Довнлоад.цом и други Бундле Суперфисх-Стиле ХТТПС Бреакинг Адваре
Застрашујуће је бити корисник Виндовса. Леново је повезао ХТТПС отмицу адваре-а Суперфисх, Цомодо се испоручује са још горем сигурносном рупом званом ПривДог, а десетине других апликација као што је ЛаваСофт раде исто. Стварно је лоше, али ако желите да ваше криптоване веб сесије буду отете само да кренете на ЦНЕТ преузимања или било коју фрееваре локацију, јер сви они сада групишу ХТТПС-адваре.
Фијаско Суперфисх је почео када су истраживачи приметили да Суперфисх, који се налази на Леново рачунарима, инсталира лажни коренски цертификат у Виндовс који суштински отима сва ХТТПС претраживања, тако да цертификати увек изгледају валидно чак и ако нису, и то су учинили тако несигуран начин на који би било који киддие хакер могао направити исту ствар.
И онда они инсталирају проки у ваш прегледник и присиљавају све ваше прегледавање тако да могу да убацују огласе. То је тачно, чак и када се повежете са својом банком, или здравственим осигурањем, или било где друго што би требало да буде сигурно. И никада не бисте сазнали, јер су разбили Виндовс шифровање да би вам показали огласе.
Али тужна, тужна чињеница је да они нису једини који ово раде - адваре као што су Вајам, Гениусбок, Цонтент Екплорер и други раде исту ствар, инсталирање сопствених сертификата и приморавање свих ваших претраживача (укључујући ХТТПС шифроване сесије претраживања) да прођу кроз њихов проки сервер. Можете се заразити овом глупошћу само тако што ћете инсталирати два од 10 најбољих апликација на ЦНЕТ Довнлоадс.
У крајњој линији, више не можете вјеровати да зелена икона за закључавање у адресној траци вашег прегледника. И то је страшна, застрашујућа ствар.
Како функционише ХТТПС отмица адвареа и зашто је тако лоше
Уммм, требат ћеш да завршиш ту картицу. Ммкаи?Као што смо раније показали, ако направите огромну гигантску грешку поверења у ЦНЕТ преузимања, већ бисте могли бити заражени овом врстом адвареа. Два од десет најбољих преузимања на ЦНЕТ-у (КМПлаиер и ИТД) повезују два различита типа ХТТПС отмице адвареа, иу нашем истраживању смо открили да већина других фрееваре сајтова ради исту ствар.
Белешка: инсталатери су толико лукави и замршени да нисмо сигурни ко је технички радећи “бундлинг”, али ЦНЕТ промовише ове апликације на својој почетној страници, тако да је то заиста питање семантике. Ако препоручујете да људи преузму нешто што је лоше, једнако сте криви. Такође смо открили да су многе од тих компанија адвареа тајно исти људи који користе различита имена компанија.
Засновано на бројевима преузетих са листе првих 10 на самим ЦНЕТ датотекама, милион људи заражено је сваког месеца уз адваре који отима њихове криптоване веб сесије у своју банку, или е-пошту, или било шта што би требало да буде безбедно.
Ако сте направили грешку инсталирањем КМПлаиер-а и успели сте да игноришете све остале крапвере, биће вам приказан овај прозор. А ако случајно кликнете на Прихвати (или погодите погрешан кључ), ваш систем ће бити одбачен.
Преузимање сајтова би требало да се стиди.Ако сте завршили са преузимањем нечега из још више скривеног извора, као што су огласи за преузимање у омиљеној тражилици, видећете целу листу ствари које нису добре. Сада знамо да ће многи од њих потпуно прекинути валидацију ХТТПС цертификата, остављајући вас потпуно рањивим.
Лавасофт Веб Цомпанион такође прекида ХТТПС енкрипцију, али је и овај пакет инсталирао адваре.Када се једном заразите било којом од ових ствари, прва ствар која се деси је да поставља ваш системски проки да се покреће кроз локални проки који се инсталира на вашем рачунару. Обратите посебну пажњу на “Сецуре” ставку испод. У овом случају то је било из Вајам Интернета "Енханцер", али то може бити Суперфисх или Гениусбок или било које од других које смо пронашли, сви раде на исти начин.
Иронично је то што је Леново користио реч „побољшај“ да би описао Суперфисх.Када одете на сајт који треба да буде сигуран, видећете зелену икону браве и све ће изгледати савршено нормално. Можете чак и кликнути на браву да бисте видели детаље, и чини се да је све у реду. Користите сигурну везу, па чак и Гоогле Цхроме пријављује да сте повезани са Гоогле-ом безбедном везом. Али ти ниси!
Систем Алертс ЛЛЦ није прави роот цертификат и ви заправо пролазите кроз Ман-ин-тхе-Миддле проки који убацује огласе на странице (и ко зна шта још). Требало би им само послати све своје лозинке, било би лакше.
Системско упозорење: Ваш систем је угрожен.Када се адваре инсталира и прокији сав ваш саобраћај, почећете да видите заиста непријатне огласе широм места. Ови огласи се приказују на безбедним локацијама, као што је Гоогле, замењујући стварне Гоогле огласе, или се појављују као искачући прозори широм места, преузимајући сваки сајт.
Хтио бих да мој Гоогле без малваре линкова, хвала.Већина овог адваре-а показује “ад” линкове за потпуно малваре. Дакле, иако сам адваре може бити правна сметња, они омогућавају неке стварно, стварно лоше ствари.
То постижу инсталирањем својих лажних коренских сертификата у складиште Виндовс цертификата, а затим проксиковањем безбедних веза док их потписују са својим лажним цертификатом.
Ако погледате у Виндовс сертификациони панел, можете видети све врсте потпуно валидних сертификата ... али ако ваш рачунар има неку врсту адвареа инсталираног, видећете лажне ствари као што су Систем Алертс, ЛЛЦ, или Суперфисх, Вајам, или на десетине других фалсификата.
Да ли је то из корпорације Умбрелла?Чак и ако сте били заражени, а затим уклонили лош софтвер, сертификати би још увек могли да постоје, што ће вас учинити рањивим на друге хакере који су можда издвојили приватне кључеве. Многи инсталатери адвареа не уклањају цертификате када их деинсталирате.
Они су сви људи у средњим нападима и ево како они раде
Ово је из реалног напада напада сјајног истраживача сигурности Роба ГрахамаАко ваш рачунар има лажне коренске цертификате инсталиране у складишту сертификата, сада сте рањиви на нападе човека у средишту. То значи да ако се повежете на јавну приступну тачку, или неко добије приступ вашој мрежи, или успе да хакује нешто горе од вас, они могу да замене легитимне локације лажним сајтовима. Ово може звучати невероватно, али хакери су успели да користе ДНС отмице на неким од највећих сајтова на интернету да отму кориснике на лажну локацију.
Једном када сте отети, они могу да прочитају сваку ствар коју пошаљете приватном сајту - лозинке, приватне информације, здравствене информације, е-поруке, бројеве социјалног осигурања, банкарске информације, итд. И никада нећете знати јер ће вам ваш прегледач рећи да је ваша веза сигурна.
Ово функционише зато што шифровање јавног кључа захтева и јавни кључ и приватни кључ. Јавни кључеви су инсталирани у складишту цертификата, а приватни кључ би требао бити познат само веб локацији коју посјећујете. Али када нападачи могу отети ваш коренски цертификат и задржати и јавне и приватне кључеве, могу учинити све што желе.
У случају Суперфисх-а, они су користили исти приватни кључ на сваком рачунару који има инсталирану Суперфисх, и за неколико сати, истраживачи у области безбедности су успели да издвоје приватне кључеве и креирају сајтове да провере да ли сте рањиви и да докажете да сте могли бе хијацкед. За Вајам и Гениусбок, кључеви су различити, али Цонтент Екплорер и неки други адвер такође користе исте кључеве свуда, што значи да овај проблем није јединствен за Суперфисх.
Добија се још горе: већина овог срања онемогућава потпуно верификацију ХТТПС-а
Управо јуче, истраживачи безбедности открили су још већи проблем: сви ови ХТТПС проксији онемогућавају све провере ваљаности док чине да изгледа као да је све у реду.
То значи да можете отићи на ХТТПС веб локацију која има потпуно неважећи цертификат, а овај адвер ће вам рећи да је страница сасвим у реду. Тестирали смо адвер који смо раније поменули и сви они у потпуности онемогућавају ХТТПС валидацију, тако да није битно да ли су приватни кључеви јединствени или не. Шокантно лоше!
Све ово адваре потпуно прекида провјеру цертификата.Свако ко је инсталиран са адваре-ом је рањив на све врсте напада, ау многим случајевима и даље је рањив чак и када се адваре уклони.
Можете да проверите да ли сте рањиви на Суперфисх, Комодиа, или неважећу проверу сертификата користећи тест сајт који су креирали истраживачи безбедности, али као што смо већ показали, постоји много више адвареа који ради исту ствар, и из нашег истраживања ствари ће се и даље погоршавати.
Заштитите се: Проверите плочу са сертификатима и обришите лоше уносе
Ако сте забринути, требало би да проверите вашу продавницу сертификата да бисте били сигурни да немате инсталиране скициране сертификате који би касније могли да буду активирани од стране неког проки сервера. Ово може бити мало компликовано, јер има много ствари унутра, и већина њих би требала бити тамо. Такође немамо добру листу онога што би требало и не би требало да буде тамо.
Користите ВИН + Р да бисте покренули дијалог Рун, а затим откуцајте "ммц" да бисте отворили прозор Мицрософт Манагемент Цонсоле. Затим користите Филе -> Адд / Ремове Снап-инс и изаберите Цертификати са листе на левој страни, а затим је додајте на десну страну. У следећем дијалогу изаберите Рачун рачунара, а затим кликните кроз остатак.
Желите да одете у Трустед Роот Цертифицатион Аутхоритиес и потражите заиста скициране уносе као што је било који од ових (или било шта слично)
- Сендори
- Пурелеад
- Роцкет Таб
- Супер Фисх
- Лооктхисуп
- Пандо
- Вајам
- ВајаНЕнханце
- ДО_НОТ_ТРУСТФиддлер_роот (Фиддлер је легитимна алатка за развојне програмере, али је злонамерни софтвер отет њиховом цертификату)
- Систем Алертс, ЛЛЦ
- ЦЕ_УмбреллаЦерт
Кликните десним тастером миша и избришите све ставке које пронађете. Ако сте видели нешто погрешно када сте тестирали Гоогле у свом претраживачу, побрините се да га и обришете. Само будите опрезни, јер ако избришете погрешне ствари овде, разбити ћете Виндовс.
Надамо се да ће Мицрософт објавити нешто што ће провјерити ваше роот цертификате и осигурати да постоје само они добри. Теоретски, можете користити ову листу Мицрософт-ових цертификата које захтева Виндовс, а затим ажурирати на најновије коренске сертификате, али то је у овом тренутку потпуно непроверено, и ми стварно не препоручујемо да то урадите док неко то не тестира.
Затим ћете морати да отворите ваш веб претраживач и пронађете цертификате који су вероватно тамо кеширани. За Гоогле Цхроме, идите на Подешавања, Напредна подешавања, а затим Управљање цертификатима. У оквиру Личне ставке можете једноставно да кликнете на дугме Уклони на свим лошим сертификатима ...
Али када одете у Трустед Роот Цертифицатион Аутхоритиес, морат ћете кликнути Адванцед, а затим искључити све што видите да бисте престали давати дозволе за тај цертификат ...
Али то је лудило.
Идите на дно прозора за напредне поставке и кликните на Ресетуј поставке да бисте потпуно вратили Цхроме на подразумеване вредности. Урадите исто за било који други прегледач који користите или потпуно деинсталирајте, обришите сва подешавања, а затим га поново инсталирајте.
Ако је ваш рачунар био погођен, вероватно је боље да урадите потпуно чисту инсталацију оперативног система Виндовс. Само се побрините да направите резервне копије докумената и слика и све то.
Како се можете заштитити?
Скоро је немогуће потпуно заштитити себе, али ево неколико смерница здравог разума:
- Проверите место за тестирање Суперфисх / Комодиа / Цертифицатион.
- Омогућите опцију „кликни за репродукцију“ за додатке у прегледачу, која ће вас заштитити од свих тих нултих дневних Фласх-ова и других сигурносних рупа додатка које постоје.
- Будите веома опрезни што преузимате и покушајте да користите Нините када сте апсолутно обавезни.
- Обратите пажњу на то што кликнете кад год кликнете.
- Размислите о коришћењу Мицрософт Енханцед Митигатион Екпериенце Тоолкит (ЕМЕТ) или Малваребитес Анти-Екплоит да бисте заштитили свој претраживач и друге критичне апликације од сигурносних рупа и напада нултог дана.
- Уверите се да сви софтвер, плугинови и анти-вирус остају ажурирани, а то укључује и Виндовс Упдатес.
Али то је ужасно пуно посла само зато што сте желели да прегледате Веб а да га нисте отели. То је као да радите са ТСА.
Виндовс екосистем је кавалкада црапваре-а. А сада је основна сигурност Интернета покварена за кориснике Виндовса. Мицрософт треба да поправи ово.