Het is een enge tijd om een Windows-gebruiker te zijn. Lenovo bundelde HTTPS-kaping Superfish adware, Comodo wordt geleverd met een nog erger beveiligingslek genaamd PrivDog, en tientallen andere apps zoals LavaSoft doen hetzelfde. Het is heel erg, maar als je wilt dat je gecodeerde websessies worden gehackt, ga dan naar CNET Downloads of een willekeurige freeware-site, want ze bundelen nu allemaal HTTPS-verbreken adware.
GERELATEERD: Dit is wat er gebeurt wanneer je het installeert de Top 10 van Download.com Apps
Het fiasco van de Superfish begon toen onderzoekers merkten dat Superfish, gebundeld op Lenovo-computers, een nep-rootcertificaat in Windows installeerde dat in feite alle HTTPS-browsing kaping, zodat de certificaten er altijd geldig uitzien, zelfs als ze En ze deden het op zo'n onzekere manier dat elke scriptkiddie-hacker hetzelfde kon bereiken.
En dan installeren ze een proxy in je browser en dwingen ze er helemaal doorheen zodat ze advertenties kunnen invoegen. Dat klopt, zelfs wanneer u verbinding maakt met uw bank, ziekteverzekeringssite of waar dan ook veilig moet zijn. En je zou het nooit weten, omdat ze de Windows-codering verbraken om je advertenties te laten zien.
Maar het trieste, verdrietige feit is dat ze niet de enige zijn die dit doen - adware zoals Wajam, Geniusbox, Content Explorer en anderen doen allemaal exact hetzelfde , installeren hun eigen certificaten en dwingen al uw browsen (inclusief HTTPS versleutelde browsersessies) om hun proxyserver te doorlopen. En je kunt geïnfecteerd raken met deze onzin door twee van de top 10-apps te installeren op CNET Downloads. /www.cnet.com/downloads/> En dat is eng, eng.
Hoe HTTPS-kaping werkt, en waarom het zo slecht is
Zoals we eerder hebben laten zien, als je de enorme gigantische fout maakt om CNET Downloads te vertrouwen, zou je al besmet kunnen zijn met dit soort adware.
Twee van de top tien downloads op CNET (KMPlayer en YTD ) bundelen twee verschillende soorten adware van HTTPS en in ons onderzoek hebben we vastgesteld dat de meeste andere freeware-sites hetzelfde doen.
de "bundeling" doet, maar CNET promoot deze apps op hun startpagina, dus het is echt een kwestie van semantiek. Als je mensen aanbeveelt om iets te downloaden dat slecht is, heb je dezelfde schuld. We hebben ook vastgesteld dat veel van deze adwarebedrijven in het geheim dezelfde mensen zijn die verschillende bedrijfsnamen gebruiken. Op basis van de downloadnummers van de top 10 op CNET Downloads alleen al zijn er elke maand een miljoen mensen besmet met adware die kapen van hun gecodeerde websessies naar hun bank, of e-mail, of iets dat veilig moet zijn. Als je de fout hebt gemaakt om KMPlayer te installeren en je erin slaagt alle andere crapware te negeren, krijg je dit venster te zien . En als u per ongeluk op Accepteren klikt (of op de verkeerde toets drukt), wordt uw systeem weergegeven. Downloadsites moeten zich schamen.
Als u iets hebt gedownload van een nog schimmere bron, zoals de download-advertenties in je favoriete zoekmachine zie je een hele lijst met dingen die niet goed zijn. En nu weten we dat velen van hen de certificering van het HTTPS-certificaat volledig zullen doorbreken, waardoor u volledig kwetsbaar blijft. Als u eenmaal besmet bent met een een van deze dingen, het eerste dat gebeurt, is dat het uw systeemproxy instelt om door een lokale proxy te lopen die hij op uw computer installeert. Besteed speciale aandacht aan het item "Beveiligd" hieronder. In dit geval was het van Wajam Internet "Enhancer", maar het kan Superfish of Geniusbox zijn of een van de andere die we hebben gevonden, ze werken allemaal op dezelfde manier. Het is ironisch dat Lenovo het woord 'verbeteren' heeft gebruikt om Superfish te beschrijven. Wanneer u naar een website gaat die veilig moet zijn, ziet u het groene vergrendelingspictogram en ziet alles er normaal uit. U kunt zelfs op het slot klikken om de details te bekijken en het lijkt erop dat alles in orde is. U gebruikt een beveiligde verbinding en zelfs Google Chrome meldt dat u bent verbonden met Google via een beveiligde verbinding. Maar dat bent u niet! Systeemwaarschuwingen LLC is geen echt hoofdcertificaat en u bent feitelijk het doorlopen van een Man-in-the-Middle-proxy die advertenties in pagina's invoegt (en wie weet wat nog meer). Je zou ze gewoon al je wachtwoorden moeten e-mailen, het zou makkelijker zijn. Systeemwaarschuwing: je systeem is aangetast. Zodra de adware is geïnstalleerd en al je verkeer wordt geprojecteerd, zul je echt irritante advertenties gaan zien overal. Deze advertenties worden weergegeven op beveiligde sites, zoals Google, die de daadwerkelijke Google-advertenties vervangen, of ze worden overal weergegeven als pop-ups en nemen elke site over. Ik wil graag mijn Google zonder malwarelinks, bedankt. De meeste van deze adware toont "advertentie" -links naar regelrechte malware. Dus hoewel de adware zelf een legale overlast kan zijn, zorgen ze ervoor dat sommige echt heel slechte dingen mogelijk zijn. Ze doen dit door hun valse rootcertificaten in het Windows-certificaatarchief te installeren en vervolgens de beveiligde verbindingen proxying terwijl ze worden ondertekend met hun valse certificaat . Als u in het paneel Windows Certificaten kijkt, kunt u allerlei volledig geldige certificaten zien ... maar als uw pc een soort adware heeft geïnstalleerd, ziet u nep-zaken zoals System Alerts, LLC of Superfish , Wajam, of tientallen andere vervalsingen. Is dat van Umbrella-bedrijf? Zelfs als u bent geïnfecteerd en vervolgens de badware hebt verwijderd, kunnen de certificaten nog steeds aanwezig zijn, waardoor u kwetsbaar bent voor andere hackers die mogelijk de privésleutels uitgepakt. Veel van de adware-installatieprogramma's verwijderen de certificaten niet wanneer je ze verwijdert. Het zijn allemaal 'Man-in-the-Middle-aanvallen' en hier is hoe ze werken Dit komt van een echte live aanval door de geweldige beveiliging onderzoeker Rob Graham Als uw pc nep root-certificaten heeft geïnstalleerd in het certificaatarchief, bent u nu kwetsbaar voor Man-in-the-Middle-aanvallen. Dit betekent dat als u verbinding maakt met een openbare hotspot of iemand toegang krijgt tot uw netwerk, of als u iets stroomopwaarts van u hackt, zij legitieme sites kunnen vervangen door valse sites. Dit klinkt misschien vergezocht, maar hackers hebben DNS-kapingen op enkele van de grootste sites op het web kunnen gebruiken om gebruikers naar een nep-site te gijzelen. Zodra u gekaapt bent, kunnen ze elk ding lezen dat u indient naar een privésite - wachtwoorden, privéinformatie, gezondheidsinformatie, e-mails, burgerservicenummers, bankgegevens, enz. En je zult het nooit weten, want je browser zal je vertellen dat je verbinding veilig is. In het geval van Superfish hebben ze dezelfde privésleutel gebruikt op elke computer waarop Superfish is geïnstalleerd, en binnen een Na een paar uur konden beveiligingsonderzoekers de privésleutels uitpakken en websites maken om te testen of je kwetsbaar was en bewijzen dat je kon worden gekaapt. Voor Wajam en Geniusbox zijn de sleutels anders, maar Content Explorer en een andere adware gebruiken ook overal dezelfde sleutels, wat betekent dat dit probleem niet uniek is voor Superfish. Het wordt erger: de meeste van deze Crap schakelt HTTPS-validatie helemaal uit Gisteren ontdekten beveiligingsonderzoekers een nog groter probleem: al deze HTTPS-proxy's schakelen alle validatie uit terwijl het lijkt alsof alles in orde is. Dat betekent dat u naar een HTTPS-website met een volledig ongeldig certificaat kunt gaan , en deze adware zal je vertellen dat de site prima is. We hebben de adware getest die we eerder hebben genoemd en ze schakelen allemaal HTTPS-validatie volledig uit, dus maakt het niet uit of de privésleutels uniek zijn of niet. Schrikwekkend slecht! Al deze adware breekt het certificaat volledig af. U kunt controleren of u kwetsbaar bent voor Superfish, Komodia, of ongeldige certificaatcontrole met behulp van de testsite gemaakt door beveiligingsonderzoekers, maar zoals we al hebben aangetoond, is er nog veel meer adware die hetzelfde doet, en van ons onderzoek zullen de dingen nog steeds doorgaan slechter. Bescherm uzelf: controleer het Certificatenpaneel en verwijder onjuiste gegevens Als u zich zorgen maakt, moet u uw certificaatarchief controleren om ervoor te zorgen dat er geen schetsmatige certificaten zijn geïnstalleerd die later door iemand kunnen worden geactiveerd proxy server. Dit kan een beetje ingewikkeld zijn, omdat er veel spullen in zitten, en het meeste ervan hoort daar te zijn. We hebben ook geen goede lijst met wat er wel en niet moet zijn. Gebruik WIN + R om het dialoogvenster Uitvoeren op te halen en typ 'mmc' om een Microsoft Management Console-venster op te roepen. Gebruik vervolgens Bestand -> Snap-ins toevoegen / verwijderen en selecteer Certificaten in de lijst aan de linkerkant en voeg het vervolgens toe aan de rechterkant. Zorg ervoor dat u Computeraccount selecteert in het volgende dialoogvenster en klik vervolgens op de rest. U wilt naar Vertrouwde basiscertificeringsinstanties gaan en op zoek gaan naar echt schetsmatige vermeldingen zoals deze (of iets dergelijks) Purelead Rocket-tab Super Fish Maar dat is waanzin. GERELATEERD: Probeer niet meer om uw geïnfecteerde computer schoon te maken! Gewoon Nuke it en Windows opnieuw installeren Ga naar de onderkant van het venster Geavanceerde instellingen en klik op Instellingen resetten om Chrome volledig te resetten naar de standaardinstellingen. Doe hetzelfde voor elke andere browser die u gebruikt of verwijder alles volledig, veeg alle instellingen weg en installeer het opnieuw. Als uw computer is getroffen, kunt u beter een volledig schone installatie van Windows uitvoeren. Zorg er wel voor dat je een back-up maakt van je documenten en foto's en zo. Dus hoe bescherm je jezelf? Het is bijna onmogelijk om jezelf volledig te beschermen, maar hier zijn enkele gezonde richtlijnen om je te helpen: Controleer de Superfish / Komodia / certificering validatie testsite. Activeer Click-to-Play voor plug-ins in uw browser, die u zullen beschermen tegen al die zero-day Flash en andere plug-ins beveiligingsgaten die er zijn. Let op wat u klikt wanneer u klikt.Dit werkt omdat de publieke sleutel codering vereist zowel een openbare sleutel als een privésleutel. De openbare sleutels worden geïnstalleerd in het certificaatarchief en de privésleutel moet alleen bekend zijn bij de website die u bezoekt. Maar als aanvallers je rootcertificaat kunnen kapen en zowel de publieke als de private sleutel kunnen bevatten, kunnen ze alles doen wat ze willen.
Iedereen met adware geïnstalleerd is kwetsbaar voor allerlei soorten aanvallen en blijft in veel gevallen kwetsbaar, zelfs als de adware wordt verwijderd.
Sendori
Wees voorzichtig met wat u downloadt en probeer Ninite te gebruiken wanneer dat absoluut noodzakelijk is.
Waarom Linux geen defragmentatie nodig heeft
Als u een Linux-gebruiker bent, heeft u waarschijnlijk gehoord dat u uw Linux-bestandssystemen niet hoeft te defragmenteren. Je zult ook merken dat Linux-distributies niet met hulpprogramma's voor het defragmenteren van schijven worden geleverd. Maar waarom is dat? Om te begrijpen waarom Linux-bestandssystemen bij normaal gebruik niet hoeven te worden gedefragmenteerd - en Windows-versies - moet je begrijpen waarom fragmentatie optreedt en hoe Linux- en Windows-bestandssystemen anders werken.
Hoe autocorrecte tekstsubstitutie uit te schakelen in OS X
Autocorrectie houdt nooit op ons te humoreren. Volledige websites zijn gebouwd op zogenaamde autocorrectie mislukkingen. Grappig als ze zijn, voor degenen onder ons die de neiging hebben om echt goede spellers te zijn, het is verergerend wanneer de computer denkt dat het het beter weet. Autocorrectie en de directe afstammende spellingcontrole zijn verweven in het eigenlijke kader van OS X.