it.phhsnews.com


it.phhsnews.com / Download.com e altri bundle Superfish-Style HTTPS Breaking Adware

Download.com e altri bundle Superfish-Style HTTPS Breaking Adware


È un momento spaventoso essere un utente di Windows. Lenovo stava raggruppando adware Superfish per il dirottamento HTTPS, Comodo viene fornito con un buco di sicurezza ancora peggiore chiamato PrivDog, e dozzine di altre app come LavaSoft stanno facendo lo stesso. È davvero pessimo, ma se vuoi che le tue sessioni web crittografate vengano dirottate, vai direttamente su CNET Downloads o su qualsiasi sito freeware, perché ora raggruppano tutti gli adware HTTPS.

CORRELATI: Ecco cosa succede quando installi le 10 migliori app di Download.com

Il fiasco di Superfish è iniziato quando i ricercatori hanno notato che Superfish, in bundle sui computer Lenovo, stava installando un certificato di root falso in Windows che essenzialmente dirotta tutta la navigazione HTTPS in modo che i certificati siano sempre validi anche se non sono E lo hanno fatto in un modo così insicuro che qualsiasi script kiddie hacker potrebbe realizzare la stessa cosa.

E poi stanno installando un proxy nel tuo browser e forzando tutta la tua navigazione attraverso di esso in modo che possano inserire gli annunci. Esatto, anche quando ti connetti alla tua banca, al tuo sito di assicurazione sanitaria o ovunque dovresti essere sicuro. E non lo sapresti mai, perché hanno infranto la crittografia di Windows per mostrarti pubblicità.

Ma il fatto triste e triste è che non sono gli unici a fare questo - adware come Wajam, Geniusbox, Content Explorer e altri stanno facendo esattamente la stessa cosa , installando i propri certificati e forzando tutta la tua navigazione (incluse le sessioni di navigazione crittografate HTTPS) per passare attraverso il loro server proxy. E puoi essere contagiato da queste sciocchezze semplicemente installando due delle migliori 10 app su download CNET.

La linea di fondo è che non ti puoi più fidare dell'icona del lucchetto verde nella barra degli indirizzi del browser. E questa è una cosa spaventosa e spaventosa.

Come funziona l'HTTPS-Hijacking Adware e perché è così brutto

Ummm, ho bisogno che tu vada avanti e chiuda quella scheda. Mmkay?

Come abbiamo già dimostrato, se commetti l'enorme gigantesco errore di fidarsi di CNET Download, potresti già essere infettato da questo tipo di adware. Due dei dieci download principali su CNET (KMPlayer e YTD ) sono in bundle due diversi tipi di adware HTTPS-hijacking , e nella nostra ricerca abbiamo scoperto che la maggior parte degli altri siti freeware stanno facendo la stessa cosa.

Nota: gli installatori sono così complicati e contorti che non Sono sicuro che tecnicamente sta facendo il "bundling", ma CNET sta promuovendo queste app sulla loro home page, quindi è davvero una questione di semantica. Se stai raccomandando che le persone scarichino qualcosa di negativo, sei ugualmente in errore. Abbiamo anche scoperto che molte di queste aziende adware sono segretamente le stesse persone che utilizzano diversi nomi di società.

In base ai numeri di download della top 10 dei download CNET da soli, un milione di persone vengono infettate ogni mese con adware che è dirottando le loro sessioni web crittografate alla loro banca, o email, o qualsiasi cosa che dovrebbe essere sicura.

Se hai commesso l'errore di installare KMPlayer e riesci a ignorare tutti gli altri crapware, ti verrà presentata questa finestra . E se accidentalmente fai clic su Accetta (o premi la chiave sbagliata) il tuo sistema verrà pwnato.

I siti di download dovrebbero vergognarsi di se stessi.

Se hai finito per scaricare qualcosa da una fonte ancora più imprecisa, come gli annunci di download nel tuo motore di ricerca preferito, vedrai un'intera lista di cose che non sono buone. E ora sappiamo che molti di loro interromperanno completamente la convalida del certificato HTTPS, lasciandoti completamente vulnerabile.

Lavasoft Web Companion interrompe anche la crittografia HTTPS, ma questo bundler ha installato anche l'adware.

Una volta che ti fai infettare da qualsiasi una di queste cose, la prima cosa che succede è che imposta il proxy di sistema per eseguire attraverso un proxy locale che installa sul tuo computer. Prestare particolare attenzione all'elemento "Sicuro" di seguito. In questo caso è stato da Wajam Internet "Enhancer", ma potrebbe essere Superfish o Geniusbox o uno degli altri che abbiamo trovato, funzionano tutti allo stesso modo.

È ironico che Lenovo abbia usato la parola "migliorare" per descrivere Superfish.

Quando vai in un sito che dovrebbe essere sicuro, vedrai l'icona del lucchetto verde e tutto apparirà perfettamente normale. Puoi anche cliccare sul lucchetto per vedere i dettagli, e sembrerà che tutto vada bene. Stai utilizzando una connessione sicura e anche Google Chrome ti comunicherà che sei connesso a Google con una connessione sicura. Ma non lo sei!

System Alerts LLC non è un vero certificato di origine e in realtà passare attraverso un proxy Man-in-the-Middle che sta inserendo annunci nelle pagine (e chissà cos'altro). Dovresti semplicemente inviare loro tutte le tue password via email, sarebbe più facile.

System Alert: il tuo sistema è stato compromesso.

Una volta installato l'adware e trasmesso tutto il traffico, inizierai a vedere annunci davvero odiosi dappertutto. Questi annunci vengono visualizzati su siti protetti, come Google, sostituiscono gli annunci Google effettivi o vengono visualizzati come popup in tutto il luogo, rilevando ogni sito.

Vorrei il mio Google senza collegamenti malware, grazie.

La maggior parte di questo adware mostra collegamenti "ad" al vero e proprio malware. Quindi, mentre l'adware stesso potrebbe essere un fastidio legale, abilitano alcune cose veramente, veramente brutte.

Lo fanno installando i loro falsi certificati root nell'archivio certificati di Windows e quindi proxy le connessioni sicure mentre li firmano con il loro certificato falso .

Se guardi nel pannello Certificati di Windows, puoi vedere tutti i tipi di certificati completamente validi ... ma se il tuo PC ha qualche tipo di adware installato, vedrai cose false come System Alert, LLC o Superfish , Wajam, o dozzine di altri falsi.

È quello della società Umbrella?

Anche se sei stato infettato e poi rimosso il badware, i certificati potrebbero ancora essere lì, rendendoti vulnerabile agli altri hacker che potrebbero avere estratto le chiavi private. Molti dei programmi di installazione di adware non rimuovono i certificati quando li si disinstalla.

Sono tutti attacchi man-in-the-middle e ecco come funzionano

Questo è da un vero attacco in diretta da parte della straordinaria sicurezza ricercatore Rob Graham

Se il tuo PC ha certificati radice falsi installati nell'archivio certificati, ora sei vulnerabile agli attacchi Man-in-the-Middle. Ciò significa che se ti connetti a un hotspot pubblico o se qualcuno accede alla tua rete o se riesce a violare qualcosa a monte, puoi sostituire siti legittimi con siti falsi. Questo potrebbe sembrare inverosimile, ma gli hacker sono stati in grado di utilizzare i dirottamenti DNS su alcuni dei più grandi siti sul web per dirottare gli utenti su un sito falso.

Una volta che sei dirottato, possono leggere ogni singola cosa che invii a un sito privato - password, informazioni private, informazioni sulla salute, e-mail, numeri di previdenza sociale, informazioni bancarie, ecc. E non lo saprai mai perché il tuo browser ti dirà che la tua connessione è sicura.

Funziona perché la chiave pubblica la crittografia richiede sia una chiave pubblica che una chiave privata. Le chiavi pubbliche sono installate nell'archivio certificati e la chiave privata deve essere conosciuta solo dal sito Web che stai visitando. Ma quando gli attaccanti possono dirottare il tuo certificato di root e contenere sia le chiavi pubbliche che quelle private, possono fare tutto ciò che vogliono.

Nel caso di Superfish, hanno usato la stessa chiave privata su ogni computer su cui è installato Superfish, e all'interno di un poche ore, i ricercatori della sicurezza sono stati in grado di estrarre le chiavi private e creare siti Web per verificare se sei vulnerabile e dimostrare che potresti essere dirottato. Per Wajam e Geniusbox, le chiavi sono diverse, ma Content Explorer e altri adware usano anche le stesse chiavi ovunque, il che significa che questo problema non è esclusivo di Superfish.

Peggioramenti: la maggior parte di questa crap disabilita la convalida HTTPS

Proprio ieri, i ricercatori di sicurezza hanno scoperto un problema ancora più grande: tutti questi proxy HTTPS disattivano tutte le convalide facendolo apparire come se fosse tutto a posto.

Ciò significa che puoi visitare un sito Web HTTPS con un certificato completamente non valido e questo adware ti dirà che il sito va bene. Abbiamo testato l'adware che abbiamo menzionato in precedenza e stanno disabilitando completamente la convalida HTTPS, quindi non importa se le chiavi private sono univoche o no. Incredibilmente cattivo!

Tutto questo adware interrompe completamente il controllo dei certificati.

Chiunque abbia installato adware è vulnerabile a tutti i tipi di attacchi e in molti casi continua a essere vulnerabile anche quando viene rimosso l'adware.

Puoi controllare se sei vulnerabile a Superfish, Komodia, o controllo certificato non valido utilizzando il sito di test creato dai ricercatori di sicurezza, ma come abbiamo già dimostrato, c'è molto più adware là fuori a fare la stessa cosa, e dalla nostra ricerca, le cose continueranno ad arrivare peggio.

Proteggi te stesso: controlla il pannello Certificati e cancella le voci non valide

Se sei preoccupato, controlla l'archivio dei certificati per assicurarti di non aver installato alcun certificato di schizzo che possa essere successivamente attivato da qualcuno server proxy. Questo può essere un po 'complicato, perché ci sono molte cose lì dentro e la maggior parte dovrebbe essere lì. Inoltre, non abbiamo una buona lista di cosa dovrebbe e non dovrebbe esserci.

Usa WIN + R per aprire la finestra di dialogo Esegui, quindi digita "mmc" per aprire una finestra di Microsoft Management Console. Quindi utilizzare File -> Aggiungi / Rimuovi snap-in e selezionare Certificati dall'elenco a sinistra, quindi aggiungerlo sul lato destro. Assicurati di selezionare l'account del computer nella finestra di dialogo successiva, quindi fai clic sul resto.

Dovrai andare alle autorità di certificazione delle fonti attendibili e cercare voci veramente approssimative come queste (o qualcosa di simile a queste)

  • Sendori
  • Pureless
  • Tabulazione razzo
  • Super Fish
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler è uno strumento di sviluppo legittimo ma il malware ha dirottato il loro cert )
  • Avvisi di sistema, LLC
  • CE_UmbrellaCert

Fare clic con il pulsante destro del mouse ed eliminare una qualsiasi di quelle voci trovate. Se hai visto qualcosa di non corretto quando hai provato Google nel tuo browser, assicurati di eliminarlo anche tu. Fai attenzione, perché se elimini qui le cose sbagliate, interromperai Windows.

Speriamo che Microsoft rilasci qualcosa per verificare i certificati di root e assicurarti che ci siano solo quelli buoni. In teoria è possibile utilizzare questo elenco di Microsoft dei certificati richiesti da Windows e quindi eseguire l'aggiornamento ai certificati root più recenti, ma a questo punto non è ancora stato verificato e non lo consigliamo a tutti fino a quando qualcuno non lo verificherà.

Avanti , avrai bisogno di aprire il tuo browser web e trovare i certificati che sono probabilmente memorizzati nella cache. Per Google Chrome, vai su Impostazioni, Impostazioni avanzate, quindi su Gestisci certificati. In Personal, puoi facilmente fare clic sul pulsante Rimuovi su tutti i certificati errati ...

Ma quando vai alle Autorità di certificazione radice attendibili, dovrai fare clic su Avanzate e quindi deselezionare tutto ciò che vedi smettere di dare le autorizzazioni a tale certificato ...

Ma questa è follia.

RELATED: Smetti di cercare di pulire il tuo computer infetto! Solo Nuke it e Reinstallazione di Windows

Vai in fondo alla finestra Impostazioni avanzate e fai clic su Ripristina impostazioni per ripristinare completamente Chrome ai valori predefiniti. Fai lo stesso per qualsiasi altro browser che stai usando, o disinstallalo completamente, cancellando tutte le impostazioni, quindi installalo di nuovo.

Se il tuo computer è stato interessato, probabilmente stai meglio facendo un'installazione completamente pulita di Windows. Assicurati di fare il backup dei tuoi documenti e immagini e tutto ciò.

Quindi come ti proteggi?

È quasi impossibile proteggerti completamente, ma ecco alcune linee guida di buon senso per aiutarti:

  • Controlla il sito di test di validazione Superfish / Komodia / Certification.
  • Abilita Click-To-Play per i plugin nel tuo browser, che ti aiuteranno a proteggerti da tutti quei buchi di sicurezza zero-day e altri plugin che ci sono.
  • Fai attenzione a ciò che scarichi e prova a utilizzare Ninite quando devi assolutamente.
  • Fai attenzione a ciò che fai clic ogni volta che fai clic.
  • Prendi in considerazione l'utilizzo del Enhanced Mitigation Experience Toolkit (EMET) di Microsoft o di Malwarebytes Anti- Sfruttare per proteggere il browser e altre applicazioni critiche da falle nella sicurezza e attacchi zero-day.
  • Assicurati che tutto il tuo software, i tuoi plug-in e il tuo anti-virus rimangano aggiornati, e che includa anche gli aggiornamenti di Windows.

Ma è un sacco di lavoro per voler solo navigare sul web senza essere dirottato. È come trattare con la TSA.

L'ecosistema Windows è una cavalcata di crapware. E ora la sicurezza fondamentale di Internet è rotta per gli utenti di Windows. Microsoft ha bisogno di risolvere questo problema.


Come trovare e installare app su Apple Watch

Come trovare e installare app su Apple Watch

Una volta che hai imparato a installare app sul tuo nuovo Apple Watch non è un grosso problema, ma se hai appena rimosso il film protettivo via, probabilmente rimarrai un po 'perplesso su come funziona il tuo nuovo orologio. Diamo un'occhiata a come ottenere le app dal tuo iPhone al tuo orologio. CORRELATO: Come aggiungere complicazioni di terze parti al tuo Apple Watch Se sei veterano di smartphone, fallo su iPhone o Android non importa, sei abituato alla routine.

(how-to)

Come impedire al mouse di riattivare il PC Windows

Come impedire al mouse di riattivare il PC Windows

Se un lieve urto alla tua scrivania è sufficiente per riattivare il tuo PC, è probabile che il tuo mouse esegua il risveglio. Ecco come evitare che ciò accada. CORRELATO: Come impedire al computer di attivarsi accidentalmente Per impostazione predefinita, lo spostamento del mouse è uno dei motivi per cui il PC si sveglia dalla modalità di sospensione.

(how-to)