Download.com ואחרים Bundle Superfish בסגנון HTTPS שבירת Adware
זה זמן מפחיד להיות משתמש Windows. Lenovo היה bundling HTTPS-חטיפת Adware Superfish, ספינות קומודו עם חור אבטחה גרוע עוד יותר שנקרא PrivDog, ועשרות יישומים אחרים כמו LavaSoft עושים את אותו הדבר. זה ממש רע, אבל אם אתה רוצה הפעלות האינטרנט מוצפן שלך להיות נחטף רק ראש CNET הורדות או כל אתר freeware, כי הם כל bundling HTTPS-break פרסום עכשיו.
הפיאסקו של סופרפיש החל כאשר החוקרים הבחינו שסופרפיש, המחובר למחשבי Lenovo, התקין תעודת שורש מזויפת ב- Windows, אשר למעשה חונק את כל גליונות ה- HTTPS כך שהאישורים תמיד נראים תקפים גם אם הם לא, והם עשו זאת לא בטוח כי כל האקר סקריפט האקר יכול להשיג את אותו הדבר.
ואז הם מתקינים proxy לתוך הדפדפן שלך ואילצים את כל הגלישה שלך דרך זה כדי שיוכלו להוסיף מודעות. זה נכון, גם כאשר אתה מתחבר הבנק שלך, או אתר ביטוח בריאות, או בכל מקום זה צריך להיות מאובטח. ואתה לעולם לא תדע, כי הם שברו את ההצפנה של Windows כדי להציג לך מודעות.
אבל העובדה העצובה והעצובה היא שהם לא היחידים שעושים זאת - תוכנות פרסום כמו Wajam, Geniusbox, סייר תוכן, ואחרים עושים את כל אותו הדבר, התקנת האישורים שלהם ואילץ את כל הגלישה שלך (כולל HTTPS מוצפן גלישה הפעלות) לעבור שרת proxy שלהם. ואתה יכול לקבל נגוע שטויות זה רק על ידי התקנת שני של 10 היישומים המובילים על הורדות CNET.
השורה התחתונה היא שאינך יכול עוד לסמוך על סמל המנעול הירוק הזה בסרגל הכתובות של הדפדפן שלך. וזה דבר מפחיד, מפחיד.
איך HTTPS-חטיפת Adware עובד, ולמה זה כל כך רע
ללא שם: Ummm, אני אצטרך לך להתקדם ולסגור את הכרטיסייה. ממקי?כפי שהראנו בעבר, אם אתה עושה את הטעות הענקית הענקית של אמון CNET הורדות, אתה יכול כבר להיות נגוע עם סוג זה של תוכנות פרסום. שניים מתוך עשר הורדות על CNET (KMPlayer ו YTD) הם bundling שני סוגים שונים של HTTPS-חטיפת תוכנות פרסום, ובמחקר שלנו מצאנו כי רוב אתרי freeware אחרים עושים את אותו הדבר.
הערה: המתקינים כל כך מסובכים ומפותלים שאנחנו לא בטוחים מי זה באופן טכני עושה את "bundling", אבל CNET היא לקדם את היישומים האלה בדף הבית שלהם, אז זה באמת עניין של סמנטיקה. אם אתה ממליץ שאנשים להוריד משהו רע, אתה באותה מידה אשם. מצאנו גם כי רבים של חברות פרסום אלה הם בסתר את אותם אנשים באמצעות שמות חברה שונים.
בהתבסס על מספרי ההורדה מתוך רשימת 10 המובילים על הורדות CNET לבד, מיליון אנשים נגועים מדי חודש עם פרסום כי הוא חטף הפעלות האינטרנט מוצפן שלהם הבנק, או דוא"ל, או כל דבר צריך להיות מאובטח.
אם אתה עושה את הטעות של התקנת KMPlayer, ואתה מצליח להתעלם כל crapware אחרים, יוצגו לך עם החלון הזה. ואם בטעות לחץ על קבל (או להכות את המפתח הלא נכון) המערכת שלך יהיה pwned.
אתרי הורדות צריכים להתבייש בעצמם.אם בסופו של דבר אתה מוריד משהו ממקור עוד יותר, כמו מודעות להורדה במנוע החיפוש המועדף עליך, תראה רשימה שלמה של דברים שאינם טובים. ועכשיו אנחנו יודעים שרבים מהם הולכים לגמרי לשבור אימות HTTPS אישור, משאיר אותך פגיע לחלוטין.
Lavasoft Web Companion גם שובר הצפנה HTTPS, אבל זה bundler מותקן Adware מדי.ברגע שאתה מקבל את עצמך נגוע עם כל אחד מהדברים האלה, הדבר הראשון שקורה הוא שהוא מגדיר את פרוקסי המערכת שלך לפעול באמצעות פרוקסי מקומי זה מתקינה במחשב. הקדש תשומת לב מיוחדת לפריט "Secure" להלן. במקרה זה זה היה מ Wajam אינטרנט "Enhancer", אבל זה יכול להיות Superfish או Geniusbox או כל האחרים כי מצאנו, כולם עובדים באותה דרך.
זה אירוני כי Lenovo השתמשו במילה "לשפר" כדי לתאר Superfish.כאשר אתה הולך לאתר זה צריך להיות מאובטח, תראה את סמל המנעול הירוק והכל ייראה נורמלי לחלוטין. אתה יכול גם ללחוץ על המנעול כדי לראות את הפרטים, וזה יראה כי הכל בסדר. אתה משתמש בחיבור מאובטח, ואפילו Google Chrome ידווח שאתה מחובר ל- Google עם חיבור מאובטח. אבל אתה לא!
מערכת התראות LLC הוא לא שורש אמת תעודה ואתה בעצם עובר פרוקסי Man-in-the-Middle כי הוא הוספת מודעות לדפים (ומי יודע מה עוד). אתה פשוט צריך לשלוח להם את כל הסיסמאות שלך, זה יהיה קל יותר.
התראת מערכת: המערכת שלך נפגעה.לאחר פרסום מותקן proxying כל התנועה שלך, תתחיל לראות מודעות מגונה באמת בכל מקום. מודעות אלה מוצגות באתרים מאובטחים, כגון Google, החלפת מודעות Google בפועל, או שהן מופיעות כחלונות קופצים בכל מקום, משתלטות על כל אתר.
אני רוצה את Google שלי ללא קישורים תוכנה זדונית, תודה.רוב זה מראה מודעות "המודעה" קישורים זדוניות מוחלט. אז בעוד פרסום עצמו עלול להיות מטרד משפטי, הם מאפשרים כמה דברים ממש ממש רע.
הם עושים זאת על ידי התקנת תעודות שורש מזויפות שלהם לתוך חנות האישור של Windows ולאחר מכן proxying חיבורים מאובטח תוך חתימת אותם עם תעודת מזויף שלהם.
אם אתה מסתכל בחלונית 'אישורים של Windows', תוכל לראות כל מיני אישורים חוקיים לחלוטין ... אבל אם במחשב שלך מותקנת איזו סוג של פרסום, אתה תראה דברים מזויפים כמו System Alerts, LLC או Superfish, Wajam או עשרות זיופים אחרים.
האם זה מתאגיד אמברלה?גם אם אתה כבר נגוע ולאחר מכן הסיר את תוכנות זדוניות, האישורים עשויים עדיין להיות שם, מה שהופך אותך פגיע האקרים אחרים שעשויים לחלץ את המפתחות הפרטיים. רבים מתקיני הפרסום אינם מסירים את האישורים בעת הסרתם.
הם כל אדם- in-the-Middle תקיפות הנה איך הם עובדים
זה מתוך התקפה חיה אמיתית על ידי חוקר האבטחה מדהים רוב גרהםאם במחשב שלך יש אישורי שורש מזויפים המותקנים בחנות האישורים, אתה חשוף כעת להתקפות מסוג Man-in-the-Middle. מה זה אומר אם אתה מתחבר אל נקודה חמה ציבורית, או שמישהו מקבל גישה לרשת שלך, או מצליח לפרוץ משהו במעלה ממך, הם יכולים להחליף אתרים לגיטימיים עם אתרים מזויפים. זה אולי נשמע מופרך, אבל האקרים הצליחו להשתמש בחטפי DNS על כמה מן האתרים הגדולים ביותר באינטרנט לחטוף משתמשים לאתר מזויף.
ברגע שאתה נחטף, הם יכולים לקרוא כל דבר שאתה שולח לאתר פרטי - סיסמאות, מידע אישי, מידע בריאות, הודעות דוא"ל, מספרי ביטוח לאומי, מידע בנקאי, וכו 'ואתה לעולם לא יודע כי הדפדפן שלך יגיד לך כי החיבור שלך מאובטח.
זה עובד בגלל הצפנה מפתח ציבורי דורש גם מפתח ציבורי מפתח פרטי. המפתחות הציבוריים מותקנים בחנות האישורים, והמפתח הפרטי צריך להיות מוכר רק באתר האינטרנט שבו אתה מבקר. אבל כאשר התוקפים יכולים לחטוף את תעודת הבסיס שלך להחזיק את המפתחות הציבוריים והפרטיים, הם יכולים לעשות כל מה שהם רוצים.
במקרה של Superfish, הם השתמשו באותו מפתח פרטי בכל מחשב שבו מותקן Superfish, ובתוך כמה שעות הצליחו חוקרי האבטחה לחלץ את המפתחות הפרטיים וליצור אתרי אינטרנט כדי לבדוק אם אתם פגיעים, ולהוכיח שאתם יכולים להיות נחטף. עבור Wajam ו Geniusbox, המפתחות הם שונים, אבל סייר תוכן וכמה תוכנות פרסום אחרות גם משתמש באותם מפתחות בכל מקום, מה שאומר בעיה זו אינה ייחודית Superfish.
זה נהיה יותר גרוע: רוב זה שטויות משבית אימות HTTPS לחלוטין
רק אתמול, חוקרים אבטחה גילו בעיה גדולה עוד יותר: כל אלה HTTPS proxies להשבית כל אימות תוך ביצוע זה נראה כאילו הכל בסדר גמור.
זה אומר שאתה יכול ללכת לאתר HTTPS שיש לו אישור לא חוקי לחלוטין, ואת זה פרסום יגיד לך שהאתר הוא בסדר גמור. בדקנו את פרסום שהזכרנו קודם לכן והם כל השבתת אימות HTTPS לחלוטין, אז זה לא משנה אם המפתחות הפרטיים הם ייחודיים או לא. מזעזע רע!
כל זה מפרסם לחלוטין את אישור התעודה.כל אדם עם פרסום מותקן הוא פגיע לכל מיני התקפות, ובמקרים רבים ממשיכים להיות פגיעים גם כאשר פרסום מוסר.
אתה יכול לבדוק אם אתה חשוף Superfish, Komodia, או בדיקת אישור לא חוקי באמצעות אתר הבדיקה שנוצרו על ידי חוקרי אבטחה, אבל כפי שכבר הוכחנו, יש הרבה יותר שם בחוץ עושה את אותו הדבר, ומחקר שלנו , הדברים ימשיכו להחמיר.
הגן על עצמך: בדוק את לוח האישורים ומחק רשומות רעות
אם אתה מודאג, אתה צריך לבדוק את האישור החנות שלך כדי לוודא שאין לך שום אישורים סקוטי מותקן כי יכול מאוחר יותר להיות מופעל על ידי שרת proxy של מישהו. זה יכול להיות קצת מסובך, כי יש הרבה דברים שם, ורוב זה אמור להיות שם. כמו כן אין לנו רשימה טובה של מה צריך ולא צריך להיות שם.
השתמש ב- WIN + R כדי לפתוח את תיבת הדו-שיח הפעלה ולאחר מכן הקלד "mmc" כדי להרים חלון Microsoft Management Console. לאחר מכן השתמש בקובץ - הוספה / הסרה של Snap-ins ובחר אישורים מהרשימה בצד שמאל ולאחר מכן הוסף אותו לצד ימין. הקפד לבחור את חשבון מחשב בתיבת הדו-שיח הבאה ולאחר מכן לחץ על השאר.
אתה רוצה ללכת הסמכה שורש מהימן הרשויות ולחפש רשומות סקוטי באמת כמו כל אלה (או משהו דומה אלה)
- סנדורי
- Purelead
- הכרטיסייה רוקט
- דג סופר
- ללא שם: נראה
- פנדו
- ויג'ם
- וויאנה
- DO_NOT_TRUSTFiddler_root (כנר הוא כלי מפתח לגיטימי אבל תוכנות זדוניות יש חטף cert שלהם)
- מערכת התראות, LLC
- CE_UmbrellaCert
לחץ לחיצה ימנית על כל אחד מהרשומות שאתה מוצא. אם ראית משהו שגוי כאשר בחנת את Google בדפדפן שלך, הקפד למחוק גם את זה. רק תיזהר, כי אם אתה מוחק את הדברים הלא נכונים כאן, אתה הולך לשבור את Windows.
אנו מקווים כי מיקרוסופט תשחרר משהו כדי לבדוק את אישורי הבסיס שלך ולוודא כי רק טוב יש שם. תיאורטית תוכל להשתמש ברשימה זו ממיקרוסופט על האישורים הנדרשים על ידי Windows ולאחר מכן לעדכן את אישורי הבסיס האחרונים, אך זה לא נבדק לחלוטין בשלב זה, ואנחנו באמת לא ממליצים על זה עד שמישהו בודק את זה.
הבא, אתה הולך צריך לפתוח את דפדפן האינטרנט שלך ולמצוא את האישורים כי הם כנראה במטמון שם. עבור Google Chrome, עבור אל הגדרות, הגדרות מתקדמות ולאחר מכן נהל אישורים. בקטע 'אישי', תוכל ללחוץ בקלות על הלחצן הסר בכל אישורים גרועים ...
אבל כאשר אתה הולך שורש מהימן רשויות הסמכה, אתה הולך ללחוץ על מתקדם ולאחר מכן בטל את כל מה שאתה רואה כדי להפסיק לתת הרשאות לתעודה זו ...
אבל זה טירוף.
עבור לחלק התחתון של החלון הגדרות מתקדמות ולחץ על איפוס הגדרות כדי לאפס את Chrome לחלוטין לברירות המחדל. לעשות את אותו הדבר עבור כל דפדפן אחר אתה משתמש, או להסיר לחלוטין, מנגב את כל ההגדרות, ולאחר מכן להתקין אותו שוב.
אם המחשב שלך נפגע, סביר להניח שתעשה התקנה נקייה לחלוטין של Windows. רק לוודא גיבוי המסמכים שלך ואת כל זה.
אז איך להגן על עצמך?
זה כמעט בלתי אפשרי לחלוטין להגן על עצמך, אבל הנה כמה הנחיות השכל הישר כדי לעזור לך:
- בדוק את Superfish / Komodia / אישור אימות האתר הבדיקה.
- הפעל את 'לחץ להפעלה' עבור יישומי פלאגין בדפדפן שלך, שיסייעו לך להגן על כל חורי האבטחה של Flash וחומרי אבטחה נוספים מסוג '.
- להיות זהיר באמת מה אתה מוריד ולנסות להשתמש ניניט כאשר אתה בהחלט חייב.
- שים לב למה שאתה לוחץ על כל לחיצה.
- שקול להשתמש בחבילת הכלים לשיפור חוויית ההרחבה המשופרת של Microsoft (EMET) או ב- Malwarebytes Anti-Exploit כדי להגן על הדפדפן ועל יישומים קריטיים אחרים מחורי אבטחה והתקפות של יום אפס.
- ודא שכל התוכנות, יישומי הפלאגין והאנטי-וירוס שלך מעודכנים, וכוללים גם את עדכוני Windows.
אבל זה המון עבודה עבור רק רוצה לגלוש באינטרנט מבלי להיות נחטף. זה כמו להתמודד עם ה- TSA.
Windows המערכת האקולוגית היא cavalcade של crapware. ועכשיו האבטחה הבסיסית של האינטרנט נשברת עבור משתמשי Windows. Microsoft צריכה לתקן זאת.