Det er en skræmmende tid at være Windows-bruger. Lenovo bundterede HTTPS-kapring Superfish adware , Comodo leveres med et endnu værre sikkerhedshul kaldet PrivDog, og snesevis af andre apps ligesom LavaSoft gør det samme. Det er virkelig dårligt, men hvis du vil have dine krypterede websessioner, der skal kapres, skal du bare gå til CNET-downloads eller ethvert freeware-websted, fordi de alle sammen bundter HTTPS-brydende adware nu.
RELATEREDE: Her er hvad der sker, når du installerer de 10 bedste download.com-apps
Superfish-fiaskoen begyndte, da forskere bemærkede, at Superfish, samlet på Lenovo-computere, installerede et falsk rodcertifikat i Windows, der i det væsentlige kaprer al HTTPS-browsing, så certifikaterne altid ser gyldige ud, selvom de ikke er det, og de gjorde det i en sådan usikker måde, at enhver script-kiddiehacker kunne udrette det samme.
Og så installerer de en proxy i din browser og tvinger al din browsing igennem den, så de kan indsætte annoncer. Det er rigtigt, selv når du opretter forbindelse til din bank, dit sygesikringssted eller et andet sted, der skal være sikkert. Og du ville aldrig vide det, fordi de brød Windows-kryptering for at vise dig annoncer.
Men den triste, triste kendsgerning er, at de ikke er de eneste, der gør dette - adware som Wajam, Geniusbox, Content Explorer og andre gør alle nøjagtigt det samme , installerer deres egne certifikater og tvinger al din browsing (inklusive HTTPS-krypterede browsersessioner) til at gå gennem deres proxyserver. Og du kan blive smittet med denne vrøvl bare ved at installere to af de top 10 apps på CNET Downloads.
Bundlinjen er, at du ikke længere kan stole på det grønne låsikon i din browsers adresselinje. Og det er en skræmmende, skræmmende ting.
Sådan fungerer HTTPS-kapring af adware, og hvorfor det er så dårligt
Som vi har vist før, hvis du laver den enorme gigantiske fejl ved at stole på CNET-downloads, kan du allerede være inficeret med denne type adware. To af de ti bedste downloads på CNET (KMPlayer og YTD) bundter to forskellige typer HTTPS-kapring adware , og i vores forskning fandt vi ud af, at de fleste andre freeware-websteder gør det samme.
Bemærk: installatørerne er så vanskelige og indviklede, at vi ikke er sikre på, hvem der er teknisk set gør "bundling", men CNET promoverer disse apps på deres startside, så det er virkelig et spørgsmål om semantik. Hvis du anbefaler, at folk downloader noget, der er dårligt, er du lige skyld. Vi har også fundet ud af, at mange af disse adware-virksomheder i hemmelighed er de samme mennesker, der bruger forskellige firmanavne.
Baseret på downloadnumrene fra top 10-listen på CNET-downloads alene inficeres en million mennesker hver måned med adware, der kaprer deres krypterede websessioner til deres bank eller e-mail eller noget, der skal være sikkert.
Hvis du lavede fejlen med at installere KMPlayer, og du formår at ignorere al den anden crapware, får du dette vindue. Og hvis du ved et uheld klikker på Accepter (eller rammer den forkerte nøgle), vil dit system blive pwned.
Hvis du endte med at downloade noget fra en endnu mere sketchy kilde, som f.eks. Downloadannoncer i din yndlingssøgemaskine, vil du se en hel liste over ting, der ikke er gode. Og nu ved vi, at mange af dem vil bryde HTTPS-certifikatvalidering fuldstændigt og efterlade dig helt sårbar.
Når du først er inficeret med en af disse ting, er den første ting, der sker, at den indstiller din systemproxy til at køre gennem en lokal proxy, som den installerer på din computer. Vær særlig opmærksom på nedenstående "Sikker" -emne. I dette tilfælde var det fra Wajam Internet “Enhancer”, men det kunne være Superfish eller Geniusbox eller nogen af de andre, som vi har fundet, de fungerer alle på samme måde.
Når du går til et websted, der skal være sikkert, ser du det grønne låsikon, og alt ser helt normalt ud. Du kan endda klikke på låsen for at se detaljerne, og det ser ud til, at alt er i orden. Du bruger en sikker forbindelse, og endda Google Chrome rapporterer, at du har forbindelse til Google med en sikker forbindelse. Men det er du ikke!
System Alerts LLC er ikke et rigtigt rodcertifikat, og du gennemgår faktisk en Man-in-the-Middle-proxy, der indsætter annoncer på sider (og hvem ved hvad der ellers). Du skal bare sende dem alle dine adgangskoder via e-mail, det ville være lettere.
Når adware er installeret og proxyer al din trafik, begynder du at se virkelig ubehagelige annoncer overalt. Disse annoncer vises på sikre websteder som Google, der erstatter de faktiske Google-annoncer, eller de vises som pop op-vinduer overalt og overtager hvert websted.
Det meste af denne adware viser "ad" -link til direkte malware. Så selvom adware i sig selv kan være en juridisk gener, aktiverer de nogle virkelig, virkelig dårlige ting.
De opnår dette ved at installere deres falske rodcertifikater i Windows-certifikatbutikken og derefter proxye de sikre forbindelser, mens de underskriver dem med deres falske certifikat.
Hvis du kigger i Windows-certifikatpanelet, kan du se alle mulige helt gyldige certifikater ... men hvis din pc har en eller anden form for adware installeret, vil du se falske ting som System Alerts, LLC eller Superfish, Wajam eller snesevis af andre forfalskninger.
Selvom du er blevet inficeret og derefter fjernet badware, kan certifikaterne muligvis stadig være der, hvilket gør dig sårbar over for andre hackere, der muligvis har hentet de private nøgler. Mange af adwareinstallatørerne fjerner ikke certifikaterne, når du afinstallerer dem.
De er alle menneskelige angreb, og sådan fungerer de
Hvis din pc har falske rodcertifikater installeret i certifikatlageret, er du nu sårbar over for Man-in-the-Middle-angreb. Hvad dette betyder er, hvis du opretter forbindelse til et offentligt hotspot, eller nogen får adgang til dit netværk eller formår at hacke noget opstrøms fra dig, kan de erstatte legitime websteder med falske websteder. Dette lyder måske langt fra, men hackere har været i stand til at bruge DNS-kapringer på nogle af de største websteder på internettet til at kapre brugere til et falsk sted.
Når du er blevet kapret, kan de læse hver eneste ting, du sender til et privat websted - adgangskoder, private oplysninger, sundhedsoplysninger, e-mails, personnumre, bankoplysninger osv. Og du ved aldrig, fordi din browser vil fortælle dig at din forbindelse er sikker.
Dette fungerer, fordi kryptering af offentlig nøgle kræver både en offentlig nøgle og en privat nøgle. De offentlige nøgler er installeret i certifikatlageret, og den private nøgle skal kun være kendt af det websted, du besøger. Men når angribere kan kapre dit rodcertifikat og holde både de offentlige og private nøgler, kan de gøre alt, hvad de vil.
I tilfælde af Superfish brugte de den samme private nøgle på enhver computer, der har Superfish installeret, og inden for få timer har sikkerhedsforskere var i stand til at udtrække de private nøgler og oprette websteder til test om du er sårbar og bevis at du kunne blive kapret. For Wajam og Geniusbox er nøglerne forskellige, men Content Explorer og anden adware bruger også de samme nøgler overalt, hvilket betyder, at dette problem ikke er unikt for Superfish.
Det bliver værre: Det meste af dette crap deaktiverer HTTPS-validering helt
Bare i går opdagede sikkerhedsforskere et endnu større problem: Alle disse HTTPS-proxyer deaktiverer al validering, mens de får det til at se ud som om alt er fint.
Det betyder, at du kan gå til et HTTPS-websted, der har et helt ugyldigt certifikat, og denne adware vil fortælle dig, at webstedet er helt fint. Vi testede adware, som vi nævnte tidligere, og de deaktiverer alle HTTPS-validering helt, så det betyder ikke noget, om de private nøgler er unikke eller ej. Chokerende dårligt!
Alle med adware installeret er sårbare over for alle mulige angreb, og i mange tilfælde er de fortsat sårbare, selv når adware fjernes.
Du kan kontrollere, om du er sårbar over for Superfish, Komodia eller ugyldig kontrol af certifikater ved hjælp af teststedet oprettet af sikkerhedsforskere , men som vi allerede har demonstreret, er der meget mere adware derude, der gør det samme, og fra vores forskning vil tingene fortsætte med at blive værre.
Beskyt dig selv: Kontroller certifikatpanelet og slet dårlige poster
Hvis du er bekymret, skal du tjekke dit certifikatlager for at sikre dig, at du ikke har installeret nogen sketchy certifikater, der senere kan aktiveres af nogens proxyserver. Dette kan være lidt kompliceret, fordi der er mange ting derinde, og det meste antages at være der. Vi har heller ikke en god liste over, hvad der skal og ikke bør være der.
Brug WIN + R til at trække dialogboksen Kør op, og skriv derefter “mmc” for at trække et Microsoft Management Console-vindue op. Brug derefter Filer -> Tilføj / fjern snap-ins, vælg certifikater fra listen til venstre, og tilføj det derefter til højre side. Sørg for at vælge Computerkonto i den næste dialog, og klik derefter på resten.
Du vil gå til Trusted Root Certification Authorities og se efter virkelig sketchy poster som nogen af disse (eller noget lignende til disse)
- Sendori
- Purelead
- Fanen Rocket
- Super fisk
- Se dette
- Pando
- Azam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler er et legitimt udviklerværktøj, men malware har kapret deres certifikat)
- System Alerts, LLC
- CE_UmbrellaCert
Højreklik og slet en af de poster, du finder. Hvis du så noget forkert, da du testede Google i din browser, skal du sørge for at slette det også. Bare vær forsigtig, for hvis du sletter de forkerte ting her, vil du ødelægge Windows.
Vi håber, at Microsoft frigiver noget for at kontrollere dine rodcertifikater og sikre, at kun gode er der. Teoretisk set kan du bruge det denne liste fra Microsoft over de certifikater, der kræves af Windows , og så opdater til de nyeste rodcertifikater , men det er fuldstændig uprøvet på dette tidspunkt, og vi anbefaler det virkelig ikke, før nogen tester dette.
Derefter skal du åbne din webbrowser og finde de certifikater, der sandsynligvis er cachelagret der. For Google Chrome skal du gå til Indstillinger, Avancerede indstillinger og derefter Administrer certifikater. Under Personligt kan du nemt klikke på knappen Fjern på eventuelle dårlige certifikater ...
Men når du går til Trusted Root Certification Authorities, bliver du nødt til at klikke på Advanced og derefter fjerne markeringen af alt, hvad du ser for at stoppe med at give tilladelser til det certifikat ...
Men det er sindssyge.
RELATEREDE: Stop med at prøve at rense din inficerede computer! Bare Nuke det og geninstaller Windows
Gå til bunden af vinduet Avancerede indstillinger, og klik på Nulstil indstillinger for fuldstændigt at nulstille Chrome til standardindstillinger. Gør det samme for den anden browser, du bruger, eller afinstaller helt, slet alle indstillinger, og installer det derefter igen.
Hvis din computer er blevet påvirket, har du sandsynligvis det bedre udfører en helt ren installation af Windows . Bare sørg for at tage backup af dine dokumenter og billeder og alt dette.
Så hvordan beskytter du dig selv?
Det er næsten umuligt at beskytte dig selv fuldstændigt, men her er et par almindelige fornuftige retningslinjer, der kan hjælpe dig:
- Tjek Superfish / Komodia / certificeringsvalideringstestwebsted .
- Aktivér Click-To-Play for plugins i din browser , hvilket vil hjælpe med at beskytte dig mod alle disse nul-dages Flash og andre pluginsikkerhedshuller der er.
- Være virkelig forsigtig med hvad du downloader og prøv at Brug Ninite, når du absolut skal .
- Vær opmærksom på det, du klikker på, når du klikker.
- Overvej at bruge Microsofts Enhanced Mitigation Experience Toolkit (EMET) eller Malwarebytes Anti-Exploit for at beskytte din browser og andre kritiske applikationer mod sikkerhedshuller og nul-dages angreb.
- Sørg for, at al din software, plugins og antivirus opdateres, og det inkluderer også Windows-opdateringer .
Men det er frygtelig meget arbejde for bare at ville surfe på nettet uden at blive kapret. Det er som at beskæftige sig med TSA.
Windows-økosystemet er en kavalkade af crapware. Og nu er den grundlæggende sikkerhed på Internettet brudt for Windows-brugere. Microsoft har brug for at løse dette.
