Фиаско Superfish началось, когда исследователи заметили, что Superfish, поставляемый на компьютерах Lenovo, устанавливал поддельный корневой сертификат в Windows, который, по сути, захватывает все HTTPS-браузеры, так что сертификаты всегда выглядят действительными, даже если они не являются, и они делали это в таких небезопасный способ, которым любой хакер мог бы сделать то же самое.
И затем они устанавливают прокси-сервер в ваш браузер и заставляют все просматривать его, чтобы они могли вставлять рекламу. Правильно, даже когда вы подключаетесь к своему банку или сайту медицинского страхования или где-нибудь, что должно быть безопасным. И вы никогда не узнаете, потому что они нарушили шифрование Windows, чтобы показать вам рекламу.
Но печальный, печальный факт состоит в том, что они не единственные, кто это делает - рекламное ПО, например Wajam, Geniusbox, Content Explorer и другие, делают то же самое, устанавливая свои собственные сертификаты и заставляя весь ваш просмотр (включая зашифрованные сеансы просмотра HTTPS) проходить через свой прокси-сервер. И вы можете заразиться этой ерундой, просто установив два из 10 лучших приложений на CNET-загрузках.
Суть в том, что вы больше не можете доверять этому значку зеленого замка в адресной строке браузера. И это страшно, страшно.
Как работает HTTPS-Hijacking Adware и почему это так плохо
Как мы показали ранее, если вы совершите огромную гигантскую ошибку, доверяя CNET Downloads, вы уже можете заразиться этим типом рекламного ПО. Две из первой десятки загрузок на CNET (KMPlayer и YTD) объединяют два разных типа HTTPS-захвата рекламного ПО, и в наших исследованиях мы обнаружили, что большинство других бесплатных сайтов делают то же самое.
Замечания:инсталляторы настолько сложны и запутаны, что мы не уверены, кто технически делая «связывание», но CNET продвигает эти приложения на своей домашней странице, так что это действительно вопрос семантики. Если вы рекомендуете, чтобы люди загружали что-то плохое, вы тоже ошибаетесь. Мы также обнаружили, что многие из этих рекламных компаний тайно являются теми же людьми, использующими разные названия компаний.
Основываясь на числе загрузок из списка 10 лучших приложений CNET, миллион человек каждый месяц заражается рекламным ПО, которое захватывает свои зашифрованные веб-сессии в свой банк или электронную почту или что-то, что должно быть безопасным.
Если вы допустили ошибку при установке KMPlayer, и вам удастся игнорировать все другие crapware, вам будет представлено это окно. И если вы случайно нажмете «Принять» (или нажмите «Неправильный ключ»), ваша система будет выведена на экран.
Когда вы идете на сайт, который должен быть безопасным, вы увидите зеленый значок замка, и все будет выглядеть совершенно нормально. Вы даже можете щелкнуть по замку, чтобы увидеть детали, и будет видно, что все в порядке. Вы используете безопасное соединение, и даже Google Chrome сообщит, что вы подключены к Google с помощью безопасного соединения. Но это не так!
System Alerts LLC не является настоящим корневым сертификатом, и вы фактически просматриваете прокси-сервер Man-in-the-Middle, который вставляет рекламу на страницы (и кто знает, что еще). Вы должны просто отправить им все свои пароли, было бы проще.
Они выполняют это путем установки своих поддельных корневых сертификатов в хранилище сертификатов Windows, а затем проксирования защищенных соединений при подписании их с их поддельным сертификатом.
Если вы посмотрите на панели «Сертификаты Windows», вы можете увидеть всевозможные полностью действующие сертификаты … но если на вашем ПК установлен определенный тип рекламного ПО, вы увидите такие поддельные вещи, как System Alerts, LLC или Superfish, Wajam или десятки других подделок.
Это все люди в ближнем бою, и вот как они работают
После того, как вы захвачены, они могут читать все, что вы отправляете на частный сайт, - пароли, конфиденциальную информацию, информацию о здоровье, электронные письма, номера социального страхования, банковскую информацию и т. Д. И вы никогда не узнаете, потому что ваш браузер скажет вам что ваше соединение безопасно.
Это работает, потому что для шифрования с открытым ключом требуется как открытый ключ, так и закрытый ключ. Открытые ключи устанавливаются в хранилище сертификатов, а закрытый ключ должен быть известен только на веб-сайте, который вы посещаете. Но когда злоумышленники могут захватить ваш корневой сертификат и удерживать как открытый, так и закрытый ключи, они могут делать все, что захотят.
В случае с Superfish они использовали один и тот же секретный ключ на каждом компьютере, на котором установлен Superfish, и в течение нескольких часов исследователи безопасности смогли извлечь секретные ключи и создать веб-сайты, чтобы проверить, являются ли вы уязвимыми, и докажите, что вы можете быть захваченным. Для Wajam и Geniusbox ключи разные, но Content Explorer и другое рекламное ПО также используют все те же ключи везде, что означает, что эта проблема не уникальна для Superfish.
Это ухудшает: большая часть этого дерьма полностью отключает валидацию HTTPS
Только вчера исследователи безопасности обнаружили еще большую проблему: все эти прокси-серверы HTTPS отключили все проверки, сделав их похожими на все.
Это означает, что вы можете перейти на HTTPS-сайт с полностью недействительным сертификатом, и это рекламное ПО скажет вам, что сайт в порядке. Мы протестировали рекламное ПО, о котором мы упоминали ранее, и все они полностью отключили проверку HTTPS, поэтому не имеет значения, являются ли частные ключи уникальными или нет. Ужасно плохо!
Вы можете проверить, не уязвимы ли вы для Superfish, Komodia или недействительные проверки сертификатов, используя тестовый сайт, созданный исследователями безопасности, но, как мы уже продемонстрировали, существует гораздо больше рекламного ПО, делающих то же самое, и из нашего исследования, все будет продолжать ухудшаться.
Защитите себя: проверьте панель «Сертификаты» и «Удалить плохие записи»
Если вы беспокоитесь, вы должны проверить свой магазин сертификатов, чтобы убедиться, что у вас нет каких-либо отрывочных сертификатов, которые позже могут быть активированы чей-то прокси-сервером. Это может быть немного сложно, потому что там много чего, и большинство из них должно быть там. У нас также нет хорошего списка того, что должно и не должно быть.
Используйте WIN + R, чтобы открыть диалог «Выполнить», а затем введите «mmc», чтобы открыть окно консоли Microsoft Management Console. Затем используйте File -> Add / Remove Snap-ins и выберите «Сертификаты» в списке слева, а затем добавьте его в правую сторону. Обязательно выберите учетную запись компьютера в следующем диалоговом окне, а затем щелкните остальные.
- Sendori
- Purelead
- Вкладка Rocket
- Супер рыбы
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler - законный инструмент разработчика, но вредоносная программа захватила их сертификат)
- Системные оповещения, LLC
- CE_UmbrellaCert
Щелкните правой кнопкой мыши и удалите любую из найденных записей. Если вы обнаружили что-то неправильное при проверке Google в своем браузере, обязательно удалите его. Просто будьте осторожны, потому что, если вы удалите здесь неправильные вещи, вы нарушите Windows.
Затем вам нужно будет открыть свой веб-браузер и найти сертификаты, которые, вероятно, кэшируются там. Для Google Chrome перейдите в раздел «Настройки», «Дополнительные настройки» и затем «Управление сертификатами». В разделе «Личные» вы можете легко нажать кнопку «Удалить» на любых плохих сертификатах …
Но это безумие.
Перейдите в нижнюю часть окна «Дополнительные параметры» и нажмите «Сбросить настройки», чтобы полностью сбросить настройки Chrome по умолчанию. Сделайте то же самое для любого другого браузера, который вы используете, или полностью удалите, вытрите все настройки, а затем установите его еще раз.
Если ваш компьютер был затронут, вам, вероятно, лучше сделать полностью чистую установку Windows. Просто обеспечьте резервное копирование своих документов и изображений и все такое.
Итак, как вы защищаете себя?
Почти невозможно полностью защитить себя, но вот несколько советов по здравому смыслу, которые помогут вам:
- Проверьте сайт проверки проверки Superfish / Komodia / Certification.
- Включите Click-To-Play для плагинов в вашем браузере, который поможет вам защитить вас от всех этих флеш-флешей с нулевым днем и других дыр в плагине.
- Будьте очень осторожны, что вы загружаете и пытаетесь использовать Ninite, когда вам это абсолютно необходимо.
- Обратите внимание на то, что вы нажимаете, когда вы нажимаете.
- Подумайте о том, как использовать усовершенствованный инструментарий для повышения уровня защиты от Microsoft (EMET) или Malwarebytes Anti-Exploit для защиты вашего браузера и других критически важных приложений от дыр в безопасности и атак с нулевым днем.
- Убедитесь, что все ваше программное обеспечение, плагины и антивирусные программы обновлены, а также обновления Windows.
Но это очень много работы, потому что вы просто хотите просматривать веб-страницы, не будучи захваченными. Это похоже на работу с TSA.
Экосистемой Windows является кавалькадой crapware. И теперь фундаментальная безопасность Интернета нарушена для пользователей Windows. Microsoft должна это исправить.
