Se on pelottava aika olla Windows-käyttäjä. Lenovo oli niputtamalla HTTPS-kaappauksen Superfish-mainosohjelmistoon, Comodo laittoi entistä pahemman tietoturva-aukon nimeltä PrivDog ja kymmeniä muita sovelluksia, kuten LavaSoft, tekevät samoin. Se on todella huono, mutta jos haluat, että salatut web-istuntojasi kaapataan, siirry CNET-latauksiin tai freeware-sivustoon, koska ne kaikki niputtavat HTTPS-rikkomatta adwarea nyt.
Superfish fiasco alkoi, kun tutkijat huomasivat, että Superfish, Lenovon tietokoneissa mukana, asensi Windowsin väärennöksen varmenteen, joka olennaisesti kaappaa kaikki HTTPS-selaimet, jotta sertifikaatit näyttävät aina päteviltä, vaikka ne eivät olisikaan. turvattomalla tavalla, että jokainen skripti kiddie hakkeri voisi saada aikaan saman.
Ja sitten he asentavat välityspalvelimen selaimeesi ja pakottavat kaikki selauksesi läpi, jotta he voivat lisätä mainoksia. Tämä on oikein, vaikka muodostat yhteyden pankkiisi tai sairausvakuutussivustolle tai missä tahansa, minkä pitäisi olla turvassa. Etkä koskaan tiedä, koska he rikkoivat Windowsin salauksen näyttämään mainoksia.
Mutta surullinen, surullinen tosiasia on, että he eivät ole ainoita, jotka tekevät niin - mainosohjelmat kuten Wajam, Geniusbox, Content Explorer ja muut ovat kaikki samanlaisia, asentamalla omat varmenteet ja pakottamalla kaikki selauksesi (mukaan lukien HTTPS-salatut selaussanat) proxy-palvelimen kautta. Ja saatat saada tarttua tähän hölynpölyyn vain asentamalla kaksi top 10 sovellusta CNET Downloads.
Lähtökohtana on, että et voi enää luottaa vihreän lukon kuvaketta selaimen osoiteriville. Ja se on pelottava, pelottava asia.
Kuten aiemmin olemme osoittaneet, jos teet valtavan suuren erehdyksen CNET-latausten luottamuksesta, voisit jo saada tämän tyyppisen mainosohjelman. Kaksi top 10 latausta CNET (KMPlayer ja YTD) ovat niputtamalla kahta eri HTTPS-kaappaus adware, ja tutkimuksessamme todettiin, että useimmat muut freeware-sivustot tekevät samaa.
Huomautus:asentajat ovat niin hankalia ja röyhkeitä, ettemme ole varmoja kuka on teknisesti tekemällä "niputtamista", mutta CNET edistää näitä sovelluksia kotisivullaan, joten se on todella semantiikan kysymys. Jos suositat, että ihmiset lataavat jotain huonoa, olet myös väärässä. Olemme myös havainneet, että monet näistä mainosyrityksistä ovat salaa samoja ihmisiä, jotka käyttävät erilaisia yrityksen nimiä.
Yksittäisten CNET-latausten ylimmästä 10 luettelosta ladatun latausnumeron perusteella miljoona ihmistä on kuukausittain tartunnan saaneista mainosohjelmista, jotka kaappaavat salatut web-istunnot pankkiinsä tai sähköpostinsa tai mitä tahansa, mikä pitäisi olla turvallinen.
Jos olet tehnyt virheen KMPlayer-asennuksen virheestä ja voit sivuuttaa kaikki muutkin crapware-ohjelmat, sinun on esitettävä tämä ikkuna. Ja jos napsautat vahingossa Accept (tai painat väärää avainta), järjestelmääsi pwned.
Verkkosivustojen pitäisi hävetä itsestään.Jos päätät ladata jotain entistä hämmästyttävämmästä lähteestä, kuten suosikkihakukoneesi lataamiesi mainosten, näet koko luettelon tavaroista, jotka eivät ole hyviä. Ja nyt tiedämme, että monet heistä murtaavat kokonaan HTTPS-sertifikaattien validoinnin, jolloin sinut täysin haavoittuvaksi.
Lavasoft Web Companion rikkoo myös HTTPS-salauksen, mutta tämä bundler asensi myös mainosohjelmat.Kun olet saanut itsesi tartunnan näistä asioista, ensimmäinen asia, joka tapahtuu, on se, että järjestelmäsi välityspalvelimen suoritetaan paikallisen välityspalvelimen kautta, jonka se asentaa tietokoneellesi. Kiinnitä erityistä huomiota alla olevaan "turvalliseen" kohtaan. Tässä tapauksessa se oli Wajam Internet "Enhancer", mutta se voi olla Superfish tai Geniusbox tai jokin muu, että olemme löytäneet, ne kaikki toimivat samalla tavalla.
On ironista, että Lenovo käytti sanaa "tehostaa" kuvaamaan Superfishia.Kun siirryt sivustoon, jonka pitäisi olla turvallinen, näet vihreän lukon kuvakkeen ja kaikki näyttää täysin normaalilta. Voit myös napsauttaa lukkoa nähdäksesi yksityiskohdat, ja näyttää siltä, että kaikki on kunnossa. Käytät suojattua yhteyttä, ja jopa Google Chrome ilmoittaa, että olet yhteydessä Googleen suojatulla yhteydellä.Mutta et ole!
System Alerts LLC ei ole todellinen juurivahvistustodistus, ja olet itse asiassa menossa Man-in-the-Middle välityspalvelimeen, joka lisää mainoksia sivuille (ja kuka tietää mitä muuta). Sinun pitäisi vain lähettää heille kaikki salasanasi, se olisi helpompaa.
Järjestelmähälytys: Järjestelmäsi on vaarantunut.Kun mainos on asennettu ja proxying kaikki liikenteen, sinun alkaa nähdä todella huudotonta mainoksia koko paikan. Nämä mainokset näkyvät suojatuissa sivustoissa, kuten Googlessa, korvaa varsinaiset Google-mainokset tai ne näkyvät ponnahdusikkunoissa koko paikan päällä.
Haluaisin Google ilman haittaohjelmien linkkejä, kiitos.Suurin osa tästä mainosohjelmasta näyttää "ad" linkkejä suoraan haittaohjelmiin. Joten mainosohjelmat saattavat olla oikeudellisia haittoja, ne mahdollistavat todella todella huonoja juttuja.
He toteuttavat tämän asettamalla heidän väärennettyjen varmenteidensa Windows-varastomyymälään ja sitten turvautuneiden yhteyksien välityksellä allekirjoittamalla ne fake-todistuksellaan.
Jos tarkastelet Windowsin sertifikaattipaneelissa, näet kaikenlaisia täysin päteviä sertifikaatteja ... mutta jos tietokoneessa on jonkin tyyppisiä mainosohjelmia asennettuna, näet väärennettyjä asioita kuten System Alerts, LLC tai Superfish, Wajam tai kymmeniä muita väärennöksiä.
Onko se umbrella-yhtiöltä?Vaikka olet saastutte ja poistanut badware-tiedoston, sertifikaatit saattavat olla edelleen olemassa, joten sinut altistuu muille hakkereille, jotka saattavat poimia yksityiset avaimet. Monet mainosohjelmien asentajat eivät poista sertifikaatteja, kun poistat ne.
Jos tietokoneellasi on väärennöksiä, jotka on asennettu varastosäilöön, olet nyt heikossa Man-in-the-Middle-hyökkäyksissä. Tämä tarkoittaa sitä, että jos muodostat yhteyden julkiseen hotspot-verkkoon tai joku saa verkostosi tai onnistuu hakemaan jotain ylhäältäpäin, he voivat korvata lailliset sivustot väärennetyillä sivustoilla. Tämä saattaisi kuulostaa kauaskantoiselta, mutta hakkerit ovat voineet käyttää DNS: n kaappauksia tietyillä verkkosivujen suurimmilla sivustoilla kaapata käyttäjät fake-sivustoon.
Kun olet kaapattu, he voivat lukea jokaisen yksityisasiakkaalle lähettämääsi asiaa - salasanoja, yksityisiä tietoja, terveystietoja, sähköposteja, sosiaaliturvatunnuksia, pankkitietoja jne. Etkä koskaan tiedä, koska selaimesi kertoo sinulle että yhteys on turvallinen.
Tämä toimii, koska julkisen avaimen salaus vaatii sekä julkisen avaimen että yksityisen avaimen. Julkiset avaimet on asennettu varmennemyymälään, ja yksityinen avain on vain tunnettava vierailemalla verkkosivustolla. Mutta kun hyökkääjät voivat kaapata päävarmenne ja pitää sekä julkiset että yksityiset avaimet, he voivat tehdä mitä he haluavat.
Kun kyseessä oli Superfish, he käyttivät samaa yksityistä avainta jokaisessa tietokoneessa, johon Superfish on asennettu, ja muutaman tunnin kuluessa tietoturva-tutkijat pystyivät poimimaan yksityiset avaimet ja luomaan verkkosivustoja testatakseen, oletteko haavoittuvia ja osoittamaan, että voit kaapata. Wajamin ja Geniusboxin avaimet ovat erilaiset, mutta Content Explorer ja jotkin muut mainosohjelmat käyttävät samoja avaimia kaikkialla, mikä tarkoittaa, että tämä ongelma ei ole ainutlaatuinen Superfishille.
Juuri eilen tietoturva-tutkijat löysivät entistä suuremman ongelman: kaikki nämä HTTPS-välityspalvelimet poistavat kaiken validoinnin ja näyttävät siltä, että kaikki on hienosti.
Tämä tarkoittaa sitä, että voit siirtyä HTTPS-verkkosivustoon, jolla on täysin virheellinen todistus, ja tämä mainosviesti kertoo sivuston olevan aivan kunnossa. Testasimme aiemmin mainitsemamme mainosohjelmat, ja ne kaikki estävät HTTPS-validoinnin kokonaan, joten ei ole merkitystä, ovatko yksityiset avaimet ainutlaatuisia vai eivät. Tuskin huono!
Kaikki tämä mainosohjelma katkesi kokonaan todistuksen tarkistamisen.Jokainen, jolla on asennettu adware, on altis kaikentyyppisille hyökkäyksille ja monissa tapauksissa voi olla haavoittuva myös silloin, kun mainos on poistettu.
Voit tarkistaa, oletko haavoittunut Superfishille, Komodiaan tai virheelliseen sertifikaattiin turvatutkimuskeskuksen luomalla testisivustolla, mutta kuten olemme jo osoittaneet, siellä on paljon enemmän mainosohjelmia, jotka tekevät samoin, ja tutkimuksistamme , asiat menevät edelleen huonontumaan.
Jos olet huolissasi, sinun on tarkistettava varastosäilytyssi varmistaaksesi, että sinulla ei ole valmiita varmenteita, jotka jonkin proxy-palvelimen voi myöhemmin aktivoida. Tämä voi olla hieman monimutkainen, koska siellä on paljon tavaraa, ja suurin osa siitä on tarkoitus olla siellä. Meillä ei myöskään ole hyvää luetteloa siitä, mitä pitäisi ja ei pitäisi olla siellä.
Käytä WIN + R-näppäintä vetääksesi Suorita-valintaikkunan ja kirjoita sitten "mmc" vetämällä Microsoft Management Console -ikkuna. Käytä sitten Tiedosto -> Lisää / Poista snap-init ja valitse todistukset vasemmalla olevasta luettelosta ja lisää se oikealle puolelle. Varmista, että valitset tietokoneen tilan seuraavassa valintaikkunassa ja napsauta sitten loput.
Haluat mennä Trusted Root Certification Authority -toimistoihin ja etsiä todella sketchy-merkintöjä, kuten mikä tahansa näistä (tai jotain vastaavaa näistä)
Napsauta hiiren kakkospainikkeella ja poista jokin niistä löydetyistä merkinnöistä. Jos näit jotain väärin, kun testit Googlea selaimessasi, poista se myös. Ole varovainen, koska jos poistat väärät asiat tältä, hajotat Windowsin.
Toivomme, että Microsoft julkaisee jotain, jolla voit tarkistaa juurivarmenteesi ja varmistaa, että vain hyviä ovat siellä. Teoriassa voit käyttää tätä Microsoftin luetteloa Windowsin vaatimien todistusten luettelosta ja päivittää uusimmat juurivarmenteet, mutta se ei ole tällä hetkellä täysin testattu, emmekä todellakaan suosittele sitä ennen kuin joku testaa tämän.
Seuraavaksi sinun tulee avata Internet-selain ja löytää varmenteita, jotka luultavasti tallennetaan siellä. Valitse Google Chromen asetukset Asetukset, Lisäasetukset ja Hallitse sertifikaatteja. Henkilökohtaisessa kohdassa voit helposti klikata Poista-painiketta virheellisistä varmenteista ...
Mutta kun siirryt luotettuihin varmenteisiin, sinun on napsautettava Lisäasetukset ja poistettava sitten kaikki, mitä näet lopettaaksesi luvan myöntämisen kyseiseen sertifikaattiin.
Mutta se on hulluutta.
Siirry Lisäasetukset-ikkunan alaosaan ja napsauta Nollaa asetukset nollataksesi Chrome uudelleen oletusasetuksiksi. Tee sama mikä tahansa muu käyttämäsi selain tai poista kokonaan, poista kaikki asetukset ja asenna se uudelleen.
Jos tietokoneesi on vaikuttanut, olet todennäköisesti paremmin tekemässä Windowsin täysin puhtaan asennuksen. Varmista vain, että varmuuskopioit asiakirjat ja kuvat ja kaikki.
On lähes mahdotonta suojautua kokonaan, mutta tässä on muutamia järkeviä ohjeita, jotka auttavat sinua ulos:
Mutta se on hauskaa paljon työtä vain haluamaan selata verkkoa ilman kaapata. Se on kuin käsitellä TSA: ta.
Windows ekosysteemi on crapwaren kavalkadi. Ja nyt Internetin perusturvallisuus on rikki Windows-käyttäjille. Microsoftin on korjattava tämä.