus, sociālās apdrošināšanas numurus, informāciju par banku utt. Un jūs nekad zināt, jo jūsu pārlūkprogramma jums pateiks ka jūsu savienojums ir drošs.

Tas darbojas, jo publiskās atslēgas šifrēšana prasa gan publisko atslēgu, gan privāto atslēgu. Publiskās atslēgas tiek instalētas sertifikātu veikalā, un privāto atslēgu vajadzētu zināt tikai vietnei, kuru apmeklējat. Bet, ja uzbrucēji var nozagt jūsu saknes sertifikātu un turēt gan publiskās, gan privātās atslēgas, viņi var darīt visu, ko viņi vēlas.

Superfish gadījumā viņi izmantoja to pašu privāto atslēgu ikvienā datorā, kuram ir instalēta Superfish, un dažu stundu laikā drošības pētnieki varēja iegūt privātās atslēgas un izveidot vietnes, lai pārbaudītu, vai esat neaizsargāts, un pierādīt, ka jūs varētu to izdarīt nolaupīt. Wajam un Geniusbox taustiņi ir atšķirīgi, bet Content Explorer un daži citi reklāmprogrammatūra visur izmanto tos pašus taustiņus, kas nozīmē, ka šī problēma nav tikai un vienīgi Superfish.

Tas izpaužas sliktāk: lielākā daļa no šīs krāpšanas atspējo pilnīgi HTTPS validāciju

Tikai vakar drošības pētnieki atklāja vēl lielāku problēmu: visas šīs HTTPS pilnvaras atspējo visu validāciju, vienlaikus padarot to izskatīgu, viss ir kārtībā.

Tas nozīmē, ka varat doties uz HTTPS vietni, kurai ir pilnīgi nederīgs sertifikāts, un šī reklāmas programmatūra jums pateiks, ka vietne ir kārtībā. Mēs pārbaudījām iepriekš aprakstītās reklāmprogrammatūras versijas, un tās pilnībā izslēdz HTTPS validāciju, tāpēc nav svarīgi, vai privātās atslēgas ir unikālas vai ne. Šokējoši slikti!

Visa šī Adware pilnībā pārtrauc sertifikātu pārbaudi.

Ikviens, kas instalējis adware, ir neaizsargāts pret visiem uzbrukumu veidiem un daudzos gadījumos joprojām ir neaizsargāts pat tad, ja noņemšanas rīks tiek noņemts.

Varat pārbaudīt, vai jūs esat neaizsargāti pret Superfish, Komodia vai nederīgu sertifikātu pārbaudi, izmantojot drošības ekspertu izveidoto pārbaudes vietni, taču, kā jau mēs jau esam pierādījuši, tur ir daudz vairāk adware, kas to dara vienādi, un no mūsu pētījuma , lietas turpinās pasliktināties.

Aizsargājiet sevi: pārbaudiet sertifikātu paneli un dzēsiet sliktos ierakstus

Ja jūs uztraucat, jums vajadzētu pārbaudīt savu sertifikātu veikalu, lai pārliecinātos, ka jums nav instalēti nekādi skripti sertifikāti, kurus vēlāk varētu aktivizēt kāda starpniekserveris. Tas var būt nedaudz sarežģīts, jo tur ir daudz stuff, un lielākā daļa no tā ir paredzēts tur. Mums arī nav labu sarakstu ar to, kas būtu un kas tur nebūtu tur.

Izmantojiet WIN + R, lai parādītu dialoglodziņu Run (Run), un pēc tam ierakstiet "mmc", lai atvērtu Microsoft Management Console logu. Pēc tam izmantojiet failu -> Pievienot / noņemt papildpiederumus un kreisajā pusē esošajā sarakstā atlasiet Sertifikāti un pēc tam pievienojiet to labajā pusē. Nākamajā dialoglodziņā atlasiet Datora kontu un pēc tam noklikšķiniet uz pāri atpūtai.

Jūs vēlaties doties uz uzticamām sakņu sertificēšanas iestādēm un meklēt patiešām nejaušus ierakstus, piemēram, jebkuru no šiem (vai kaut kas līdzīgs šiem)

  • Sendori
  • Purelead
  • Raķešu cilne
  • Super zivs
  • Skatīties
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler ir likumīgs izstrādātāju rīks, bet ļaunprogramma ir nolaupījusi savu cert)
  • System Alerts, LLC
  • CE_UmbrellaCert

Ar peles labo pogu noklikšķiniet un izdzēsiet jebkuru no šiem ierakstiem, ko atrodat. Ja, pārbaudot Google savā pārlūkprogrammā, esat redzējis kaut ko nepareizu, noteikti izdzēsiet arī to. Vienkārši uzmanieties, jo, ja šeit izdzēšat nepareizās lietas, jūs pārtrauksiet Windows.

Mēs ceram, ka Microsoft izlaidīs kaut ko, lai pārbaudītu jūsu saknes sertifikātus un pārliecinātos, ka tur ir tikai labie. Teorētiski jūs varētu izmantot šo sarakstu no Microsoft no Windows pieprasītajiem sertifikātiem un pēc tam atjaunināt uz jaunākajiem saknes sertifikātiem, taču tas šajā brīdī nav pilnībā pārbaudīts, un mēs to īsti nerekomendē, kamēr kāds to nedarbos.

Tālāk jums būs nepieciešams atvērt savu tīmekļa pārlūku un atrast sertifikātus, kas tur, iespējams, ir saglabāti kešatmiņā. Pārlūkprogrammā Google Chrome atveriet sadaļu Iestatījumi, Papildu iestatījumi un pēc tam Pārvaldīt sertifikātus. Sadaļā Personība varat viegli noklikšķināt uz pogas Noņemt pogas uz visiem sliktiem sertifikātiem ...

Bet, pārejot uz uzticamām sakņu sertificēšanas iestādēm, jums būs jānoklikšķina uz Papildu, un pēc tam noņemiet atzīmi no visas atzīmes, ko redzat, lai pārtrauktu piešķirt atļaujas šim sertifikātam ...

Bet tas ir neprāts.

Atveriet loga Papildu iestatījumi apakšdaļu un noklikšķiniet uz Atjaunot iestatījumus, lai pilnībā atiestatītu Chrome uz noklusējuma iestatījumiem. Veiciet to pašu attiecībā uz jebkuru citu pārlūku, kuru izmantojat, vai pilnībā atinstalējiet, izdzēsiet visus iestatījumus un pēc tam atkal instalējiet.

Ja jūsu dators ir ietekmējis, iespējams, jums būs labāk veikt pilnīgi tīru Windows instalāciju. Vienkārši pārliecinieties, vai ir dublēti dokumenti un attēli, kā arī visu to.

Tātad, kā jūs aizsargāt sevi?

Tas ir gandrīz neiespējami pilnībā aizsargāt sevi, bet šeit ir dažas kopīgas izpratnes vadlīnijas, kas jums palīdzēs:

  • Pārbaudiet Superfish / Komodia / Certification validācijas pārbaudes vietni.
  • Iespējojiet pārlūkprogrammā spraudņus, kas spied uz atskaņošanu, un tas palīdzēs aizsargāt jūs no visiem šiem nulles dienas Flash un citiem spraudņu drošības caurumiem.
  • Esiet uzmanīgi, ko jūs lejupielādējat un mēģināt lietot Ninite, kad jums ir absolūti nepieciešams.
  • Pievērsiet uzmanību tam, ko jūs noklikšķināt jebkurā brīdī, kad noklikšķināt.
  • Apsveriet iespēju izmantot Microsoft uzlabotās mazināšanas pieredzes rīku komplektu (EMET) vai Malwarebytes Anti-Exploit, lai aizsargātu jūsu pārlūkprogrammu un citas kritiskās lietojumprogrammas no drošības caurumiem un nulles dienas uzbrukumiem.
  • Pārliecinieties, vai visas jūsu programmatūras, spraudņi un anti-vīrusi paliek atjaunināti, un tas ietver arī Windows atjauninājumus.

Bet tas ir ļoti daudz darba, lai tikai vēlas pārlūkot tīmekli bez nolaupīšanas. Tas ir tāpat kā nodarbojas ar TSA.

Windows ekosistēma ir crapware cavalcade. Un tagad Windows lietotājiem ir bojāta pamatdrošība internetā. Microsoft to ir jānovērš.