Pagrindinis » kaip » Download.com ir kt. „Superfish“ stiliaus HTTPS „Breaking Adware“ paketas

    Download.com ir kt. „Superfish“ stiliaus HTTPS „Breaking Adware“ paketas

    Tai baisus laikas būti „Windows“ naudotoju. „Lenovo“ sujungė „HTTPS“ užgrobimo „Superfish“ reklamos programinę įrangą, „Comodo“ pristatė dar blogesnę saugumo skylę, vadinamą PrivDog, ir dešimtys kitų programų, tokių kaip LavaSoft, daro tą patį. Tai tikrai blogai, bet jei norite, kad jūsų užšifruotos žiniatinklio sesijos būtų užgrobtos, tiesiog nukreipkite į CNET parsisiųsti arba bet kurią nemokamą svetainę, nes jie visi dabar susieja HTTPS skilimo programinę įrangą.

    „Superfish“ fiaskas prasidėjo, kai tyrėjai pastebėjo, kad „Superfish“, prijungta prie „Lenovo“ kompiuterių, įdiegė netikrą šakninį sertifikatą į „Windows“, kuris iš esmės užgrobia visą HTTPS naršymą, kad sertifikatai visada atrodytų tinkami, net jei jie nėra, ir jie tokiu būdu nesaugus būdas, kad bet kuris scenarijus „kiddie hacker“ galėtų atlikti tą patį.

    Ir tada jie įdiegia tarpinį serverį į jūsų naršyklę ir verčia visus naršyti jį, kad jie galėtų įterpti skelbimus. Tai teisinga, net jei prisijungiate prie savo banko ar sveikatos draudimo svetainės, arba bet kur, kur tai turėtų būti saugi. Ir jūs niekada nežinote, nes jie sugriovė „Windows“ šifravimą, kad būtų rodomi skelbimai.

    Tačiau liūdnas, liūdnas faktas yra tai, kad jie nėra vieninteliai - „Adware“, pavyzdžiui, „Wajam“, „Geniusbox“, „Content Explorer“ ir kiti, daro tą patį, įdiegti savo sertifikatus ir priversti visus naršymą (įskaitant HTTPS užšifruotas naršymo sesijas) pereiti per jų tarpinį serverį. Ir jūs galite užsikrėsti šia nesąmone tiesiog įdiegdami du iš 10 geriausių „CNET Downloads“ programų.

    Esmė yra ta, kad nebegalite pasitikėti šios žalios užrakto piktogramos naršyklės adreso juostoje. Ir tai baisu, baisu dalykas.

    Kaip HTTPS užgrobia Adware darbus ir kodėl tai taip blogai

    Ummm, man reikės eiti į priekį ir uždaryti tą skirtuką. Mmkay?

    Kaip jau parodėme anksčiau, jei padarysite didžiulę didžiulę klaidą, pasitikėdami CNET parsisiuntimais, jau galite užsikrėsti šio tipo reklaminėmis programomis. Du iš dešimties CNET („KMPlayer“ ir „YTD“) dešimties atsisiuntimų susieja du skirtingus HTTPS užgrobimo adware tipus, ir mūsų tyrime nustatėme, kad dauguma kitų nemokamų svetainių daro tą patį.

    Pastaba: montuotojai yra tokie sudėtingi ir sujaudinti, kad nesame tikri, kas yra techniškai „susiejimas“, bet CNET reklamuoja šias programas savo pagrindiniame puslapyje, todėl tai iš tikrųjų yra semantikos klausimas. Jei rekomenduojate, kad žmonės atsisiųstų kažką, kas yra bloga, jūs lygiai taip pat kaltinate. Mes taip pat nustatėme, kad daugelis šių „Adware“ įmonių slaptai yra tie patys žmonės, kurie naudojasi skirtingais įmonės pavadinimais.

    Remiantis vien tik dešimties CNET parsisiuntimų sąrašų atsisiuntimo numeriais, kas mėnesį milijonai žmonių užsikrėtę reklaminėmis programomis, kurios užgrobia jų užšifruotas žiniatinklio sesijas į savo banką ar el. Paštą, arba ką nors, kas turėtų būti saugi.

    Jei padarėte klaidą įdiegdami „KMPlayer“, ir sugebėsite ignoruoti visus kitus „crapware“, jums bus pateiktas šis langas. Ir jei atsitiktinai spustelėsite „Priimti“ (arba paspausite neteisingą klavišą), jūsų sistema bus pwned.

    Atsisiųsti svetaines turėtų būti gėdos apie save.

    Jei galiausiai atsisiuntėte kažką iš dar labiau braižomo šaltinio, pvz., Atsisiuntimo skelbimų mėgstamos paieškos sistemoje, pamatysite visą sąrašą dalykų, kurie nėra geri. Ir dabar mes žinome, kad daugelis jų ketina visiškai nutraukti HTTPS sertifikato patvirtinimą, palikdami jus visiškai pažeidžiamas.

    „Lavasoft Web Companion“ taip pat nutraukia HTTPS šifravimą, tačiau šis paketas taip pat įdiegė „Adware“.

    Kai gausite save užsikrėtus bet kuriuo iš šių dalykų, pirmas dalykas, kuris vyksta, yra tai, kad jūsų sistemos tarpinis serveris nustatomas per vietinį tarpinį serverį, kurį jis įdiegia kompiuteryje. Atkreipkite ypatingą dėmesį į žemiau esantį punktą „Saugi“. Tokiu atveju tai buvo iš „Wajam“ interneto „Enhancer“, tačiau tai gali būti „Superfish“ arba „Geniusbox“ arba bet kuri kita, kurią mes radome, jie visi dirba taip pat.

    Ironiška, kad „Lenovo“ vartojo žodį „sustiprinti“, kad apibūdintų „Superfish“.

    Kai einate į svetainę, kuri turėtų būti saugi, pamatysite žalios spynos piktogramą ir viskas atrodys visiškai normalu. Jūs netgi galite spustelėti užraktą, kad pamatytumėte detales, ir pasirodys, kad viskas gerai. Jūs naudojate saugų ryšį, ir net „Google Chrome“ praneš, kad esate prisijungę prie „Google“ su saugiu ryšiu. Bet tu ne!

    „System Alerts LLC“ nėra tikras šakninis sertifikatas, ir jūs iš tikrųjų einate per „Man-in-the-Middle“ tarpinį serverį, kuris įterpia skelbimus į puslapius (ir kas žino, kas dar yra). Turėtumėte tiesiog atsiųsti jiems visus savo slaptažodžius, būtų lengviau.

    Sistemos įspėjimas: Jūsų sistema buvo pažeista.

    Įdiegus reklamos programinę įrangą ir prijungus visą jūsų srautą, pradėsite matyti tikrai nepatogius skelbimus visoje vietoje. Šie skelbimai rodomi saugiose svetainėse, pvz., „Google“, pakeičiančiuose esamus „Google“ skelbimus, arba jie rodomi kaip iššokantys langai visoje vietoje, perimant kiekvieną svetainę.

    Norėčiau, kad mano „Google“ nebūtų kenkėjiškų programų nuorodų.

    Dauguma šios „Adware“ rodo „skelbimų“ nuorodas į tiesioginę kenkėjišką programą. Taigi, nors pati reklaminė programinė įranga gali būti teisinis trikdymas, jie leidžia tikrai tikrai blogai.

    Tai pasiekiama įdiegdami netikrus root sertifikatus į „Windows“ sertifikatų saugyklą ir tuomet prijungdami saugius ryšius pasirašydami juos su suklastotu sertifikatu.

    Jei žiūrite į „Windows“ sertifikatų skydelį, galite pamatyti visus galiojančius sertifikatus ... bet jei jūsų kompiuteryje yra įdiegta tam tikros rūšies programinė įranga, pamatysite suklastotus dalykus, pvz., „System Alerts“, „LLC“ arba „Superfish“, „Wajam“, arba dešimtys kitų klastotių.

    Ar tai iš „Umbrella“ korporacijos?

    Net jei esate užsikrėtę ir pašalinę blogą programinę įrangą, sertifikatai vis dar gali būti, todėl jūs tapsite pažeidžiami kitiems įsilaužėliams, kurie galėjo ištraukti privačius raktus. Daugelis „Adware“ diegimo programų pašalina sertifikatus, kai juos pašalinate.

    Jie visi yra „vidurio“ puolėjai ir štai kaip jie veikia

    Tai kilo iš realaus gyvo saugumo tyrinėtojo Robo Grahamo atakos

    Jei jūsų kompiuteryje yra suklastotų šakninių sertifikatų, įdiegtų sertifikato saugykloje, dabar esate pažeidžiami „vidurio“ atakos. Tai reiškia, kad jei prisijungiate prie viešosios interneto prieigos taško, arba kažkas gauna prieigą prie jūsų tinklo, arba sugeba kažką nusisukti prieš jus, jie gali pakeisti teisėtas svetaines su suklastotomis svetainėmis. Tai gali skambėti toli, bet įsilaužėliai galėjo naudoti DNS hijacks kai kuriose didžiausių svetainių internete, kad užgrobtų naudotojus į netikrą svetainę.

    Kai esate užgrobtas, jie gali perskaityti kiekvieną dalyką, kurį pateikiate privačiai svetainei - slaptažodžius, asmeninę informaciją, sveikatos informaciją, el. Laiškus, socialinio draudimo numerius, banko informaciją ir tt Ir niekada nežinote, nes jūsų naršyklė jums pasakys kad jūsų ryšys yra saugus.

    Tai veikia, nes viešojo rakto šifravimui reikalingas ir viešasis raktas, ir privatus raktas. Viešieji raktai yra įdiegti sertifikato saugykloje, o privatus raktas turėtų būti žinomas tik lankomoje svetainėje. Bet kai užpuolikai gali užgrobti šakninį sertifikatą ir turėti tiek viešųjų, tiek privačių raktų, jie gali daryti viską, ką nori.

    „Superfish“ atveju kiekviename kompiuteryje, kuriame įdiegta „Superfish“, jie naudojo tą patį privatų raktą, o per kelias valandas saugumo tyrėjai galėjo ištraukti privačius raktus ir sukurti svetaines, kad patikrintų, ar esate pažeidžiamas, ir įrodyti, kad galėtumėte būti užgrobti. „Wajam“ ir „Geniusbox“ klavišai yra skirtingi, tačiau „Content Explorer“ ir kai kurios kitos reklamos programos taip pat naudoja tuos pačius raktus visur, o tai reiškia, kad ši problema nėra unikali „Superfish“.

    Jis pasireiškia blogiau: dauguma šio „Crap“ išjungia visą HTTPS patvirtinimą

    Tik vakar saugumo tyrėjai atrado dar didesnę problemą: visi šie HTTPS įgaliojimai išjungia visus patvirtinimus, o tai atrodo kaip viskas gerai..

    Tai reiškia, kad galite eiti į HTTPS svetainę, kurioje yra visiškai negaliojantis sertifikatas, ir ši reklaminė programinė įranga jums pasakys, kad svetainė yra tik gerai. Mes išbandėme anksčiau minėtą reklamos programinę įrangą ir visi išjungti HTTPS patvirtinimą, todėl nesvarbu, ar privatūs raktai yra unikalūs, ar ne. Nuostabiai blogai!

    Visa ši reklaminė programa visiškai nutraukia sertifikato tikrinimą.

    Kiekvienas su įdiegta programine įranga yra pažeidžiamas visų rūšių atakoms, ir daugeliu atvejų jis ir toliau yra pažeidžiamas net ir tada, kai pašalinama „Adware“.

    Galite patikrinti, ar esate pažeidžiamas „Superfish“, „Komodia“, ar negaliojančiu sertifikatų tikrinimu, naudodami saugumo tyrėjų sukurtą bandymų svetainę, tačiau, kaip jau įrodėme, ten yra daug daugiau reklaminių programų, kurios daro tą patį ir iš mūsų tyrimų viskas toliau blogės.

    Apsaugokite save: patikrinkite sertifikato skydelį ir pašalinkite blogus įrašus

    Jei nerimaujate, turėtumėte patikrinti savo sertifikato saugyklą, kad įsitikintumėte, jog neturite įdiegtų jokių eskizinių sertifikatų, kuriuos vėliau galėtų aktyvuoti kažkieno tarpinis serveris. Tai gali būti šiek tiek sudėtinga, nes ten yra daug dalykų, ir dauguma jų turėtų būti ten. Mes taip pat neturime geros informacijos apie tai, kas turėtų ir neturėtų būti ten.

    Naudokite WIN + R, jei norite patraukti dialogo langą „Run“, tada įveskite „mmc“, kad išsikeltumėte „Microsoft Management Console“ langą. Tada naudokite File -> Add / Remove Snap-ins ir pasirinkite kairėje esančiame sąraše esančius sertifikatus, tada pridėkite jį į dešinę. Kitame dialogo lange būtinai pasirinkite „Computer account“ (kompiuterio paskyra), o po to spustelėkite per kitą.

    Norėsite eiti į patikimas šakninio sertifikavimo institucijas ir ieškoti iš tiesų eskizinių įrašų, pvz., Bet kurio iš šių (arba nieko panašaus)

    • Sendori
    • Purelead
    • Rocket Tab
    • Super žuvys
    • Lookthisup
    • Pando
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root („Fiddler“ yra teisėtas kūrėjo įrankis, bet kenkėjiška programa užgrobė savo certą)
    • Sistemos įspėjimai, LLC
    • CE_UmbrellaCert

    Dešiniuoju pelės mygtuku spustelėkite ir ištrinkite bet kurį iš tų įrašų, kuriuos radote. Jei pamatėte kažką neteisingo, kai išbandėte „Google“ naršyklėje, būtinai ištrinkite tą. Tiesiog būkite atsargūs, nes jei čia ištrinsite neteisingus dalykus, ketinate nutraukti „Windows“.

    Tikimės, kad „Microsoft“ išleis kažką, kad patikrintų jūsų šaknų sertifikatus ir įsitikintų, jog yra tik gerų. Teoriškai galite naudoti šį sąrašą iš „Microsoft“ iš „Windows“ reikalaujamų sertifikatų ir tada atnaujinti į naujausius šaknų sertifikatus, tačiau šiuo metu tai yra visiškai neišbandyta, ir mes tikrai nerekomenduojame tol, kol kas nors tai neišbandys.

    Be to, jums reikės atidaryti žiniatinklio naršyklę ir rasti sertifikatus, kurie ten yra talpinami. Jei naudojate „Google Chrome“, eikite į Nustatymai, Papildomi nustatymai ir Tvarkyti sertifikatus. Skiltyje „Asmeninis“ galite lengvai spustelėti mygtuką „Pašalinti“ bet kuriuose bloguose sertifikatuose ...

    Bet kai jūs einate į patikimas šakninio sertifikavimo institucijas, turėsite spustelėti Išsamiau ir tada išvalyti viską, ką matote, kad sustabdytumėte leidimo šiam sertifikatui išdavimą ...

    Bet tai beprotybė.

    Eikite į išplėstinių nuostatų lango apačią ir spustelėkite „Atstatyti nustatymus“, kad „Chrome“ būtų visiškai atstatytas į numatytuosius nustatymus. Darykite tą patį, kad ir kokia kita naršyklė, kurią naudojate, arba visiškai pašalinkite, nuvalykite visus nustatymus ir vėl jį įdiekite.

    Jei jūsų kompiuteris buvo paveiktas, tikriausiai geriau nevykdote visiškai švaraus „Windows“ diegimo. Tiesiog įsitikinkite, kad atsarginės kopijos jūsų dokumentai ir nuotraukos ir visa tai.

    Taigi, kaip jūs apsaugoti save?

    Beveik neįmanoma visiškai apsisaugoti, tačiau čia pateikiamos kelios bendrosios prasmės gairės, kurios padės jums:

    • Patikrinkite Superfish / Komodia / Certification patvirtinimo bandymų vietą.
    • Įgalinkite naršyklėje spustelėti, jei norite žaisti, o tai padės apsaugoti jus nuo visų šių nulinės dienos „Flash“ ir kitų „plugin“ saugos skylių, esančių.
    • Būkite labai atsargūs, ką atsisiunčiate ir pabandykite naudoti Ninitą, kai būtinai turite.
    • Atkreipkite dėmesį į tai, ką spustelėjote paspaudę.
    • Apsvarstykite galimybę naudoti „Microsoft“ patobulintą mažinimo patirties įrankių rinkinį (EMET) arba „Malwarebytes Anti-Exploit“, kad apsaugotumėte savo naršyklę ir kitas svarbias programas nuo saugumo skylių ir nulinės dienos atakų.
    • Įsitikinkite, kad visos jūsų programinės įrangos, įskiepių ir antivirusinės programos yra atnaujintos, įskaitant ir „Windows“ naujinimus.

    Bet tai yra labai daug darbo, norint tiesiog naršyti internete be užgrobimo. Tai tarsi su TSA.

    „Windows“ ekosistema yra crapware cavalcade. Ir dabar „Windows“ naudotojams trūksta pagrindinio interneto saugumo. „Microsoft“ turi tai išspręsti.