Det er en skummel tid å være Windows-bruker. Lenovo samlet HTTPS-kapring Superfish adware , Comodo leveres med et enda verre sikkerhetshull kalt PrivDog, og dusinvis av andre apper som LavaSoft gjør det samme. Det er veldig ille, men hvis du vil at de krypterte websesjonene dine skal kapres, er det bare å gå til CNET-nedlastinger eller et hvilket som helst freeware-nettsted, fordi de alle pakker HTTPS-brytende adware nå.
I SLEKT: Her er hva som skjer når du installerer de 10 beste appene til Download.com
Superfish-fiaskoen begynte da forskere la merke til at Superfish, samlet på Lenovo-datamaskiner, installerte et falskt rotsertifikat i Windows som i hovedsak kaprer all HTTPS-surfing, slik at sertifikatene alltid ser gyldige ut, selv om de ikke er det, og de gjorde det i en slik usikker måte at enhver manuell kiddiehacker kunne oppnå det samme.
Og så installerer de en proxy i nettleseren din og tvinger all din surfing gjennom den slik at de kan sette inn annonser. Det er riktig, selv når du kobler til banken din, eller helseforsikringssiden, eller hvor som helst som skal være sikker. Og du ville aldri vite, fordi de brøt Windows-kryptering for å vise deg annonser.
Men det triste, triste faktum er at de ikke er de eneste som gjør dette - adware som Wajam, Geniusbox, Content Explorer og andre gjør alle nøyaktig det samme , installere egne sertifikater og tvinge all surfing (inkludert HTTPS-krypterte surfesessioner) til å gå gjennom proxy-serveren. Og du kan bli smittet med dette tullet bare ved å installere to av de 10 beste appene på CNET-nedlastinger.
Poenget er at du ikke lenger kan stole på det grønne låsikonet i nettleserens adressefelt. Og det er en skummel, skummel ting.
Hvordan HTTPS-kapring adware fungerer, og hvorfor det er så ille
Som vi har vist før, hvis du gjør den enorme store feilen med å stole på CNET-nedlastinger, kan du allerede være smittet med denne typen adware. To av de ti beste nedlastningene på CNET (KMPlayer og YTD) pakker to forskjellige typer HTTPS-kapring adware , og i forskningen fant vi at de fleste andre freeware-nettsteder gjør det samme.
Merk: installatørene er så vanskelige og innviklede at vi ikke er sikre på hvem det er teknisk sett gjør "bundling", men CNET markedsfører disse appene på hjemmesiden deres, så det er virkelig et spørsmål om semantikk. Hvis du anbefaler folk å laste ned noe som er dårlig, har du like feil. Vi har også funnet ut at mange av disse adware-selskapene i hemmelighet er de samme personene som bruker forskjellige firmanavn.
Basert på nedlastingsnumrene fra topp 10-listen på CNET-nedlastinger alene, blir en million mennesker smittet hver måned med adware som kaprer sine krypterte websessioner til banken eller e-posten eller noe som skal være sikkert.
Hvis du gjorde feilen ved å installere KMPlayer, og du klarer å ignorere all annen crapware, vil du bli presentert for dette vinduet. Og hvis du ved et uhell klikker på Godta (eller treffer feil nøkkel) vil systemet ditt være pwned.
Hvis du endte med å laste ned noe fra en enda mer sketchy kilde, som nedlastingsannonsene i favorittsøkemotoren din, ser du en hel liste over ting som ikke er bra. Og nå vet vi at mange av dem kommer til å bryte HTTPS-sertifikatvalidering fullstendig, slik at du blir helt sårbar.
Når du først er smittet med en av disse tingene, er det første som skjer at den setter systemproxyen din til å kjøre gjennom en lokal proxy som den installerer på datamaskinen din. Vær spesielt oppmerksom på "Sikker" -delen nedenfor. I dette tilfellet var det fra Wajam Internet “Enhancer”, men det kan være Superfish eller Geniusbox eller noen av de andre vi har funnet, de fungerer alle på samme måte.
Når du går til et nettsted som skal være sikkert, ser du det grønne låsikonet, og alt ser helt normalt ut. Du kan til og med klikke på låsen for å se detaljene, og det ser ut til at alt er bra. Du bruker en sikker tilkobling, og til og med Google Chrome rapporterer at du er koblet til Google med en sikker tilkobling. Men det er du ikke!
System Alerts LLC er ikke et ekte rotsertifikat, og du går faktisk gjennom en Man-in-the-Middle proxy som setter inn annonser på sider (og hvem vet hva mer). Du bør bare sende dem alle passordene dine, det ville være lettere.
Når adware er installert og proxy all trafikken din, vil du begynne å se virkelig motbydelige annonser overalt. Disse annonsene vises på sikre nettsteder, som Google, og erstatter de faktiske Google-annonsene, eller de vises som popup-vinduer overalt og tar over hvert nettsted.
Det meste av dette adware viser "ad" lenker til direkte malware. Så selv om adware i seg selv kan være en juridisk plage, aktiverer de noen virkelig, veldig dårlige ting.
De oppnår dette ved å installere sine falske rotsertifikater i Windows-sertifikatbutikken og deretter proxye de sikre tilkoblingene mens de signerer dem med deres falske sertifikat.
Hvis du ser i Windows-sertifikatpanelet, kan du se alle slags helt gyldige sertifikater ... men hvis PCen din har noen form for adware installert, vil du se falske ting som System Alerts, LLC eller Superfish, Wajam eller dusinvis av andre forfalskninger.
Selv om du har blitt smittet og deretter fjernet skadelig programvare, kan sertifikatene fremdeles være der, noe som gjør deg sårbar overfor andre hackere som kan ha hentet de private nøklene. Mange av installasjonsprogrammene for adware fjerner ikke sertifikatene når du avinstallerer dem.
De er alle menneske-i-midten-angrep og her er hvordan de fungerer
Hvis PC-en din har falske rotsertifikater installert i sertifikatbutikken, er du nå sårbar for Man-in-the-Middle-angrep. Hva dette betyr er at hvis du kobler deg til et offentlig hotspot, eller noen får tilgang til nettverket ditt, eller klarer å hacke noe oppstrøms fra deg, kan de erstatte legitime nettsteder med falske nettsteder. Dette høres kanskje fjernt ut, men hackere har kunnet bruke DNS-kapring på noen av de største nettstedene på nettet for å kapre brukere til et falskt nettsted.
Når du er kapret, kan de lese hver eneste ting du sender til et privat nettsted - passord, privat informasjon, helseinformasjon, e-post, personnummer, bankinformasjon osv. Og du vet aldri fordi nettleseren din vil fortelle deg at forbindelsen din er sikker.
Dette fungerer fordi kryptering av offentlig nøkkel krever både en offentlig nøkkel og en privat nøkkel. De offentlige nøklene er installert i sertifikatbutikken, og den private nøkkelen skal bare være kjent av nettstedet du besøker. Men når angripere kan kapre rotsertifikatet ditt og ha både offentlige og private nøkler, kan de gjøre hva de vil.
Når det gjelder Superfish, brukte de den samme private nøkkelen på hver datamaskin som Superfish har installert, og innen få timer har sikkerhetsforskere klarte å trekke ut de private nøklene og lage nettsteder til test om du er sårbar , og bevis at du kan bli kapret. For Wajam og Geniusbox er tastene forskjellige, men Content Explorer og annen adware bruker også de samme tastene overalt, noe som betyr at dette problemet ikke er unikt for Superfish.
Det blir verre: Det meste av denne dritten deaktiverer HTTPS-validering helt
Bare i går oppdaget sikkerhetsforskere et enda større problem: Alle disse HTTPS-fullmaktene deaktiverer all validering mens de får det til å se ut som om alt bare er bra.
Det betyr at du kan gå til et HTTPS-nettsted som har et helt ugyldig sertifikat, og dette adware vil fortelle deg at nettstedet er helt fint. Vi testet adware som vi nevnte tidligere, og de deaktiverer HTTPS-validering helt, så det spiller ingen rolle om de private nøklene er unike eller ikke. Sjokkerende ille!
Alle med adware installert er sårbare for alle slags angrep, og i mange tilfeller fortsetter å være sårbare selv når adware fjernes.
Du kan sjekke om du er sårbar for Superfish, Komodia eller ugyldig sertifikatkontroll ved hjelp av teststedet opprettet av sikkerhetsforskere , men som vi allerede har demonstrert, er det mye mer adware der ute som gjør det samme, og fra vår forskning vil ting fortsette å bli verre.
Beskytt deg selv: Kontroller sertifikatpanelet og slett dårlige oppføringer
Hvis du er bekymret, bør du sjekke sertifikatbutikken for å forsikre deg om at du ikke har skisserte sertifikater installert som senere kan aktiveres av noen proxy-server. Dette kan være litt komplisert, fordi det er mange ting der inne, og det meste skal være der. Vi har heller ikke en god liste over hva som skal og ikke bør være der.
Bruk WIN + R til å trekke opp dialogboksen Kjør, og skriv deretter “mmc” for å trekke opp et Microsoft Management Console-vindu. Bruk deretter Fil -> Legg til / fjern snapin-moduler og velg Sertifikater fra listen til venstre, og legg det deretter til på høyre side. Sørg for å velge Datakonto i neste dialog, og klikk deretter resten.
Du vil gå til Trusted Root Certification Authorities og se etter virkelig sketchy oppføringer som noen av disse (eller noe lignende til disse)
- Sendori
- Purelead
- Rocket Tab
- Super fisk
- Se på dette
- Pando
- Azam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler er et legitimt utviklerverktøy, men skadelig programvare har kapret sertifikatet sitt)
- Systemvarsler, LLC
- CE_UmbrellaCert
Høyreklikk og slett noen av oppføringene du finner. Hvis du så noe feil da du testet Google i nettleseren din, må du også slette den. Bare vær forsiktig, for hvis du sletter feil ting her, kommer du til å ødelegge Windows.
Vi håper at Microsoft slipper noe for å sjekke rotsertifikatene dine og sørge for at bare gode er der. Teoretisk sett kan du bruke denne listen fra Microsoft over sertifikatene som kreves av Windows , og så oppdater til de siste rotsertifikatene , men det er helt uprøvd på dette tidspunktet, og vi anbefaler det virkelig ikke før noen tester dette.
Deretter må du åpne nettleseren din og finne sertifikatene som sannsynligvis er bufret der. For Google Chrome, gå til Innstillinger, Avanserte innstillinger og deretter Administrer sertifikater. Under Personlig kan du enkelt klikke på Fjern-knappen på eventuelle dårlige sertifikater ...
Men når du går til Trusted Root Certification Authorities, må du klikke Advanced og deretter fjerne merket for alt du ser for å slutte å gi tillatelser til det sertifikatet ...
Men det er galskap.
I SLEKT: Slutt å prøve å rense den infiserte datamaskinen! Bare Nuke det og installer Windows på nytt
Gå til bunnen av vinduet Avanserte innstillinger og klikk på Tilbakestill innstillinger for å tilbakestille Chrome helt til standardinnstillinger. Gjør det samme for hvilken som helst annen nettleser du bruker, eller avinstaller, tørk av alle innstillingene, og installer den igjen.
Hvis datamaskinen din har blitt berørt, har du sannsynligvis det bedre gjør en helt ren installasjon av Windows . Bare sørg for å sikkerhetskopiere dokumentene og bildene dine og alt dette.
Så hvordan beskytter du deg selv?
Det er nesten umulig å beskytte deg selv, men her er noen retningslinjer for sunn fornuft som hjelper deg:
- Undersøk Superfish / Komodia / Certification validation test site .
- Aktiver Click-to-Play for plugins i nettleseren din , som vil bidra til å beskytte deg mot alle disse null-dagers Flash og andre pluginsikkerhetshull det er.
- Være veldig forsiktig med hva du laster ned og prøv å bruk Ninite når du absolutt må .
- Vær oppmerksom på hva du klikker når du klikker.
- Vurder å bruke Microsofts Enhanced Mitigation Experience Toolkit (EMET) eller Malwarebytes Anti-Exploit for å beskytte nettleseren din og andre kritiske applikasjoner mot sikkerhetshull og null-dagers angrep.
- Forsikre deg om at all programvaren, programtilleggene og antivirusprogrammet holder deg oppdatert, og som også inkluderer Windows-oppdateringer .
Men det er veldig mye arbeid for bare å ville surfe på nettet uten å bli kapret. Det er som å håndtere TSA.
Windows-økosystemet er en kavalkade av crapware. Og nå er den grunnleggende sikkerheten til Internett ødelagt for Windows-brukere. Microsoft må fikse dette.
