On pelottavaa olla Windows-käyttäjä. Lenovo niputti HTTPS-kaappaavan Superfish-mainosohjelman , Comodo toimittaa vielä pahemman turva-aukon nimeltä PrivDog, ja kymmeniä muita sovelluksia kuten LavaSoft tekevät samoin. Se on todella huono, mutta jos haluat salattujen web-istuntojesi kaappaamisen, mene vain CNET-latauksiin tai mihin tahansa freeware-sivustoon, koska ne kaikki niputtavat nyt HTTPS-rikkovia mainosohjelmia.
LIITTYVÄT: Näin tapahtuu, kun asennat Top 10 Download.com -sovellusta
Superfish-fiasko alkoi, kun tutkijat huomasivat, että Lenovo-tietokoneisiin pakattu Superfish asensi Windowsiin väärennetyn juurivarmenteen, joka kaapasi olennaisesti kaiken HTTPS-selaamisen siten, että varmenteet näyttävät aina kelvollisilta, vaikka ne eivät olekaan, ja he tekivät sen sellaisessa epävarmalla tavalla, että mikä tahansa käsikirjoittaja-hakkeri voisi suorittaa saman.
Ja sitten he asentavat välityspalvelimen selaimeesi ja pakottavat kaikki selaimesi sen läpi, jotta he voivat lisätä mainoksia. Se on oikein, vaikka olisit yhteydessä pankkiisi, sairausvakuutussivustoosi tai mihin tahansa, minkä pitäisi olla turvallista. Ja et koskaan tiedä, koska he rikkoivat Windowsin salauksen näyttääkseen sinulle mainoksia.
Mutta surullinen, surullinen tosiasia on, että he eivät ole ainoat, jotka tekevät tätä - mainosohjelmat, kuten Wajam, Geniusbox, Content Explorer ja muut, tekevät kaikki samaa , asentamalla omat varmenteensa ja pakottamalla kaikki selaimesi (mukaan lukien HTTPS-salatut selausistunnot) käymään välityspalvelimensa kautta. Ja voit saada tartunnan tähän hölynpölyyn vain asentamalla kaksi 10 suosituimmasta sovelluksesta CNET-latauksiin.
Tärkeintä on, että et voi enää luottaa siihen vihreään lukkokuvakkeeseen selaimesi osoiterivillä. Ja se on pelottava, pelottava asia.
Kuinka HTTPS-kaappaava mainosohjelma toimii ja miksi se on niin huono
Kuten olemme aiemmin osoittaneet, jos teet valtavan jättimäisen virheen luottamalla CNET-latauksiin, saatat jo saada tartunnan tämän tyyppiseen mainosohjelmaan. Kaksi CNETin kymmenestä suurimmasta latauksesta (KMPlayer ja YTD) yhdistävät kaksi erityyppistä HTTPS-kaappaavaa mainosohjelmaa , ja tutkimuksessamme havaitsimme, että useimmat muut freeware-sivustot tekevät samaa.
Huomautus: asentajat ovat niin hankalia ja mutkikkaita, että emme ole varmoja kuka on teknisesti "niputtaminen", mutta CNET mainostaa näitä sovelluksia kotisivullaan, joten kyseessä on oikeastaan semantiikka. Jos suosittelet, että ihmiset lataavat jotain pahaa, olet yhtä vika. Olemme myös havainneet, että monet näistä mainosohjelmayrityksistä ovat salaa samat henkilöt, jotka käyttävät eri yritysnimiä.
Pelkästään CNET-latausten 10 parhaan luettelon latausnumeroiden perusteella miljoona ihmistä saa kuukausittain tartunnan mainosohjelmilla, jotka kaappaavat salatut verkkoistunnot pankkiinsa tai sähköposteihinsa tai mihin tahansa muuhun turvalliseen.
Jos teit virheen asentamalla KMPlayer-sovelluksen ja onnistut ohittamaan kaikki muut crapware-ohjelmat, sinulle näytetään tämä ikkuna. Ja jos napsautat vahingossa Hyväksy (tai napsautat väärää avainta), järjestelmäsi palaa.
Jos päädyit lataamaan jotain vielä hämmentävämmästä lähteestä, kuten suosikkihakukoneesi latausmainokset, näet kokonaisen luettelon tavaroista, jotka eivät ole hyviä. Ja nyt tiedämme, että monet heistä rikkovat HTTPS-varmenteen tarkistuksen kokonaan, jättäen sinut täysin haavoittuvaksi.
Kun olet saanut itsesi tartunnan johonkin näistä asioista, tapahtuu ensin, että se asettaa järjestelmän välityspalvelimen suorittamaan paikallisen välityspalvelimen, jonka se asentaa tietokoneellesi. Kiinnitä erityistä huomiota alla olevaan suojattuun kohtaan. Tässä tapauksessa se oli peräisin Wajam Internetin ”Enhancerilta”, mutta se voi olla Superfish tai Geniusbox tai jokin muista löydetyistä, ne kaikki toimivat samalla tavalla.
Kun siirryt suojatulle sivustolle, näet vihreän lukituskuvakkeen ja kaikki näyttää täysin normaalilta. Voit jopa napsauttaa lukkoa nähdäksesi yksityiskohdat, ja näyttää siltä, että kaikki on kunnossa. Käytät suojattua yhteyttä, ja jopa Google Chrome ilmoittaa, että olet yhteydessä Googleen suojatulla yhteydellä. Mutta et ole!
System Alerts LLC ei ole todellinen juurivarmenne, ja olet itse läpi Man-in-the-Middle-välityspalvelimen, joka lisää mainoksia sivuille (ja kuka tietää mitä muuta). Sinun pitäisi vain lähettää heille kaikki salasanasi, se olisi helpompaa.
Kun mainosohjelma on asennettu ja välittää kaiken liikenteen, alat nähdä todella ikäviä mainoksia kaikkialla. Nämä mainokset näkyvät suojatuilla sivustoilla, kuten Google, korvaamalla todelliset Google-mainokset, tai ne näkyvät ponnahdusikkunoina kaikkialla, valtaamalla kaikki sivustot.
Suurin osa tästä mainosohjelmasta näyttää mainoslinkkejä suoriin haittaohjelmiin. Joten vaikka mainosohjelma itsessään saattaa olla oikeudellinen haitta, ne mahdollistavat todella, todella huonoja juttuja.
He toteuttavat tämän asentamalla väärennetyt juurivarmenteet Windowsin varmentekauppaan ja välittämällä sitten suojatut yhteydet allekirjoittamalla ne väärennetyllä varmenteellaan.
Jos katsot Windows-varmenteet-paneelista, näet kaikenlaisia täysin kelvollisia varmenteita ... mutta jos tietokoneellesi on asennettu jonkinlainen mainosohjelma, näet väärennettyjä asioita, kuten System Alerts, LLC tai Superfish, Wajam tai kymmeniä muita väärennöksiä.
Vaikka olet saanut tartunnan ja poistanut haittaohjelman, varmenteet saattavat silti olla olemassa, mikä tekee sinusta haavoittuvan muille hakkereille, jotka ovat saattaneet purkaa yksityiset avaimet. Monet mainosohjelmien asentajat eivät poista varmenteita, kun poistat ne.
Ne ovat kaikki ihminen keskellä -hyökkäyksiä ja näin he työskentelevät
Jos tietokoneellasi on väärennettyjä juurivarmenteita asennettuna varmentekauppaan, olet nyt alttiina Man-in-the-Middle-hyökkäyksille. Tämä tarkoittaa sitä, että jos muodostat yhteyden julkiseen hotspotiin tai joku saa pääsyn verkkoosi tai onnistuu hakkeroimaan jotain ylävirtaan sinusta, he voivat korvata lailliset sivustot väärennetyillä sivustoilla. Tämä saattaa kuulostaa kauaskantoiselta, mutta hakkerit ovat pystyneet käyttämään DNS-kaappauksia joillakin verkon suurimmilla sivustoilla käyttäjien kaappaamiseksi väärennettyyn sivustoon.
Kun sinut on kaapattu, he voivat lukea kaikki yksittäiset asiat, jotka lähetät yksityiselle sivustolle - salasanat, yksityiset tiedot, terveystiedot, sähköpostit, sosiaaliturvatunnukset, pankkitiedot jne. Ja et koskaan tiedä, koska selaimesi kertoo sinulle että yhteys on suojattu.
Tämä toimii, koska julkisen avaimen salaus vaatii sekä julkisen että yksityisen avaimen. Julkiset avaimet asennetaan varmentekauppaan, ja yksityisen avaimen tulisi olla vain vierailemasi verkkosivuston tiedossa. Mutta kun hyökkääjät voivat kaapata juurivarmentesi ja pitää hallussaan sekä julkista että yksityistä avainta, he voivat tehdä mitä tahansa.
Superfishin tapauksessa he käyttivät samaa yksityistä avainta jokaisessa tietokoneessa, johon Superfish oli asennettu, ja muutamassa tunnissa turvallisuustutkijat pystyivät purkamaan yksityiset avaimet ja luoda verkkosivustoja testaa, oletko haavoittuvainen ja todista, että sinut voidaan kaapata. Wajamissa ja Geniusboxissa avaimet ovat erilaiset, mutta Content Explorer ja jotkut muut mainosohjelmat käyttävät samoja avaimia kaikkialla, mikä tarkoittaa, että tämä ongelma ei ole ainutlaatuinen Superfishille.
Se pahenee: Suurin osa tästä paska poistaa HTTPS-vahvistuksen käytöstä kokonaan
Juuri eilen tietoturvatutkijat löysivät vieläkin suuremman ongelman: Kaikki nämä HTTPS-välityspalvelimet estävät kaiken validoinnin ja näyttävät siltä, että kaikki on kunnossa.
Tämä tarkoittaa, että voit mennä HTTPS-verkkosivustolle, jolla on täysin virheellinen varmenne, ja tämä mainosohjelma kertoo sinulle, että sivusto on hieno. Testasimme aiemmin mainitsemamme mainosohjelman, ja ne kaikki poistavat HTTPS-vahvistuksen kokonaan käytöstä, joten ei ole väliä, ovatko yksityiset avaimet ainutlaatuisia vai eivät. Järkyttävän huono!
Kuka tahansa, johon on asennettu mainosohjelmia, on alttiina kaikenlaisille hyökkäyksille, ja monissa tapauksissa se on edelleen haavoittuva, vaikka mainosohjelma poistettaisiin.
Voit tarkistaa, oletko haavoittuvainen Superfish-, Komodia- tai virheellisille varmenteille turvallisuustutkijoiden luoman testisivuston , mutta kuten olemme jo osoittaneet, siellä on paljon enemmän mainosohjelmia, jotka tekevät samaa, ja tutkimuksemme mukaan asiat pahenevat edelleen.
Suojaa itsesi: Tarkista varmentepaneeli ja poista virheelliset merkinnät
Jos olet huolissasi, tarkista varmentesäilösi varmistaaksesi, että sinulla ei ole asennettuna mitään hahmottavia varmenteita, jotka jonkun välityspalvelin voisi myöhemmin aktivoida. Tämä voi olla hieman monimutkaista, koska siellä on paljon tavaraa, ja suurimman osan oletetaan olevan siellä. Meillä ei ole myöskään hyvää luetteloa siitä, mitä siellä ei pitäisi olla.
Käytä WIN + R vetääksesi Suorita-valintaikkunan ja kirjoita sitten "mmc" vetääksesi Microsoft Management Console -ikkunan. Käytä sitten Tiedosto -> Lisää / poista laajennuksia ja valitse sertifikaatit vasemmalla olevasta luettelosta ja lisää se sitten oikealle puolelle. Varmista, että valitset Tietokonetili seuraavasta valintaikkunasta ja napsauta sitten loput.
Haluat mennä luotettujen juurivarmentajien luo ja etsiä todella luonnollisia merkintöjä, kuten mikä tahansa näistä (tai mikä tahansa näiden kaltainen)
- Sendori
- Purelead
- Raketti-välilehti
- Super kala
- Katso tämä
- Pando
- Azam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler on laillinen kehittäjätyökalu, mutta haittaohjelma on kaapannut heidän sertifikaatinsa)
- System Alerts, LLC
- CE_UmbrellaCert
Napsauta hiiren kakkospainikkeella ja poista löytämäsi merkinnät. Jos näit jotain väärää testatessasi Googlea selaimessasi, muista poistaa myös se. Ole vain varovainen, koska jos poistat väärät asiat täältä, aiot rikkoa Windowsin.
Toivomme, että Microsoft julkaisee jotain tarkistamaan juurivarmenteet ja varmistaakseen, että vain hyvät ovat siellä. Teoreettisesti voit käyttää tämä Microsoftin luettelo Windowsin vaatimista varmenteista , ja sitten päivitä uusimpiin juurivarmenteisiin , mutta sitä ei ole vielä testattu tässä vaiheessa, emmekä todellakaan suosittele sitä ennen kuin joku testaa tämän.
Seuraavaksi sinun on avattava selain ja löydettävä siellä todennäköisesti välimuistissa olevat varmenteet. Google Chrome: siirry kohtaan Asetukset, Lisäasetukset ja sitten Hallitse varmenteita. Kohdassa Henkilökohtainen voit helposti napsauttaa Poista-painiketta virheellisistä varmenteista
Mutta kun siirryt Luotetut juurivarmentajat -palveluun, sinun on napsautettava Lisäasetukset ja poistettava sitten kaikki näkemäsi valinnat, jotta et enää anna oikeuksia tälle varmenteelle ...
Mutta se on hulluutta.
LIITTYVÄT: Älä yritä puhdistaa tartunnan saanutta tietokonetta! Nuke se ja asenna Windows uudelleen
Siirry Lisäasetukset-ikkunan alaosaan ja napsauta Nollaa asetukset palauttaaksesi Chromen kokonaan oletusasetuksiin. Tee sama muille käyttämillesi selaimille tai poista asennus kokonaan, pyyhi kaikki asetukset ja asenna se sitten uudelleen.
Jos se on vaikuttanut tietokoneeseesi, olet todennäköisesti parempi suorittamalla täysin puhtaan Windowsin asennuksen . Varmista, että varmuuskopioit kaikki asiakirjat ja kuvat.
Joten miten suojaat itseäsi?
On lähes mahdotonta suojella itseäsi täysin, mutta tässä on muutama järki-ohje, joka auttaa sinua:
- Tarkista Superfish / Komodia / Sertifikaatin validointitesti .
- Ota käyttöön napsautettava toisto selaimesi laajennuksille , joka tulee auttaa suojaamaan sinua kaikilta nollapäivän salamilta ja muita olemassa olevia laajennusten turva-aukkoja.
- Olla todella varovainen mitä lataat ja yritä käytä Niniteä, kun sinun on ehdottomasti pakko .
- Kiinnitä huomiota siihen, mitä napsautat.
- Harkitse käyttöä Microsoftin Enhanced Mitigation Experience Toolkit (EMET) tai Malwarebytes Anti-Exploit suojaamaan selainta ja muita kriittisiä sovelluksia tietoturva-aukkoilta ja nollapäivän hyökkäyksiltä.
- Varmista, että kaikki ohjelmistot, laajennukset ja virustorjunta pysyvät ajan tasalla ja joka sisältää myös Windows-päivitykset .
Mutta se on erittäin paljon työtä, kun haluat vain selata Internetiä kaappaamatta. Se on kuin tekisit TSA: n kanssa.
Windows-ekosysteemi on crapware-ohjelmien kavalkadi. Ja nyt Internetin perusturva on rikki Windows-käyttäjille. Microsoftin on korjattava tämä.
