Download.com ja teised Bundle Superfish-Style'i HTTPS-i purustamine reklaamvara

Sisukord:

Download.com ja teised Bundle Superfish-Style'i HTTPS-i purustamine reklaamvara
Download.com ja teised Bundle Superfish-Style'i HTTPS-i purustamine reklaamvara

Video: Download.com ja teised Bundle Superfish-Style'i HTTPS-i purustamine reklaamvara

Video: Download.com ja teised Bundle Superfish-Style'i HTTPS-i purustamine reklaamvara
Video: How to Schedule an email in Outlook - Office 365 - YouTube 2024, Mai
Anonim
See on hirmus aeg olla Windowsi kasutaja. Lenovo oli komplekteeritud HTTPS-i kaaperdamise Superfish reklaamvara, Comodo laevad veelgi hullem turvaauk nimetusega PrivDog ja kümneid teisi rakendusi nagu LavaSoft teevad sama. See on tõesti halb, aga kui soovite, et teie krüptitud veebisessioonid kaaperdatakse, siis pea lihtsalt CNET-i allalaadimiseks või mõnda vabavaralisandit, kuna need kõik pakuvad nüüd HTTPS-i rikvat reklaamvara.
See on hirmus aeg olla Windowsi kasutaja. Lenovo oli komplekteeritud HTTPS-i kaaperdamise Superfish reklaamvara, Comodo laevad veelgi hullem turvaauk nimetusega PrivDog ja kümneid teisi rakendusi nagu LavaSoft teevad sama. See on tõesti halb, aga kui soovite, et teie krüptitud veebisessioonid kaaperdatakse, siis pea lihtsalt CNET-i allalaadimiseks või mõnda vabavaralisandit, kuna need kõik pakuvad nüüd HTTPS-i rikvat reklaamvara.

Superfishi fiasko hakkas, kui teadlased märkasid, et Lenovo arvutitega ühendatud Superfish installis Windowsile vale juursertifikaadi, mis sisuliselt haaras kõiki HTTPS-i sirvimist, nii et sertifikaadid näivad alati kehtivad isegi siis, kui need pole, ja nad tegid seda sellises ebaturvaline viis, et mis tahes skriptikeski häkker suudaks sama asja saavutada.

Ja siis nad installivad teie brauserisse proksi ja sundivad seda kogu teie sirvimise ajal, et nad saaksid reklaamida. See on õige, isegi kui ühendate oma pangaga või tervisekindlustuse saidiga või kuskil, mis peaks olema turvaline. Ja te ei tea kunagi, sest nad rikkusid Windowsi krüptimist, et näidata teile reklaame.

Kuid kurb, kurb tõsiasi, et nad ei ole ainsad, kes seda teevad - reklaamid nagu Wajam, Geniusbox, Content Explorer ja teised kõik teevad täpselt sama asja, installides oma sertifikaadid ja sundides kõiki oma sirvimist (sealhulgas HTTPS-i krüptitud sirvimisseansid) läbima oma puhverserverit. Ja võite nakatada selle jama, installides CNET-i allalaadimisel kaks peamist 10 rakendust.

Lõpptulemus on see, et te ei saa enam brauseri aadressiribal rohelise luku ikooni enam usaldada. Ja see on hirmutav ja hirmutav asi.

Kuidas HTTPS-i pealetungiv reklaamvara töötab ja miks see nii halb on

Image
Image

Nagu me varem näitasime, kui teete tohutult hiiglasliku vea, et usaldate CNET-i allalaadimisi, võite juba nakatunud selle tüüpi reklaamivahenditega. CNET-i (KMPlayer ja YTD) kümne allalaadimise kaks kümmet allalaadimist ühendavad kahte erinevat tüüpi HTTPS-i varjatud reklaamvara, ja meie uuringus leidsime, et enamik teisi vabavara saite teevad sama asja.

Märge:paigaldajad on nii keerulised ja keerulised, et me pole kindel, kes see on tehniliselt tehes "komplekteerimist", kuid CNET reklaamib neid rakendusi oma avalehel, nii et see on tõesti semantika küsimus. Kui soovitate, et inimesed laadivad alla halva sisu, on teil ka võrdselt süüdi. Oleme samuti leidnud, et paljud neist reklaamprogrammide ettevõtetest on salajas samad inimesed, kes kasutavad erinevaid ettevõtte nimesid.

Üksnes CNET-i allalaadimise kümne esimese loendi allalaadimisnumbrite põhjal on igal kuul nakatunud miljoneid inimesi reklaamvara abil, mis on oma krüpteeritud veebisündmuste kaaperdamine panka või e-posti või midagi, mis peaks olema turvaline.

Kui te tegi vea KMPlayeri installimisel ja õnnestub ignoreerida kõiki teisi nuhkvara, esitatakse teile see aken. Ja kui te kogemata klõpsate valikul Nõustu (või valite vale võtme), siis teie süsteem pingutatakse.

Kui jõudsite mõne muu laadimisega alla laadimata, näiteks lemmikotsingumootori allalaadimisreklaamidesse, näete terve nimekirja asjadest, mis ei ole head. Ja nüüd teame, et paljud neist hakkavad täielikult katkestama HTTPSi sertifikaadi valideerimise, jättes teid täielikult haavatavaks.
Kui jõudsite mõne muu laadimisega alla laadimata, näiteks lemmikotsingumootori allalaadimisreklaamidesse, näete terve nimekirja asjadest, mis ei ole head. Ja nüüd teame, et paljud neist hakkavad täielikult katkestama HTTPSi sertifikaadi valideerimise, jättes teid täielikult haavatavaks.
Kui sa ennast nakatad ühega neist asjadest, on esimene asi, mis juhtub, on see, et teie süsteemi puhverserver käivitub teie arvutis installitud kohaliku puhverserveri kaudu. Pöörake erilist tähelepanu allpool olevale punktile "Turvaline". Sel juhul oli see Wajami Interneti "Enhancer", kuid see võib olla Superfish või Geniusbox või mõni muu, mida oleme leidnud, kõik töötavad samamoodi.
Kui sa ennast nakatad ühega neist asjadest, on esimene asi, mis juhtub, on see, et teie süsteemi puhverserver käivitub teie arvutis installitud kohaliku puhverserveri kaudu. Pöörake erilist tähelepanu allpool olevale punktile "Turvaline". Sel juhul oli see Wajami Interneti "Enhancer", kuid see võib olla Superfish või Geniusbox või mõni muu, mida oleme leidnud, kõik töötavad samamoodi.
Image
Image

Kui külastate saiti, mis peaks olema turvaline, näete rohelise luku ikooni ja kõik näeb välja täiesti normaalseks. Üksikasjade nägemiseks võite klõpsata lukule ja ilmub, et kõik on korras. Kasutate turvalist ühendust ja isegi Google Chrome teatab, et olete ühenduses Google'iga turvalise ühenduse kaudu. Kuid sa ei ole seda!

System Alerts LLC ei ole tõeline juursertifikaat ja te tegelikult lähete läbimõõduga Man-in-the-middle, mis lisab reklaame lehtedesse (ja kes teab mida veel). Sa peaksid lihtsalt saatma neile kõik oma paroolid, oleks lihtsam.

Kui reklaamvara on installitud ja teie kogu liiklus on proxy, hakkate nägema tõesti ebameeldivaid reklaame kogu kohas. Need reklaame näidatakse turvalistes saitides, näiteks Google'is, tegelikke Google'i reklaame või need ilmuvad hüpikaknaid kogu kohas, võttes üle kõik saidid.
Kui reklaamvara on installitud ja teie kogu liiklus on proxy, hakkate nägema tõesti ebameeldivaid reklaame kogu kohas. Need reklaame näidatakse turvalistes saitides, näiteks Google'is, tegelikke Google'i reklaame või need ilmuvad hüpikaknaid kogu kohas, võttes üle kõik saidid.
Enamik selle reklaamvara näitab reklaami linke otse pahavara. Nii et kui reklaamvara ise võib olla juriidiline häirimine, võimaldavad need tõeliselt tõeliselt halba asju.
Enamik selle reklaamvara näitab reklaami linke otse pahavara. Nii et kui reklaamvara ise võib olla juriidiline häirimine, võimaldavad need tõeliselt tõeliselt halba asju.

Nad täidavad seda, installides oma võltsitud juursertifikaadid Windowsi sertifikaadi poodi ja seejärel turvaliste ühenduste vahele nende allkirjastamisel oma võltsitud sertifikaadiga.

Kui vaatate Windowsi sertifikaatide paneeli, näete kõikvõimalikke täiesti kehtivaid sertifikaate … aga kui teie arvutil on mõni tüüpi reklaamvara installitud, näete näite võltsitud asju nagu System Alerts, LLC või Superfish, Wajam või kümneid muud võltsinguid.

Isegi kui olete nakatunud ja seejärel eemaldanud hirmud, võivad sertifikaadid ikkagi seal olla, muutes teid tundlikuks teiste häkkerite vastu, kes võisid privaatvõtmeid välja võtta. Paljud reklaamvara installijad ei eemalda sertifikaate nende eemaldamisel.
Isegi kui olete nakatunud ja seejärel eemaldanud hirmud, võivad sertifikaadid ikkagi seal olla, muutes teid tundlikuks teiste häkkerite vastu, kes võisid privaatvõtmeid välja võtta. Paljud reklaamvara installijad ei eemalda sertifikaate nende eemaldamisel.

Nad on kõik mehe keskel rünnakud ja siin on, kuidas nad töötavad

Kui teie arvutil on sertifikaadipaari installitud tõrkeid juur sertifikaadid, olete nüüd ohustatud inimestest-keskel olevatest rünnakutest. See tähendab, et kui ühendate avaliku leviala või keegi pääseb juurde oma võrgule või suudab hankida midagi teiega ülespoole, võivad nad seaduslikke saite asendada võltsitud saitidega. See võib tunduda kaugeleulatuv, kuid häkkerid on suutnud kasutada DNS-i hüüdnimesid mõne suurema veebisaidi veebisaidile, et varjata kasutajaid võltsitud saidile.
Kui teie arvutil on sertifikaadipaari installitud tõrkeid juur sertifikaadid, olete nüüd ohustatud inimestest-keskel olevatest rünnakutest. See tähendab, et kui ühendate avaliku leviala või keegi pääseb juurde oma võrgule või suudab hankida midagi teiega ülespoole, võivad nad seaduslikke saite asendada võltsitud saitidega. See võib tunduda kaugeleulatuv, kuid häkkerid on suutnud kasutada DNS-i hüüdnimesid mõne suurema veebisaidi veebisaidile, et varjata kasutajaid võltsitud saidile.

Kui olete kaaperdatud, saavad nad lugeda igat üksikut asja, mille te privaatse saidi kaudu saadate - paroole, privaatset teavet, terviseteavet, e-kirju, sotsiaalkindlustuse numbreid, pangateavet jne. Ja te ei tea kunagi, sest teie brauser ütleb teile et teie ühendus on turvaline.

See toimib seetõttu, et avaliku võtme krüptimine nõuab nii avaliku võtme kui ka privaatvõtme kasutamist. Avalikud võtmed on installitud sertifikaadihoidlasse ja privaatvõtme peaks tundma külastatav veebisait. Kuid kui ründajad võivad oma juursertifikaadi kaaperda ja hoida nii avaliku kui ka privaatset võtmeid, saavad nad teha kõike, mida nad soovivad.

Superfishi puhul kasutasid nad iga Superfish'iga arvutisse sama privaatvõtit ja mõne tunni jooksul võtsid turvateadlased privaatvõtmeid välja ja loovad veebisaite, et kontrollida, kas olete haavatavad ja tõestada, et võiksite seda teha olema kaaperdatud. Wajami ja Geniusboxi puhul on võtmed erinevad, kuid Content Explorer ja mõni muu reklaamvara kasutab samu võtmeid ka kõikjal, mis tähendab, et see probleem ei ole unikaalne Superfish'ile.

See muutub hullemaks: Enamik sellest hõõrdumisest keelab täielikult HTTPS-i kinnitamise

Just eile avastasid turvatöötajad veelgi suurema probleemi: kõik need HTTPS-i volikirjad keelavad kogu valideerimise, muutes selle välja nagu kõik.

See tähendab, et võite minna HTTPSi veebisaidile, millel on täiesti tühi sertifikaat, ja see reklaamvara ütleb sulle, et sait on just nii hea. Me katsetasime reklaamvara, mida me varem mainisime, ja need kõik keelavad täielikult HTTPS-i valideerimise, seega pole tähtsust, kas privaatvõtmed on unikaalsed või mitte. Shockingly bad!

Igaüks, kellel on reklaamvara, on haavatav igasuguste rünnakute vastu ning paljudel juhtudel on nad endiselt haavatavad isegi siis, kui reklaamvara eemaldatakse.
Igaüks, kellel on reklaamvara, on haavatav igasuguste rünnakute vastu ning paljudel juhtudel on nad endiselt haavatavad isegi siis, kui reklaamvara eemaldatakse.

Võite kontrollida, kas olete ohutu Superfishi, Komodia või kehtetu sertifikaadi kontrollimisele, kasutades turvameedikute poolt loodud katsesaidit, kuid nagu me juba näitasime, on seal palju rohkem reklaamivahendeid, mis teevad sama asja ja meie teadustööst, asjad hakkavad jätkuvalt halvenema.

Kaitske ennast: kontrollige sertifikaatide paneeli ja kustutage vigased kirjed

Kui olete mures, peaksite kontrollima oma sertifikaadi poodi, et veenduda, et teil ei ole installitud mingeid skripti, mida saaks keegi teine puhverserverit hiljem aktiveerida. See võib olla natuke keeruline, sest selles on palju asju ja enamus peaks seal olema. Meil pole ka head loetelu, mida peaks ja ei tohiks seal olla.

Kasutage WIN + R käivitamiseks dialoogi Käivita ja seejärel tippige Microsoft Management Console akna tõmbamiseks "mmc". Seejärel kasutage valikut File -> Add / Remove snap-ins ja valige vasakul asuvast loendist sertifikaadid ja seejärel lisage see paremal küljel. Veenduge, et valite Arvuti konto järgmises dialoogis ja seejärel üle ülejäänud osa.

  • Sendori
  • Purelead
  • Rocket Tab
  • Super kala
  • Vaata vaata
  • Pando
  • Wajam
  • Waja NEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler on seaduslik arendaja tööriist, kuid pahavara on oma sertifikaadi kaaperdanud)
  • System Alerts, LLC
  • CE_UmbrellaCert

Paremklõpsake ja eemaldage ükskõik milline neist sisestustest, mida leiate. Kui näete Google'i brauseris katsetamisel midagi valesti, veenduge, et ka see kustutaksite. Lihtsalt olge ettevaatlik, sest kui kustutate vale asju siin, hakkate Windowsi katkestama.

Loodame, et Microsoft avaldab juursertifikaatide kontrollimiseks midagi ja veenduge, et seal on ainult head. Teoreetiliselt võite kasutada seda loendit Microsoftilt Windowsi poolt nõutavate sertifikaatide kohta ja seejärel uuendada uuemaid juursertifikaate, kuid see pole siinkohal täielikult katsetatud ja me ei soovita seda, kuni keegi seda test välja ei tee.
Loodame, et Microsoft avaldab juursertifikaatide kontrollimiseks midagi ja veenduge, et seal on ainult head. Teoreetiliselt võite kasutada seda loendit Microsoftilt Windowsi poolt nõutavate sertifikaatide kohta ja seejärel uuendada uuemaid juursertifikaate, kuid see pole siinkohal täielikult katsetatud ja me ei soovita seda, kuni keegi seda test välja ei tee.

Järgmisena peate avama oma veebibrauseri ja leidma sertifikaate, mis on seal tõenäoliselt vahemällu salvestatud. Google Chrome'i jaoks avage Seaded, Täpsemad sätted ja seejärel Tunnistuste haldamine. Klõpsake jaotisel Isiklik, klikkige halbade sertifikaatide korral lihtsalt nupul Eemalda …

Kuid kui te lähete usaldusväärsetele juurdevoolu sertifitseerimisasutustele, peate klõpsama valikul Täpsemalt ja seejärel tühjendama kõik, mida näete, et lõpetada antud sertifikaadi õiguste andmine …
Kuid kui te lähete usaldusväärsetele juurdevoolu sertifitseerimisasutustele, peate klõpsama valikul Täpsemalt ja seejärel tühjendama kõik, mida näete, et lõpetada antud sertifikaadi õiguste andmine …

Kuid see on hullumeelsus.

Avage aknas Täpsemad sätted ja klõpsake käsku Lähtesta sätted, et Chrome täielikult lähtestada vaikeseadeteni. Tehke sama mis tahes muu brauseri puhul, mida te kasutate, või eemaldage see kõik, tühjendage kõik seaded ja installige see uuesti.

Kui teie arvuti on mõjutatud, on tõenäoliselt paremini täiesti puhas Windowsi installimine. Lihtsalt veenduge varundades oma dokumente ja pilte ning kõike seda.

Kuidas kaitsta ennast?

Praegu on peaaegu võimatu ennast täiesti kaitsta, kuid siin on mõningad mõtteviisid, mis aitavad teil välja aidata:

  • Kontrollige Superfish / Komodia / Certification valideerimise testi saidi.
  • Luba oma brauseris pluginate klõpitud esitusviis, mis kaitseb sind kõigist nullpäevast Flashist ja teistest pistikprogrammide turvaaugudest.
  • Ole kindlasti ettevaatlik, mida te alla laadite ja proovige kasutada Ninite'i siis, kui see on absoluutselt vajalik.
  • Pöörake tähelepanu sellele, mida klõpsate mis tahes hetkel, kui klõpsate.
  • Kaaluge oma Microsofti täiustatud leevendamise kogemuste tööriistakomplekti (EMET) või Malwarebytes Anti-Exploit kasutamist, et kaitsta oma brauserit ja muid kriitilisi rakendusi turvalisuse aukudest ja nullpäevastest rünnakutest.
  • Veenduge, et kõik teie tarkvara, pistikprogrammid ja viirusetõrje jäävad värskemaks ja sisaldavad ka Windowsi värskendusi.

Kuid see on küllaltki palju tööd, et sooviksite veebi sirvida ilma kaaperdatud. See on nagu TSAga tegelemine.

Windowsi ökosüsteem on keksivõtte cavalcade. Ja nüüd on Windowsi kasutajate jaoks rikutud Interneti-põhist julgeolekut. Microsoft peab seda parandama.

Soovitan:

Kuidas eemaldada pahavara ja reklaamvara Macist

Kuidas eemaldada pahavara ja reklaamvara Macist

Jah, Macid saavad pahavara. Lisaks tavapärastele viirustele, ussidetele ja troojalastele on nüüd ka edukas riistvara ja nuhkvara programmide ökosüsteem, mis pommitab teid reklaamides ja spioonib veebi sirvimisel, nagu ka Windowsis.

Kuidas eemaldada AdwCleaneri abil tööriistaribasid ja reklaamvara

Kuidas eemaldada AdwCleaneri abil tööriistaribasid ja reklaamvara

Aeg-ajalt oli naljakas nimega Justin, kes paigaldas Java-i, kuigi see on kohutav. Veelgi halvem, see loll klikkis "Järgmine", ilma pakettide pakkumisi keelamata.

Kuidas eemaldada ülekaalukas ShopperPro reklaamvara / pahavara

Kuidas eemaldada ülekaalukas ShopperPro reklaamvara / pahavara

Me katsetasime oma teooriat selle kohta, et kõik vabavara allalaadimissaidid on hirmus, kui oleme nakatunud ShopperPro reklaamvara, mis lihtsalt võtab kogu oma brauseri akna üle ebameeldivate reklaamide kaudu, suunab Amazoni lingid mõne varjuliku saidi juurde ja on kohutav. Siit saate teada, kuidas seda eemaldada.

Kuidas eemaldada kohutav BoBrowseri reklaamvara / pahavara

Kuidas eemaldada kohutav BoBrowseri reklaamvara / pahavara

Proovisime mõningaid tasuta allalaadimissaidid, et tõestada oma väidet, et kõik allalaadimissaidid pakuvad komplektis olevat nuhkvara (ja jah, need on), kui me sõitsime läbi tõeliselt kohutava pahavara, mida nimetatakse BoBrowseriks ja mis asendab Chrome'i vaatega, mis on täis reklaamvara.

Microsoft uuendab reklaamvara klassifitseerimise kriteeriume

Microsoft uuendab reklaamvara klassifitseerimise kriteeriume

Microsoft uuendas hiljuti Objektiivsete kriteeriumide poliitikat. See poliitika muudab reklaamvara installimise Windowsis keerulisemaks.