Download.com e altri bundle Superfish-Style HTTPS Breaking Adware

Sommario:

Download.com e altri bundle Superfish-Style HTTPS Breaking Adware
Download.com e altri bundle Superfish-Style HTTPS Breaking Adware

Video: Download.com e altri bundle Superfish-Style HTTPS Breaking Adware

Video: Download.com e altri bundle Superfish-Style HTTPS Breaking Adware
Video: Corso su Outlook Online Completo - Come impostare priorità, riservatezza e conferma di lettura - YouTube 2024, Aprile
Anonim
È un momento spaventoso essere un utente di Windows. Lenovo stava raggruppando adware Superfish per il dirottamento HTTPS, Comodo viene fornito con un buco di sicurezza ancora peggiore chiamato PrivDog, e dozzine di altre app come LavaSoft stanno facendo lo stesso. È davvero brutto, ma se vuoi che le tue sessioni web crittografate vengano dirottate, vai direttamente su CNET Downloads o su qualsiasi sito freeware, perché ora raggruppano tutti gli adware HTTPS.
È un momento spaventoso essere un utente di Windows. Lenovo stava raggruppando adware Superfish per il dirottamento HTTPS, Comodo viene fornito con un buco di sicurezza ancora peggiore chiamato PrivDog, e dozzine di altre app come LavaSoft stanno facendo lo stesso. È davvero brutto, ma se vuoi che le tue sessioni web crittografate vengano dirottate, vai direttamente su CNET Downloads o su qualsiasi sito freeware, perché ora raggruppano tutti gli adware HTTPS.

Il fiasco di Superfish è iniziato quando i ricercatori hanno notato che Superfish, in bundle su computer Lenovo, stava installando un certificato di root falso in Windows che essenzialmente dirotta tutta la navigazione HTTPS in modo che i certificati sembrino sempre validi anche se non lo sono, e lo hanno fatto in tale modo insicuro che qualsiasi script kiddie hacker potrebbe realizzare la stessa cosa.

E poi stanno installando un proxy nel tuo browser e forzando tutta la tua navigazione attraverso di esso in modo che possano inserire annunci. Esatto, anche quando ti connetti alla tua banca, al tuo sito di assicurazione sanitaria o ovunque dovresti essere sicuro. E non lo sapresti mai, perché hanno infranto la crittografia di Windows per mostrarti pubblicità.

Ma il fatto triste e triste è che non sono gli unici a farlo - adware come Wajam, Geniusbox, Content Explorer e altri stanno facendo esattamente la stessa cosa, installando i propri certificati e forzando tutta la tua navigazione (incluse le sessioni di navigazione crittografate HTTPS) per passare attraverso il loro server proxy. E puoi essere contagiato da queste sciocchezze semplicemente installando due delle 10 app migliori su CNET Downloads.

La linea di fondo è che non ci si può più fidare di quell'icona del lucchetto verde nella barra degli indirizzi del browser. E questa è una cosa spaventosa e spaventosa.

Come funziona l'HTTPS-Hijacking Adware e perché è così dannoso

Image
Image

Come abbiamo già dimostrato, se commetti l'enorme gigantesco errore di fidarsi di CNET Download, potresti già essere infettato da questo tipo di adware. Due dei dieci download principali su CNET (KMPlayer e YTD) stanno raggruppando due diversi tipi di adware per hijack HTTPSe nella nostra ricerca abbiamo scoperto che la maggior parte degli altri siti freeware sta facendo la stessa cosa.

Nota:gli installatori sono così complicati e contorti che non siamo sicuri di chi sia tecnicamente facendo "bundling", ma CNET sta promuovendo queste app sulla loro home page, quindi è davvero una questione di semantica. Se stai raccomandando che le persone scarichino qualcosa di negativo, sei ugualmente in errore. Abbiamo anche scoperto che molte di queste aziende adware sono segretamente le stesse persone che utilizzano nomi di società diversi.

Sulla base dei numeri di download della top 10 dei download CNET da soli, un milione di persone vengono infettate ogni mese con adware che sta rubando le loro sessioni web crittografate alla loro banca, o posta elettronica, o qualsiasi cosa che dovrebbe essere sicura.

Se hai commesso l'errore di installare KMPlayer e riesci a ignorare tutti gli altri crapware, ti verrà presentata questa finestra. E se accidentalmente fai clic su Accetta (o premi la chiave sbagliata) il tuo sistema verrà bloccato.

Se hai finito per scaricare qualcosa da una fonte ancora più imprecisa, come gli annunci di download nel tuo motore di ricerca preferito, vedrai un'intera lista di cose che non sono buone. E ora sappiamo che molti di loro interromperanno completamente la convalida del certificato HTTPS, lasciandoti completamente vulnerabile.
Se hai finito per scaricare qualcosa da una fonte ancora più imprecisa, come gli annunci di download nel tuo motore di ricerca preferito, vedrai un'intera lista di cose che non sono buone. E ora sappiamo che molti di loro interromperanno completamente la convalida del certificato HTTPS, lasciandoti completamente vulnerabile.
Una volta che vieni infettato da una di queste cose, la prima cosa che succede è che imposta il proxy di sistema per l'esecuzione attraverso un proxy locale che installa sul tuo computer. Prestare particolare attenzione all'elemento "Sicuro" di seguito. In questo caso è stato da Wajam Internet "Enhancer", ma potrebbe essere Superfish o Geniusbox o uno degli altri che abbiamo trovato, funzionano tutti allo stesso modo.
Una volta che vieni infettato da una di queste cose, la prima cosa che succede è che imposta il proxy di sistema per l'esecuzione attraverso un proxy locale che installa sul tuo computer. Prestare particolare attenzione all'elemento "Sicuro" di seguito. In questo caso è stato da Wajam Internet "Enhancer", ma potrebbe essere Superfish o Geniusbox o uno degli altri che abbiamo trovato, funzionano tutti allo stesso modo.
Image
Image

Quando vai su un sito che dovrebbe essere sicuro, vedrai l'icona del lucchetto verde e tutto apparirà perfettamente normale. Puoi anche cliccare sul lucchetto per vedere i dettagli, e sembrerà che tutto vada bene. Stai utilizzando una connessione sicura e persino Google Chrome ti comunicherà che sei connesso a Google con una connessione sicura. Ma tu non lo sei!

System Alerts LLC non è un vero certificato di root e in effetti stai attraversando un proxy Man-in-the-Middle che sta inserendo annunci nelle pagine (e chissà cos'altro). Dovresti semplicemente mandare loro via email tutte le tue password, sarebbe più facile.

Una volta installato l'adware e trasmesso tutto il traffico, inizierai a vedere annunci davvero odiosi ovunque. Questi annunci vengono visualizzati su siti protetti, come Google, sostituiscono gli annunci Google effettivi o vengono visualizzati come popup in tutto il luogo, rilevando ogni sito.
Una volta installato l'adware e trasmesso tutto il traffico, inizierai a vedere annunci davvero odiosi ovunque. Questi annunci vengono visualizzati su siti protetti, come Google, sostituiscono gli annunci Google effettivi o vengono visualizzati come popup in tutto il luogo, rilevando ogni sito.
La maggior parte di questo adware mostra collegamenti "ad" al vero e proprio malware. Quindi, mentre l'adware stesso potrebbe essere un fastidio legale, abilitano alcune cose davvero, veramente brutte.
La maggior parte di questo adware mostra collegamenti "ad" al vero e proprio malware. Quindi, mentre l'adware stesso potrebbe essere un fastidio legale, abilitano alcune cose davvero, veramente brutte.

Lo fanno installando i loro falsi certificati root nell'archivio certificati di Windows e quindi proxy le connessioni sicure mentre li firmano con il loro certificato falso.

Se guardi nel pannello Certificati di Windows, puoi vedere tutti i tipi di certificati completamente validi … ma se sul tuo PC è installato qualche tipo di adware, vedrai cose false come System Alerts, LLC o Superfish, Wajam o dozzine di altri falsi.

Anche se sei stato infettato e quindi rimosso il badware, i certificati potrebbero ancora essere lì, rendendoti vulnerabile agli altri hacker che potrebbero aver estratto le chiavi private. Molti dei programmi di installazione di adware non rimuovono i certificati quando li si disinstalla.
Anche se sei stato infettato e quindi rimosso il badware, i certificati potrebbero ancora essere lì, rendendoti vulnerabile agli altri hacker che potrebbero aver estratto le chiavi private. Molti dei programmi di installazione di adware non rimuovono i certificati quando li si disinstalla.

Sono tutti attacchi man-in-the-middle ed ecco come funzionano

Se il tuo PC ha certificati di root falsi installati nell'archivio certificati, ora sei vulnerabile agli attacchi Man-in-the-Middle. Ciò significa che se ti connetti a un hotspot pubblico o se qualcuno accede alla tua rete o se riesce a violare qualcosa a monte, puoi sostituire siti legittimi con siti falsi. Questo potrebbe sembrare inverosimile, ma gli hacker sono stati in grado di utilizzare i dirottamenti DNS su alcuni dei più grandi siti sul web per dirottare gli utenti su un sito falso.
Se il tuo PC ha certificati di root falsi installati nell'archivio certificati, ora sei vulnerabile agli attacchi Man-in-the-Middle. Ciò significa che se ti connetti a un hotspot pubblico o se qualcuno accede alla tua rete o se riesce a violare qualcosa a monte, puoi sostituire siti legittimi con siti falsi. Questo potrebbe sembrare inverosimile, ma gli hacker sono stati in grado di utilizzare i dirottamenti DNS su alcuni dei più grandi siti sul web per dirottare gli utenti su un sito falso.

Una volta che sei dirottato, possono leggere ogni singola cosa che invii a un sito privato: password, informazioni private, informazioni sulla salute, email, numeri di previdenza sociale, informazioni bancarie, ecc. E non lo saprai mai perché il tuo browser ti dirà che la tua connessione sia sicura.

Funziona perché la crittografia a chiave pubblica richiede sia una chiave pubblica che una chiave privata. Le chiavi pubbliche sono installate nell'archivio certificati e la chiave privata deve essere conosciuta solo dal sito Web che stai visitando. Ma quando gli aggressori possono dirottare il tuo certificato di root e contenere sia le chiavi pubbliche che quelle private, possono fare tutto ciò che vogliono.

Nel caso di Superfish, hanno usato la stessa chiave privata su ogni computer su cui è installato Superfish, e in poche ore i ricercatori della sicurezza sono riusciti a estrarre le chiavi private e creare siti Web per verificare se sei vulnerabile e dimostrare che potresti essere dirottato Per Wajam e Geniusbox, le chiavi sono diverse, ma Content Explorer e altri adware utilizzano anche le stesse chiavi ovunque, il che significa che questo problema non è esclusivo di Superfish.

Ottiene peggio: la maggior parte di questa schifezza disabilita completamente la convalida HTTPS

Proprio ieri, i ricercatori di sicurezza hanno scoperto un problema ancora più grande: tutti questi proxy HTTPS disattivano tutte le convalide facendolo apparire come se tutto andasse bene.

Ciò significa che puoi visitare un sito Web HTTPS con un certificato completamente non valido e questo adware ti dirà che il sito è perfetto. Abbiamo testato l'adware che abbiamo menzionato in precedenza e stanno disabilitando completamente la convalida HTTPS, quindi non importa se le chiavi private sono uniche o meno. Incredibilmente cattivo!

Chiunque abbia installato adware è vulnerabile a tutti i tipi di attacchi e in molti casi continua a essere vulnerabile anche quando viene rimosso l'adware.
Chiunque abbia installato adware è vulnerabile a tutti i tipi di attacchi e in molti casi continua a essere vulnerabile anche quando viene rimosso l'adware.

Puoi verificare se sei vulnerabile a Superfish, Komodia, o verificare i certificati non validi utilizzando il sito di test creato dai ricercatori di sicurezza, ma come abbiamo già dimostrato, c'è molto più adware là fuori che fa la stessa cosa, e dalla nostra ricerca, le cose continueranno a peggiorare.

Proteggiti: controlla il pannello Certificati ed elimina le voci non valide

Se sei preoccupato, dovresti controllare l'archivio dei certificati per assicurarti che non siano installati certificati di schizzo che possano essere successivamente attivati dal server proxy di qualcuno. Questo può essere un po 'complicato, perché ci sono molte cose lì dentro e la maggior parte dovrebbe essere lì. Inoltre, non abbiamo una buona lista di cosa dovrebbe e non dovrebbe esserci.

Utilizzare WIN + R per visualizzare la finestra di dialogo Esegui, quindi digitare "mmc" per visualizzare una finestra di Microsoft Management Console. Quindi utilizzare File -> Aggiungi / Rimuovi snap-in e selezionare Certificati dall'elenco a sinistra, quindi aggiungerlo sul lato destro. Assicurati di selezionare Account computer nella finestra di dialogo successiva, quindi fai clic sul resto.

  • Sendori
  • Purelead
  • Rocket Tab
  • Super Fish
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler è uno strumento di sviluppo legittimo ma il malware ha dirottato il loro cert)
  • System Alerts, LLC
  • CE_UmbrellaCert

Fai clic con il tasto destro del mouse e cancella tutte le voci che trovi. Se hai visto qualcosa di non corretto quando hai provato Google nel tuo browser, assicurati di eliminarlo anche tu. Fai attenzione, perché se elimini qui le cose sbagliate, interromperai Windows.

Speriamo che Microsoft rilasci qualcosa per verificare i certificati di root e assicurarsi che ci siano solo quelli buoni. In teoria è possibile utilizzare questo elenco di Microsoft dei certificati richiesti da Windows e quindi eseguire l'aggiornamento ai certificati radice più recenti, ma a questo punto non è stato ancora testato e non lo consigliamo a tutti fino a quando qualcuno non lo verificherà.
Speriamo che Microsoft rilasci qualcosa per verificare i certificati di root e assicurarsi che ci siano solo quelli buoni. In teoria è possibile utilizzare questo elenco di Microsoft dei certificati richiesti da Windows e quindi eseguire l'aggiornamento ai certificati radice più recenti, ma a questo punto non è stato ancora testato e non lo consigliamo a tutti fino a quando qualcuno non lo verificherà.

Successivamente, avrai bisogno di aprire il tuo browser web e trovare i certificati che sono probabilmente memorizzati nella cache. Per Google Chrome, vai su Impostazioni, Impostazioni avanzate, quindi su Gestisci certificati. In Personal, puoi facilmente fare clic sul pulsante Rimuovi su eventuali certificati errati …

Ma quando vai alle Autorità di certificazione delle fonti di fiducia, dovrai fare clic su Avanzate e deselezionare tutto ciò che vedi smettere di dare le autorizzazioni a quel certificato …
Ma quando vai alle Autorità di certificazione delle fonti di fiducia, dovrai fare clic su Avanzate e deselezionare tutto ciò che vedi smettere di dare le autorizzazioni a quel certificato …

Ma questa è follia.

Vai in fondo alla finestra Impostazioni avanzate e fai clic su Ripristina impostazioni per ripristinare completamente i valori predefiniti di Chrome. Fai lo stesso per qualsiasi altro browser che stai usando, o disinstallalo completamente, cancellando tutte le impostazioni, quindi installalo di nuovo.

Se il tuo computer è stato colpito, probabilmente stai meglio facendo un'installazione completamente pulita di Windows. Assicurati di fare il backup dei tuoi documenti e immagini e tutto il resto.

Quindi come ti proteggi?

È quasi impossibile proteggerti completamente, ma ecco alcune linee guida di buon senso per aiutarti:

  • Controllare il sito di prova di validazione Superfish / Komodia / Certification.
  • Abilita Click-To-Play per i plug-in nel tuo browser, che ti aiuteranno a proteggerti da tutti quei buchi di sicurezza zero-day e altri plugin di sicurezza che ci sono.
  • Stai molto attento a ciò che scarichi e prova ad usare Ninite quando devi assolutamente.
  • Prestare attenzione a ciò che si sta facendo clic ogni volta che si fa clic.
  • Prendi in considerazione l'utilizzo del Enhanced Mitigation Experience Toolkit (EMET) di Microsoft o di Malwarebytes Anti-Exploit per proteggere il tuo browser e altre applicazioni critiche da falle nella sicurezza e attacchi zero-day.
  • Assicurati che tutto il software, i plug-in e l'antivirus rimangano aggiornati e che includano anche gli aggiornamenti di Windows.

Ma è un sacco di lavoro per voler solo navigare sul web senza essere dirottato. È come trattare con la TSA.

L'ecosistema Windows è una cavalcata di crapware. E ora la sicurezza fondamentale di Internet è rotta per gli utenti di Windows. Microsoft ha bisogno di risolvere questo problema.

Consigliato:

Perché alcuni collegamenti di download dominano gli altri?

Perché alcuni collegamenti di download dominano gli altri?

Se scarichi spesso più oggetti contemporaneamente, probabilmente avrai notato che una connessione di download tende a dominare sugli altri fino a quando non viene completata. Perché? Il post di Q & A di SuperUser di oggi ha la risposta alla domanda di un lettore curioso.

Come Deter i ladri di Breaking Into Your Home

Come Deter i ladri di Breaking Into Your Home

Fare a pezzi la tua casa è un'esperienza spaventosa, ma puoi fare una manciata di cose per impedire a un ladro di pensare di venire vicino a casa tua.

Disponibile ESET Superfish Adware Cleaner

Disponibile ESET Superfish Adware Cleaner

ESET Superfish Cleaner è un piccolo strumento portatile che ti avvisa istantaneamente se hai installato Superfish sul tuo PC Windows e lo rimuovi completamente.

Ultra Adware Killer: rimuovi completamente l'Adware e le tracce

Ultra Adware Killer: rimuovi completamente l'Adware e le tracce

Ultra Adware Killer è uno strumento gratuito per la pulizia e la rimozione di Adware che aiuta gli utenti a rimuovere completamente Adware e le loro tracce dai sistemi Windows.

Beautiful Windows 7 Temi di Natale, sfondi, altri download gratuiti

Beautiful Windows 7 Temi di Natale, sfondi, altri download gratuiti

Scarica questi bellissimi Temi di Natale per Windows 7 da Microsoft e altre fonti. Albero di Natale animato, sfondi e molto altro!