To je zastrašujuće vrijeme za Windows korisnika. Lenovo je snabdijevao HTTPS otimanje Superfish adwarea, Comodo ima još gore sigurnosnu rupu nazvanu PrivDog, a desetke drugih aplikacija poput LavaSoft rade isto. Stvarno je loše, ali ako želite da vaše šifrirane web sjednice budu otkinute, jednostavno idite na CNET Preuzimanja ili bilo koji besplatni web-lokacija jer svi oni sada povezuju HTTPS-adware.
Fleksibilnost Superfisha započela je kada su istraživači primijetili da je Superfish u paketu s Lenovo računalima instalirao lažni certifikat korijena u sustav Windows koji u suštini otima sve HTTPS pregledavanje, tako da se certifikati uvijek izgledaju valjanima čak i ako nisu i to su učinili na takvom nesiguran način da bilo koji skriptni kiddie haker može postići istu stvar.
A onda instaliraju proxy u preglednik i prisiljavaju sve vaše pregledavanje tako da mogu umetnuti oglase. To je u redu, čak i kada se povežete s bankom ili mjestom zdravstvenog osiguranja ili s bilo kojeg mjesta koja bi trebala biti sigurna. I nikada ne biste znali jer su razbili Windows šifriranje da bi vam prikazali oglase.
Ali tužna, tužna činjenica je da nisu jedini koji to rade - adware kao što su Wajam, Geniusbox, Content Explorer i ostali rade točno ista stvar, instalirajući svoje vlastite certifikate i prisilivši sve vaše pregledavanje (uključujući HTTPS kriptirane pregledavanje) da prođu kroz proxy poslužitelj. I možete dobiti zaražene tom glupošću samo instaliranjem dviju top 10 aplikacija na CNET preuzimanjima.
Dno crta je da više ne možete imati povjerenja u ikonu zelene brave u adresnoj traci preglednika. I to je zastrašujuće, zastrašujuće.
Kao što smo ranije pokazali, ako napravite veliku gigantsku pogrešku povjerenja u CNET Downloads, već biste mogli biti zaraženi ovoj vrsti adwarea. Dva od deset najboljih preuzimanja na CNET (KMPlayer i YTD) povezuju dvije različite vrste HTTPS otmice adwarea, au našem istraživanju otkrili smo da većina drugih freeware stranica rade istu stvar.
Bilješka:instalatori su tako lukav i zbunjeni da nismo sigurni tko je tehnički radeći "bundling", ali CNET promovira te aplikacije na svojoj početnoj stranici, pa je to stvar semantike. Ako preporučujete da korisnici preuzmu nešto loše, jednako ste krivi. Također smo otkrili da su mnoge od tih tvrtki koje se bave reklamama potajno isti ljudi koji koriste različite nazive tvrtki.
Na temelju brojeva preuzimanja s top 10 popisa na preuzimanju CNET-a, milijun je ljudi zaraženo svaki mjesec s adwareom koji otima svoje šifrirane web sjednice u svoju banku ili e-poštu ili bilo što što bi trebalo biti sigurno.
Ako ste pogriješili instalirajte KMPlayer i uspjeli zanemariti sve ostale crapware, bit će vam predstavljen ovaj prozor. A ako slučajno kliknete Prihvati (ili pogodite pogrešnu tipku), vaš će sustav biti pwned.
Web-lokacije za preuzimanje moraju se stidjeti.Ako ste završili s preuzimanjem nečega iz još više izvornog izvora, poput preuzimanja oglasa u vašoj omiljenoj tražilici, vidjet ćete čitav popis stvari koje nisu dobre. I sada znamo da će mnogi od njih potpuno ukinuti provjeru valjanosti HTTPS certifikata, ostavljajući vas potpuno ranjivim.
Lavasoft Web Companion također prekida HTTPS šifriranje, ali ovaj bundler je također instalirala adware.Kada se dobijete zaraženi bilo kojom od tih stvari, prva stvar koja se dogodi jest da postavlja vaš proxy sustava da se pokrene putem lokalnog proxyja koji instalira na vaše računalo. Obratite posebnu pozornost na "Sigurno" stavku u nastavku. U ovom slučaju to je bio iz Wajam Internet "Enhancer", ali to bi mogao biti Superfish ili Geniusbox ili bilo koji drugi koji smo pronašli, svi rade na isti način.
Ironično je da je Lenovo koristio riječ "pojačati" kako bi opisao Superfish.Kada krenete na web mjesto koje treba biti sigurno, vidjet ćete ikonu zelene blokade i sve će izgledati savršeno normalno. Možete čak i kliknuti na zaključavanje da biste vidjeli detalje, i pojavit će se da je sve u redu. Upotrebljavate sigurnu vezu, pa čak i Google Chrome izvješćuje da ste povezani s Googleom putem sigurne veze.Ali niste!
Sustav Alerts LLC nije pravi certifikat korijena, a vi zapravo prolazite kroz proxy koji je umetnut u stranice (i tko zna što drugo). Trebali biste samo poslati e-poštu svim svojim lozinkama, to bi bilo lakše.
Sustav upozorenja: Vaš je sustav ugrožen.Jednom kada se adware instalira i proxying cijeli svoj promet, početi ćete vidjeti stvarno odvratno oglase po cijelom mjestu. Ti se oglasi prikazuju na sigurnim web mjestima, poput Googlea, zamjenjuju stvarne Google oglase ili se prikazuju kao skočni prozori po cijelom mjestu, preuzimajući svaku web-lokaciju.
Htjela bih da se moj Google bez zlonamjernog softvera, hvala.Većina ovog adwarea prikazuje veze "oglasa" na izravno zlonamjerni softver. Dakle, dok sam prijemnik može biti pravni smetnja, oni omogućuju neke stvarno, stvarno loše stvari.
To postižu tako da instalirate svoje lažne certifikate korijena u Windows trgovinu potvrda, a zatim proxyju sigurnim vezama dok ih potpišu s njihovim lažnim certifikatom.
Ako pogledate na ploči certifikata sustava Windows, možete vidjeti sve vrste potpuno valjanih potvrda ... ali ako vaše računalo ima neku vrstu adwarea instaliran, vidjet ćete lažne stvari poput System Alerts, LLC ili Superfish, Wajam ili desetke drugih krivotvorina.
Je li to iz Umbrella korporacije?Čak i ako ste zaraženi, a zatim uklonili zlonamjerni softver, potvrde još uvijek mogu biti dostupne, što vam čini ranjivim drugim hakerima koji su možda izdvojili privatne ključeve. Mnogi instaleri adwarea ne uklanjaju certifikate kada ih deinstalirate.
Ako vaše računalo ima lažne certifikate korijena instalirane u trgovini potvrda, sada ste osjetljivi na napade na čovjeka u sredini. Što to znači ako se povežete s javnom hotspotom ili netko dobije pristup svojoj mreži ili uspije hakirati nešto od vas, mogu zamijeniti legitimne web stranice s lažnim web mjestima. To bi moglo zvučati daleko, ali hakeri su mogli iskoristiti DNS otmice na nekim od najvećih web stranica na webu kako bi otelili korisnike na lažnu stranicu.
Nakon što oteti, mogu čitati svaku pojedinačnu stvar koju šaljete na privatnu web lokaciju - lozinke, privatne podatke, informacije o zdravlju, e-poštu, brojeve socijalnog osiguranja, bankovne podatke itd. Nikada nećete znati jer će vam vaš preglednik reći da je vaša veza sigurna.
To funkcionira jer šifriranje javnog ključa zahtijeva i javni ključ i privatni ključ. Javni ključevi instalirani su u spremištu certifikata, a privatni ključ treba biti poznat samo putem web stranice koju posjećujete. No, kada napadači mogu oteti vašu korijensku potvrdu i imaju javne i privatne ključeve, mogu učiniti sve što žele.
U slučaju Superfisha koristili su isti privatni ključ na svakom računalu na kojem je instaliran Superfish, a za nekoliko sati istraživači sigurnosti uspjeli su izdvojiti privatne ključeve i stvoriti web stranice za testiranje jesu li ranjivi i dokazati da biste mogli biti otet. Za Wajam i Geniusbox, ključevi su različiti, ali Content Explorer i neki drugi adware također koriste iste ključeve svugdje, što znači da ovaj problem nije jedinstven za Superfish.
Tek jučer, istraživači sigurnosti otkrili su još veći problem: svi ovi HTTPS proksiji onemogućuju svu provjeru valjanosti, a čini se da je sve u redu.
To znači da možete otići na HTTPS web stranicu koja ima potpuno nevaljan certifikat, a ovaj adware će vam reći da je stranica sasvim u redu. Testirali smo adware koji smo ranije spomenuli i potpuno onemogućuju HTTPS provjera valjanosti, pa nije bitno da li su privatni ključevi jedinstveni ili ne. Šokantno loše!
Sve ovo adware potpuno prekida provjeru certifikata.Svatko s instaliranim oglasnim programima ranjiva se na sve vrste napada i u mnogim slučajevima i dalje je ranjiva čak i kada se ukloni adware.
Možete provjeriti jesu li ranjivi na Superfish, Komodia ili nevažeću provjeru certifikata pomoću web mjesta za testiranje koje su stvorili istraživači sigurnosti, no kao što smo već pokazali, postoji mnogo više adwarea koji rade isto, a iz našeg istraživanja , stvari će se i dalje pogoršavati.
Ako ste zabrinuti, trebali biste provjeriti trgovinu svjedodžbe kako biste bili sigurni da nemate instalirane certifikat za skice koje bi kasnije mogao aktivirati nečiji proxy poslužitelj. To može biti malo komplicirano, jer tu ima puno stvari, a većina toga bi trebala biti tamo. Također nemamo dobar popis onoga što bi trebalo i ne bi smjelo biti tamo.
Upotrijebite WIN + R da biste pokrenuli dijalog Run, a zatim upišite "mmc" da biste podigli prozor Microsoft Management Console. Zatim upotrijebite File -> Add / Remove Snap-Ins i odaberite Certifikati s popisa slijeva, a zatim je dodajte na desnu stranu. Svakako odaberite račun Račun na sljedećem dijaloškom okviru, a zatim kliknite ostatak.
Ćete ištanje to ići na Pouzdana Root Certification Authorities i tražiti stvarno skicc entries kao bilo koji od ovih (ili bilo slično ovome)
Desnom tipkom miša kliknite i izbrišite sve one unose koje ste pronašli. Ako ste vidjeli nešto netočno kada ste testirali Google u pregledniku, svakako izbrisati taj unos. Samo budite oprezni, jer ako ovdje izbrišete pogrešne stvari, razbiti ćete sustav Windows.
Nadamo se da će Microsoft izdati nešto kako bi provjerili vaše korijenske certifikate i uvjerite se da postoje samo dobri. Teoretski možete upotrijebiti Microsoftov popis certifikata koje zahtijeva sustav Windows, a zatim ažurirati na najnovije potvrde korijena, ali to u ovom trenutku potpuno nije provjereno, a mi ga ne preporučujemo dok netko to ne testira.
Zatim ćete morati otvoriti web-preglednik i pronaći potvrde koje su vjerojatno spremljene tamo. Za Google Chrome idite na Postavke, Napredne postavke, a zatim Upravljanje certifikatima. U odjeljku Osobno možete jednostavno kliknuti gumb Ukloni za sve loše potvrde ...
Ali kada idete u Pouzdana ovlaštenja za certificiranje korijena, morat ćete kliknuti Napredno, a zatim poništiti sve što vidite da biste prestali davati dozvole za taj certifikat ...
Ali to je ludost.
Idite na dno prozora Naprednih postavki i kliknite Ponovno postavljanje postavki da biste potpuno resetirali Chrome na zadane postavke. Učinite isto za bilo koji drugi preglednik koji koristite ili potpuno deinstaliraj, brisanje svih postavki, a zatim je ponovno instalirajte.
Ako ste pogođeni s vašim računalom, vjerojatno ste bolje od potpuno čiste instalacije sustava Windows. Samo pazite da sigurnosno kopirate dokumente i slike i sve to.
Gotovo je nemoguće u potpunosti zaštititi sebe, ali evo nekoliko smjernica koje vam mogu pomoći:
Ali to je užasno puno posla jer samo želi pregledavati web bez otuđenja. To je kao da se bave TSA.
Windows ekosustav je kavalkada od crapwarea. A sada je osnovna sigurnost interneta pokvarena za korisnike Windowsa. Microsoft mora ovo riješiti.