Fleksibilnost Superfisha započela je kada su istraživači primijetili da je Superfish u paketu s Lenovo računalima instalirao lažni certifikat korijena u sustav Windows koji u suštini otima sve HTTPS pregledavanje, tako da se certifikati uvijek izgledaju valjanima čak i ako nisu i to su učinili na takvom nesiguran način da bilo koji skriptni kiddie haker može postići istu stvar.
A onda instaliraju proxy u preglednik i prisiljavaju sve vaše pregledavanje tako da mogu umetnuti oglase. To je u redu, čak i kada se povežete s bankom ili mjestom zdravstvenog osiguranja ili s bilo kojeg mjesta koja bi trebala biti sigurna. I nikada ne biste znali jer su razbili Windows šifriranje da bi vam prikazali oglase.
Ali tužna, tužna činjenica je da nisu jedini koji to rade - adware kao što su Wajam, Geniusbox, Content Explorer i ostali rade točno ista stvar, instalirajući svoje vlastite certifikate i prisilivši sve vaše pregledavanje (uključujući HTTPS kriptirane pregledavanje) da prođu kroz proxy poslužitelj. I možete dobiti zaražene tom glupošću samo instaliranjem dviju top 10 aplikacija na CNET preuzimanjima.
Dno crta je da više ne možete imati povjerenja u ikonu zelene brave u adresnoj traci preglednika. I to je zastrašujuće, zastrašujuće.
Kako funkcionira HTTPS-ometanje adwarea i zašto je tako loša
Kao što smo ranije pokazali, ako napravite veliku gigantsku pogrešku povjerenja u CNET Downloads, već biste mogli biti zaraženi ovoj vrsti adwarea. Dva od deset najboljih preuzimanja na CNET (KMPlayer i YTD) povezuju dvije različite vrste HTTPS otmice adwarea, au našem istraživanju otkrili smo da većina drugih freeware stranica rade istu stvar.
Bilješka:instalatori su tako lukav i zbunjeni da nismo sigurni tko je tehnički radeći "bundling", ali CNET promovira te aplikacije na svojoj početnoj stranici, pa je to stvar semantike. Ako preporučujete da korisnici preuzmu nešto loše, jednako ste krivi. Također smo otkrili da su mnoge od tih tvrtki koje se bave reklamama potajno isti ljudi koji koriste različite nazive tvrtki.
Na temelju brojeva preuzimanja s top 10 popisa na preuzimanju CNET-a, milijun je ljudi zaraženo svaki mjesec s adwareom koji otima svoje šifrirane web sjednice u svoju banku ili e-poštu ili bilo što što bi trebalo biti sigurno.
Ako ste pogriješili instalirajte KMPlayer i uspjeli zanemariti sve ostale crapware, bit će vam predstavljen ovaj prozor. A ako slučajno kliknete Prihvati (ili pogodite pogrešnu tipku), vaš će sustav biti pwned.
Kada krenete na web mjesto koje treba biti sigurno, vidjet ćete ikonu zelene blokade i sve će izgledati savršeno normalno. Možete čak i kliknuti na zaključavanje da biste vidjeli detalje, i pojavit će se da je sve u redu. Upotrebljavate sigurnu vezu, pa čak i Google Chrome izvješćuje da ste povezani s Googleom putem sigurne veze. Ali niste!
Sustav Alerts LLC nije pravi certifikat korijena, a vi zapravo prolazite kroz proxy koji je umetnut u stranice (i tko zna što drugo). Trebali biste samo poslati e-poštu svim svojim lozinkama, to bi bilo lakše.
To postižu tako da instalirate svoje lažne certifikate korijena u Windows trgovinu potvrda, a zatim proxyju sigurnim vezama dok ih potpišu s njihovim lažnim certifikatom.
Ako pogledate na ploči certifikata sustava Windows, možete vidjeti sve vrste potpuno valjanih potvrda … ali ako vaše računalo ima neku vrstu adwarea instaliran, vidjet ćete lažne stvari poput System Alerts, LLC ili Superfish, Wajam ili desetke drugih krivotvorina.
Svi su ljudi u srednjim napadima i evo kako rade
Nakon što oteti, mogu čitati svaku pojedinačnu stvar koju šaljete na privatnu web lokaciju - lozinke, privatne podatke, informacije o zdravlju, e-poštu, brojeve socijalnog osiguranja, bankovne podatke itd. Nikada nećete znati jer će vam vaš preglednik reći da je vaša veza sigurna.
To funkcionira jer šifriranje javnog ključa zahtijeva i javni ključ i privatni ključ. Javni ključevi instalirani su u spremištu certifikata, a privatni ključ treba biti poznat samo putem web stranice koju posjećujete. No, kada napadači mogu oteti vašu korijensku potvrdu i imaju javne i privatne ključeve, mogu učiniti sve što žele.
U slučaju Superfisha koristili su isti privatni ključ na svakom računalu na kojem je instaliran Superfish, a za nekoliko sati istraživači sigurnosti uspjeli su izdvojiti privatne ključeve i stvoriti web stranice za testiranje jesu li ranjivi i dokazati da biste mogli biti otet. Za Wajam i Geniusbox, ključevi su različiti, ali Content Explorer i neki drugi adware također koriste iste ključeve svugdje, što znači da ovaj problem nije jedinstven za Superfish.
Poboljšava se: Većina ovog sranja isključuje HTTPS provjernu cjelinu
Tek jučer, istraživači sigurnosti otkrili su još veći problem: svi ovi HTTPS proksiji onemogućuju svu provjeru valjanosti, a čini se da je sve u redu.
To znači da možete otići na HTTPS web stranicu koja ima potpuno nevaljan certifikat, a ovaj adware će vam reći da je stranica sasvim u redu. Testirali smo adware koji smo ranije spomenuli i potpuno onemogućuju HTTPS provjera valjanosti, pa nije bitno da li su privatni ključevi jedinstveni ili ne. Šokantno loše!
Možete provjeriti jesu li ranjivi na Superfish, Komodia ili nevažeću provjeru certifikata pomoću web mjesta za testiranje koje su stvorili istraživači sigurnosti, no kao što smo već pokazali, postoji mnogo više adwarea koji rade isto, a iz našeg istraživanja, stvari će se i dalje pogoršavati.
Zaštitite se: Provjerite ploču certifikata i izbrišite pogrešne unose
Ako ste zabrinuti, trebali biste provjeriti trgovinu svjedodžbe kako biste bili sigurni da nemate instalirane certifikat za skice koje bi kasnije mogao aktivirati nečiji proxy poslužitelj. To može biti malo komplicirano, jer tu ima puno stvari, a većina toga bi trebala biti tamo. Također nemamo dobar popis onoga što bi trebalo i ne bi smjelo biti tamo.
Upotrijebite WIN + R da biste pokrenuli dijalog Run, a zatim upišite "mmc" da biste podigli prozor Microsoft Management Console. Zatim upotrijebite File -> Add / Remove Snap-Ins i odaberite Certifikati s popisa slijeva, a zatim je dodajte na desnu stranu. Svakako odaberite račun Račun na sljedećem dijaloškom okviru, a zatim kliknite ostatak.
- Sendori
- Purelead
- Rocket Tab
- Super riba
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler je legitiman alat za razvojne programere, ali zlonamjerni softver je otet njihovu certifikatu)
- System Alerts, LLC
- CE_UmbrellaCert
Desnom tipkom miša kliknite i izbrišite sve one unose koje ste pronašli. Ako ste vidjeli nešto netočno kada ste testirali Google u pregledniku, svakako izbrisati taj unos. Samo budite oprezni, jer ako ovdje izbrišete pogrešne stvari, razbiti ćete sustav Windows.
Zatim ćete morati otvoriti web-preglednik i pronaći potvrde koje su vjerojatno spremljene tamo. Za Google Chrome idite na Postavke, Napredne postavke, a zatim Upravljanje certifikatima. U odjeljku Osobno možete jednostavno kliknuti gumb Ukloni za sve loše potvrde …
Ali to je ludost.
Idite na dno prozora Naprednih postavki i kliknite Ponovno postavljanje postavki da biste potpuno resetirali Chrome na zadane postavke. Učinite isto za bilo koji drugi preglednik koji koristite ili potpuno deinstaliraj, brisanje svih postavki, a zatim je ponovno instalirajte.
Ako ste pogođeni s vašim računalom, vjerojatno ste bolje od potpuno čiste instalacije sustava Windows. Samo pazite da sigurnosno kopirate dokumente i slike i sve to.
Pa kako se zaštitite?
Gotovo je nemoguće u potpunosti zaštititi sebe, ali evo nekoliko smjernica koje vam mogu pomoći:
- Provjerite web mjesto testiranja za provjeru valjanosti Superfish / Komodia / Certification.
- Omogućite klikni za reprodukciju dodataka u pregledniku, što će vam pomoći u zaštiti od svih onih nultih dnevnih bljeskalica i drugih sigurnosnih utora za dodatke.
- Budite jako pažljivi što preuzimate i pokušate koristiti Ninite kada apsolutno morate.
- Obratite pažnju na ono što kliknete bilo kada kliknete.
- Razmislite o korištenju Microsoftovog Enhanced Mitigation Experience Toolkit (EMET) ili Malwarebytes Anti-Exploit kako biste zaštitili svoj preglednik i druge kritične aplikacije iz sigurnosnih rupa i nuldodnevnih napada.
- Provjerite je li sve vaše softver, dodatke i protuvirusni programi ažurirani, a to uključuje i ažuriranja sustava Windows.
Ali to je užasno puno posla jer samo želi pregledavati web bez otuđenja. To je kao da se bave TSA.
Windows ekosustav je kavalkada od crapwarea. A sada je osnovna sigurnost interneta pokvarena za korisnike Windowsa. Microsoft mora ovo riješiti.