Pagina inicial » como » Download.com e outros Bundle Super-estilo HTTPS Breaking Adware

    Download.com e outros Bundle Super-estilo HTTPS Breaking Adware

    É um momento assustador para ser um usuário do Windows. A Lenovo estava agrupando o adware Superfish sequestrador de HTTPS, o Comodo vem com uma falha de segurança ainda pior chamada PrivDog, e dezenas de outros aplicativos como o LavaSoft estão fazendo o mesmo. É muito ruim, mas se você quiser que suas sessões da Web criptografadas sejam invadidas, vá até o site de downloads da CNET ou de qualquer site gratuito, porque eles são todos pacotes de adware de quebra de HTTPS agora.

    O fiasco do Superfish começou quando os pesquisadores notaram que o Superfish, empacotado em computadores Lenovo, estava instalando um certificado falso no Windows que basicamente seqüestra todas as navegações HTTPS, de modo que os certificados sempre pareçam válidos mesmo se não estiverem, e o fizeram de tal forma. maneira insegura que qualquer hacker kiddie script poderia realizar a mesma coisa.

    E então eles estão instalando um proxy no seu navegador e forçando toda a sua navegação através dele para que eles possam inserir anúncios. É isso mesmo, mesmo quando você se conecta ao seu banco, ou site de seguro de saúde, ou em qualquer lugar que seja seguro. E você nunca saberia, porque eles quebraram a criptografia do Windows para mostrar anúncios.

    Mas o triste, triste é que eles não são os únicos a fazer isso - adware como Wajam, Geniusbox, Content Explorer e outros estão fazendo exatamente a mesma coisa, instalar seus próprios certificados e forçar toda a sua navegação (incluindo sessões de navegação criptografada HTTPS) para passar pelo seu servidor proxy. E você pode se infectar com esse absurdo apenas instalando dois dos 10 principais aplicativos em Downloads CNET.

    O importante é que você não pode mais confiar no ícone de cadeado verde na barra de endereços do seu navegador. E isso é uma coisa assustadora e assustadora.

    Como o adware HTTPS-Hijacking funciona e por que ele é tão ruim

    Hummm, vou precisar que você vá em frente e feche essa aba. Mmkay?

    Como mostramos anteriormente, se você cometer o gigantesco erro de confiar nos Downloads CNET, você já pode estar infectado com esse tipo de adware. Dois dos dez maiores downloads no CNET (KMPlayer e YTD) estão agrupando dois tipos diferentes de adware de seqüestro de HTTPS, e em nossa pesquisa descobrimos que a maioria dos outros sites de freeware estão fazendo a mesma coisa.

    Nota: os instaladores são tão complicados e complicados que não temos certeza de quem é tecnicamente fazendo o "pacote", mas CNET está promovendo esses aplicativos em sua home page, por isso é realmente uma questão de semântica. Se você está recomendando que as pessoas baixem algo que seja ruim, você está igualmente errado. Também descobrimos que muitas dessas empresas de adware são secretamente as mesmas pessoas que usam diferentes nomes de empresas..

    Com base nos números de download da lista dos 10 melhores apenas em downloads da CNET, um milhão de pessoas são infectadas todos os meses com adware que está seqüestrando suas sessões da Web criptografadas em seus bancos, e-mails ou qualquer coisa que deva ser segura.

    Se você cometeu o erro de instalar o KMPlayer, e você conseguiu ignorar todos os outros crapware, você será presenteado com esta janela. E se você acidentalmente clicar em Aceitar (ou apertar a tecla errada) seu sistema será pwned.

    Sites de download deve ter vergonha de si.

    Se você acabou baixando algo de uma fonte ainda mais superficial, como os anúncios de download em seu mecanismo de busca favorito, você verá uma lista completa de coisas que não são boas. E agora sabemos que muitos deles vão quebrar completamente a validação do certificado HTTPS, deixando-o completamente vulnerável.

    O Lavasoft Web Companion também quebra a criptografia HTTPS, mas este bundler também instalou adware.

    Depois que você se infectar com qualquer uma dessas coisas, a primeira coisa que acontece é que ele define o proxy do seu sistema para ser executado através de um proxy local que é instalado no seu computador. Preste especial atenção ao item "Seguro" abaixo. Neste caso, foi da Wajam Internet "Enhancer", mas poderia ser Superfish ou Geniusbox ou qualquer um dos outros que encontramos, todos funcionam da mesma maneira.

    É irônico que a Lenovo tenha usado a palavra "aprimorar" para descrever o Superfish.

    Quando você for a um site que deve ser seguro, verá o ícone de cadeado verde e tudo ficará perfeitamente normal. Você pode até clicar no cadeado para ver os detalhes, e parecerá que está tudo bem. Você está usando uma conexão segura e até o Google Chrome informará que você está conectado ao Google com uma conexão segura. Mas você não é!

    System Alerts LLC não é um certificado raiz real e você está realmente passando por um proxy Man-in-the-Middle que está inserindo anúncios em páginas (e quem sabe o que mais). Você deve apenas enviá-las todas as suas senhas, seria mais fácil.

    Alerta do sistema: seu sistema foi comprometido.

    Uma vez que o adware esteja instalado e fazendo proxy de todo o seu tráfego, você começará a ver anúncios realmente desagradáveis ​​por todo o lugar. Esses anúncios são exibidos em sites seguros, como o Google, substituindo os anúncios reais do Google, ou aparecem como pop-ups em todo o lugar, ocupando todos os sites.

    Eu gostaria do meu Google sem links de malwares, obrigado.

    A maior parte desse adware mostra links de "anúncios" para malwares diretos. Então, enquanto o adware em si pode ser um incômodo legal, eles permitem algumas coisas muito, muito ruins.

    Eles realizam isso instalando seus certificados raiz falsos no armazenamento de certificados do Windows e, em seguida, fazendo proxy nas conexões seguras, assinando-os com seu certificado falso..

    Se você olhar no painel Certificados do Windows, poderá ver todos os tipos de certificados completamente válidos… mas se o seu PC tiver algum tipo de adware instalado, você verá coisas falsas, como System Alerts, LLC ou Superfish, Wajam ou dezenas de outras falsificações.

    É da corporação da Umbrella??

    Mesmo se você tiver sido infectado e removido o badware, os certificados ainda estarão lá, tornando-o vulnerável a outros hackers que possam ter extraído as chaves privadas. Muitos dos instaladores de adware não removem os certificados quando você os desinstala.

    Eles são todos os ataques man-in-the-middle e aqui está como eles funcionam

    Isto é de um ataque ao vivo pelo incrível pesquisador de segurança Rob Graham

    Se o seu PC tiver certificados raiz falsos instalados no armazenamento de certificados, você estará vulnerável a ataques Man-in-the-Middle. O que isto significa é que, se você se conectar a um hotspot público, ou alguém conseguir acesso à sua rede, ou conseguir hackear algo do seu lado, eles poderão substituir sites legítimos por sites falsos. Isso pode parecer exagero, mas os hackers têm conseguido usar sequestros de DNS em alguns dos maiores sites da Web para sequestrar usuários em sites falsos..

    Uma vez sequestrados, eles podem ler cada coisa que você envia para um site privado - senhas, informações privadas, informações de saúde, e-mails, números de previdência social, informações bancárias etc. E você nunca saberá porque seu navegador informará que sua conexão é segura.

    Isso funciona porque a criptografia de chave pública requer uma chave pública e uma chave privada. As chaves públicas são instaladas no armazenamento de certificados e a chave privada deve ser conhecida apenas pelo site que você está visitando. Mas quando os invasores podem seqüestrar seu certificado raiz e manter as chaves públicas e privadas, eles podem fazer o que quiserem..

    No caso do Superfish, eles usaram a mesma chave privada em cada computador que tenha o Superfish instalado e, em poucas horas, os pesquisadores de segurança conseguiram extrair as chaves privadas e criar sites para testar se você está vulnerável e provar que podia ser seqüestrado. Para Wajam e Geniusbox, as chaves são diferentes, mas o Content Explorer e alguns outros adwares também usam as mesmas chaves em todos os lugares, o que significa que esse problema não é exclusivo do Superfish..

    Ele fica pior: a maior parte dessa porcaria desativa a validação HTTPS

    Ainda ontem, os pesquisadores de segurança descobriram um problema ainda maior: todos esses proxies HTTPS desativam toda a validação, fazendo com que pareça que tudo está bem.

    Isso significa que você pode acessar um site HTTPS com um certificado completamente inválido, e esse adware informará que o site está ótimo. Testamos o adware que mencionamos anteriormente e eles estão desativando a validação de HTTPS totalmente, portanto, não importa se as chaves privadas são exclusivas ou não. Chocantemente ruim!

    Todo esse adware interrompe completamente a verificação de certificados.

    Qualquer pessoa com adware instalado é vulnerável a todos os tipos de ataques e, em muitos casos, continua vulnerável mesmo quando o adware é removido.

    Você pode verificar se está vulnerável a Superfish, Komodia ou verificação de certificados inválidos usando o site de teste criado por pesquisadores de segurança, mas como já demonstramos, há muito mais adwares por aí fazendo a mesma coisa, e de nossa pesquisa , as coisas vão continuar a piorar.

    Proteja-se: verifique o painel de certificados e exclua as entradas incorretas

    Se estiver preocupado, você deve verificar seu armazenamento de certificados para certificar-se de que você não tenha nenhum certificado incompleto instalado que possa ser ativado posteriormente pelo servidor proxy de alguém. Isso pode ser um pouco complicado, porque há muita coisa lá, e a maior parte deveria estar lá. Nós também não temos uma boa lista do que deve ou não estar lá.

    Use WIN + R para abrir a caixa de diálogo Executar e digite “mmc” para abrir uma janela do Microsoft Management Console. Em seguida, use Arquivo -> Adicionar / Remover Snap-ins, selecione Certificados na lista à esquerda e, em seguida, adicione-o ao lado direito. Certifique-se de selecionar Conta do computador na próxima caixa de diálogo e clique no restante.

    Você desejará ir para as Autoridades de Certificação Raiz Confiáveis ​​e procurar por entradas realmente incompletas como qualquer uma delas (ou qualquer coisa semelhante a elas)

    • Sendori
    • Purelead
    • Aba do foguete
    • Peixe super
    • Lookthisup
    • Pando
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (o Fiddler é uma ferramenta de desenvolvedor legítima, mas o malware sequestrou seu certificado)
    • Alertas do sistema, LLC
    • CE_UmbrellaCert

    Clique com o botão direito do mouse e exclua qualquer uma dessas entradas encontradas. Se você viu algo incorreto ao testar o Google no seu navegador, exclua esse também. Apenas tenha cuidado, porque se você apagar as coisas erradas aqui, você vai quebrar o Windows.

    Esperamos que a Microsoft libere algo para verificar seus certificados raiz e certifique-se de que apenas os bons estejam lá. Teoricamente, você poderia usar essa lista da Microsoft com os certificados exigidos pelo Windows e, em seguida, atualizar para os certificados raiz mais recentes, mas isso não foi testado neste ponto, e nós realmente não recomendamos até que alguém teste isso.

    Em seguida, você precisará abrir seu navegador da Web e localizar os certificados que provavelmente estão armazenados em cache. Para o Google Chrome, vá para Configurações, Configurações avançadas e, em seguida, Gerenciar certificados. Em pessoal, você pode facilmente clicar no botão Remover em todos os certificados ruins…

    Mas quando você vai para Autoridades de Certificação Raiz Confiáveis, você terá que clicar em Avançado e então desmarcar tudo o que vê para parar de dar permissões para aquele certificado ...

    Mas isso é insanidade.

    Vá para a parte inferior da janela Configurações avançadas e clique em Redefinir configurações para redefinir completamente o Chrome para os padrões. Faça o mesmo para qualquer outro navegador que você esteja usando, ou desinstale completamente, limpe todas as configurações e instale-o novamente.

    Se o seu computador foi afetado, provavelmente é melhor fazer uma instalação completamente limpa do Windows. Apenas certifique-se de fazer backup de seus documentos e fotos e tudo isso.

    Então como você se protege?

    É quase impossível se proteger completamente, mas aqui estão algumas diretrizes de bom senso para ajudá-lo:

    • Verifique o site de teste de validação do Superfish / Komodia / Certification.
    • Habilite o Click-To-Play para plugins no seu navegador, o que ajudará a protegê-lo de todas as falhas de segurança do Flash de dia zero e de outros plug-ins existentes..
    • Tenha muito cuidado com o que você baixar e tente usar Ninite quando você absolutamente precisa.
    • Preste atenção ao que você está clicando a qualquer momento que você clicar.
    • Considere o uso do Enhanced Mitigation Experience Toolkit (EMET) da Microsoft ou do Malwarebytes Anti-Exploit para proteger seu navegador e outros aplicativos críticos contra falhas de segurança e ataques de dia zero..
    • Certifique-se de que todos os seus softwares, plug-ins e antivírus permaneçam atualizados, incluindo atualizações do Windows.

    Mas isso é muito trabalho para apenas querer navegar na web sem ser seqüestrado. É como lidar com o TSA.

    O ecossistema do Windows é uma cavalgada de crapware. E agora a segurança fundamental da Internet está quebrada para os usuários do Windows. A Microsoft precisa consertar isso.