Il fiasco di Superfish è iniziato quando i ricercatori hanno notato che Superfish, in bundle su computer Lenovo, stava installando un certificato di root falso in Windows che essenzialmente dirotta tutta la navigazione HTTPS in modo che i certificati sembrino sempre validi anche se non lo sono, e lo hanno fatto in tale modo insicuro che qualsiasi script kiddie hacker potrebbe realizzare la stessa cosa.
E poi stanno installando un proxy nel tuo browser e forzando tutta la tua navigazione attraverso di esso in modo che possano inserire annunci. Esatto, anche quando ti connetti alla tua banca, al tuo sito di assicurazione sanitaria o ovunque dovresti essere sicuro. E non lo sapresti mai, perché hanno infranto la crittografia di Windows per mostrarti pubblicità.
Ma il fatto triste e triste è che non sono gli unici a farlo - adware come Wajam, Geniusbox, Content Explorer e altri stanno facendo esattamente la stessa cosa, installando i propri certificati e forzando tutta la tua navigazione (incluse le sessioni di navigazione crittografate HTTPS) per passare attraverso il loro server proxy. E puoi essere contagiato da queste sciocchezze semplicemente installando due delle 10 app migliori su CNET Downloads.
La linea di fondo è che non ci si può più fidare di quell'icona del lucchetto verde nella barra degli indirizzi del browser. E questa è una cosa spaventosa e spaventosa.
Come funziona l'HTTPS-Hijacking Adware e perché è così dannoso
Come abbiamo già dimostrato, se commetti l'enorme gigantesco errore di fidarsi di CNET Download, potresti già essere infettato da questo tipo di adware. Due dei dieci download principali su CNET (KMPlayer e YTD) stanno raggruppando due diversi tipi di adware per hijack HTTPSe nella nostra ricerca abbiamo scoperto che la maggior parte degli altri siti freeware sta facendo la stessa cosa.
Nota:gli installatori sono così complicati e contorti che non siamo sicuri di chi sia tecnicamente facendo "bundling", ma CNET sta promuovendo queste app sulla loro home page, quindi è davvero una questione di semantica. Se stai raccomandando che le persone scarichino qualcosa di negativo, sei ugualmente in errore. Abbiamo anche scoperto che molte di queste aziende adware sono segretamente le stesse persone che utilizzano nomi di società diversi.
Sulla base dei numeri di download della top 10 dei download CNET da soli, un milione di persone vengono infettate ogni mese con adware che sta rubando le loro sessioni web crittografate alla loro banca, o posta elettronica, o qualsiasi cosa che dovrebbe essere sicura.
Se hai commesso l'errore di installare KMPlayer e riesci a ignorare tutti gli altri crapware, ti verrà presentata questa finestra. E se accidentalmente fai clic su Accetta (o premi la chiave sbagliata) il tuo sistema verrà bloccato.
Quando vai su un sito che dovrebbe essere sicuro, vedrai l'icona del lucchetto verde e tutto apparirà perfettamente normale. Puoi anche cliccare sul lucchetto per vedere i dettagli, e sembrerà che tutto vada bene. Stai utilizzando una connessione sicura e persino Google Chrome ti comunicherà che sei connesso a Google con una connessione sicura. Ma tu non lo sei!
System Alerts LLC non è un vero certificato di root e in effetti stai attraversando un proxy Man-in-the-Middle che sta inserendo annunci nelle pagine (e chissà cos'altro). Dovresti semplicemente mandare loro via email tutte le tue password, sarebbe più facile.
Lo fanno installando i loro falsi certificati root nell'archivio certificati di Windows e quindi proxy le connessioni sicure mentre li firmano con il loro certificato falso.
Se guardi nel pannello Certificati di Windows, puoi vedere tutti i tipi di certificati completamente validi … ma se sul tuo PC è installato qualche tipo di adware, vedrai cose false come System Alerts, LLC o Superfish, Wajam o dozzine di altri falsi.
Sono tutti attacchi man-in-the-middle ed ecco come funzionano
Una volta che sei dirottato, possono leggere ogni singola cosa che invii a un sito privato: password, informazioni private, informazioni sulla salute, email, numeri di previdenza sociale, informazioni bancarie, ecc. E non lo saprai mai perché il tuo browser ti dirà che la tua connessione sia sicura.
Funziona perché la crittografia a chiave pubblica richiede sia una chiave pubblica che una chiave privata. Le chiavi pubbliche sono installate nell'archivio certificati e la chiave privata deve essere conosciuta solo dal sito Web che stai visitando. Ma quando gli aggressori possono dirottare il tuo certificato di root e contenere sia le chiavi pubbliche che quelle private, possono fare tutto ciò che vogliono.
Nel caso di Superfish, hanno usato la stessa chiave privata su ogni computer su cui è installato Superfish, e in poche ore i ricercatori della sicurezza sono riusciti a estrarre le chiavi private e creare siti Web per verificare se sei vulnerabile e dimostrare che potresti essere dirottato Per Wajam e Geniusbox, le chiavi sono diverse, ma Content Explorer e altri adware utilizzano anche le stesse chiavi ovunque, il che significa che questo problema non è esclusivo di Superfish.
Ottiene peggio: la maggior parte di questa schifezza disabilita completamente la convalida HTTPS
Proprio ieri, i ricercatori di sicurezza hanno scoperto un problema ancora più grande: tutti questi proxy HTTPS disattivano tutte le convalide facendolo apparire come se tutto andasse bene.
Ciò significa che puoi visitare un sito Web HTTPS con un certificato completamente non valido e questo adware ti dirà che il sito è perfetto. Abbiamo testato l'adware che abbiamo menzionato in precedenza e stanno disabilitando completamente la convalida HTTPS, quindi non importa se le chiavi private sono uniche o meno. Incredibilmente cattivo!
Puoi verificare se sei vulnerabile a Superfish, Komodia, o verificare i certificati non validi utilizzando il sito di test creato dai ricercatori di sicurezza, ma come abbiamo già dimostrato, c'è molto più adware là fuori che fa la stessa cosa, e dalla nostra ricerca, le cose continueranno a peggiorare.
Proteggiti: controlla il pannello Certificati ed elimina le voci non valide
Se sei preoccupato, dovresti controllare l'archivio dei certificati per assicurarti che non siano installati certificati di schizzo che possano essere successivamente attivati dal server proxy di qualcuno. Questo può essere un po 'complicato, perché ci sono molte cose lì dentro e la maggior parte dovrebbe essere lì. Inoltre, non abbiamo una buona lista di cosa dovrebbe e non dovrebbe esserci.
Utilizzare WIN + R per visualizzare la finestra di dialogo Esegui, quindi digitare "mmc" per visualizzare una finestra di Microsoft Management Console. Quindi utilizzare File -> Aggiungi / Rimuovi snap-in e selezionare Certificati dall'elenco a sinistra, quindi aggiungerlo sul lato destro. Assicurati di selezionare Account computer nella finestra di dialogo successiva, quindi fai clic sul resto.
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler è uno strumento di sviluppo legittimo ma il malware ha dirottato il loro cert)
- System Alerts, LLC
- CE_UmbrellaCert
Fai clic con il tasto destro del mouse e cancella tutte le voci che trovi. Se hai visto qualcosa di non corretto quando hai provato Google nel tuo browser, assicurati di eliminarlo anche tu. Fai attenzione, perché se elimini qui le cose sbagliate, interromperai Windows.
Successivamente, avrai bisogno di aprire il tuo browser web e trovare i certificati che sono probabilmente memorizzati nella cache. Per Google Chrome, vai su Impostazioni, Impostazioni avanzate, quindi su Gestisci certificati. In Personal, puoi facilmente fare clic sul pulsante Rimuovi su eventuali certificati errati …
Ma questa è follia.
Vai in fondo alla finestra Impostazioni avanzate e fai clic su Ripristina impostazioni per ripristinare completamente i valori predefiniti di Chrome. Fai lo stesso per qualsiasi altro browser che stai usando, o disinstallalo completamente, cancellando tutte le impostazioni, quindi installalo di nuovo.
Se il tuo computer è stato colpito, probabilmente stai meglio facendo un'installazione completamente pulita di Windows. Assicurati di fare il backup dei tuoi documenti e immagini e tutto il resto.
Quindi come ti proteggi?
È quasi impossibile proteggerti completamente, ma ecco alcune linee guida di buon senso per aiutarti:
- Controllare il sito di prova di validazione Superfish / Komodia / Certification.
- Abilita Click-To-Play per i plug-in nel tuo browser, che ti aiuteranno a proteggerti da tutti quei buchi di sicurezza zero-day e altri plugin di sicurezza che ci sono.
- Stai molto attento a ciò che scarichi e prova ad usare Ninite quando devi assolutamente.
- Prestare attenzione a ciò che si sta facendo clic ogni volta che si fa clic.
- Prendi in considerazione l'utilizzo del Enhanced Mitigation Experience Toolkit (EMET) di Microsoft o di Malwarebytes Anti-Exploit per proteggere il tuo browser e altre applicazioni critiche da falle nella sicurezza e attacchi zero-day.
- Assicurati che tutto il software, i plug-in e l'antivirus rimangano aggiornati e che includano anche gli aggiornamenti di Windows.
Ma è un sacco di lavoro per voler solo navigare sul web senza essere dirottato. È come trattare con la TSA.
L'ecosistema Windows è una cavalcata di crapware. E ora la sicurezza fondamentale di Internet è rotta per gli utenti di Windows. Microsoft ha bisogno di risolvere questo problema.