Домашня » як » Download.com та інші Bundle Superfish-Стиль HTTPS Breaking Adware

    Download.com та інші Bundle Superfish-Стиль HTTPS Breaking Adware

    Це страшний час, щоб стати користувачем Windows. Lenovo поєднувала HTTPS-захоплення Superfish adware, Comodo поставляється з ще гіршим захистом, який називається PrivDog, і десятки інших програм, наприклад LavaSoft, роблять те ж саме. Це дійсно погано, але якщо ви хочете, щоб ваші зашифровані веб-сесії були захоплені, просто перейдіть до завантажень CNET або будь-якого безкоштовного веб-сайту, оскільки всі вони зараз поширюють рекламне ПЗ HTTPS.

    Фіаско Superfish почалося тоді, коли дослідники помітили, що Superfish, що входить до комплекту комп'ютерів Lenovo, встановлює в Windows фальшивий кореневий сертифікат, який, по суті, захоплює весь перегляд HTTPS, так що сертифікати завжди виглядають дійсними, навіть якщо вони не є, і вони зробили це в такому Небезпечний спосіб, що будь-який хакер kiddie скрипта може виконати те ж саме.

    А потім вони встановлюють проксі-сервер у ваш браузер і примушують переглядати його, щоб вони могли вставляти оголошення. Це правильно, навіть коли ви підключаєтеся до свого банку або на сайті медичного страхування, або в будь-якому іншому місці, яке має бути безпечним. І ви ніколи не дізнаєтеся, тому що вони порушили шифрування Windows, щоб показати вам оголошення.

    Але сумний, сумний факт, що вони не єдині, хто робить це - рекламне програмне забезпечення, як Wajam, Geniusbox, Content Explorer та інші, роблять те саме, встановлювати власні сертифікати та примушувати весь ваш перегляд (включаючи зашифровані сесії HTTPS) пройти через їх проксі-сервер. І ви можете заразитися цією нісенітницею, просто встановивши два з 10 найкращих додатків на CNET Downloads.

    Суть у тому, що ви більше не можете довіряти зеленому значку блокування в адресному рядку браузера. І це страшно, страшно.

    Як HTTPS-Hijacking Adware працює, і чому це так погано

    Умм, мені знадобиться, щоб ви пішли вперед і закрили цю вкладку. Mmkay?

    Як ми вже показали раніше, якщо ви зробите величезну гігантську помилку, довіряючи завантаженням CNET, ви вже могли б бути інфіковані цим типом рекламної програми. Два з десяти завантажень на CNET (KMPlayer і YTD) поєднують два різних типи захоплюючих рекламних програм HTTPS., і в наших дослідженнях ми виявили, що більшість інших безкоштовних сайтів роблять те ж саме.

    Примітка: інсталятори настільки складні та заплутані, що ми не впевнені, хто є технічно роблячи "комплектацію", але CNET просуває ці програми на їхній домашній сторінці, так що це дійсно питання семантики. Якщо ви рекомендуєте людям скачати щось погане, ви однаково винні. Ми також виявили, що багато хто з цих рекламних компаній таємно однакові люди, які використовують різні назви компаній.

    Базуючись на номерах завантаження з перших 10 списків на CNET завантаженнях, мільйон людей інфікується щомісяця рекламою, що захоплює їхні зашифровані веб-сесії до свого банку, або електронною поштою, або будь-що, що має бути безпечним.

    Якщо ви зробили помилку, встановивши KMPlayer, і вам вдасться проігнорувати всі інші crapware, вам буде показано це вікно. А якщо ви випадково клацнете Accept (або потрапите в неправильну клавішу), ваша система буде забита.

    Завантажити сайти повинні соромитися самі собою.

    Якщо ви зрештою завантажили щось із ще більш ескізного джерела, як-от завантаження оголошень у вашій улюбленій пошуковій системі, ви побачите весь список речей, які не є хорошими. І тепер ми знаємо, що багато хто з них збирається повністю розірвати перевірку сертифікатів HTTPS, залишаючи вас повністю вразливими.

    Lavasoft Web Companion також порушує шифрування HTTPS, але цей пакет також встановлює рекламне ПЗ.

    Як тільки ви заразилися будь-якою з цих речей, перше, що відбувається, це те, що він встановлює системний проксі для запуску через локальний проксі, який він встановлює на вашому комп'ютері. Зверніть особливу увагу на пункт "Безпечний" нижче. У цьому випадку це було з Wajam Інтернет "Enhancer", але це може бути Superfish або Geniusbox або будь-який з інших, які ми знайшли, всі вони працюють однаково.

    Дуже іронічно, що Lenovo використовував слово "підвищити" для опису Superfish.

    Коли ви йдете на сайт, який має бути безпечним, ви побачите зелену піктограму блокування, і все буде виглядати нормально. Ви навіть можете натиснути на замок, щоб побачити деталі, і здається, що все нормально. Ви використовуєте безпечне з'єднання, і навіть Google Chrome повідомляє, що ви підключені до Google із захищеним з'єднанням. Але ви не є!

    System Alerts LLC не є справжнім кореневим сертифікатом, і ви насправді переживаєте проксі-сервера "Людина-в-середньому", який вставляє оголошення на сторінки (і хто знає, що ще). Вам потрібно просто надіслати їм всі свої паролі, це буде простіше.

    Системне сповіщення: Ваша система скомпрометована.

    Після того, як рекламне ПЗ встановлено і проксімізує весь ваш трафік, ви почнете бачити справді неприємні оголошення по всьому місці. Ці оголошення відображаються на захищених сайтах, наприклад, Google, замінюючи фактичні об'яви Google, або вони відображаються як спливаючі вікна по всьому місці, переймаючи кожний сайт.

    Я хотів би, щоб мій Google не мав шкідливих посилань, спасибі.

    Більшість цих рекламних програм показують посилання "оголошення" на прямі шкідливі програми. Таким чином, незважаючи на те, що рекламне програмне забезпечення само по собі може бути юридичною незручністю, вони дають можливість дійсно, дуже погано.

    Вони досягають цього, встановлюючи свої підроблені кореневі сертифікати до сховища сертифікатів Windows, а потім проксіруючи захищені з'єднання під час підписання їх зі своїм підробленим сертифікатом.

    Якщо ви подивитеся на панель сертифікатів Windows, ви зможете побачити всі види повністю дійсних сертифікатів ... але якщо ваш комп'ютер має встановлений тип реклами, ви побачите підроблені речі, такі як System Alerts, LLC, або Superfish, Wajam, або десятки інших підробок.

    Це від корпорації Umbrella?

    Навіть якщо ви заразилися, а потім видалили шкідливе програмне забезпечення, сертифікати все одно можуть бути там, що робить вас вразливими до інших хакерів, які могли б витягти приватні ключі. Багато хто з інсталяторів реклами не видаляють сертифікати під час їх видалення.

    Вони всі люди-в-середніх атаках і ось як вони працюють

    Це з реальної живої атаки дивовижного дослідника безпеки Роб Грейхем

    Якщо у вашому комп'ютері встановлені кореневі сертифікати, що зберігаються в сховищі сертифікатів, то тепер ви вразливі до атак, що увійшли в людину. Це означає, що якщо ви під’єднаєтеся до публічної точки доступу, або хтось отримає доступ до вашої мережі, або ж ви можете зламати щось вище за вас, вони можуть замінити легітимні сайти підробними сайтами. Це може здатися надуманим, але хакери змогли скористатися викраденнями DNS на деяких з найбільших веб-сайтів, щоб захопити користувачів на підробленому сайті.

    Після того як ви захоплені, вони можуть читати кожну річ, яку ви подаєте на приватний сайт - паролі, приватну інформацію, інформацію про здоров'я, електронні листи, номери соціального страхування, банківську інформацію тощо. що ваше з'єднання безпечне.

    Це працює, оскільки шифрування відкритого ключа вимагає як відкритого, так і закритого ключів. Відкриті ключі встановлюються в сховищі сертифікатів, а закритий ключ має бути відомий лише веб-сайту, який ви відвідуєте. Але коли зловмисники можуть захопити ваш кореневий сертифікат і утримувати як публічні, так і приватні ключі, вони можуть робити все, що захочуть.

    У випадку Superfish, вони використовували той самий приватний ключ на кожному комп'ютері, на якому встановлено Superfish, і протягом декількох годин дослідники безпеки змогли витягти приватні ключі та створити веб-сайти, щоб перевірити, чи ви вразливі, і довести, що ви можете бути захопленим. Для Wajam і Geniusbox ключі різні, але Content Explorer і деякі інші рекламні програми також використовують однакові клавіші скрізь, що означає, що ця проблема не єдина для Superfish.

    Це стає гірше: більшість цієї лайли повністю вимикає перевірку HTTPS

    Ще вчора дослідники безпеки виявили ще більшу проблему: всі ці HTTPS проксі відключають всю перевірку, роблячи вигляд, що все просто.

    Це означає, що ви можете перейти на веб-сайт HTTPS, який має повністю недійсний сертифікат, і це рекламне програмне забезпечення повідомить вам, що сайт дуже добре. Ми протестували рекламне програмне забезпечення, про яке ми згадували раніше, і всі вони повністю виключають перевірку HTTPS, тому не має значення, чи є приватні ключі унікальними чи ні. Шокуюче погано!

    Все це рекламне ПЗ повністю порушує перевірку сертифікатів.

    Будь-хто з інстальованим програмним забезпеченням є вразливим до різноманітних атак і в багатьох випадках залишається вразливим навіть при видаленні рекламного ПЗ.

    Ви можете перевірити, чи ви вразливі до Superfish, Komodia, або недійсну перевірку сертифікатів, використовуючи тестовий сайт, створений дослідниками безпеки, але, як ми вже продемонстрували, існує набагато більше рекламного програмного забезпечення, яке робить те ж саме, і з нашого дослідження Речі продовжуватимуть погіршуватися.

    Захистіть себе: перевірте панель сертифікатів і видаліть погані записи

    Якщо ви стурбовані, ви повинні перевірити ваш сертифікат сховище, щоб переконатися, що у вас немає будь-яких схематичних сертифікатів, встановлених, які пізніше можуть бути активовані чиїм-небудь проксі-сервером. Це може бути трохи складніше, тому що там багато матеріалу, і більшість з них повинна бути там. Ми також не маємо гарного переліку того, що повинно бути і не повинно бути там.

    Використовуйте WIN + R, щоб відкрити діалогове вікно Виконати, а потім введіть "mmc", щоб відкрити вікно консолі керування Microsoft. Потім скористайтеся пунктом меню Файл -> Додати / видалити оснащення та виберіть Сертифікати зі списку ліворуч, а потім додайте його в праву частину. Переконайтеся, що в наступному діалоговому вікні виберіть пункт Обліковий запис комп'ютера, а потім клацніть через решту.

    Ви хочете перейти до довірених кореневих центрів сертифікації і шукати дійсно схематичні записи, такі як будь-яка з них (або подібні до них)

    • Сендорі
    • Purelead
    • Вкладка Rocket
    • Супер риба
    • Lookthisup
    • Пандо
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (Fiddler є законним інструментом розробника, але шкідливі програми захопили їх сертифікат)
    • System Alerts, LLC
    • CE_UmbrellaCert

    Клацніть правою кнопкою миші та вилучіть будь-який з цих записів. Якщо ви бачили щось неправильне під час тестування Google у вашому веб-переглядачі, не забудьте видалити його. Тільки будьте обережні, тому що якщо ви видалили тут неправильні речі, ви зламаєте Windows.

    Ми сподіваємося, що корпорація Майкрософт випустить щось для перевірки кореневих сертифікатів і переконається, що існують лише хороші сертифікати. Теоретично ви можете використовувати цей список з Microsoft для сертифікатів, необхідних для Windows, а потім оновити до останніх кореневих сертифікатів, але це повністю неперевірено на цьому етапі, і ми дійсно не рекомендуємо це робити, поки хтось не перевірить це.

    Далі вам знадобиться відкрити веб-браузер і знайти сертифікати, які, можливо, кешуються там. У Google Chrome перейдіть у "Налаштування", "Додаткові параметри", а потім "Керування сертифікатами". У розділі "Особисті" можна легко натиснути кнопку "Видалити" на будь-яких поганих сертифікатах ...

    Але коли ви переходите до довірених кореневих центрів сертифікації, вам доведеться натиснути кнопку Додатково, а потім знімати все, що ви бачите, щоб припинити надання дозволів на цей сертифікат ...

    Але це божевілля.

    Перейдіть у нижню частину вікна Розширені налаштування та натисніть кнопку Скинути налаштування, щоб повністю скинути налаштування Chrome до налаштувань за промовчанням. Зробіть те саме для будь-якого іншого веб-переглядача, який ви використовуєте, або повністю видаліть, витираючи всі налаштування, а потім знову встановіть його.

    Якщо ваш комп'ютер постраждав, можливо, вам краще виконати повністю чисту інсталяцію Windows. Просто переконайтеся, що резервні копії ваших документів і зображень і все це.

    Отже, як захистити себе?

    Це майже неможливо повністю захистити себе, але ось декілька принципів здорового глузду, які допоможуть вам:

    • Перевірте тестовий сайт Superfish / Komodia / Certification.
    • Увімкніть функцію "Click-To-Play" для плагінів у своєму веб-переглядачі, який допоможе захистити вас від усіх цих нульових Flash-днів і інших дірок безпеки плагінів.
    • Будьте дуже обережні, що ви завантажуєте і спробуйте використовувати Ninite, коли ви абсолютно повинні.
    • Зверніть увагу на те, що ви натискаєте в будь-який час.
    • Розгляньте можливість використання вдосконаленого програмного забезпечення Microsoft EMET (Enhanced Mitigation Experience Toolkit) або Malwarebytes Anti-Exploit для захисту вашого браузера та інших важливих програм від дірок безпеки та атак нульового дня.
    • Переконайтеся, що все програмне забезпечення, плагіни та антивірус залишаються оновленими, а також Windows Update.

    Але це дуже багато роботи для того, щоб просто захотіти переглядати веб-сторінки, не будучи захопленими. Це схоже на роботу з TSA.

    Екосистема Windows - це кавалькада crapware. І тепер фундаментальна безпека Інтернету порушена для користувачів Windows. Microsoft має це виправити.