Download.com και άλλα πακέτα Superfish-Style HTTPS Breaking Adware
Είναι τρομακτικό να είσαι χρήστης των Windows. Η Lenovo ομαδοποιούσε το HTTPS-αεροπειρατεία του Superfish adware, τα πλοία Comodo με μια ακόμα χειρότερη τρύπα ασφαλείας που ονομάζεται PrivDog και δεκάδες άλλες εφαρμογές όπως η LavaSoft κάνουν το ίδιο. Είναι πραγματικά κακό, αλλά αν θέλετε οι κρυπτογραφημένες συνεδρίες σας στο διαδίκτυο να καταπατηθούν, απλώς να κατευθυνθείτε στις λήψεις CNET ή σε οποιοδήποτε ελεύθερο site, επειδή συνδέουν όλο αυτό το adware HTTPS τώρα.
Το φινάτ Superfish ξεκίνησε όταν οι ερευνητές διαπίστωσαν ότι το Superfish, που είναι συνδεδεμένο σε υπολογιστές της Lenovo, εγκατέστησε ένα πλαστό πιστοποιητικό ρίζας στα Windows που ουσιαστικά απορροφά όλη την περιήγηση HTTPS έτσι ώστε τα πιστοποιητικά να φαίνονται πάντα έγκυρα, ακόμη και αν δεν είναι, ανασφαλής τρόπος που οποιοδήποτε script kiddie hacker θα μπορούσε να επιτύχει το ίδιο πράγμα.
Και στη συνέχεια εγκαθιστούν ένα διακομιστή μεσολάβησης στο πρόγραμμα περιήγησής σας και αναγκάζουν όλη την περιήγησή σας μέσω αυτής, ώστε να μπορούν να εισάγουν διαφημίσεις. Αυτό είναι σωστό, ακόμα και όταν συνδεθείτε με την τράπεζά σας, τον ασφαλιστικό χώρο υγείας ή οπουδήποτε πρέπει να είστε ασφαλείς. Και δεν θα ξέρατε ποτέ, γιατί έσπασαν την κρυπτογράφηση των Windows για να σας εμφανίσουν διαφημίσεις.
Αλλά το λυπηρό, λυπηρό γεγονός είναι ότι δεν είναι οι μόνοι που το κάνουν αυτό - adware όπως το Wajam, το Geniusbox, το Content Explorer και άλλοι κάνουν το ίδιο ακριβώς πράγμα, εγκαθιστώντας τα δικά τους πιστοποιητικά και αναγκάζοντας όλες τις περιήγησής σας (συμπεριλαμβανομένων των κρυπτογραφημένων περιόδων περιήγησης HTTPS) να μεταβούν μέσω του διακομιστή μεσολάβησης. Και μπορείτε να μολυνθείτε με αυτές τις ανοησίες, εγκαθιστώντας δύο από τις κορυφαίες 10 εφαρμογές στο CNET Downloads.
Η κατώτατη γραμμή είναι ότι δεν μπορείτε πλέον να εμπιστεύεστε το εικονίδιο της πράσινης κλειδαριάς στη γραμμή διευθύνσεων του προγράμματος περιήγησης. Και αυτό είναι ένα τρομακτικό, τρομακτικό πράγμα.
Πώς λειτουργεί το HTTPS-Hijacking Adware και γιατί είναι τόσο κακό
Ummm, θα χρειαστεί να προχωρήσετε και να κλείσετε αυτήν την καρτέλα. Μmkay?Όπως έχουμε δείξει προηγουμένως, εάν κάνετε το τεράστιο γιγάντιο λάθος να εμπιστευτείτε τις λήψεις CNET, θα μπορούσατε ήδη να μολυνθείτε με αυτό το είδος adware. Δύο από τις δέκα πρώτες λήψεις στο CNET (KMPlayer και YTD) συνδυάζουν δύο διαφορετικούς τύπους adware HTIPS-πειρατείας, και στην έρευνά μας διαπιστώσαμε ότι οι περισσότεροι άλλοι ελεύθεροι ιστοχώροι κάνουν το ίδιο πράγμα.
Σημείωση: οι εγκαταστάτες είναι τόσο περίπλοκοι και περίπλοκοι που δεν είμαστε σίγουροι ποιος είναι τεχνικά κάνει το "πακέτο", αλλά η CNET προωθεί αυτές τις εφαρμογές στην αρχική σελίδα τους, οπότε είναι πραγματικά θέμα σημασιολογίας. Εάν συστήνετε στους χρήστες να κατεβάσουν κάτι που είναι κακό, είστε εξίσου σφάλμα. Έχουμε επίσης διαπιστώσει ότι πολλές από αυτές τις εταιρείες adware είναι κρυφά οι ίδιοι άνθρωποι που χρησιμοποιούν διαφορετικά ονόματα εταιρειών.
Με βάση τους αριθμούς λήψεων από τη λίστα των 10 κορυφαίων σε αρχεία CNET μόνο, ένα εκατομμύριο άνθρωποι μολύνονται κάθε μήνα με adware που απείχε τις κρυπτογραφημένες συνεδρίες ιστού τους στην τράπεζά τους ή μέσω ηλεκτρονικού ταχυδρομείου ή οτιδήποτε πρέπει να είναι ασφαλές.
Εάν κάνατε το λάθος να εγκαταστήσετε το KMPlayer και καταφέρετε να αγνοήσετε όλα τα άλλα crapware, θα εμφανιστείτε με αυτό το παράθυρο. Αν πατήσετε κατά λάθος το κουμπί Αποδοχή (ή πατήστε το λάθος πλήκτρο), το σύστημά σας θα είναι pwned.
Οι ιστότοποι λήψης πρέπει να ντρέπονται για τον εαυτό τους.Εάν καταλήξατε να κατεβάζετε κάτι από μια ακόμη πιο σκανδιναβική πηγή, όπως οι διαφημίσεις λήψης στην αγαπημένη σας μηχανή αναζήτησης, θα δείτε μια ολόκληρη λίστα με πράγματα που δεν είναι καλά. Και τώρα γνωρίζουμε ότι πολλοί από αυτούς πρόκειται να σπάσουν εντελώς την επικύρωση του πιστοποιητικού HTTPS, αφήνοντάς σας εντελώς ευάλωτους.
Το Lavasoft Web Companion σπάσει επίσης την κρυπτογράφηση HTTPS, αλλά αυτό το bundler εγκατέστησε επίσης adware.Αφού μπεις σε μολύνσεις με κάποιο από αυτά τα πράγματα, το πρώτο πράγμα που συμβαίνει είναι ότι ο διακομιστής μεσολάβησης του συστήματος σας θέτει σε λειτουργία έναν τοπικό διακομιστή μεσολάβησης που εγκαθιστά στον υπολογιστή σας. Δώστε ιδιαίτερη προσοχή στο στοιχείο "Ασφαλής" παρακάτω. Σε αυτή την περίπτωση ήταν από το Wajam Internet "Enhancer", αλλά θα μπορούσε να είναι το Superfish ή το Geniusbox ή οποιοσδήποτε από τους άλλους που βρήκαμε, όλοι λειτουργούν με τον ίδιο τρόπο.
Είναι ειρωνικό ότι η Lenovo χρησιμοποίησε τη λέξη "ενίσχυση" για να περιγράψει το Superfish.Όταν πηγαίνετε σε έναν ιστότοπο ο οποίος πρέπει να είναι ασφαλής, θα δείτε το εικονίδιο της πράσινης κλειδαριάς και όλα θα φαίνονται απόλυτα φυσιολογικά. Μπορείτε ακόμη να κάνετε κλικ στο κλείδωμα για να δείτε τις λεπτομέρειες και θα φανεί ότι όλα είναι καλά. Χρησιμοποιείτε μια ασφαλή σύνδεση και ακόμα και το Google Chrome θα αναφέρει ότι είστε συνδεδεμένοι με το Google με ασφαλή σύνδεση. Αλλά δεν είστε!
Το System Alerts LLC δεν είναι ένα πραγματικό πιστοποιητικό ρίζας και στην πραγματικότητα περνάτε από έναν πληρεξούσιο Man-in-the-Middle που εισάγει διαφημίσεις σε σελίδες (και ποιος ξέρει τι άλλο). Θα πρέπει απλώς να στείλετε με ηλεκτρονικό ταχυδρομείο όλους τους κωδικούς πρόσβασής σας, θα ήταν ευκολότερο.
Προειδοποίηση συστήματος: Το σύστημά σας έχει παραβιαστεί.Μόλις εγκατασταθεί το adware και μεσολάβηση ολόκληρης της κυκλοφορίας σας, θα αρχίσετε να βλέπετε πραγματικά ενοχλητικές διαφημίσεις σε ολόκληρη τη χώρα. Αυτές οι διαφημίσεις εμφανίζονται σε ασφαλείς ιστότοπους, όπως το Google, αντικαθιστώντας τις πραγματικές διαφημίσεις Google ή εμφανίζονται ως αναδυόμενα παράθυρα σε όλο τον χώρο, αναλαμβάνοντας κάθε ιστότοπο.
Θα ήθελα το Google μου χωρίς κακόβουλα links, ευχαριστώ.Το μεγαλύτερο μέρος αυτού του adware εμφανίζει συνδέσμους "διαφήμισης" σε οριστικά κακόβουλα προγράμματα. Έτσι, ενώ το ίδιο το adware μπορεί να είναι νόμιμη όχληση, επιτρέπουν κάποια πραγματικά, πραγματικά κακά πράγματα.
Αυτό επιτυγχάνουν εγκαθιστώντας τα ψεύτικα πιστοποιητικά ρίζας τους στο κατάστημα πιστοποιητικών των Windows και στη συνέχεια μεσολάβηση των ασφαλών συνδέσεων, ενώ τα υπογράφουν με το πλαστό πιστοποιητικό τους.
Αν κοιτάξετε στον πίνακα Πιστοποιητικά των Windows, μπορείτε να δείτε όλα τα είδη των εντελώς έγκυρων πιστοποιητικών ... αλλά εάν ο υπολογιστής σας έχει εγκατεστημένο κάποιο είδος adware, θα δείτε πλαστά πράγματα όπως System Alerts, LLC ή Superfish, Wajam ή δεκάδες άλλα απομιμήσεις.
Είναι από την εταιρία Umbrella?Ακόμα κι αν έχετε μολυνθεί και στη συνέχεια αφαιρέσετε το κακόβουλο λογισμικό, τα πιστοποιητικά ενδέχεται να εξακολουθούν να υπάρχουν, καθιστώντας σας ευάλωτα σε άλλους hackers που ενδέχεται να έχουν εξαγάγει τα ιδιωτικά κλειδιά. Πολλά από τα προγράμματα εγκατάστασης adware δεν καταργούν τα πιστοποιητικά όταν τα απεγκαταστήσετε.
Είναι όλες οι επιθέσεις στον άνθρωπο και στο μέτωπο και εδώ δουλεύουν
Αυτό είναι από μια πραγματική ζωντανή επίθεση από τον φοβερό ερευνητή ασφαλείας Rob GrahamΕάν ο υπολογιστής σας έχει εγκατεστημένα πλαστά πιστοποιητικά ρίζας στο κατάστημα πιστοποιητικών, τώρα είστε ευάλωτοι στις επιθέσεις Man-in-the-Middle. Αυτό σημαίνει ότι αν συνδεθείτε σε ένα δημόσιο hotspot ή κάποιος αποκτήσει πρόσβαση στο δίκτυό σας ή καταφέρει να χάσει κάτι ανάντη από εσάς, μπορεί να αντικαταστήσει τους νόμιμους ιστότοπους με ψεύτικες τοποθεσίες. Αυτό μπορεί να ακούγεται υπερβολικά, αλλά οι χάκερ έχουν τη δυνατότητα να χρησιμοποιήσουν διαφθορά DNS σε μερικές από τις μεγαλύτερες τοποθεσίες του διαδικτύου για να προσελκύσουν χρήστες σε ένα ψεύτικο site.
Μόλις είστε πειρατεμένοι, μπορούν να διαβάσουν κάθε πράγμα που υποβάλλετε σε έναν ιδιωτικό ιστότοπο - κωδικοί πρόσβασης, προσωπικές πληροφορίες, πληροφορίες για την υγεία, ηλεκτρονικά μηνύματα, αριθμούς κοινωνικής ασφάλισης, τραπεζικές πληροφορίες κλπ. Και ποτέ δεν θα ξέρετε γιατί το πρόγραμμα περιήγησης σας θα σας πει ότι η σύνδεσή σας είναι ασφαλής.
Αυτό λειτουργεί επειδή η κρυπτογράφηση δημόσιου κλειδιού απαιτεί τόσο δημόσιο κλειδί όσο και ιδιωτικό κλειδί. Τα δημόσια κλειδιά εγκαθίστανται στο χώρο αποθήκευσης πιστοποιητικών και το ιδιωτικό κλειδί πρέπει να είναι γνωστό μόνο από τον ιστότοπο που επισκέπτεστε. Αλλά όταν οι επιτιθέμενοι μπορούν να καταλάβουν το πιστοποιητικό ρίζας σας και να κρατήσουν τόσο τα δημόσια όσο και τα ιδιωτικά κλειδιά, μπορούν να κάνουν ό, τι θέλουν.
Στην περίπτωση του Superfish, χρησιμοποίησαν το ίδιο ιδιωτικό κλειδί σε κάθε υπολογιστή που εγκατέστησε το Superfish και μέσα σε λίγες ώρες οι ερευνητές της ασφάλειας κατάφεραν να εξαγάγουν τα ιδιωτικά κλειδιά και να δημιουργήσουν ιστότοπους για να ελέγξουν εάν είστε ευάλωτοι και αποδείξτε ότι θα μπορούσατε να πειραματιστείτε. Για τα Wajam και Geniusbox, τα κλειδιά είναι διαφορετικά, αλλά το Content Explorer και κάποιο άλλο adware χρησιμοποιεί επίσης τα ίδια κλειδιά παντού, πράγμα που σημαίνει ότι αυτό το πρόβλημα δεν είναι μοναδικό στο Superfish.
Αυτό γίνεται χειρότερο: Τα περισσότερα από αυτά τα crap απενεργοποιεί πλήρως την επικύρωση του HTTPS
Μόλις χθες, οι ερευνητές στον τομέα της ασφάλειας ανακάλυψαν ένα ακόμα μεγαλύτερο πρόβλημα: Όλοι αυτοί οι διακομιστές μεσολάβησης HTTPS απενεργοποιούν την επικύρωση ενώ ταυτόχρονα φανερώνουν ότι όλα είναι καλά.
Αυτό σημαίνει ότι μπορείτε να μεταβείτε σε έναν ιστότοπο HTTPS που έχει ένα εντελώς μη έγκυρο πιστοποιητικό και αυτό το adware θα σας πει ότι ο ιστότοπος είναι εντάξει. Δοκιμάσαμε το adware που αναφέραμε προηγουμένως και απενεργοποιούν εξ ολοκλήρου την επικύρωση HTTPS, οπότε δεν έχει σημασία αν τα ιδιωτικά κλειδιά είναι μοναδικά ή όχι. Εκπληκτικά κακό!
Όλο αυτό το adware σπάσει εντελώς έλεγχο του πιστοποιητικού.Ο καθένας με εγκατεστημένο adware είναι ευάλωτος σε κάθε είδους επιθέσεις και σε πολλές περιπτώσεις εξακολουθεί να είναι ευάλωτος ακόμη και όταν αφαιρεθεί το adware.
Μπορείτε να ελέγξετε εάν είστε ευάλωτοι σε έλεγχο Superfish, Komodia ή μη έγκυρο πιστοποιητικό χρησιμοποιώντας τον ιστότοπο δοκιμών που δημιουργήθηκε από ερευνητές ασφαλείας, αλλά όπως έχουμε ήδη αποδείξει, υπάρχουν πολλά περισσότερα adware έξω εκεί που κάνουν το ίδιο πράγμα και από την έρευνά μας , τα πράγματα θα συνεχίσουν να επιδεινώνονται.
Προστατεύστε τον εαυτό σας: Ελέγξτε τον πίνακα πιστοποιητικών και διαγράψτε τις κακές καταχωρίσεις
Αν ανησυχείτε, πρέπει να ελέγξετε το κατάστημα πιστοποιητικών σας για να βεβαιωθείτε ότι δεν έχετε εγκατεστημένα πιστοποιητικά σκαρίφημα που θα μπορούσαν αργότερα να ενεργοποιηθούν από το διακομιστή μεσολάβησης κάποιου. Αυτό μπορεί να είναι λίγο περίπλοκο, επειδή υπάρχουν πολλά πράγματα εκεί, και το μεγαλύτερο μέρος του υποτίθεται ότι είναι εκεί. Επίσης, δεν έχουμε μια καλή λίστα με αυτά που πρέπει και δεν πρέπει να βρίσκονται εκεί.
Χρησιμοποιήστε το WIN + R για να τραβήξετε το παράθυρο διαλόγου Εκτέλεση και έπειτα πληκτρολογήστε "mmc" για να τραβήξετε ένα παράθυρο κονσόλας διαχείρισης της Microsoft. Στη συνέχεια, χρησιμοποιήστε το στοιχείο Αρχείο -> Προσθήκη / Κατάργηση συμπληρωματικών στοιχείων και επιλέξτε Πιστοποιητικά από τη λίστα στα αριστερά και, στη συνέχεια, προσθέστε τη στη δεξιά πλευρά. Βεβαιωθείτε ότι έχετε επιλέξει Λογαριασμός Υπολογιστή στον επόμενο κύκλο διαλόγου και στη συνέχεια κάντε κλικ στο υπόλοιπο.
Θα θελήσετε να μεταβείτε στις Αξιόπιστες Αρχές Πιστοποίησης ρίζας και να αναζητήσετε πραγματικά γραφικές καταχωρήσεις όπως οποιαδήποτε από αυτές (ή κάτι παρόμοιο με αυτές)
- Sendori
- Purelead
- Καρτέλα πυραύλων
- Super Fish
- Lookthisup
- Πάντο
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Το Fiddler είναι ένα νόμιμο εργαλείο για προγραμματιστές, αλλά το κακόβουλο λογισμικό έχει πειραματιστεί)
- Ειδοποιήσεις συστήματος, LLC
- CE_UmbrellaCert
Κάντε δεξί κλικ και διαγράψτε οποιαδήποτε από αυτές τις καταχωρίσεις που βρίσκετε. Εάν έχετε δει κάτι λανθασμένο όταν δοκιμάσατε το Google στο πρόγραμμα περιήγησής σας, φροντίστε να το διαγράψετε και εσείς. Απλά προσέξτε, γιατί αν διαγράψετε τα λάθος πράγματα εδώ, θα σπάσετε τα Windows.
Ελπίζουμε ότι η Microsoft θα κυκλοφορήσει κάτι για να ελέγξει τα πιστοποιητικά ρίζας και θα βεβαιωθεί ότι υπάρχουν μόνο καλοί. Θεωρητικά θα μπορούσατε να χρησιμοποιήσετε αυτήν τη λίστα από τη Microsoft για τα πιστοποιητικά που απαιτούνται από τα Windows και, στη συνέχεια, να ενημερώσετε τα πιο πρόσφατα πιστοποιητικά ρίζας, αλλά αυτό δεν είναι πλήρως δοκιμασμένο σε αυτό το σημείο και πραγματικά δεν το συνιστούμε μέχρι κάποιος να τα δοκιμάσει.
Στη συνέχεια, θα χρειαστεί να ανοίξετε το πρόγραμμα περιήγησης ιστού και να βρείτε τα πιστοποιητικά που πιθανώς αποθηκεύονται εκεί. Για το Google Chrome, μεταβείτε στις Ρυθμίσεις, στις Ρυθμίσεις για προχωρημένους και, στη συνέχεια, στη Διαχείριση πιστοποιητικών. Στην περιοχή Προσωπικά, μπορείτε εύκολα να κάνετε κλικ στο κουμπί Αφαίρεση σε κακά πιστοποιητικά ...
Ωστόσο, όταν πηγαίνετε στις αρχές πιστοποίησης αξιόπιστων ριζών, θα χρειαστεί να κάνετε κλικ στην επιλογή "Για προχωρημένους" και, στη συνέχεια, να καταργήσετε την επιλογή όλων των όσων βλέπετε για να σταματήσετε να χορηγείτε δικαιώματα στο εν λόγω πιστοποιητικό ...
Αλλά αυτή είναι η παραφροσύνη.
Μεταβείτε στο κάτω μέρος του παραθύρου Σύνθετες ρυθμίσεις και κάντε κλικ στην επιλογή Επαναφορά ρυθμίσεων για να επαναφέρετε πλήρως το Chrome στις προεπιλογές. Κάντε το ίδιο για οτιδήποτε άλλο πρόγραμμα περιήγησης χρησιμοποιείτε ή απενεργοποιήστε εντελώς, σκουπίστε όλες τις ρυθμίσεις και, στη συνέχεια, εγκαταστήστε το ξανά.
Εάν ο υπολογιστής σας έχει επηρεαστεί, πιθανότατα καλύτερα να κάνετε μια εντελώς καθαρή εγκατάσταση των Windows. Απλά φροντίστε να δημιουργήσετε αντίγραφα ασφαλείας των εγγράφων και των εικόνων σας και όλα αυτά.
Έτσι πώς προστατεύετε τον εαυτό σας?
Είναι σχεδόν αδύνατο να προστατεύσετε πλήρως τον εαυτό σας, αλλά εδώ υπάρχουν μερικές συνήθεις οδηγίες για να σας βοηθήσουμε:
- Ελέγξτε τον ιστότοπο ελέγχου επικύρωσης Superfish / Komodia / Πιστοποίησης.
- Ενεργοποιήστε το πρόγραμμα Click-To-Play για plugins στο πρόγραμμα περιήγησής σας, το οποίο θα σας βοηθήσει να προστατευθείτε από όλα αυτά τα Flash και άλλες τρύπες ασφαλείας plugin.
- Να είστε πολύ προσεκτικοί σε αυτό που κάνετε λήψη και να προσπαθήσετε να χρησιμοποιήσετε τον Ninite όταν χρειάζεται.
- Δώστε προσοχή σε αυτό που κάνετε κλικ οποτεδήποτε κάνετε κλικ.
- Σκεφθείτε να χρησιμοποιήσετε το Εργαλείο βελτίωσης της εμπειρίας αντιμετώπισης των μειωμένων επιπέδων (EMET) της Microsoft ή το Malwarebytes Anti-Exploit για να προστατεύσετε το πρόγραμμα περιήγησης και άλλες κρίσιμες εφαρμογές από τρύπες ασφαλείας και επιθέσεις με μηδενικές ημέρες.
- Βεβαιωθείτε ότι όλα τα λογισμικά, plugins και anti-virus σας ενημερώνονται και αυτό περιλαμβάνει και τις ενημερώσεις των Windows.
Αλλά αυτό είναι ένα πάρα πολλή δουλειά για απλά θέλουν να περιηγηθείτε στο διαδίκτυο χωρίς να υποκλαπούν. Είναι σαν να ασχολείσαι με την TSA.
Το οικοσύστημα των Windows είναι ένα στροβιλοειδές crapware. Και τώρα η βασική ασφάλεια του Διαδικτύου έχει σπάσει για τους χρήστες των Windows. Η Microsoft πρέπει να διορθώσει αυτό.