To straszny czas, aby być użytkownikiem systemu Windows. Lenovo łączyło porwanie oprogramowania Superfish typu HTTPS, Comodo jest dostarczane z jeszcze gorszą luką w zabezpieczeniach o nazwie PrivDog, a dziesiątki innych aplikacji, takich jak LavaSoft, robią to samo. Jest naprawdę źle, ale jeśli chcesz, aby twoje zaszyfrowane sesje internetowe zostały przejęte, po prostu przejdź do pobierania CNET lub dowolnej darmowej witryny, ponieważ wszystkie one łączą teraz adware łamiące HTTPS.
Fiasko Superfish zaczęło się, gdy naukowcy zauważyli, że Superfish, zainstalowany na komputerach Lenovo, instalował fałszywy certyfikat główny w systemie Windows, który przejął kontrolę nad wszystkimi przeglądaniami HTTPS, tak aby certyfikaty zawsze wyglądały poprawnie, nawet jeśli nie były, i zrobiły to w taki sposób. niepewny sposób, w jaki każdy haker skryptowy może zrobić to samo.
Następnie instalują serwer proxy w przeglądarce i zmuszają do przeglądania go, aby móc wstawiać reklamy. Zgadza się, nawet jeśli łączysz się ze swoim bankiem, witryną ubezpieczenia zdrowotnego lub gdziekolwiek, co powinno być bezpieczne. I nigdy się tego nie dowiesz, ponieważ złamali szyfrowanie Windows, aby wyświetlać reklamy.
Ale smutnym, smutnym faktem jest to, że nie tylko oni to robią - adware takie jak Wajam, Geniusbox, Content Explorer i inne robią dokładnie to samo, instalowanie własnych certyfikatów i zmuszanie do przeglądania stron internetowych (w tym zaszyfrowanych sesji HTTPS) do przechodzenia przez ich serwer proxy. I możesz zarazić się tymi bzdurami, instalując dwie z 10 najlepszych aplikacji w programie Pobieranie CNET.
Najważniejsze jest to, że nie możesz już ufać tej zielonej ikonie kłódki na pasku adresu przeglądarki. To przerażające, przerażające.
Jak już wcześniej wykazaliśmy, jeśli popełnisz gigantyczny błąd polegający na zaufaniu do pobierania CNET, możesz już zostać zainfekowany tego typu adware. Dwa z dziesięciu najlepszych pobrań w CNET (KMPlayer i YTD) łączą dwa różne typy adware typu hakowanie HTTPSW naszych badaniach odkryliśmy, że większość innych witryn freeware robi to samo.
Uwaga:instalatorzy są tak trudni i zawiłe, że nie jesteśmy pewni, kto to jest technicznie robi "sprzedaż wiązaną", ale CNET promuje te aplikacje na ich stronie głównej, więc to naprawdę kwestia semantyki. Jeśli polecasz ludziom pobieranie czegoś, co jest złe, jesteś równie winny. Odkryliśmy również, że wiele z tych firm adware to potajemnie ci sami ludzie używający różnych nazw firm.
Na podstawie numerów pobranych z pierwszej 10 listy tylko w przypadku pobrań CNET miliony ludzi zaraża się co miesiąc adware, które przejmuje ich zaszyfrowane sesje internetowe do swojego banku, poczty elektronicznej lub wszystkiego, co powinno być bezpieczne.
Jeśli popełniłeś błąd podczas instalacji KMPlayera i zignorujesz wszystkie inne crapware, zobaczysz to okno. A jeśli przypadkowo klikniesz Zaakceptuj (lub uderzysz w niewłaściwy klucz), twój system zostanie pwned.
Witryny pobierania powinny się wstydzić.Jeśli skończyło się pobieranie czegoś z bardziej pobieżnego źródła, takiego jak reklamy pobierania w ulubionej wyszukiwarce, zobaczysz całą listę rzeczy, które nie są dobre. A teraz wiemy, że wielu z nich całkowicie złamie walidację certyfikatu HTTPS, pozostawiając Cię całkowicie bezbronnym.
Lavasoft Web Companion przełamuje również szyfrowanie HTTPS, ale ten pakiet również zainstalował adware.Po zainfekowaniu się jedną z tych rzeczy, pierwszą rzeczą, która się dzieje, jest ustawienie proxy systemu na uruchamianie przez lokalny serwer proxy, który instaluje na komputerze. Zwróć szczególną uwagę na "Bezpieczny" element poniżej. W tym przypadku było to z Wajam Internet "Enhancer", ale mogło to być Superfish, Geniusbox lub jakiekolwiek inne, które znaleźliśmy, wszystkie działają tak samo.
Ironiczne jest to, że Lenovo użyło słowa "poprawić", aby opisać Superfish.Gdy przejdziesz do witryny, która powinna być bezpieczna, zobaczysz zieloną ikonę kłódki i wszystko będzie wyglądać zupełnie normalnie. Możesz nawet kliknąć zamek, aby zobaczyć szczegóły, i okaże się, że wszystko jest w porządku. Korzystasz z bezpiecznego połączenia, a nawet Google Chrome zgłosi, że masz połączenie z Google za pomocą bezpiecznego połączenia.Ale nie jesteś!
System Alerts LLC nie jest prawdziwym certyfikatem głównym i faktycznie przechodzisz przez pośredniczący serwer pośredniczący, który wstawia reklamy na strony (i kto wie, co jeszcze). Powinieneś po prostu wysłać im wszystkie swoje hasła, byłoby to łatwiejsze.
System Alert: Twój system został naruszony.Po zainstalowaniu oprogramowania reklamowego i przeprocesowaniu całego ruchu zobaczysz naprawdę wstrętne reklamy w całym miejscu. Reklamy te wyświetlają się w bezpiecznych witrynach, takich jak Google, zastępując rzeczywiste reklamy Google, lub wyświetlają się jako wyskakujące okienka w dowolnym miejscu, przejmując każdą witrynę.
Chciałbym, aby mój Google bez linków ze złośliwym oprogramowaniem, dzięki.Większość tego adware pokazuje linki "reklamy" do jawnego złośliwego oprogramowania. Tak więc, chociaż samo adware może być uciążliwością prawną, umożliwiają one naprawdę, naprawdę złe rzeczy.
Osiągają to, instalując fałszywe certyfikaty główne w magazynie certyfikatów systemu Windows, a następnie proxy za bezpieczne połączenia podczas podpisywania ich za pomocą fałszywego certyfikatu.
Jeśli zajrzysz do panelu certyfikatów systemu Windows, zobaczysz wszystkie rodzaje całkowicie poprawnych certyfikatów ... ale jeśli Twój komputer ma zainstalowany jakiś rodzaj adware, zobaczysz fałszywe rzeczy, takie jak Alerty systemowe, LLC lub Superfish, Wajam lub dziesiątki innych podróbek.
Czy to od korporacji Umbrella?Nawet jeśli zostałeś zainfekowany, a następnie usunięto szkodliwe oprogramowanie, certyfikaty nadal mogą tam być, co naraża Cię na ataki innych hakerów, którzy mogli wyodrębnić klucze prywatne. Wiele programów adware nie usuwa certyfikatów podczas ich odinstalowywania.
Jeśli Twój komputer ma fałszywe certyfikaty główne zainstalowane w magazynie certyfikatów, jesteś teraz podatny na ataki typu Man-in-the-Middle. Oznacza to, że jeśli łączysz się z publicznym hotspotem, ktoś uzyska dostęp do twojej sieci lub uda Ci się zhakować coś przed tobą, może zastąpić legalne strony fałszywymi witrynami. Może to zabrzmieć niepotrzebnie, ale hakerzy mogli wykorzystywać przechwytywanie DNS w niektórych największych witrynach sieci w celu przejmowania użytkowników na fałszywą stronę.
Po przejęciu użytkownik może przeczytać każdą rzecz, którą przesyła do prywatnej witryny - hasła, informacje prywatne, informacje zdrowotne, e-maile, numery ubezpieczenia społecznego, informacje bankowe itp. Nigdy nie wiadomo, ponieważ przeglądarka powie Ci że twoje połączenie jest bezpieczne.
Działa to, ponieważ szyfrowanie klucza publicznego wymaga zarówno klucza publicznego, jak i klucza prywatnego. Klucze publiczne są instalowane w magazynie certyfikatów, a klucz prywatny powinien być znany tylko odwiedzanej witrynie. Ale gdy napastnik może przejąć twój certyfikat główny i przytrzymać zarówno klucze publiczne, jak i prywatne, może zrobić wszystko, co chce.
W przypadku Superfish, użyli tego samego klucza prywatnego na każdym komputerze, na którym zainstalowano Superfish, a w ciągu kilku godzin badacze bezpieczeństwa mogli wyodrębnić klucze prywatne i utworzyć strony internetowe, aby sprawdzić, czy jesteś podatny na zranienie, i udowodnić, że możesz zostać porwany. Dla Wajam i Geniusbox klucze są różne, ale Content Explorer i inne adware również używają tych samych kluczy wszędzie, co oznacza, że ten problem nie jest unikalny dla Superfish.
Jeszcze wczoraj analitycy bezpieczeństwa odkryli jeszcze większy problem: wszystkie te serwery proxy HTTPS wyłączają wszelkie sprawdzanie poprawności, jednocześnie sprawiając wrażenie, że wszystko jest w porządku.
Oznacza to, że możesz przejść do strony HTTPS, która ma całkowicie niepoprawny certyfikat, a to adware powie Ci, że strona jest w porządku. Przetestowaliśmy adware, o którym wspomnieliśmy wcześniej, i całkowicie wyłączają one walidację HTTPS, więc nie ma znaczenia, czy klucze prywatne są unikatowe, czy nie. Wstrząsająco źle!
Całe to adware całkowicie łamie sprawdzanie certyfikatu.Każdy użytkownik z zainstalowanym oprogramowaniem typu adware jest podatny na różnego rodzaju ataki, aw wielu przypadkach nadal jest podatny na zranienia, nawet po usunięciu adware.
Możesz sprawdzić, czy jesteś podatny na Superfish, Komodię lub nieważne sprawdzanie certyfikatu za pomocą strony testowej stworzonej przez analityków bezpieczeństwa, ale jak już wykazaliśmy, jest dużo więcej adware, robiąc to samo iz naszych badań , sprawy będą się pogarszać.
Jeśli się martwisz, powinieneś sprawdzić swój magazyn certyfikatów, aby upewnić się, że nie masz zainstalowanych żadnych szkicowych certyfikatów, które mogłyby później zostać aktywowane przez czyjś serwer proxy. To może być trochę skomplikowane, ponieważ jest tam dużo rzeczy i większość z nich powinna tam być. Nie mamy też dobrej listy tego, co powinno i czego nie powinno tam być.
Użyj WIN + R, aby otworzyć okno dialogowe Uruchom, a następnie wpisz "mmc", aby otworzyć okno Microsoft Management Console. Następnie użyj opcji Plik -> Dodaj / Usuń przystawki i wybierz Certyfikaty z listy po lewej stronie, a następnie dodaj ją po prawej stronie. Upewnij się, że wybierasz Konto komputera w następnym oknie dialogowym, a następnie klikniesz resztę.
Będziesz chciał udać się do zaufanych głównych urzędów certyfikacji i szukać naprawdę szkicowych wpisów, takich jak te (lub coś podobnego do nich)
Kliknij prawym przyciskiem myszy i Usuń wszystkie znalezione pozycje. Jeśli zauważyłeś coś nieprawidłowego podczas testowania Google w przeglądarce, pamiętaj o usunięciu tego również. Po prostu bądź ostrożny, ponieważ jeśli usuniesz niewłaściwe rzeczy, złamiesz Windows.
Mamy nadzieję, że Microsoft wyda coś, aby sprawdzić certyfikaty główne i upewnić się, że są tylko dobre. Teoretycznie możesz użyć tej listy od Microsoft z certyfikatów wymaganych przez system Windows, a następnie zaktualizować do najnowszych certyfikatów głównych, ale to jest w tej chwili całkowicie nieprzetestowane i naprawdę nie zalecamy, dopóki ktoś tego nie przetestuje.
Następnie musisz otworzyć przeglądarkę internetową i znaleźć certyfikaty, które prawdopodobnie są tam buforowane. W przeglądarce Google Chrome przejdź do Ustawienia, Ustawienia zaawansowane, a następnie Zarządzaj certyfikatami. W sekcji Osobiste możesz łatwo kliknąć przycisk Usuń na każdym złym certyfikacie ...
Ale kiedy udasz się do Zaufanych Głównych Urzędów Certyfikacji, będziesz musiał kliknąć Zaawansowane, a następnie odznaczyć wszystko, co widzisz, aby przestać dawać uprawnienia do tego certyfikatu ...
Ale to szaleństwo.
Przejdź na dół okna Ustawienia zaawansowane i kliknij Resetuj ustawienia, aby całkowicie zresetować Chrome do ustawień domyślnych. Zrób to samo dla dowolnej innej używanej przeglądarki lub całkowicie odinstaluj, usuwając wszystkie ustawienia, a następnie zainstaluj ponownie.
Jeśli Twój komputer został naruszony, prawdopodobnie lepiej jest zrobić całkowicie czystą instalację systemu Windows. Po prostu upewnij się, że wykonałeś kopię zapasową dokumentów i zdjęć.
Jest prawie niemożliwe, aby całkowicie chronić siebie, ale oto kilka zdrowych wskazówek, które pomogą ci:
Ale to bardzo ciężka praca, jeśli chcesz po prostu przeglądać internet, nie będąc porwanym. To jest jak radzenie sobie z TSA.
Ekosystem Windows to kawalkada crapware. A teraz podstawowe bezpieczeństwo Internetu jest zepsute dla użytkowników Windows. Microsoft musi to naprawić.