Download.com и другие Bundle Superfish в стиле HTTPS для взлома рекламного ПО
Это страшное время для пользователя Windows. Lenovo поставляла рекламное ПО Superfish для угона HTTPS, Comodo поставляется с еще более серьезной дырой в безопасности под названием PrivDog, и десятки других приложений, таких как LavaSoft, делают то же самое. Это действительно плохо, но если вы хотите, чтобы ваши зашифрованные веб-сеансы были перехвачены, просто зайдите на CNET Downloads или на любой бесплатный сайт, потому что все они сейчас поставляют рекламное ПО, нарушающее HTTPS..
Катастрофа Superfish началась, когда исследователи заметили, что Superfish, поставляемый на компьютерах Lenovo, устанавливал поддельный корневой сертификат в Windows, который, по сути, захватывает весь просмотр HTTPS, так что сертификаты всегда выглядят действительными, даже если это не так, и они сделали это таким образом. небезопасный способ, которым любой скрипт хакер-детектив может выполнить то же самое.
А затем они устанавливают прокси в ваш браузер и заставляют вас просматривать его, чтобы они могли вставлять рекламу. Это верно, даже когда вы подключаетесь к своему банку, сайту медицинского страхования или в любом другом безопасном месте. И вы никогда не узнаете, потому что они сломали шифрование Windows, чтобы показать вам рекламу.
Но грустный, печальный факт заключается в том, что они не единственные, кто делает это - рекламные программы, такие как Wajam, Geniusbox, Content Explorer и другие, делают одно и то же, устанавливая свои собственные сертификаты и заставляя весь ваш просмотр (включая сеансы просмотра с шифрованием HTTPS) проходить через их прокси-сервер. И вы можете заразиться этой ерундой, просто установив два из 10 лучших приложений в загрузках CNET.
Суть в том, что вы больше не можете доверять этому зеленому значку блокировки в адресной строке браузера. И это страшно, страшно.
Как HTTPS-угон Adware работает, и почему это так плохо
Хм, мне нужно, чтобы вы пошли дальше и закрыли эту вкладку. Mmkay?Как мы показали ранее, если вы совершите огромную ошибку, доверяя загрузкам CNET, вы уже можете быть заражены этим типом рекламного ПО.. Две из десяти лучших загрузок на CNET (KMPlayer и YTD) объединяют два разных типа HTTPS-хакерского рекламного ПО, и в нашем исследовании мы обнаружили, что большинство других бесплатных сайтов делают то же самое.
Замечания: Инсталляторы настолько хитры и запутаны, что мы не уверены, кто технически делает «связывание», но CNET продвигает эти приложения на своей домашней странице, так что это действительно вопрос семантики. Если вы рекомендуете людям загружать что-то плохое, вы в равной степени виноваты. Мы также обнаружили, что многие из этих рекламных компаний являются тайными людьми, использующими разные названия компаний..
Исходя из числа загрузок из топ-10 в списке только загрузок CNET, каждый месяц миллионы людей заражаются рекламным ПО, которое перехватывает их зашифрованные веб-сеансы в их банк, или по электронной почте, или с помощью чего-либо, что должно быть безопасным..
Если вы допустили ошибку при установке KMPlayer и вам удалось проигнорировать все остальное программное обеспечение, вы увидите это окно. И если вы случайно нажмете «Принять» (или нажмете не ту клавишу), ваша система будет взломана.
Скачать сайты должно быть стыдно за себя.Если вы закончили скачивать что-то из еще более схематичного источника, например, из объявлений о загрузке в вашей любимой поисковой системе, вы увидите целый список вещей, которые не очень хороши. И теперь мы знаем, что многие из них полностью нарушат проверку сертификата HTTPS, оставляя вас полностью уязвимым.
Lavasoft Web Companion также нарушает HTTPS-шифрование, но этот пакет также установил рекламное ПО.Как только вы заражаетесь какой-либо из этих вещей, первое, что происходит, - это то, что он настраивает ваш системный прокси для запуска через локальный прокси, который он устанавливает на ваш компьютер. Обратите особое внимание на пункт «Безопасный» ниже. В данном случае это был интернет-браузер Wajam «Enhancer», но это может быть Superfish, Geniusbox или любой другой найденный нами, все они работают одинаково.
Иронично, что Lenovo использовала слово «улучшать», чтобы описать Superfish.Когда вы перейдете на сайт, который должен быть защищенным, вы увидите зеленый значок замка, и все будет выглядеть совершенно нормально. Вы можете даже нажать на замок, чтобы увидеть детали, и окажется, что все в порядке. Вы используете безопасное соединение, и даже Google Chrome сообщит, что вы подключены к Google с помощью безопасного соединения. Но ты не!
System Alerts LLC не является настоящим корневым сертификатом, и вы на самом деле проходите прокси-сервер «Человек посередине», который вставляет рекламу в страницы (и кто знает, что еще). Вы должны просто отправить им по электронной почте все ваши пароли, это будет проще.
Системное предупреждение: Ваша система взломана.Как только рекламное ПО будет установлено и проксирует весь ваш трафик, вы начнете видеть действительно неприятную рекламу повсюду. Эти объявления показываются на защищенных сайтах, таких как Google, заменяя настоящие объявления Google, или они появляются в виде всплывающих окон повсюду, захватывая каждый сайт..
Я хотел бы мой Google без ссылок вредоносных программ, спасибо.Большая часть этого рекламного программного обеспечения показывает «рекламные» ссылки на прямые вредоносные программы. Таким образом, хотя рекламное ПО само по себе может быть неприятным с точки зрения закона, оно допускает некоторые действительно очень плохие вещи..
Они достигают этого, устанавливая свои поддельные корневые сертификаты в хранилище сертификатов Windows, а затем проксируя безопасные соединения, подписывая их своим поддельным сертификатом..
Если вы заглянете в панель «Сертификаты Windows», вы увидите все виды полностью действительных сертификатов… но если на вашем компьютере установлено какое-либо рекламное ПО, вы увидите поддельные вещи, такие как System Alerts, LLC или Superfish, Wajam или десятки других подделок.
Это от корпорации Амбрелла?Даже если вы были заражены, а затем удалили вредоносное ПО, сертификаты все еще могут быть там, что делает вас уязвимым для других хакеров, которые могли извлечь секретные ключи. Многие из установщиков рекламного ПО не удаляют сертификаты при их удалении..
Это все атаки типа «человек посередине», и вот как они работают
Это из реальной живой атаки удивительного исследователя безопасности Роба ГрэмаЕсли на вашем компьютере установлены поддельные корневые сертификаты, установленные в хранилище сертификатов, вы теперь уязвимы для атак «Человек посередине». Это означает, что если вы подключаетесь к общедоступной точке доступа, или кто-то получает доступ к вашей сети, или ему удается взломать что-то от вас, они могут заменить законные сайты поддельными сайтами. Это может показаться надуманным, но хакеры смогли использовать DNS-взломщики на некоторых из крупнейших сайтов в Интернете, чтобы перехватить пользователей на поддельный сайт.
После того, как вас угнали, они могут прочитать все, что вы отправляете на частный сайт - пароли, личную информацию, информацию о здоровье, электронную почту, номера социального страхования, банковскую информацию и т. Д. И вы никогда не узнаете, потому что ваш браузер скажет вам что ваше соединение безопасно.
Это работает, потому что для шифрования с открытым ключом требуется как открытый ключ, так и закрытый ключ. Открытые ключи устанавливаются в хранилище сертификатов, а закрытый ключ должен быть известен только веб-сайту, который вы посещаете. Но когда злоумышленники могут взломать ваш корневой сертификат и держать открытый и закрытый ключи, они могут делать все, что захотят.
В случае с Superfish они использовали один и тот же закрытый ключ на каждом компьютере, на котором установлен Superfish, и в течение нескольких часов исследователи безопасности смогли извлечь закрытые ключи и создать веб-сайты, чтобы проверить, уязвимы ли вы, и доказать, что вы могли быть угнанным. Для Wajam и Geniusbox ключи разные, но Content Explorer и некоторые другие рекламные программы также везде используют одни и те же ключи, что означает, что эта проблема не является уникальной для Superfish..
Хуже: большая часть этой хрени полностью отключает проверку HTTPS
Буквально вчера исследователи безопасности обнаружили еще большую проблему: все эти прокси-серверы HTTPS отключают всю проверку, в то время как все выглядит нормально.
Это означает, что вы можете перейти на веб-сайт HTTPS с абсолютно недействительным сертификатом, и это рекламное ПО сообщит вам, что с сайтом все в порядке. Мы протестировали рекламное ПО, о котором упоминали ранее, и все они полностью отключают проверку HTTPS, поэтому не имеет значения, являются ли закрытые ключи уникальными или нет. Шокирующе плохо!
Все это рекламное ПО полностью нарушает проверку сертификатов..Любой, у кого установлено рекламное ПО, уязвим для всех видов атак, и во многих случаях продолжает оставаться уязвимым даже после удаления рекламного ПО..
Вы можете проверить, уязвимы ли вы для Superfish, Komodia или проверки недействительных сертификатов, используя тестовый сайт, созданный исследователями безопасности, но, как мы уже продемонстрировали, гораздо больше рекламного ПО делает то же самое, и из наших исследований , вещи будут продолжать ухудшаться.
Защитите себя: проверьте панель сертификатов и удалите ошибочные записи
Если вы беспокоитесь, вам следует проверить хранилище сертификатов, чтобы убедиться, что у вас не установлены какие-либо отрывочные сертификаты, которые впоследствии могут быть активированы прокси-сервером. Это может быть немного сложно, потому что там много чего есть, и большая часть должна быть там. У нас также нет хорошего списка того, что должно и не должно быть там.
Используйте WIN + R, чтобы открыть диалоговое окно «Выполнить», а затем введите «mmc», чтобы открыть окно консоли управления Microsoft. Затем используйте «Файл» -> «Добавить / удалить оснастку» и выберите «Сертификаты» в списке слева, а затем добавьте его справа. Убедитесь, что в следующем диалоговом окне выбрана учетная запись компьютера, а затем щелкните остальные.
Вы захотите перейти в Trusted Root Certification Authorities и найти действительно схематичные записи, подобные любому из них (или что-то похожее на это)
- Sendori
- Purelead
- Rocket Tab
- Супер Рыба
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler - законный инструмент разработчика, но вредоносное ПО взломало их сертификат)
- Системные оповещения, ООО
- CE_UmbrellaCert
Щелкните правой кнопкой мыши и удалите любую из тех записей, которые вы найдете. Если вы увидели что-то неправильное, когда тестировали Google в своем браузере, обязательно удалите и это. Просто будьте осторожны, потому что если вы удалите неправильные вещи здесь, вы собираетесь сломать Windows.
Мы надеемся, что Microsoft выпустит что-нибудь, чтобы проверить ваши корневые сертификаты и убедиться, что там есть только хорошие. Теоретически вы могли бы использовать этот список от Microsoft сертификатов, требуемых Windows, а затем обновить их до последних корневых сертификатов, но на данный момент это полностью не проверено, и мы действительно не рекомендуем его, пока кто-нибудь не проверит это..
Затем вам нужно будет открыть свой веб-браузер и найти там сертификаты, которые, вероятно, кешируются. Для Google Chrome выберите «Настройки», «Дополнительные настройки», а затем «Управление сертификатами». В разделе «Личные» вы можете легко нажать кнопку «Удалить» на любых плохих сертификатах…
Но когда вы идете в Trusted Root Certification Authorities, вам нужно будет нажать Advanced, а затем снять все, что вы видите, чтобы прекратить давать разрешения для этого сертификата ...
Но это безумие.
Перейдите в нижнюю часть окна «Дополнительные настройки» и нажмите «Сбросить настройки», чтобы полностью восстановить настройки Chrome по умолчанию. Сделайте то же самое для любого другого браузера, который вы используете, или полностью удалите, удалив все настройки, а затем установите его снова..
Если ваш компьютер был поврежден, вам, вероятно, лучше сделать полностью чистую установку Windows. Просто сделайте резервную копию ваших документов и фотографий и всего этого.
Итак, как вы защищаете себя??
Почти невозможно полностью защитить себя, но вот несколько советов, которые помогут вам:
- Проверьте сайт Superfish / Komodia / Сертификационный испытательный полигон.
- Включите Click-To-Play для плагинов в вашем браузере, что поможет защитить вас от всех этих пробелов нулевого дня и других пробелов в безопасности плагинов..
- Будьте очень осторожны с тем, что вы скачиваете, и попробуйте использовать Ninite, когда вам абсолютно необходимо.
- Обратите внимание на то, что вы нажимаете в любое время, когда вы нажимаете.
- Подумайте об использовании Microsoft Enhanced Mitigation Experience Toolkit (EMET) или Malwarebytes Anti-Exploit для защиты вашего браузера и других критически важных приложений от дыр в безопасности и атак нулевого дня..
- Убедитесь, что все ваше программное обеспечение, плагины и антивирусы постоянно обновляются, включая обновления Windows..
Но это огромная работа для того, чтобы просто просматривать веб-страницы без взлома. Это как иметь дело с TSA.
Экосистема Windows - это кавалькада программного обеспечения. И теперь фундаментальная безопасность Интернета нарушена для пользователей Windows. Microsoft должна это исправить.