A szuperfegyveri fiaskó akkor kezdődött, amikor a kutatók észrevették, hogy a Lenovo számítógépein a Superfish egy hamis gyökér tanúsítványt telepített a Windows rendszerbe, amely lényegében minden HTTPS böngészést elveszít, így a tanúsítványok akkor is érvényesek lesznek, ha nem, és egy ilyen bizonytalan módon, hogy bármelyik script kiddie hacker képes ugyanazt a dolgot végrehajtani.
Ezután telepítenek egy proxyt a böngészőbe, és kényszerítik az összes böngészést, hogy hirdetéseket helyezhessenek el. Ez így van, még akkor is, ha csatlakozik a bankjához vagy az egészségbiztosítási oldalához, vagy bárhol, ahol biztonságban kell lenni. És soha nem fogod tudni, mert megtörték a Windows titkosítást, hogy hirdetéseket jelenítsenek meg.
De a szomorú, szomorú tény az, hogy ők nem az egyetlenek, adware, mint a Wajam, a Geniusbox, a Content Explorer és mások mind ugyanazt csinálják, telepítik saját tanúsítványait, és kényszerítik az összes böngészést (beleértve a HTTPS titkosított böngészési munkameneteket), hogy átmenjenek a proxykiszolgálón. És ezzel a képtelenséggel fertőzheti meg, ha a legjobb 10 alkalmazásból kettőt telepít a CNET letöltésekre.
A lényeg az, hogy már nem bízhat a zöld zároló ikonban a böngésző címsorában. És ez ijesztő, ijesztő dolog.
Hogyan működik a HTTPS-Adathalászat Adware és miért olyan rossz?
Ahogy korábban bemutattuk, ha a CNET Downloads bizalmának hatalmas hibáját hibáztatod, máris fertőzheted az ilyen típusú adware-kel. A CNET (KMPlayer és YTD) legfontosabb tíz letöltésének közül kettő két különböző típusú HTTPS-eltérítés adware-t köt össze, és a mi kutatásunkban azt találtuk, hogy a legtöbb egyéb freeware webhely ugyanazt csinálja.
Jegyzet:a telepítők annyira trükkösek és zavarosak, hogy nem vagyunk biztosak benne, hogy ki technikailag a "kötegelés", de a CNET előmozdítja ezeket az alkalmazásokat a saját honlapjukon, így ez valójában a szemantika kérdése. Ha azt ajánlja, hogy az emberek letöltsenek valamit, ami rossz, akkor ugyanúgy hibás. Azt is megállapítottuk, hogy ezek közül sok adware cég titokban ugyanazok az emberek, akik különböző cégneveket használnak.
A CNET letöltések legmagasabb 10 listájának letöltési számai alapján havonta egymillió ember fertőzött meg olyan adware-kkel, amelyek a titkosított webes munkameneteket átriasztják a bankjukba vagy e-mailjükbe, vagy bármi, ami biztonságos.
Ha hibát követett el a KMPlayer telepítésével, és sikerül figyelmen kívül hagyni az összes többi crapware-t, akkor ezt az ablakot fogja bemutatni. Ha véletlenül megnyomja az Elfogadom (vagy rossz kulcsot talál), akkor a rendszert el fogják fektetni.
Amikor biztonságos helyre megy, a zöld zárolás ikon jelenik meg, és minden rendben normálisnak tűnik. Még akkor is kattints a zárra, hogy megtekinthesd a részleteket, és úgy tűnik, hogy minden rendben van. Biztonságos kapcsolatot használ, és a Google Chrome azt is jelenti, hogy biztonságos kapcsolattal csatlakozik a Google-hoz. De te nem vagy!
A System Alerts LLC nem valódi gyökér-tanúsítvány, és valójában egy Man-in-the-Middle proxyon keresztül halad, amely hirdetéseket helyez be oldalakba (és ki tudja, mi más). Csak írd meg nekik az összes jelszavát, könnyebb lenne.
Ezt úgy valósítják meg, hogy a hamis gyökértanúsítványokat a Windows tanúsítványtárolóba telepítik, majd a biztonságos kapcsolatokat proxyzza alá, miközben aláírják őket hamis tanúsítványukkal.
Ha megnézed a Windows Tanúsítványok panelt, akkor mindenféle teljesen érvényes tanúsítványt láthatsz … de ha a számítógépen valamilyen adware telepítve van, látni fogsz hamis dolgokat, mint például a Rendszerfigyelmeztetések, LLC vagy a Superfish, Wajam vagy több tucatnyi hamisítvány.
Ők mind a Közép-támadások, és itt dolgozik
Miután elrabolják, elolvashatnak mindent, amit egy privát oldalra küldenek - jelszavakat, személyes adatokat, egészségügyi információkat, e-maileket, társadalombiztosítási számokat, banki információkat stb. És soha nem fog tudni, mert a böngészője megmondja hogy a kapcsolat biztonságos.
Ez azért működik, mert a nyilvános kulcs titkosításához mind a nyilvános kulcs, mind a privát kulcs szükséges. A nyilvános kulcsok a tanúsítványtárolóba vannak telepítve, és a privát kulcsot csak a látogatott weboldal tudja ismerni. De ha a támadók elvonják a gyökérigazolást és mind az állami, mind a magánkulcsokat tartják, mindent megteszhetnek, amit akarnak.
A Superfish esetében ugyanazt a magánkulcsot használják minden olyan számítógépen, amelyen a Superfish telepítve van, és néhány óra múlva a biztonsági kutatók képesek voltak kiiktatni a privát kulcsokat, és létrehozni weboldalakat annak tesztelésére, hogy Ön sebezhető-e, és bizonyítani tudja, hogy lerohanják. A Wajam és a Geniusbox esetében a kulcsok eltérőek, de a Content Explorer és néhány más adware ugyanazokat a kulcsokat használja mindenütt, ami azt jelenti, hogy ez a probléma nem egyedülálló a Superfish esetében.
Rosszabb: leginkább ez a szar mindenki letiltja a HTTPS érvényesítését
Tegnap, a biztonsági kutatók még nagyobb problémát fedeztek fel: ezek a HTTPS proxyk mindegyik letiltják az érvényesítést, miközben úgy tűnik, hogy minden rendben van.
Ez azt jelenti, hogy egy teljesen érvénytelen tanúsítvánnyal rendelkező HTTPS webhelyre mehetsz, és ez a hirdetési eszköz azt fogja mondani, hogy az oldal rendben van. Megvizsgáltuk a korábban említett adware-t, és teljesen letiltják a HTTPS érvényesítést, így nem számít, hogy a privát kulcsok egyediek-e vagy sem. Szörnyen rossz!
Ellenőrizheti, hogy sebezhető-e a Superfish, a Komodia vagy az érvénytelen tanúsítványellenőrzés a biztonsági kutatók által létrehozott tesztoldal segítségével, de amint azt már bemutattuk, sokkal több adware van ugyanazon a dolgon,, a dolgok tovább romlanak.
Védje magát: ellenőrizze a tanúsítványok panelt és törölje a rossz bejegyzéseket
Ha aggódik, ellenőrizze a tanúsítványtárolót, és győződjön meg róla, hogy nincsenek olyan vázlatos tanúsítványai, amelyeket később valamilyen proxy szerver aktiválhat. Ez kicsit bonyolult lehet, mert sok dolog van benne, és a legtöbbet ott kell lennie. Nem is tudjuk, mi legyen és nem is lehet ott.
A WIN + R segítségével nyissa meg a Run (Futtatás) párbeszédpanelt, majd írja be a "mmc" billentyűt a Microsoft Management Console ablakának felemeléséhez. Ezután használja a Fájl -> Hozzáad / eltávolítás beépülő modulokat, és válassza ki a Tanúsítványokat a bal oldali listából, majd adja hozzá jobb oldalhoz. Győződjön meg róla, hogy a következő párbeszédablakban válassza a Számítógép-fiók lehetőséget, majd kattintson a többi elemre.
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (A Fiddler egy jogszerű fejlesztői eszköz, de a rosszindulatú szoftverek eltérítették a cert-et)
- System Alerts, LLC
- CE_UmbrellaCert
Jobb egérgombbal kattintson és törölje a talált bejegyzések valamelyikét. Ha valami hibát észleltél, amikor tesztelte a Google-t a böngésződben, győződjön meg arról, hogy törli azt is. Csak vigyázzon, mert ha törli a rossz dolgokat itt, akkor megszakítja a Windows-ot.
Ezután meg kell nyitnia a webböngészőt, és meg kell találnia azokat a tanúsítványokat, amelyek valószínűleg ott tárolódnak. A Google Chrome-hoz menjen a Beállítások, Speciális beállítások, majd a Tanúsítványok kezelése lehetőségre. A Személy alatt egyszerűen kattints az Eltávolítás gombra a rossz tanúsítványokon …
De ez az őrület.
Menjen a Speciális beállítások ablak aljára, és kattintson a Beállítások visszaállítása lehetőségre a Chrome alapértelmezett beállításainak teljes újraindításához. Csináld ugyanazt bármely más böngészőhöz, vagy teljesen eltávolítod, törölheted az összes beállítást, majd telepítheted újra.
Ha a számítógépe érintett, valószínűleg jobb, ha teljesen tiszta telepítést végez a Windows rendszeren. Csak győződjön meg róla, hogy biztonsági másolatot készít a dokumentumokról és képekről, és mindezről.
Szóval hogyan védi meg magad?
Szinte lehetetlen teljes mértékben megvédeni magát, de itt van néhány józan ész, amelyek segítenek neked:
- Ellenőrizze a Superfish / Komodia / Certification validation teszt webhelyet.
- Engedélyezze a kattintásra lejátszást a böngésző bővítményeihez, amelyek segítenek megvédeni az összes olyan nulladik napi Flash és egyéb plugin biztonsági lyukaktól.
- Nagyon vigyázz, mit töltesz le és próbáld meg használni a Ninite-t, ha feltétlenül szükséges.
- Ügyeljen arra, hogy bármikor rákattinthat.
- Vegye fontolóra a Microsoft Enhanced Mitigation Experience Toolkit (EMET) vagy a Malwarebytes Anti-Exploit használatát, hogy megvédje böngészőjét és más kritikus alkalmazásokat a biztonsági lyukaktól és a nulla napos támadásoktól.
- Győződjön meg róla, hogy az összes szoftver, bővítmény és vírusirtó frissítve van, és tartalmazza a Windows frissítéseket is.
De ez egy rengeteg munka, mert csak azt szeretné, hogy böngészhessen a weben anélkül, hogy eltévedt volna. Ez olyan, mint a TSA-val való foglalkozás.
A Windows ökoszisztéma a crapware kavalkádja. És most az internet alapvető biztonsága romlott a Windows felhasználók számára. A Microsoftnak javítania kell.