Es ist eine beängstigende Zeit, Windows-Benutzer zu sein. Lenovo bündelte HTTPS-entführende Superfish-Adware , Comodo wird mit einer noch schlimmeren Sicherheitslücke namens PrivDog ausgeliefert. und Dutzende anderer Apps wie LavaSoft machen das gleiche. Es ist wirklich schlimm, aber wenn Sie möchten, dass Ihre verschlüsselten Websitzungen entführt werden, gehen Sie einfach zu CNET Downloads oder einer Freeware-Site, da alle jetzt HTTPS-brechende Adware bündeln.
VERBUNDEN: Folgendes passiert, wenn Sie die Top 10 Download.com-Apps installieren
Das Superfish-Fiasko begann, als Forscher bemerkten, dass Superfish, das auf Lenovo-Computern gebündelt war, ein gefälschtes Stammzertifikat in Windows installierte, das im Wesentlichen das gesamte HTTPS-Browsing missbraucht, sodass die Zertifikate immer gültig aussehen, auch wenn dies nicht der Fall ist, und dies in einem solchen Fall Unsichere Art und Weise, wie jeder Script-Kiddie-Hacker dasselbe erreichen kann.
Und dann installieren sie einen Proxy in Ihrem Browser und erzwingen das gesamte Durchsuchen, damit sie Anzeigen einfügen können. Dies ist auch dann richtig, wenn Sie eine Verbindung zu Ihrer Bank, Ihrer Krankenversicherung oder einem Ort herstellen, der sicher sein sollte. Und Sie würden es nie erfahren, weil sie die Windows-Verschlüsselung gebrochen haben, um Ihnen Anzeigen zu zeigen.
Aber die traurige, traurige Tatsache ist, dass sie nicht die einzigen sind, die dies tun - Adware wie Wajam, Geniusbox, Content Explorer und andere machen genau das Gleiche , Installieren ihrer eigenen Zertifikate und Erzwingen, dass alle Ihre Browsing-Vorgänge (einschließlich HTTPS-verschlüsselter Browsersitzungen) ihren Proxyserver durchlaufen. Und Sie können sich mit diesem Unsinn infizieren, indem Sie zwei der Top-10-Apps auf CNET-Downloads installieren.
Unter dem Strich können Sie diesem grünen Schlosssymbol in der Adressleiste Ihres Browsers nicht mehr vertrauen. Und das ist eine beängstigende, beängstigende Sache.
Wie HTTPS-Hijacking Adware funktioniert und warum es so schlimm ist
Wie wir bereits gezeigt haben, könnten Sie bereits mit dieser Art von Adware infiziert sein, wenn Sie den riesigen Fehler machen, CNET-Downloads zu vertrauen. Zwei der zehn besten Downloads auf CNET (KMPlayer und YTD) bündeln zwei verschiedene Arten von HTTPS-Hijacking-Adware und in unserer Forschung haben wir festgestellt, dass die meisten anderen Freeware-Sites dasselbe tun.
Hinweis: Die Installateure sind so knifflig und kompliziert, dass wir uns nicht sicher sind, wer das ist technisch CNET bewirbt diese Apps jedoch auf ihrer Homepage. Es ist also wirklich eine Frage der Semantik. Wenn Sie den Leuten empfehlen, etwas Schlechtes herunterzuladen, sind Sie gleichermaßen schuld. Wir haben auch festgestellt, dass viele dieser Adware-Unternehmen heimlich dieselben Personen sind, die unterschiedliche Firmennamen verwenden.
Basierend auf den Download-Nummern aus der Top-10-Liste der CNET-Downloads allein werden jeden Monat eine Million Menschen mit Adware infiziert, die ihre verschlüsselten Websitzungen an ihre Bank, E-Mail oder alles, was sicher sein sollte, entführt.
Wenn Sie den Fehler gemacht haben, KMPlayer zu installieren, und es Ihnen gelingt, alle anderen Crapware-Programme zu ignorieren, wird dieses Fenster angezeigt. Und wenn Sie versehentlich auf Akzeptieren klicken (oder die falsche Taste drücken), wird Ihr System pwned.
Wenn Sie am Ende etwas von einer noch skizzenhafteren Quelle heruntergeladen haben, z. B. die Download-Anzeigen in Ihrer bevorzugten Suchmaschine, wird eine ganze Liste von Dingen angezeigt, die nicht gut sind. Und jetzt wissen wir, dass viele von ihnen die Validierung von HTTPS-Zertifikaten vollständig unterbrechen werden, sodass Sie völlig verwundbar sind.
Sobald Sie sich mit einem dieser Dinge infiziert haben, wird als Erstes festgelegt, dass Ihr Systemproxy über einen lokalen Proxy ausgeführt wird, den er auf Ihrem Computer installiert. Achten Sie besonders auf den Punkt "Sicher" unten. In diesem Fall war es von Wajam Internet "Enhancer", aber es könnte Superfish oder Geniusbox oder eines der anderen sein, die wir gefunden haben. Sie funktionieren alle auf die gleiche Weise.
Wenn Sie zu einer Site gehen, die sicher sein sollte, wird das grüne Schlosssymbol angezeigt und alles sieht ganz normal aus. Sie können sogar auf das Schloss klicken, um die Details anzuzeigen, und es scheint, dass alles in Ordnung ist. Sie verwenden eine sichere Verbindung, und sogar Google Chrome meldet, dass Sie über eine sichere Verbindung mit Google verbunden sind. Aber das bist du nicht!
System Alerts LLC ist kein echtes Stammzertifikat, und Sie durchlaufen tatsächlich einen Man-in-the-Middle-Proxy, der Anzeigen in Seiten einfügt (und wer weiß was noch). Sie sollten ihnen einfach alle Ihre Passwörter per E-Mail senden, es wäre einfacher.
Sobald die Adware installiert ist und Ihr gesamter Datenverkehr übertragen wird, werden Sie überall wirklich unangenehme Anzeigen sehen. Diese Anzeigen werden auf sicheren Websites wie Google geschaltet und ersetzen die eigentlichen Google-Anzeigen. Sie werden überall als Popups angezeigt und übernehmen jede Website.
Die meisten dieser Adware-Anzeigen enthalten "Anzeigen" -Links zu direkter Malware. Während die Adware selbst ein rechtliches Ärgernis sein könnte, ermöglichen sie einige wirklich, wirklich schlechte Dinge.
Sie erreichen dies, indem sie ihre gefälschten Stammzertifikate im Windows-Zertifikatspeicher installieren und dann die sicheren Verbindungen übertragen, während sie sie mit ihrem gefälschten Zertifikat signieren.
Wenn Sie im Fenster "Windows-Zertifikate" nachsehen, werden alle Arten von vollständig gültigen Zertifikaten angezeigt. Wenn auf Ihrem PC jedoch Adware installiert ist, werden gefälschte Dinge wie System Alerts, LLC oder Superfish, Wajam oder Dutzende anderer Fälschungen.
Selbst wenn Sie infiziert wurden und dann die Badware entfernt haben, sind die Zertifikate möglicherweise noch vorhanden, sodass Sie für andere Hacker anfällig sind, die möglicherweise die privaten Schlüssel extrahiert haben. Viele der Adware-Installationsprogramme entfernen die Zertifikate nicht, wenn Sie sie deinstallieren.
Sie sind alle Man-in-the-Middle-Angriffe und so funktionieren sie
Wenn auf Ihrem PC gefälschte Stammzertifikate im Zertifikatspeicher installiert sind, sind Sie jetzt anfällig für Man-in-the-Middle-Angriffe. Dies bedeutet, dass wenn Sie eine Verbindung zu einem öffentlichen Hotspot herstellen oder jemand Zugriff auf Ihr Netzwerk erhält oder es schafft, etwas vor Ihnen zu hacken, er legitime Websites durch gefälschte Websites ersetzen kann. Dies mag weit hergeholt klingen, aber Hacker konnten DNS-Hijacks auf einigen der größten Websites im Web verwenden, um Benutzer auf eine gefälschte Website zu entführen.
Sobald Sie entführt wurden, können sie alles lesen, was Sie an eine private Website senden - Passwörter, private Informationen, Gesundheitsinformationen, E-Mails, Sozialversicherungsnummern, Bankinformationen usw. Und Sie werden es nie erfahren, weil Ihr Browser es Ihnen sagt dass Ihre Verbindung sicher ist.
Dies funktioniert, da für die Verschlüsselung mit öffentlichem Schlüssel sowohl ein öffentlicher als auch ein privater Schlüssel erforderlich sind. Die öffentlichen Schlüssel werden im Zertifikatspeicher installiert, und der private Schlüssel sollte nur der Website bekannt sein, die Sie besuchen. Wenn Angreifer jedoch Ihr Stammzertifikat entführen und sowohl den öffentlichen als auch den privaten Schlüssel besitzen können, können sie alles tun, was sie wollen.
Im Fall von Superfish verwendeten sie denselben privaten Schlüssel auf jedem Computer, auf dem Superfish installiert ist, und innerhalb weniger Stunden Sicherheitsforscher konnten die privaten Schlüssel extrahieren und erstellen Websites zu Testen Sie, ob Sie anfällig sind und beweisen, dass Sie entführt werden könnten. Bei Wajam und Geniusbox sind die Schlüssel unterschiedlich, aber der Content Explorer und einige andere Adware-Programme verwenden überall dieselben Schlüssel, was bedeutet, dass dieses Problem nicht nur bei Superfish auftritt.
Es wird schlimmer: Der größte Teil dieses Mistes deaktiviert die HTTPS-Validierung vollständig
Erst gestern haben Sicherheitsforscher ein noch größeres Problem entdeckt: Alle diese HTTPS-Proxys deaktivieren die gesamte Validierung und lassen es so aussehen, als wäre alles in Ordnung.
Das bedeutet, dass Sie eine HTTPS-Website mit einem vollständig ungültigen Zertifikat aufrufen können. Diese Adware zeigt Ihnen, dass die Website in Ordnung ist. Wir haben die zuvor erwähnte Adware getestet und alle deaktivieren die HTTPS-Validierung vollständig. Es spielt also keine Rolle, ob die privaten Schlüssel eindeutig sind oder nicht. Schockierend schlecht!
Jeder, auf dem Adware installiert ist, ist anfällig für alle Arten von Angriffen und in vielen Fällen auch dann noch anfällig, wenn die Adware entfernt wird.
Mit können Sie überprüfen, ob Sie für Superfish, Komodia oder ungültige Zertifikatsprüfungen anfällig sind die von Sicherheitsforschern erstellte Teststelle Aber wie wir bereits gezeigt haben, gibt es viel mehr Adware, die das Gleiche tut, und nach unseren Recherchen werden sich die Dinge weiter verschlechtern.
Schützen Sie sich: Überprüfen Sie das Zertifikatfenster und löschen Sie fehlerhafte Einträge
Wenn Sie sich Sorgen machen, sollten Sie Ihren Zertifikatspeicher überprüfen, um sicherzustellen, dass keine skizzenhaften Zertifikate installiert sind, die später von einem Proxyserver einer anderen Person aktiviert werden könnten. Dies kann etwas kompliziert sein, da sich dort viele Dinge befinden und das meiste davon dort sein soll. Wir haben auch keine gute Liste darüber, was da sein sollte und was nicht.
Verwenden Sie WIN + R, um das Dialogfeld "Ausführen" aufzurufen, und geben Sie "mmc" ein, um ein Microsoft Management Console-Fenster aufzurufen. Verwenden Sie dann Datei -> Snap-Ins hinzufügen / entfernen, wählen Sie Zertifikate aus der Liste links aus und fügen Sie sie dann rechts hinzu. Stellen Sie sicher, dass Sie im nächsten Dialogfeld Computerkonto auswählen, und klicken Sie sich dann durch den Rest.
Sie sollten zu vertrauenswürdigen Stammzertifizierungsstellen gehen und nach wirklich skizzenhaften Einträgen wie diesen (oder ähnlichen) suchen.
- Sendori
- Purelead
- Raketentab
- Super Fish
- Lookthisup
- Pando
- Azam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler ist ein legitimes Entwicklertool, aber Malware hat ihr Zertifikat entführt.)
- System Alerts, LLC
- CE_UmbrellaCert
Klicken Sie mit der rechten Maustaste und löschen Sie einen der gefundenen Einträge. Wenn Sie beim Testen von Google in Ihrem Browser einen Fehler festgestellt haben, löschen Sie auch diesen. Seien Sie vorsichtig, denn wenn Sie hier die falschen Dinge löschen, wird Windows beschädigt.
Wir hoffen, dass Microsoft etwas veröffentlicht, mit dem Sie Ihre Stammzertifikate überprüfen und sicherstellen können, dass nur gute vorhanden sind. Theoretisch könnte man verwenden diese Liste von Microsoft der von Windows benötigten Zertifikate , und dann Update auf die neuesten Stammzertifikate , aber das ist zu diesem Zeitpunkt noch nicht getestet, und wir empfehlen es wirklich erst, wenn jemand dies ausprobiert.
Als Nächstes müssen Sie Ihren Webbrowser öffnen und die Zertifikate suchen, die dort wahrscheinlich zwischengespeichert sind. Gehen Sie für Google Chrome zu Einstellungen, Erweiterte Einstellungen und dann zu Zertifikate verwalten. Unter Persönlich können Sie bei fehlerhaften Zertifikaten ganz einfach auf die Schaltfläche Entfernen klicken.
Wenn Sie jedoch zu vertrauenswürdigen Stammzertifizierungsstellen wechseln, müssen Sie auf Erweitert klicken und dann alles deaktivieren, was angezeigt wird, um keine Berechtigungen mehr für dieses Zertifikat zu erteilen.
Aber das ist Wahnsinn.
Gehen Sie zum unteren Rand des Fensters Erweiterte Einstellungen und klicken Sie auf Einstellungen zurücksetzen, um Chrome vollständig auf die Standardeinstellungen zurückzusetzen. Machen Sie dasselbe für jeden anderen Browser, den Sie verwenden, oder deinstallieren Sie ihn vollständig, löschen Sie alle Einstellungen und installieren Sie ihn erneut.
Wenn Ihr Computer betroffen ist, sind Sie wahrscheinlich besser dran Führen Sie eine vollständig saubere Installation von Windows durch . Stellen Sie einfach sicher, dass Sie Ihre Dokumente und Bilder und all das sichern.
Wie schützen Sie sich?
Es ist fast unmöglich, sich vollständig zu schützen, aber hier sind einige vernünftige Richtlinien, die Ihnen helfen sollen:
- Überprüf den Teststelle für Superfish / Komodia / Zertifizierungsvalidierung .
- Aktivieren Sie Click-to-Play für Plugins in Ihrem Browser , welches wird Schützen Sie sich vor all diesen Zero-Day-Flashs und andere Plugin-Sicherheitslücken gibt es.
- Sein sehr vorsichtig, was Sie herunterladen und versuche es Verwenden Sie Ninite, wenn Sie unbedingt müssen .
- Achten Sie bei jedem Klick darauf, auf was Sie klicken.
- Erwägen Sie die Verwendung Microsoft Enhanced Mitigation Experience Toolkit (EMET) oder Malwarebytes Anti-Exploit um Ihren Browser und andere kritische Anwendungen vor Sicherheitslücken und Zero-Day-Angriffen zu schützen.
- Stellen Sie sicher, dass Ihre gesamte Software, Plugins und Antivirenprogramme auf dem neuesten Stand sind Dazu gehören auch Windows-Updates .
Aber das ist eine Menge Arbeit, um einfach nur im Internet surfen zu wollen, ohne entführt zu werden. Es ist wie mit der TSA umzugehen.
Das Windows-Ökosystem ist eine Kavallerie von Crapware. Und jetzt ist die grundlegende Sicherheit des Internets für Windows-Benutzer gebrochen. Microsoft muss dies beheben.
