Je strašidelný čas být uživatelem systému Windows. Lenovo svazovalo adware Superfish, který unese HTTPS , Comodo se dodává s ještě horší bezpečnostní dírou zvanou PrivDog, a desítky dalších aplikací jako LavaSoft dělají totéž. Je to opravdu špatné, ale pokud chcete, aby byly vaše šifrované webové relace uneseny, přejděte na CNET Downloads nebo na jakýkoli freewarový web, protože všechny nyní obsahují adware rozbíjející HTTPS.
PŘÍBUZNÝ: Tady je to, co se stane, když si nainstalujete top 10 aplikací Download.com
Fiasko Superfish začalo, když si vědci všimli, že Superfish, který je součástí počítačů Lenovo, instaluje do Windows falešný kořenový certifikát, který v podstatě unese veškeré procházení HTTPS, takže certifikáty vždy vypadají platné, i když nejsou, a udělali to v takovém nejistým způsobem, jakým by jakýkoli dětský hacker ze skriptu mohl dosáhnout stejné věci.
A pak do vašeho prohlížeče instalují proxy server a nutí všechny vaše procházení, aby mohli vkládat reklamy. To je pravda, i když se připojíte k vaší bance, zdravotní pojišťovně nebo kdekoli, kde by to mělo být zabezpečené. A nikdy byste to nevěděli, protože porušili šifrování systému Windows, aby vám zobrazovali reklamy.
Smutným, smutným faktem však je, že to nejsou jediní, kdo to dělají - adware jako Wajam, Geniusbox, Content Explorer a další dělají přesně to samé , instalaci vlastních certifikátů a nutí všechny vaše procházení (včetně relací procházení šifrovaných HTTPS) procházet jejich proxy serverem. A tímto nesmyslem se můžete nakazit pouhou instalací dvou z 10 nejlepších aplikací do služby CNET Downloads.
Závěrem je, že již nemůžete důvěřovat té zelené ikoně zámku v adresním řádku prohlížeče. A to je děsivá, děsivá věc.
Jak HTTPS únos Adware funguje a proč je to tak špatné
Jak jsme již ukázali dříve, pokud uděláte obrovskou obrovskou chybu v důvěřování stahování CNET, můžete být již tímto typem adwaru infikováni. Dvě z deseti stažených položek na serveru CNET (KMPlayer a YTD) spojují dva různé typy adwaru s únosem HTTPS a v našem výzkumu jsme zjistili, že většina ostatních freewarových webů dělá totéž.
Poznámka: instalační firmy jsou tak složité a komplikované, že si nejsme jisti, kdo je technicky „sdružování“, ale CNET propaguje tyto aplikace na své domovské stránce, takže jde opravdu o sémantiku. Pokud doporučujete, aby si lidé stáhli něco, co je špatné, jste stejně na vině. Zjistili jsme také, že mnoho z těchto adwarových společností jsou tajně stejní lidé, kteří používají různé názvy společností.
Na základě počtu stažení z top 10 seznamu pouze na CNET Downloads je milion lidí infikováno každý měsíc adwarem, který unese jejich šifrované webové relace do jejich banky, e-mail nebo cokoli, co by mělo být zabezpečeno.
Pokud jste při instalaci KMPlayer udělali chybu a dokážete ignorovat všechny ostatní crapware, zobrazí se vám toto okno. A pokud omylem kliknete na Přijmout (nebo stisknete špatnou klávesu), váš systém bude spuštěn.
Pokud jste si nakonec stáhli něco z ještě povrchnějšího zdroje, jako jsou reklamy ke stažení ve vašem oblíbeném vyhledávači, zobrazí se vám celý seznam věcí, které nejsou dobré. A teď víme, že mnoho z nich úplně prolomí ověření certifikátu HTTPS, takže vás bude zcela zranitelného.
Jakmile se jednou z těchto věcí nakazíte, první věcí, která se stane, je, že nastaví váš systémový proxy tak, aby běžel přes místní proxy, který nainstaluje do vašeho počítače. Zvláštní pozornost věnujte níže položce „Zabezpečit“. V tomto případě to bylo od Wajam Internet „Enhancer“, ale může to být Superfish nebo Geniusbox nebo kterýkoli z dalších, které jsme našli, všechny fungují stejně.
Když přejdete na web, který by měl být zabezpečený, uvidíte zelenou ikonu zámku a vše bude vypadat naprosto normálně. Můžete dokonce kliknout na zámek a zobrazit podrobnosti, a zdá se, že je vše v pořádku. Používáte zabezpečené připojení a dokonce i Google Chrome ohlásí, že jste připojeni k Googlu pomocí zabezpečeného připojení. Ale vy ne!
System Alerts LLC není skutečný kořenový certifikát a ve skutečnosti procházíte proxy typu Man-in-the-Middle, který vkládá reklamy na stránky (a kdo ví, co jiného). Stačí jim poslat e-mailem všechna hesla, bylo by to jednodušší.
Jakmile je adware nainstalován a proxy veškerý váš provoz, začnou se vám všude zobrazovat opravdu nepříjemné reklamy. Tyto reklamy se zobrazují na zabezpečených webech, jako je Google, které nahrazují skutečné reklamy Google, nebo se zobrazují jako vyskakovací okna všude a přebírají každý web.
Většina tohoto adwaru zobrazuje „reklamní“ odkazy na přímý malware. Takže i když samotný adware může být legální obtěžování, umožňují opravdu, opravdu špatné věci.
Dosahují to instalací svých falešných kořenových certifikátů do úložiště certifikátů Windows a následným proxy zabezpečeným připojením, zatímco je podepisují svým falešným certifikátem.
Pokud se podíváte na panel Certifikáty Windows, uvidíte nejrůznější zcela platné certifikáty… ale pokud má váš počítač nainstalován nějaký typ adwaru, uvidíte falešné věci jako System Alerts, LLC nebo Superfish, Wajam nebo desítky dalších padělků.
I když jste byli nakaženi a poté jste malware odstranili, certifikáty zde stále mohou být, takže budete zranitelní vůči jiným hackerům, kteří mohli extrahovat soukromé klíče. Mnoho instalačních programů adwaru neodstraní certifikáty, když je odinstalujete.
Jsou to útoky typu Man-in-the-Middle a fungují zde
Pokud má váš počítač v úložišti certifikátů nainstalované falešné kořenové certifikáty, jste nyní zranitelní vůči útokům typu Man-in-the-Middle. To znamená, že pokud se připojíte k veřejnému hotspotu nebo někdo získá přístup do vaší sítě nebo se mu podaří hacknout něco proti proudu od vás, může nahradit legitimní stránky falešnými stránkami. Může to znít přitažlivě, ale hackeři byli schopni použít únosy DNS na některých z největších webů na webu, aby unesli uživatele na falešný web.
Jakmile vás někdo unese, může si přečíst každou věc, kterou odešlete na soukromý web - hesla, soukromé informace, informace o zdraví, e-maily, čísla sociálního zabezpečení, bankovní informace atd. A nikdy nebudete vědět, protože váš prohlížeč vám řekne že vaše připojení je zabezpečené.
To funguje, protože šifrování veřejného klíče vyžaduje jak veřejný klíč, tak soukromý klíč. Veřejné klíče jsou nainstalovány v úložišti certifikátů a soukromý klíč by měl znát pouze web, který navštěvujete. Ale když útočníci mohou unést váš kořenový certifikát a držet veřejný i soukromý klíč, mohou dělat, co chtějí.
V případě Superfish použili stejný soukromý klíč na každém počítači, na kterém je Superfish nainstalován, a během několika hodin bezpečnostní výzkumníci byli schopni extrahovat soukromé klíče a vytvářet webové stránky vyzkoušejte, zda jste zranitelní a prokažte, že byste mohli být uneseni. Pro Wajam a Geniusbox jsou klíče odlišné, ale Content Explorer a některé další adware také používají stejné klíče všude, což znamená, že tento problém není pro Superfish jedinečný.
Zhorší se to: Většina této kecy úplně zakáže ověření HTTPS
Právě včera objevili vědci v oblasti zabezpečení ještě větší problém: Všechny tyto servery HTTPS deaktivují veškeré ověřování a vypadají, že je vše v pořádku.
To znamená, že můžete přejít na web HTTPS, který má zcela neplatný certifikát, a tento adware vám řekne, že web je v pořádku. Testovali jsme adware, který jsme zmínili dříve, a všichni úplně zakazují ověřování HTTPS, takže nezáleží na tom, zda jsou soukromé klíče jedinečné nebo ne. Šokující špatně!
Kdokoli s nainstalovaným adwarem je zranitelný vůči všem druhům útoků a v mnoha případech je i nadále zranitelný, i když je adware odstraněn.
Můžete zkontrolovat, zda jste zranitelní vůči Superfish, Komodia nebo kontrole neplatných certifikátů pomocí testovací web vytvořený bezpečnostními výzkumníky , ale jak jsme již ukázali, existuje mnohem více adwaru, který dělá totéž a podle našeho výzkumu se věci budou stále zhoršovat.
Chraňte se: Zkontrolujte panel certifikátů a odstraňte chybné položky
Pokud máte obavy, měli byste zkontrolovat úložiště certifikátů a ujistit se, že nemáte nainstalovány žádné povrchní certifikáty, které by později mohl aktivovat něčí proxy server. To může být trochu komplikované, protože je tam spousta věcí a většina z nich tam má být. Také nemáme dobrý seznam toho, co by tam mělo a nemělo být.
Pomocí WIN + R vytáhněte dialogové okno Spustit a poté zadejte „mmc“ a otevřete okno konzoly Microsoft Management Console. Poté použijte Soubor -> Přidat nebo odebrat moduly snap-in a v seznamu vlevo vyberte Certifikáty a poté jej přidejte na pravou stranu. V dalším dialogovém okně vyberte Účet počítače a poté klikněte na zbytek.
Budete chtít přejít na Důvěryhodné kořenové certifikační úřady a hledat opravdu útržkovité položky, jako je některý z těchto (nebo cokoli podobného)
- Sendori
- Purelead
- Rocket Tab
- Super ryba
- Podívej se na to
- Pando
- Azam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler je legitimní nástroj pro vývojáře, ale malware unesl jejich cert)
- System Alerts, LLC
- CE_UmbrellaCert
Klepněte pravým tlačítkem myši a odstraňte všechny položky, které najdete. Pokud jste při testování Google ve svém prohlížeči viděli něco nesprávného, nezapomeňte také odstranit. Jen buďte opatrní, protože pokud zde smažete špatné věci, rozbijete Windows.
Doufáme, že společnost Microsoft něco vydá, aby zkontrolovala vaše kořenové certifikáty a zajistila, že tam budou jen ty dobré. Teoreticky byste mohli použít tento seznam certifikátů vyžadovaných systémem Windows od společnosti Microsoft , a pak aktualizace na nejnovější kořenové certifikáty , ale to je v tuto chvíli zcela nevyzkoušené a opravdu to nedoporučujeme, dokud to někdo nevyzkouší.
Dále budete muset otevřít webový prohlížeč a najít certifikáty, které jsou pravděpodobně uloženy v mezipaměti. V prohlížeči Google Chrome přejděte do Nastavení, Pokročilá nastavení a poté Spravovat certifikáty. V části Osobní můžete snadno kliknout na tlačítko Odebrat na všech špatných certifikátech ...
Když ale přejdete na Důvěryhodné kořenové certifikační úřady, budete muset kliknout na Pokročilé a poté zrušit zaškrtnutí všeho, co vidíte, abyste přestali udělovat oprávnění tomuto certifikátu ...
Ale to je šílenství.
PŘÍBUZNÝ: Přestaňte se pokoušet vyčistit infikovaný počítač! Stačí to Nuke a přeinstalovat Windows
Přejděte do dolní části okna Pokročilá nastavení a kliknutím na Obnovit nastavení úplně obnovte výchozí nastavení prohlížeče Chrome. Totéž proveďte pro jakýkoli jiný prohlížeč, který používáte, nebo úplně odinstalujte, vymažte všechna nastavení a poté jej znovu nainstalujte.
Pokud byl váš počítač zasažen, pravděpodobně jste na tom lépe dělá úplně čistou instalaci systému Windows . Nezapomeňte si zálohovat dokumenty a obrázky a to všechno.
Jak se tedy chráníte?
Je téměř nemožné se úplně chránit, ale zde je několik obecných pokynů, která vám pomohou:
- Zkontrolovat Superfish / Komodia / Certification validation test site .
- Povolte ve svém prohlížeči plug-in-play pro pluginy , který bude pomůže chránit vás před všemi těmi blesky nulového dne a další bezpečnostní díry pluginu existují.
- Být opravdu opatrně, co stahujete a zkuste to používejte Ninite, když to absolutně musíte .
- Kdykoli kliknete, dávejte pozor na to, na co klikáte.
- Zvažte použití Sada nástrojů Microsoft Enhanced Mitigation Experience Toolkit (EMET) nebo Malwarebytes Anti-Exploit k ochraně vašeho prohlížeče a dalších důležitých aplikací před bezpečnostními dírami a útoky nulového dne.
- Ujistěte se, že veškerý váš software, doplňky a antivirové programy zůstávají aktuální a který zahrnuje také Windows Update .
Ale to je strašná práce, protože jen chcete procházet web, aniž byste byli uneseni. Je to jako jednat s TSA.
Ekosystém Windows je kavalkáda crapwaru. A nyní je základní bezpečnost internetu pro uživatele Windows narušena. Microsoft to musí opravit.
