Начална » как да » Download.com и други Bundle Superfish-стил HTTPS Breaking Adware

    Download.com и други Bundle Superfish-стил HTTPS Breaking Adware

    Страшно е да си потребител на Windows. Lenovo обвързва HTTPS-отвличането на рекламен софтуер Superfish, Comodo доставя още по-лоша защита, наречена PrivDog, а десетки други приложения като LavaSoft правят същото. Наистина е лошо, но ако искате криптираните уеб сесии да бъдат откраднати, трябва да се обърнете към CNET Downloads или към някой от безплатните сайтове, тъй като всички те обединяват рекламен софтуер за прекъсване на HTTPS.

    Фиаското на Superfish започна, когато изследователите забелязаха, че Superfish, включен в компютрите на Lenovo, инсталира фалшив корен сертификат в Windows, който по същество отнема всички HTTPS браузъри, така че сертификатите винаги да изглеждат валидни, дори и да не са, и са го направили с такъв несигурен начин, че всеки скриптов хакер може да постигне същото.

    И след това те инсталират прокси в браузъра ви и принуждават всичките ви сървъри да я преглеждат, за да могат да вмъкват реклами. Точно така е, дори когато се свързвате с банката си или със здравноосигурителния сайт, или където и да е сигурно. И никога няма да знаете, защото те нарушиха криптирането на Windows, за да ви покажат реклами.

    Но тъжният, тъжен факт е, че те не са единствените, които правят това - Adware като Wajam, Geniusbox, Content Explorer и други правят точно същото, инсталиране на собствени сертификати и принуждаване на всички сърфиращи страници (включително HTTPS криптирани сесии за сърфиране) да минават през техния прокси сървър. И можете да се заразите с тази глупост само като инсталирате две от топ 10 приложения на CNET Downloads.

    Долната линия е, че вече не можете да се доверявате на зелената икона за заключване в адресната лента на браузъра. И това е страшно, страшно нещо.

    Как работи HTTPS-Hijacking Adware и защо е толкова лошо

    Ами, ще трябва да продължите напред и да затворите раздела. Mmkay?

    Както показахме и преди, ако направите огромна гигантска грешка като се доверите на CNET файловете, вече може да сте заразени с този тип рекламен софтуер.. Два от първите десет изтегляния на CNET (KMPlayer и YTD) обединяват два различни типа HTTPS отвличащ рекламен софтуер, и в нашето изследване открихме, че повечето други безплатни сайтове правят същото.

    Забележка: инсталаторите са толкова сложни и заплетени, че не сме сигурни кой е технически правим „комплектация“, но CNET популяризира тези приложения на началната си страница, така че наистина е въпрос на семантика. Ако препоръчвате хората да изтеглят нещо, което е лошо, вие сте виновни. Открихме също, че много от тези рекламни компании са тайно същите хора, които използват различни имена на компании.

    Въз основа на номерата за изтегляне от първите 10 списъка само на CNET файловете, един милион души се заразяват всеки месец с рекламен софтуер, който отвлича криптираните им уебсайтове до тяхната банка или по електронната поща, или нещо, което трябва да е сигурно.

    Ако сте направили грешката да инсталирате KMPlayer и успеете да игнорирате всички останали crapware, ще бъдете представени с този прозорец. И ако случайно щракнете върху Приемам (или на грешен ключ), системата ви ще бъде изхвърлена.

    Изтегляне сайтове трябва да се срамуват от себе си.

    Ако в крайна сметка изтеглите нещо от още по-скрития източник, като например изтеглянето на реклами във вашата любима търсачка, ще видите цял списък от неща, които не са добри. Сега вече знаем, че много от тях ще прекъснат напълно проверката на HTTPS сертификатите, оставяйки ви напълно уязвима.

    Lavasoft Web Companion също прекъсва HTTPS кодирането, но този пакет също инсталира рекламен софтуер.

    След като се заразите с някое от тези неща, първото нещо, което се случва, е, че той задава системния прокси да се изпълнява чрез локален прокси сървър, който инсталира на компютъра ви. Обърнете специално внимание на долната точка „Secure“. В този случай става дума от Wajam Internet „Enhancer“, но това може да е Superfish или Geniusbox или някое от другите, които открихме, всички те работят по един и същи начин.

    Иронично е, че Lenovo използва думата "повишаване", за да опише Superfish.

    Когато отидете на сайт, който трябва да е сигурен, ще видите зелената икона на заключване и всичко ще изглежда напълно нормално. Можете дори да кликнете върху ключалката, за да видите детайлите, и изглежда, че всичко е наред. Използвате защитена връзка и дори Google Chrome ще докладва, че сте свързани с Google със защитена връзка. Но вие не сте!

    System Alerts LLC не е истински корен сертификат и вие всъщност преминавате през прокси човек в средата, който вкарва реклами в страници (и кой знае какво друго). Трябва просто да им изпратите всичките си пароли, ще бъде по-лесно.

    Системно предупреждение: Вашата система е компрометирана.

    След като рекламен софтуер е инсталиран и проксиращ целия трафик, ще започнете да виждате наистина неприятни реклами навсякъде. Тези реклами се показват на защитени сайтове, като Google, които заменят действителните реклами от Google, или се показват като изскачащи прозорци навсякъде, като поемат всеки сайт.

    Бих искал моят Google без връзки със зловреден софтуер, благодаря.

    По-голямата част от това рекламно послание показва „рекламни“ връзки към зловреден софтуер. Така че, въпреки че самото рекламно послание може да бъде правна неприятност, те позволяват някои наистина, наистина лоши неща.

    Те постигат това, като инсталират фалшивите си root сертификати в хранилището за сертификати на Windows и след това проксират защитените връзки, докато ги подписват с фалшивия си сертификат.

    Ако погледнете в панела на сертификатите на Windows, можете да видите всички видове напълно валидни сертификати ... но ако вашият компютър има инсталиран някакъв вид рекламен софтуер, ще видите фалшиви неща като System Alerts, LLC или Superfish, Wajam, или десетки други фалшификати.

    Това ли е от корпорация Umbrella?

    Дори ако сте били заразени и след това премахнали лошия софтуер, сертификатите все още могат да бъдат там, което ви прави уязвими за други хакери, които може да са извлекли частните ключове. Много от инсталиращите рекламен софтуер не премахват сертификатите, когато ги деинсталирате.

    Те са всички човешки-в-средните атаки и ето как работят

    Това е от истинска жива атака от страхотния изследовател на сигурността Роб Греъм

    Ако вашият компютър има фалшиви коренови сертификати, инсталирани в хранилището за сертификати, сега сте уязвими за атаки от човек в средата. Това означава, че ако се свържете с обществена точка за достъп или някой получи достъп до мрежата ви или успее да проникне нещо нагоре от вас, те могат да заменят законните сайтове с фалшиви сайтове. Това може да звучи пресилено, но хакерите са успели да използват отвличания на DNS на някои от най-големите сайтове в мрежата, за да откраднат потребителите на фалшив сайт.

    След като са отвлечени, те могат да четат всяко нещо, което изпращате на частен сайт - пароли, лична информация, здравна информация, имейли, номера за социално осигуряване, банкова информация и т.н. И никога няма да разберете, че браузърът ви ще ви каже че връзката ви е защитена.

    Това работи, защото шифроването с публичен ключ изисква както публичен ключ, така и частен ключ. Публичните ключове се инсталират в хранилището за сертификати, а частният ключ трябва да е известен само на уебсайта, който посещавате. Но когато нападателите могат да откраднат кореновия ви сертификат и да държат както публичните, така и частните ключове, те могат да правят всичко, което пожелаят.

    В случая с Superfish те използват един и същ частен ключ на всеки компютър, който има инсталиран Superfish, и в рамките на няколко часа изследователите в областта на сигурността могат да извлекат частните ключове и да създадат уебсайтове, за да проверят дали сте уязвими, и докажете, че можете бъде отвлечен. За Wajam и Geniusbox ключовете са различни, но Content Explorer и някои други реклами също използват едни и същи ключове навсякъде, което означава, че този проблем не е уникален за Superfish.

    Получава се по-лошо: по-голямата част от това Crap деактивира напълно HTTPS валидирането

    Само вчера изследователите в областта на сигурността откриха още по-голям проблем: Всички тези HTTPS прокси да деактивират всички проверки, докато изглежда, че всичко е наред.

    Това означава, че можете да отидете на HTTPS уебсайт, който има напълно невалиден сертификат, и този рекламен софтуер ще ви каже, че сайтът е добре. Тествахме рекламен софтуер, който споменахме по-рано и всички те блокират изцяло HTTPS валидирането, така че няма значение дали частните ключове са уникални или не. Шокиращо лошо!

    Всички тези реклами напълно прекъсват проверката на сертификатите.

    Всеки, който има инсталиран рекламен софтуер, е уязвим за всякакви атаки и в много случаи продължава да е уязвим дори когато рекламен софтуер бъде премахнат.

    Можете да проверите дали сте уязвими към Superfish, Komodia или невалидна проверка на сертификати, като използвате тестовия сайт, създаден от изследователи за сигурност, но както вече показахме, има много повече рекламен софтуер, който прави същото нещо и от нашето изследване Нещата ще продължат да се влошават.

    Защитете себе си: Проверете панела със сертификати и изтрийте лошите записи

    Ако се притеснявате, трябва да проверите вашия магазин за сертификати, за да се уверите, че нямате инсталирани скрити сертификати, които по-късно да бъдат активирани от някой прокси сървър. Това може да е малко сложно, защото там има много неща и повечето от тях трябва да са там. Ние също не разполагаме с добър списък на това, което трябва и не трябва да бъде там.

    Използвайте WIN + R, за да отворите диалоговия прозорец Run, и след това напишете "mmc", за да изтеглите прозореца на Microsoft Management Console. След това използвайте File -> Add / Remove Snap-ins и изберете Certificates от списъка вляво, след което го добавете в дясната страна. Уверете се, че сте избрали Computer account в следващия диалогов прозорец и след това щракнете върху останалото.

    Вие ще искате да отидете в доверените главни сертифициращи органи и да потърсите наистина скрити вписвания като всяко от тях (или нещо подобно на тях)

    • Sendori
    • Purelead
    • Таб
    • Супер риба
    • Lookthisup
    • Пандо
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (Fiddler е легален инструмент за разработчици, но зловредният софтуер е откраднал техния сертификат)
    • System Alerts, LLC
    • CE_UmbrellaCert

    Кликнете с десния бутон и изтрийте всички тези записи, които ще намерите. Ако сте видели нещо неправилно, когато сте тествали Google в браузъра си, уверете се, че го изтриете. Просто бъдете внимателни, защото ако изтриете грешните неща тук, ще счупите Windows.

    Надяваме се, че Microsoft ще публикува нещо, за да провери кореновите ви сертификати и да се увери, че има само добри. Теоретично можете да използвате този списък от Microsoft за сертификатите, изисквани от Windows, и след това да актуализирате до най-новите корени сертификати, но това е напълно неизпитано на този етап и наистина не го препоръчваме, докато някой не тества това.

    След това ще трябва да отворите уеб браузъра си и да намерите сертификатите, които вероятно са кеширани там. За Google Chrome отворете „Настройки“, „Разширени настройки“ и „Управление на сертификати“. Под „Лични“ можете лесно да кликнете върху бутона „Премахване“ на всички лоши сертификати…

    Но когато отидете в доверените централни сертифициращи органи, ще трябва да кликнете върху Разширени и след това махнете отметката от всичко, което виждате, за да спрете да давате разрешения за този сертификат ...

    Но това е лудост.

    Отидете в долната част на прозореца „Разширени настройки“ и кликнете върху „Нулиране на настройките“, за да върнете напълно настройките на Chrome към настройките по подразбиране. Направете същото за всеки друг браузър, който използвате, или напълно деинсталирате, изтрийте всички настройки и след това го инсталирайте отново.

    Ако вашият компютър е бил засегнат, вероятно сте по-добре да направите напълно чиста инсталация на Windows. Просто не забравяйте да архивирате вашите документи и снимки и всичко това.

    И така, как се защитаваш?

    Почти е невъзможно да се защитите напълно, но ето няколко насоки за здравия разум, които да ви помогнат:

    • Проверете тестовата площадка за проверка на валидността Superfish / Komodia / Certification.
    • Включете функцията за кликване за плъгини в браузъра си, което ще ви помогне да се предпазите от всички тези нулеви дневни Flash и други дупки в сигурността на приставки.
    • Бъдете много внимателни какво изтегляте и опитайте да използвате Ninite, когато е абсолютно задължително.
    • Обърнете внимание на това, което кликвате по всяко време.
    • Помислете дали да не използвате инструментариума за подобряване на опита на Microsoft (EMET) или Malwarebytes Anti-Exploit, за да защитите вашия браузър и други критични приложения от дупки в сигурността и атаки с нулев ден.
    • Уверете се, че всичките ви софтуер, плъгини и антивирусна програма остават актуализирани и това включва и Windows Updates.

    Но това е ужасно много работа само за това, че искаш да сърфираш в мрежата, без да бъдеш отвлечен. Това е като работа със TSA.

    Екосистемата на Windows е cavalcade на crapware. И сега фундаменталната сигурност на интернет е нарушена за потребителите на Windows. Microsoft трябва да поправи това.