Философията на Superfish започна, когато учените забелязаха, че Superfish, свързан с компютрите на Lenovo, инсталира фалшив сертификат за корен в Windows, който по същество отвлича всички HTTPS сърфиране, така че сертификатите винаги да изглеждат валидни, дори и да не са. несигурен начин, че всеки хакер на дебютния скрипт може да постигне същото.
След това инсталират прокси сървър в браузъра ви и принуждават цялото ви браузване, за да могат да вмъкват реклами. Точно така, дори когато се свързвате с банката си, здравната застрахователна институция или навсякъде, където трябва да сте сигурни. И вие никога няма да знаете, защото са счупили криптиране на Windows, за да ви показват реклами.
Но тъжният и тъжен факт е, че те не са единствените, които правят това - adware като Wajam, Geniusbox, Content Explorer и други, правят точно същото нещо, инсталиране на собствените си сертификати и принуждаване на всичките ви браузъри (включително сесии за браузване в HTTPS) да преминат през прокси сървъра си. И вие можете да се заразите с тези глупости просто като инсталирате два от първите 10 приложения на CNET Downloads.
Долният ред е, че повече не можете да вярвате на тази икона със зелена брава в адресната лента на браузъра си. И това е страшно, страшно нещо.
Как HTTPS-отвличане Adware работи, и защо е толкова лошо
Както вече показахме, ако направите огромната гигантска грешка да се доверите на CNET Downloads, вече можете да бъдете заразени с този тип рекламен софтуер. Два от десетте най-големи изтегляния на CNET (KMPlayer и YTD) обединяват два различни типа HTTPS-отвличане adware, а в нашето изследване установихме, че повечето други безплатни сайтове вършат същото.
Забележка:инсталаторите са толкова сложни и объркани, че не сме сигурни кой е технически прави "групирането", но CNET популяризира тези приложения на своята начална страница, така че наистина е въпрос на семантика. Ако препоръчвате на хората да изтеглят нещо, което е лошо, вие сте еднакво виновни. Ние също така открихме, че много от тези рекламни компании са тайно същите хора, използващи различни имена на компании.
Въз основа на номерата за изтегляне от списъка с 10 най-големи CNET файлове за изтегляне, един милион души са заразени всеки месец с рекламен софтуер, който отвлича криптираните уеб сесии към банката им или имейл или нещо, което трябва да бъде защитено.
Ако сте направили грешката да инсталирате KMPlayer и вие успеете да пренебрегнете всички други crapware, ще получите този прозорец. И ако случайно кликнете върху "Приемане" (или натиснете грешен клавиш), системата ви ще бъде подредена.
Когато отидете на сайт, който трябва да бъде защитен, ще видите зелената икона на заключване и всичко ще изглежда напълно нормално. Можете дори да кликнете върху заключването, за да видите подробностите, и ще изглежда, че всичко е наред. Използвате защитена връзка и дори Google Chrome ще съобщи, че сте свързани с Google със защитена връзка. Но не сте!
Системните сигнали LLC не са истински коренни сертификати и всъщност преминавате през прокси сървър "човек в средата", който вкарва реклами в страници (и кой знае какво друго). Трябва просто да ги изпратите по имейл всичките си пароли, би било по-лесно.
Те изпълняват това, като инсталират своите фалшиви коренни сертификати в магазина за сертификати на Windows и след това проксизират сигурните връзки, докато ги подписват с фалшивия си сертификат.
Ако погледнете панела Сертификати на Windows, можете да видите всички видове напълно валидни сертификати … но ако вашият компютър има инсталиран някакъв вид рекламен софтуер, ще видите фалшиви неща като System Alerts, LLC или Superfish, Wajam или десетки други фалшификати.
Те са всички "Атаки на човек в средата" и ето как работят
След като бъдете отвлечени, те могат да четат всичко, което изпращате на частен сайт - пароли, лична информация, здравна информация, имейли, социални номера, банкова информация и т.н. И никога няма да разберете, защото браузърът ви ще ви каже че вашата връзка е сигурна.
Това работи, защото шифроването с публичен ключ изисква както публичен ключ, така и частен ключ. Публичните ключове се инсталират в магазина за сертификати, а частният ключ трябва да бъде известен само от уеб сайта, който посещавате. Но когато нападателите могат да отвлекат вашите коренни сертификати и да държат както публични, така и частни ключове, те могат да направят всичко, което искат.
В случая с Superfish те използват един и същ частен ключ на всеки компютър, в който е инсталиран Superfish, и в рамките на няколко часа изследователите по сигурността успяха да извлекат частните ключове и да създадат уебсайтове, за да проверят дали сте уязвими и да докажете, да бъдат отвлечени. За Wajam и Geniusbox ключовете са различни, но Content Explorer и някои други реклами също използват същите ключове навсякъде, което означава, че този проблем не е уникален за Superfish.
Това става по-лошо: Повечето от тези глупости забраняват напълно удостоверяване на HTTPS
Вчера изследователите в областта на сигурността откриха още по-голям проблем: всички тези прокси сървъри HTTPS забраниха всички потвърждавания, докато изглеждаше, че всичко е наред.
Това означава, че можете да отидете на уеб сайт HTTPS, който има напълно невалиден сертификат, и този рекламен софтуер ще ви каже, че сайтът е добре. Тествахме рекламата, която споменахме по-рано, и всички те деактивират напълно проверката на HTTPS, така че няма значение дали частните ключове са уникални или не. Шокиращо лошо!
Можете да проверите дали сте уязвими към проверките на Superfish, Komodia или невалидни сертификати, използвайки сайта за тестове, създаден от изследователи по сигурността, но както вече показахме, има много повече рекламни средства, които правят същото и от нашето изследване, нещата ще продължат да се влошават.
Защитете себе си: Проверете панела Сертификати и изтрийте лошите записи
Ако се притеснявате, трябва да проверите магазина си за сертификати, за да се уверите, че нямате инсталирани никакви уникални сертификати, които по-късно могат да бъдат активирани от някой от прокси сървърите. Това може да е малко сложно, защото там има много неща и повечето от тях трябва да са там. Също така нямаме добър списък на това, което трябва и не трябва да съществува.
Използвайте WIN + R, за да издърпате диалога Run и след това напишете "mmc", за да издърпате прозореца на Microsoft Management Console. След това използвайте File -> Add / Remove Snap-ins и изберете Сертификати от списъка вляво, след което го добавете в дясната страна. Уверете се, че сте избрали Компютърна сметка в следващия диалогов прозорец, след което щракнете върху останалите.
- Sendori
- Purelead
- Ракетно табло
- Супер риба
- Lookthisup
- Пандо
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler е легитимен инструмент за разработчици, но злонамереният софтуер е отвлечен от техния сертификат)
- Системни предупреждения, LLC
- CE_UmbrellaCert
Кликнете с десния бутон на мишката и Изтрийте някой от тези записи, които намирате. Ако сте видели нещо неправилно, когато сте тествали Google в браузъра си, не забравяйте да го изтриете и вие. Просто бъдете внимателни, защото ако изтриете грешните неща тук, ще разбиете Windows.
Надяваме се, че Microsoft пуска нещо, за да провери коренните ви сертификати и да се увери, че има само добри. Теоретично бихте могли да използвате този списък от Microsoft на сертификатите, изисквани от Windows, и след това да актуализирате най-новите коренни сертификати, но това е напълно непроверено в този момент и ние наистина не го препоръчваме, докато някой не го изпробва.
След това ще трябва да отворите уеб браузъра си и да намерите сертификатите, които вероятно са кеширани там. За Google Chrome отворете "Настройки", "Разширени настройки" и след това "Управление на сертификати". Под "Лични" можете лесно да кликнете върху бутона "Премахване" на всички лоши сертификати …
Но това е лудост.
Отидете до дъното на прозореца за разширени настройки и кликнете върху "Нулиране на настройките", за да възстановите напълно настройките по подразбиране на Chrome. Направете същото за всеки друг браузър, който използвате, или напълно деинсталирайте, избършете всички настройки и след това го инсталирайте отново.
Ако вашият компютър е засегнат, вероятно сте по-добре да направите напълно чиста инсталация на Windows. Просто не забравяйте да архивирате вашите документи и снимки и всичко това.
И така, как се предпазвате?
Почти е невъзможно напълно да се защитите, но тук има няколко общи насоки, които да ви помогнат:
- Проверете сайта за тестване за потвърждаване Superfish / Komodia / Certification.
- Активирайте функцията Click-To-Play за плъгини в браузъра, които ще ви помогнат да се предпазите от всички тези нулеви флашове и други дупки за сигурност на приставките.
- Бъдете наистина внимателни какво изтегляте и се опитайте да използвате Ninite, когато абсолютно трябва.
- Обърнете внимание на това, което кликвате по всяко време, когато кликнете.
- Обмислете използването на инструментариума на Microsoft (Enhanced Mitigation Experience Tool Kit) или Malwarebytes Anti-Exploit, за да защитите браузъра си и други критични приложения от дупки в сигурността и нулеви атаки.
- Уверете се, че всички ваши софтуерни, плъгини и антивирусни престои се актуализират и това включва и актуализации на Windows.
Но това е ужасно много работа, защото просто искам да преглеждам мрежата, без да бъда отвлечена. Това е като работа с TSA.
Екосистемата на Windows е кавалдад на crapware. А сега основната сигурност на интернет е нарушена за потребителите на Windows. Microsoft трябва да реши това.
