Superfish fiasko začalo, keď si vedci všimli, že Superfish, ktorý bol pripojený k počítačom Lenovo, inštaloval falošný koreňový certifikát do systému Windows, ktorý v podstate zbavuje všetky prehliadania HTTPS, takže certifikáty vždy vyzerajú platné aj vtedy, keď nie sú, a urobili to v takom neistým spôsobom, že každý skript kiddie hacker mohol dosiahnuť to isté.
A potom inštalujú proxy do vášho prehliadača a vynútia všetko vaše prehliadanie cez to, aby mohli vložiť reklamy. To je správne, aj keď sa pripojíte k svojej banke, zdravotnej poisťovni alebo kdekoľvek, kde by ste mali byť bezpeční. A nikdy by ste to nevedeli, pretože prelomili šifrovanie systému Windows a zobrazili vám reklamy.
Ale smutný, smutný fakt je, že nie sú jediní, ktorí to robia - adware ako Wajam, Geniusbox, Content Explorer a iní sú všetci robia to isté, inštaláciou vlastných certifikátov a vynútením všetkých vašich prehliadaní (vrátane zasielaných prehliadaní zašifrovaných cez HTTPS), aby prešli cez svoj proxy server. A môžete sa nakaziť týmto nezmyslom len inštaláciou dvoch z top 10 aplikácií na stiahnutie CNET.
Spodný riadok je, že už nemôžete veriť ikonu zeleného zámku v paneli s adresou vášho prehliadača. A to je desivá, strašidelná vec.
Ako funguje HTTPS-Hijacking Adware a prečo je to tak zlé
Ako sme už ukázali, ak robíte obrovskú gigantickú chybu dôvery CNET Downloads, môžete už byť infikovaní týmto typom adware. Dve z desiatich najnovších súborov na CNET (KMPlayer a YTD) spájajú dva rôzne typy adware HTTPS-Hijackingu, a v našom výskume sme zistili, že väčšina ďalších stránok freeware robí to isté.
Poznámka:inštalatéri sú tak zložité a skomolení, že si nie sme istí, kto je technicky robiť "zoskupovanie", ale CNET propaguje tieto aplikácie na svojej domovskej stránke, takže je to naozaj záležitosť sémantiky. Ak odporúčate, aby si ľudia stiahli niečo, čo je zlé, rovnako ste sa dopustili chyby. Zistili sme tiež, že mnohé z týchto reklamných spoločností sú tajne rovnakými ľuďmi, ktorí používajú rôzne názvy spoločností.
Na základe stiahnutých čísel z prvého zoznamu na stránke CNET, milión ľudí je infikovaných každý mesiac adware, ktorý unesie svoje šifrované webové relácie do svojej banky, e-mailu alebo čokoľvek, čo by malo byť zabezpečené.
Ak ste urobili chybu pri inštalácii KMPlayer a nedokážete ignorovať všetky ostatné crapware, zobrazí sa vám toto okno. A ak omylom kliknete na položku Prijať (alebo stlačíte nesprávny kľúč), váš systém bude pwned.
Keď prejdete na stránku, ktorá by mala byť bezpečná, uvidíte zelenú ikonu zámku a všetko bude úplne normálne. Dokonca môžete kliknúť na zámok a zobraziť podrobnosti. Zdá sa, že všetko je v poriadku. Používate zabezpečené pripojenie a dokonca aj prehliadač Google Chrome oznámi, že ste so spoločnosťou Google pripojený k zabezpečenému pripojeniu. Ale vy nie ste!
Systémové upozornenia LLC nie sú skutočným koreňovým certifikátom a práve prechádzate prostredníctvom proxy typu Man-in-the-Middle, ktorý vkladá reklamy do stránok (a kto vie, čo ešte). Mali by ste len poslať e-mailom všetky svoje heslá, bolo by to jednoduchšie.
Dosiahli to tým, že nainštalujú svoje falošné koreňové certifikáty do úložiska certifikátov systému Windows a následne pomôžu zabezpečeným pripojeniam pri podpise s falošným certifikátom.
Ak sa pozriete na panel Certifikáty systému Windows, môžete vidieť všetky druhy úplne platných certifikátov … ale ak máte v počítači nejaký inštalovaný adware, uvidíte falošné veci ako System Alerts, LLC alebo Superfish, Wajam alebo desiatky ďalších falzifikátov.
Sú to všetko útoky na človeka a to je to, ako fungujú
Akonáhle ste unesený, môžu si prečítať každú vec, ktorú zadáte na súkromnú stránku - heslá, súkromné informácie, zdravotné informácie, e-maily, čísla sociálneho poistenia, bankové informácie atď. A nikdy nebudete vedieť, pretože váš prehliadač vám povie že vaše pripojenie je bezpečné.
To funguje, pretože šifrovanie verejným kľúčom vyžaduje verejný kľúč aj súkromný kľúč. Verejné kľúče sú nainštalované v obchode s certifikátmi a súkromný kľúč by mal byť známy iba na webových stránkach, ktoré ste navštívili. Ale keď útočníci môžu unesiť váš koreňový certifikát a držať verejné aj súkromné kľúče, môžu robiť všetko, čo chcú.
V prípade Superfish používali rovnaký súkromný kľúč na každom počítači, na ktorom bol nainštalovaný produkt Superfish, av priebehu niekoľkých hodín výskumníci v oblasti bezpečnosti dokázali extrahovať súkromné kľúče a vytvoriť webové stránky na otestovanie, či ste zraniteľní a preukázať, že by ste mohli byť unesený. Pre Wajam a Geniusbox sú kľúče odlišné, ale Content Explorer a niektoré ďalšie adware používajú rovnaké klávesy všade, čo znamená, že tento problém nie je pre spoločnosť Superfish jedinečný.
Zhoršuje sa to: Väčšina tohto klija zablokuje overovanie HTTPS úplne
Práve včera objavili výskumníci v oblasti bezpečnosti ešte väčší problém: Všetky tieto proxy servery HTTPS zablokujú všetky validácie a zároveň vyzerajú, že všetko je v poriadku.
To znamená, že môžete prejsť na webovú lokalitu HTTPS, ktorá má úplne neplatný certifikát a tento adware vám povie, že stránka je v poriadku. Vyskúšali sme adware, ktorý sme spomenuli už skôr, a všetky z nich úplne deaktivujú overenie HTTPS, takže nezáleží na tom, či sú súkromné kľúče jedinečné alebo nie. Šokujúco zlé!
Môžete skontrolovať, či ste zraniteľní voči kontrole Superfish, Komodia alebo neplatnému certifikátu pomocou testovacích stránok vytvorených výskumnými pracovníkmi v oblasti bezpečnosti, ale ako sme už ukázali, existuje oveľa viac adware, ktoré tam robia to isté a z nášho výskumu, veci sa naďalej zhoršujú.
Chráňte sa: skontrolujte panel Certifikáty a odstráňte chybné záznamy
Ak sa obávate, mali by ste skontrolovať svoj úložný zoznam certifikátov, aby ste sa uistili, že nemáte nainštalované žiadne skryté certifikáty, ktoré by neskôr mohli byť aktivované niektorým proxy serverom. To môže byť trochu komplikované, pretože tam je veľa vecí a väčšina z nich by mala byť tam. Nemáme tiež dobrý zoznam toho, čo by malo a nemalo by tam byť.
Použite WIN + R na vytiahnutie dialógového okna Spustiť a potom zadajte "mmc" a vytiahnite okno Microsoft Management Console. Potom použite súbor Súbor -> Pridať alebo odstrániť moduly a vyberte položku Certifikáty zo zoznamu vľavo a potom ho pridajte na pravej strane. V ďalšom dialógovom okne vyberte možnosť Počítačový účet a potom kliknite na zvyšok.
- Sendori
- Purelead
- Raketa Tab
- Super ryby
- Lookthisup
- Pando
- Waja
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler je legitímny nástroj pre vývojárov, ale malware ich unesel)
- Systémové upozornenia, LLC
- CE_UmbrellaCert
Kliknite pravým tlačidlom myši a vymažte niektorý z týchto položiek, ktoré nájdete. Ak ste v prehliadači Google skúšali niečo nesprávne, nezabudnite ho tiež odstrániť. Len buďte opatrní, pretože ak vymažete nesprávne veci tu, budete prelomiť Windows.
Potom budete musieť otvoriť webový prehliadač a nájsť certifikáty, ktoré sú tam pravdepodobne ukladané do vyrovnávacej pamäte. V prehliadači Google Chrome prejdite na položku Nastavenia, Rozšírené nastavenia a potom na položku Správa certifikátov. V časti Osobné môžete ľahko kliknúť na tlačidlo Odstrániť na akýchkoľvek chybných certifikátoch …
Ale to je šialenstvo.
Prejdite do dolnej časti okna Rozšírené nastavenia a kliknite na tlačidlo Obnoviť nastavenia, ak chcete úplne obnoviť predvolené nastavenia prehliadača Chrome. Urobte to isté pre akýkoľvek iný prehliadač, ktorý používate, alebo úplne odinštalujte, utierajte všetky nastavenia a potom ho znova nainštalujte.
Ak bol váš počítač ovplyvnený, pravdepodobne by ste mali lepšie urobiť úplne čistú inštaláciu systému Windows. Len sa uistite, že chcete zálohovať svoje dokumenty a obrázky a to všetko.
Takže ako sa môžete chrániť?
Je takmer nemožné, aby ste sa úplne ochránili, ale tu je niekoľko pokynov na to, aby vám pomohli:
- Skontrolujte testovacie miesto testovania Superfish / Komodia / Certification.
- Aktivujte funkciu Click-To-Play pre zásuvné moduly vo vašom prehliadači, ktoré vám pomôžu ochrániť vás pred všetkými nulovými bleskovými a ďalšími bezpečnostnými dierami.
- Buďte naozaj opatrní, čo sťahujete a pokúste sa použiť Ninite, keď to absolútne musíte.
- Dávajte pozor na to, čo kliknete, kedykoľvek kliknete.
- Zvážte použitie nástroja Microsoft Enhanced Mitigation Experience Toolkit (EMET) alebo programu Malwarebytes Anti-Exploit na ochranu vášho prehliadača a iných dôležitých aplikácií pred bezpečnostnými dierami a nultými útokmi.
- Uistite sa, že sú všetky aktualizácie softvéru, doplnkov a antivírusov aktualizované a obsahuje aj aktualizácie systému Windows.
Ale to je strašne veľa práce práve preto, že chcú prehliadať web bez toho, aby bol unesený. Je to ako s TSA.
Ekosystém systému Windows je cavalcade crapware. A teraz je pre používateľov Windows narušená základná bezpečnosť internetu. Spoločnosť Microsoft to musí vyriešiť.