Страшно быть пользователем Windows. Lenovo добавила рекламное ПО Superfish для перехвата HTTPS , Comodo поставляется с еще худшей дырой в безопасности под названием PrivDog, а также десятки других приложений как LavaSoft делают то же самое. Это действительно плохо, но если вы хотите, чтобы ваши зашифрованные веб-сеансы были взломаны, просто зайдите на CNET Downloads или на любой бесплатный сайт, потому что все они теперь объединяют рекламное ПО, нарушающее HTTPS.
СВЯЗАННЫЕ С: Вот что происходит, когда вы устанавливаете 10 лучших приложений Download.com
Фиаско Superfish началось, когда исследователи заметили, что Superfish, поставляемый в комплекте с компьютерами Lenovo, устанавливал в Windows поддельный корневой сертификат, который, по сути, перехватывает весь просмотр HTTPS, так что сертификаты всегда выглядят действительными, даже если это не так, и они сделали это в такой ситуации. небезопасный способ, которым любой скриптовый хакер может сделать то же самое.
А затем они устанавливают прокси в ваш браузер и заставляют весь ваш просмотр через него, чтобы они могли вставлять рекламу. Это верно, даже если вы подключаетесь к своему банку, сайту медицинского страхования или где-либо еще, что должно быть безопасным. И вы никогда не узнаете, потому что они взломали шифрование Windows, чтобы показывать вам рекламу.
Но печальный, печальный факт состоит в том, что это делают не только они - рекламное ПО, такое как Wajam, Geniusbox, Content Explorer и другие, делают одно и то же. , устанавливая свои собственные сертификаты и заставляя весь ваш просмотр (включая сеансы просмотра с шифрованием HTTPS) проходить через их прокси-сервер. И вы можете заразиться этой ерундой, просто установив два из 10 лучших приложений на CNET Downloads.
Суть в том, что вы больше не можете доверять этому зеленому значку замка в адресной строке браузера. И это страшно, страшно.
Как работает рекламное ПО с перехватом HTTPS и почему это так плохо
Как мы показали ранее, если вы совершите огромную ошибку, доверяя загрузкам CNET, вы уже можете заразиться этим типом рекламного ПО. Две из десяти самых популярных загрузок на CNET (KMPlayer и YTD) объединяют два разных типа рекламного ПО для перехвата HTTPS. , и в нашем исследовании мы обнаружили, что большинство других бесплатных сайтов делают то же самое.
Примечание: установщики настолько хитры и запутаны, что мы не уверены, кто технически выполняет «объединение», но CNET продвигает эти приложения на своей домашней странице, так что это действительно вопрос семантики. Если вы рекомендуете людям скачивать что-то плохое, вы тоже виноваты. Мы также обнаружили, что многие из этих компаний, производящих рекламное ПО, тайно являются одними и теми же людьми, использующими разные названия компаний.
Судя по количеству загрузок из топ-10 списка только на CNET Downloads, миллион человек ежемесячно заражаются рекламным ПО, которое перехватывает их зашифрованные веб-сеансы в их банке, электронной почте или во всем, что должно быть защищено.
Если вы допустили ошибку при установке KMPlayer и вам удалось проигнорировать все остальное вредоносное ПО, вы увидите это окно. И если вы случайно нажмете «Принять» (или нажмете не ту клавишу), ваша система будет загружена.
Если вы в конечном итоге загрузили что-то из еще более отрывочного источника, например, загружаемых объявлений в любимой поисковой системе, вы увидите целый список плохих вещей. И теперь мы знаем, что многие из них собираются полностью нарушить проверку сертификата HTTPS, оставив вас полностью уязвимыми.
Как только вы заразитесь какой-либо из этих вещей, первое, что произойдет, это то, что ваш системный прокси будет настроен на работу через локальный прокси, который он устанавливает на ваш компьютер. Обратите особое внимание на пункт «Безопасность» ниже. В данном случае это было от Wajam Internet «Enhancer», но это может быть Superfish, Geniusbox или любой другой, найденный нами, все они работают одинаково.
Когда вы переходите на сайт, который должен быть безопасным, вы увидите зеленый значок замка, и все будет выглядеть нормально. Вы даже можете нажать на замок, чтобы увидеть детали, и окажется, что все в порядке. Вы используете безопасное соединение, и даже Google Chrome сообщит, что вы подключены к Google через безопасное соединение. Но это не так!
System Alerts LLC не является настоящим корневым сертификатом, и вы фактически проходите через прокси-сервер Man-in-the-Middle, который вставляет рекламу на страницы (и неизвестно через что еще). Просто отправьте им все свои пароли по электронной почте, так будет проще.
Как только рекламное ПО будет установлено и будет направлять весь ваш трафик через прокси, вы начнете видеть повсюду действительно неприятную рекламу. Эти объявления отображаются на защищенных сайтах, таких как Google, заменяя фактическую рекламу Google, или они появляются в виде всплывающих окон повсюду, захватывая каждый сайт.
Большая часть этого рекламного ПО показывает «рекламные» ссылки на откровенное вредоносное ПО. Таким образом, хотя рекламное ПО само по себе может быть проблемой с законом, оно позволяет использовать действительно очень плохие вещи.
Для этого они устанавливают свои поддельные корневые сертификаты в хранилище сертификатов Windows и затем проксируют безопасные соединения, подписывая их своим поддельным сертификатом.
Если вы посмотрите на панель сертификатов Windows, вы увидите всевозможные полностью действующие сертификаты ... но если на вашем компьютере установлено рекламное ПО определенного типа, вы увидите фальшивые вещи, такие как System Alerts, LLC или Superfish, Wajam или десятки других подделок.
Даже если вы были заражены, а затем удалили вредоносное ПО, сертификаты все еще могут быть там, что делает вас уязвимыми для других хакеров, которые могли извлечь закрытые ключи. Многие установщики рекламного ПО не удаляют сертификаты при их удалении.
Все они - атаки типа "человек посередине", и вот как они работают
Если на вашем компьютере установлены поддельные корневые сертификаты в хранилище сертификатов, вы теперь уязвимы для атак Man-in-the-Middle. Это означает, что если вы подключаетесь к общедоступной точке доступа, или кто-то получает доступ к вашей сети, или ему удается взломать что-то от вас, они могут заменить законные сайты поддельными сайтами. Это может показаться неправдоподобным, но хакеры смогли использовать перехваты DNS на некоторых из крупнейших сайтов в Интернете, чтобы перехватить пользователей на поддельный сайт.
После того, как вас угнали, они смогут прочитать все, что вы отправляете на частный сайт - пароли, личную информацию, медицинскую информацию, электронные письма, номера социального страхования, банковскую информацию и т. Д. И вы никогда не узнаете, потому что ваш браузер сообщит вам что ваше соединение безопасно.
Это работает, потому что для шифрования с открытым ключом требуется как открытый ключ, так и закрытый ключ. Открытые ключи устанавливаются в хранилище сертификатов, а закрытый ключ должен быть известен только веб-сайту, который вы посещаете. Но когда злоумышленники могут захватить ваш корневой сертификат и удерживать как открытый, так и закрытый ключи, они могут делать все, что захотят.
В случае Superfish они использовали один и тот же закрытый ключ на каждом компьютере, на котором была установлена Superfish, и в течение нескольких часов исследователи безопасности смогли извлечь приватные ключи и создавать сайты для проверить, уязвимы ли вы , и докажите, что вас могут угнать. Для Wajam и Geniusbox ключи разные, но Content Explorer и некоторые другие рекламные программы также везде используют одни и те же ключи, что означает, что эта проблема не уникальна для Superfish.
Становится хуже: большая часть этой чепухи полностью отключает проверку HTTPS
Буквально вчера исследователи безопасности обнаружили еще большую проблему: все эти прокси-серверы HTTPS отключают все проверки, делая вид, что все в порядке.
Это означает, что вы можете перейти на веб-сайт HTTPS с полностью недействительным сертификатом, и это рекламное ПО сообщит вам, что с сайтом все в порядке. Мы протестировали рекламное ПО, о котором упоминали ранее, и все они полностью отключают проверку HTTPS, поэтому не имеет значения, уникальны ли закрытые ключи или нет. Шокирующе плохо!
Любой, у кого установлено рекламное ПО, уязвим для всех видов атак, и во многих случаях остается уязвимым даже после удаления рекламного ПО.
Вы можете проверить, уязвимы ли вы для Superfish, Komodia или проверки недействительных сертификатов, используя тестовый сайт, созданный исследователями безопасности , но, как мы уже показали, существует гораздо больше рекламного ПО, делающего то же самое, и, судя по нашим исследованиям, ситуация будет ухудшаться.
Защитите себя: проверьте панель сертификатов и удалите плохие записи
Если вы беспокоитесь, вам следует проверить свое хранилище сертификатов, чтобы убедиться, что у вас не установлены отрывочные сертификаты, которые впоследствии могут быть активированы чьим-либо прокси-сервером. Это может быть немного сложно, потому что там много всего, и большая часть должна быть там. У нас также нет хорошего списка того, что должно и чего не должно быть.
Используйте WIN + R, чтобы открыть диалоговое окно «Выполнить», а затем введите «mmc», чтобы открыть окно консоли управления Microsoft. Затем используйте File -> Add / Remove Snap-ins и выберите Certificates из списка слева, а затем добавьте его в правую часть. Обязательно выберите «Учетная запись компьютера» в следующем диалоговом окне, а затем щелкните остальные.
Вам нужно перейти в доверенные корневые центры сертификации и найти действительно отрывочные записи, подобные любой из этих (или что-то подобное)
- Сендори
- Purelead
- Вкладка Ракета
- Супер рыба
- Посмотрите это
- Пандо
- Азам
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler - законный инструмент разработчика, но вредоносное ПО захватило их сертификат)
- Системные оповещения, ООО
- CE_UmbrellaCert
Щелкните правой кнопкой мыши и удалите любую из найденных записей. Если вы увидели что-то неправильное при тестировании Google в своем браузере, обязательно удалите и это. Просто будьте осторожны, потому что, если вы удалите здесь неправильные вещи, вы сломаете Windows.
Мы надеемся, что Microsoft выпустит что-нибудь, чтобы проверить ваши корневые сертификаты и убедиться, что там есть только хорошие. Теоретически вы могли бы использовать этот список от Microsoft сертификатов, требуемых Windows , а потом обновить до последних корневых сертификатов , но на данный момент это полностью непроверено, и мы действительно не рекомендуем его, пока кто-нибудь не проверит.
Затем вам нужно открыть веб-браузер и найти сертификаты, которые, вероятно, там хранятся в кеше. В Google Chrome выберите «Настройки», «Дополнительные настройки», а затем «Управление сертификатами». В разделе "Личный" вы можете легко нажать кнопку "Удалить" на всех плохих сертификатах ...
Но когда вы перейдете в Trusted Root Certification Authorities, вам нужно будет нажать Advanced, а затем снять все флажки, которые вы видите, чтобы перестать предоставлять разрешения для этого сертификата ...
Но это безумие.
СВЯЗАННЫЕ С: Прекратите пытаться очистить зараженный компьютер! Просто установите ядерную бомбу и переустановите Windows
Перейдите в нижнюю часть окна «Дополнительные настройки» и нажмите «Сбросить настройки», чтобы полностью восстановить настройки Chrome по умолчанию. Сделайте то же самое для любого другого браузера, который вы используете, или полностью удалите его, удалив все настройки, а затем установите его снова.
Если ваш компьютер пострадал, вам, вероятно, лучше делать полностью чистую установку Windows . Просто убедитесь, что сделали резервную копию ваших документов, изображений и всего такого.
Так как же защитить себя?
Практически невозможно полностью защитить себя, но вот несколько здравых советов, которые помогут вам:
- Проверить Superfish / Komodia / Сертификационный испытательный полигон .
- Включите Click-To-Play для плагинов в вашем браузере , который будет помочь защитить вас от всех этих вспышек нулевого дня и другие дыры в безопасности плагинов.
- Быть очень осторожно, что вы скачиваете и попытаться используйте Ninite, когда вам абсолютно необходимо .
- Каждый раз обращайте внимание на то, что вы нажимаете.
- Рассмотрите возможность использования Набор инструментов Microsoft Enhanced Mitigation Experience Toolkit (EMET) или Malwarebytes Anti-Exploit чтобы защитить ваш браузер и другие важные приложения от дыр в безопасности и атак нулевого дня.
- Убедитесь, что все ваше программное обеспечение, плагины и антивирус остаются обновленными, и который также включает обновления Windows .
Но это ужасно много работы для того, чтобы просто просматривать веб-страницы и не быть взломанными. Это как иметь дело с TSA.
Экосистема Windows - это кавалькада вредоносного ПО. И теперь фундаментальная безопасность Интернета для пользователей Windows нарушена. Microsoft необходимо это исправить.
