Superfish fiasko sākās, kad pētnieki pamanīja, ka Superfish, kas ir iekļauts Lenovo datoros, instalēja Windows viltus saknes sertifikātu, kas būtiski aizkavē visu HTTPS pārlūkošanu, lai sertifikāti vienmēr būtu pareizi, pat ja tie nav, un viņi to darīja šādā veidā nedrošs veids, ka jebkura scenārija kiddie hakeris varētu paveikt to pašu.
Un tad viņi savā pārlūkprogrammā instalē starpniekserveri un piespiež to visu pārlūkot, lai viņi varētu ievietot reklāmas. Tas ir pareizi, pat tad, kad izveidojat savienojumu ar savu banku vai veselības apdrošināšanas vietni vai jebkur citur, kas ir droša. Un jūs nekad zināt, jo viņi pārtrauca Windows šifrēšanu, lai parādītu jūsu reklāmas.
Bet skumjš, skumji fakts ir tas, ka viņi nav vienīgie, kas to dara - Adware, piemēram, Wajam, Geniusbox, Content Explorer un citi, tiek darīts tieši tāpat, instalējot savus sertifikātus un piespiežot pārlūkošanu (ieskaitot HTTPS šifrētas pārlūkošanas sesijas), lai pārlūkotu starpniekserveri. Un jūs varat inficēties ar šo neskaidrību, vienkārši instalējot divas no 10 populārākajām lietotnēm vietnē CNET Downloads.
Apakšējā līnija ir tāda, ka jūs vairs nevarat uzticēties šai zaļās bloķēšanas ikonai jūsu pārlūkprogrammas adreses joslā. Un tas ir biedējošs, biedējošs lieta.
Kā darbojas HTTPS-nolaupīšana Adware un kāpēc tas ir tik slikti
Kā mēs esam to parādījuši iepriekš, ja jūs veicat milzīgu milzīgu kļūdu, uzticoties CNET lejupielādēm, jūs jau varētu būt inficēti ar šāda veida reklāmprogrammatūru. Divas no desmit lejupielādes vietnē CNET (KMPlayer un YTD) apvieno divus dažādus HTTPS uzbrukuma reklāmkarogu veidus, un mūsu pētījumā mēs noskaidrojām, ka lielākā daļa citu freeware vietņu dara to pašu.
Piezīme:uzstādītāji ir tik grūts un izliekts, ka mēs neesam pārliecināti, kas ir tehniski veicot "komplektēšanu", bet CNET veicina šīs lietotnes savā mājas lapā, tāpēc tas patiešām ir semantikas jautājums. Ja jūs ieteiktu, ka cilvēki lejupielādē kaut ko sliktu, jūs esat tikpat vainīgs. Esam arī konstatējuši, ka daudzi no šiem reklāmprogrammu uzņēmumiem ir slepeni tie paši cilvēki, kuri izmanto dažādus uzņēmuma nosaukumus.
Pamatojoties uz lejupielādes numuriem no 10 populārākajām saraksta CNET lejupielādēm, miljons cilvēku ir inficēti katru mēnesi ar reklāmprogrammatūru, kas uzbruka viņu šifrētajām tīmekļa sesijām savā bankā vai e-pastā vai jebko, kas būtu drošs.
Ja jūs pieļāvāt kļūdu, instalējot KMPlayer, un jūs spēsiet ignorēt visu citu crapware, šis logs tiks parādīts. Un, ja jūs nejauši noklikšķinājāt uz Pieņemt (vai pieskarieties nepareizajam taustiņam), sistēma tiks noņemta.
Kad apmeklējat vietni, kurai vajadzētu būt drošai, redzēsiet zaļās bloķēšanas ikonu un viss izskatīsies pilnīgi normāli. Jūs varat pat noklikšķināt uz slēdzenes, lai skatītu detaļas, un parādīsies, ka viss ir kārtībā. Jūs izmantojat drošu savienojumu un pat Google Chrome ziņos, ka esat izveidojis savienojumu ar Google, izmantojot drošu savienojumu. Bet jūs neesat!
System Alerts LLC nav īsts saknes sertifikāts, un jūs patiešām izmantojat starpniekserveri Man-in-the-Middle, kas ievieto reklāmas lapās (un kas zina, kas vēl). Jums vajadzētu vienkārši nosūtīt viņiem visas savas paroles, tas būtu vieglāk.
Viņi to paveic, instalējot viņu viltus saknes sertifikātus Windows sertifikātu veikalā un pēc tam noslēdzot drošus savienojumus, parakstot tos ar viltotiem sertifikātiem.
Ja paskatās Windows sertifikātu panelī, jūs varat redzēt visu veidu pilnīgi derīgus sertifikātus … bet, ja jūsu datoram ir instalēts kāds veida reklāmprogrammatūra, jūs redzēsiet viltotas lietas, piemēram, System Alerts, LLC vai Superfish, Wajam vai desmitiem citu viltojumu.
Viņi ir viss cilvēks vidū uzbrukumā, un lūk, kā viņi strādā
Kad esat uzlauzts, viņi var izlasīt katru lietu, ko iesniedzat privātai vietnei - paroles, privātā informācija, informācija par veselību, e-pastus, sociālās apdrošināšanas numurus, informāciju par banku utt. Un jūs nekad zināt, jo jūsu pārlūkprogramma jums pateiks ka jūsu savienojums ir drošs.
Tas darbojas, jo publiskās atslēgas šifrēšana prasa gan publisko atslēgu, gan privāto atslēgu. Publiskās atslēgas tiek instalētas sertifikātu veikalā, un privāto atslēgu vajadzētu zināt tikai vietnei, kuru apmeklējat. Bet, ja uzbrucēji var nozagt jūsu saknes sertifikātu un turēt gan publiskās, gan privātās atslēgas, viņi var darīt visu, ko viņi vēlas.
Superfish gadījumā viņi izmantoja to pašu privāto atslēgu ikvienā datorā, kuram ir instalēta Superfish, un dažu stundu laikā drošības pētnieki varēja iegūt privātās atslēgas un izveidot vietnes, lai pārbaudītu, vai esat neaizsargāts, un pierādīt, ka jūs varētu to izdarīt nolaupīt. Wajam un Geniusbox taustiņi ir atšķirīgi, bet Content Explorer un daži citi reklāmprogrammatūra visur izmanto tos pašus taustiņus, kas nozīmē, ka šī problēma nav tikai un vienīgi Superfish.
Tas izpaužas sliktāk: lielākā daļa no šīs krāpšanas atspējo pilnīgi HTTPS validāciju
Tikai vakar drošības pētnieki atklāja vēl lielāku problēmu: visas šīs HTTPS pilnvaras atspējo visu validāciju, vienlaikus padarot to izskatīgu, viss ir kārtībā.
Tas nozīmē, ka varat doties uz HTTPS vietni, kurai ir pilnīgi nederīgs sertifikāts, un šī reklāmas programmatūra jums pateiks, ka vietne ir kārtībā. Mēs pārbaudījām iepriekš aprakstītās reklāmprogrammatūras versijas, un tās pilnībā izslēdz HTTPS validāciju, tāpēc nav svarīgi, vai privātās atslēgas ir unikālas vai ne. Šokējoši slikti!
Varat pārbaudīt, vai jūs esat neaizsargāti pret Superfish, Komodia vai nederīgu sertifikātu pārbaudi, izmantojot drošības ekspertu izveidoto pārbaudes vietni, taču, kā jau mēs jau esam pierādījuši, tur ir daudz vairāk adware, kas to dara vienādi, un no mūsu pētījuma, lietas turpinās pasliktināties.
Aizsargājiet sevi: pārbaudiet sertifikātu paneli un dzēsiet sliktos ierakstus
Ja jūs uztraucat, jums vajadzētu pārbaudīt savu sertifikātu veikalu, lai pārliecinātos, ka jums nav instalēti nekādi skripti sertifikāti, kurus vēlāk varētu aktivizēt kāda starpniekserveris. Tas var būt nedaudz sarežģīts, jo tur ir daudz stuff, un lielākā daļa no tā ir paredzēts tur. Mums arī nav labu sarakstu ar to, kas būtu un kas tur nebūtu tur.
Izmantojiet WIN + R, lai parādītu dialoglodziņu Run (Run), un pēc tam ierakstiet "mmc", lai atvērtu Microsoft Management Console logu. Pēc tam izmantojiet failu -> Pievienot / noņemt papildpiederumus un kreisajā pusē esošajā sarakstā atlasiet Sertifikāti un pēc tam pievienojiet to labajā pusē. Nākamajā dialoglodziņā atlasiet Datora kontu un pēc tam noklikšķiniet uz pāri atpūtai.
- Sendori
- Purelead
- Raķešu cilne
- Super zivs
- Skatīties
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler ir likumīgs izstrādātāju rīks, bet ļaunprogramma ir nolaupījusi savu cert)
- System Alerts, LLC
- CE_UmbrellaCert
Ar peles labo pogu noklikšķiniet un izdzēsiet jebkuru no šiem ierakstiem, ko atrodat. Ja, pārbaudot Google savā pārlūkprogrammā, esat redzējis kaut ko nepareizu, noteikti izdzēsiet arī to. Vienkārši uzmanieties, jo, ja šeit izdzēšat nepareizās lietas, jūs pārtrauksiet Windows.
Tālāk jums būs nepieciešams atvērt savu tīmekļa pārlūku un atrast sertifikātus, kas tur, iespējams, ir saglabāti kešatmiņā. Pārlūkprogrammā Google Chrome atveriet sadaļu Iestatījumi, Papildu iestatījumi un pēc tam Pārvaldīt sertifikātus. Sadaļā Personība varat viegli noklikšķināt uz pogas Noņemt pogas uz visiem sliktiem sertifikātiem …
Bet tas ir neprāts.
Atveriet loga Papildu iestatījumi apakšdaļu un noklikšķiniet uz Atjaunot iestatījumus, lai pilnībā atiestatītu Chrome uz noklusējuma iestatījumiem. Veiciet to pašu attiecībā uz jebkuru citu pārlūku, kuru izmantojat, vai pilnībā atinstalējiet, izdzēsiet visus iestatījumus un pēc tam atkal instalējiet.
Ja jūsu dators ir ietekmējis, iespējams, jums būs labāk veikt pilnīgi tīru Windows instalāciju. Vienkārši pārliecinieties, vai ir dublēti dokumenti un attēli, kā arī visu to.
Tātad, kā jūs aizsargāt sevi?
Tas ir gandrīz neiespējami pilnībā aizsargāt sevi, bet šeit ir dažas kopīgas izpratnes vadlīnijas, kas jums palīdzēs:
- Pārbaudiet Superfish / Komodia / Certification validācijas pārbaudes vietni.
- Iespējojiet pārlūkprogrammā spraudņus, kas spied uz atskaņošanu, un tas palīdzēs aizsargāt jūs no visiem šiem nulles dienas Flash un citiem spraudņu drošības caurumiem.
- Esiet uzmanīgi, ko jūs lejupielādējat un mēģināt lietot Ninite, kad jums ir absolūti nepieciešams.
- Pievērsiet uzmanību tam, ko jūs noklikšķināt jebkurā brīdī, kad noklikšķināt.
- Apsveriet iespēju izmantot Microsoft uzlabotās mazināšanas pieredzes rīku komplektu (EMET) vai Malwarebytes Anti-Exploit, lai aizsargātu jūsu pārlūkprogrammu un citas kritiskās lietojumprogrammas no drošības caurumiem un nulles dienas uzbrukumiem.
- Pārliecinieties, vai visas jūsu programmatūras, spraudņi un anti-vīrusi paliek atjaunināti, un tas ietver arī Windows atjauninājumus.
Bet tas ir ļoti daudz darba, lai tikai vēlas pārlūkot tīmekli bez nolaupīšanas. Tas ir tāpat kā nodarbojas ar TSA.
Windows ekosistēma ir crapware cavalcade. Un tagad Windows lietotājiem ir bojāta pamatdrošība internetā. Microsoft to ir jānovērš.