Het is een enge tijd om een ​​Windows-gebruiker te zijn. Lenovo bundelde HTTPS-kaping Superfish adware, Comodo wordt geleverd met een nog erger beveiligingslek genaamd PrivDog, en tientallen andere apps zoals LavaSoft doen hetzelfde. Het is heel erg, maar als je wilt dat je gecodeerde websessies worden gehackt, ga dan naar CNET Downloads of een willekeurige freeware-site, want ze bundelen nu allemaal HTTPS-verbreken adware.

GERELATEERD: Dit is wat er gebeurt wanneer je het installeert de Top 10 van Download.com Apps

Het fiasco van de Superfish begon toen onderzoekers merkten dat Superfish, gebundeld op Lenovo-computers, een nep-rootcertificaat in Windows installeerde dat in feite alle HTTPS-browsing kaping, zodat de certificaten er altijd geldig uitzien, zelfs als ze En ze deden het op zo'n onzekere manier dat elke scriptkiddie-hacker hetzelfde kon bereiken.

En dan installeren ze een proxy in je browser en dwingen ze er helemaal doorheen zodat ze advertenties kunnen invoegen. Dat klopt, zelfs wanneer u verbinding maakt met uw bank, ziekteverzekeringssite of waar dan ook veilig moet zijn. En je zou het nooit weten, omdat ze de Windows-codering verbraken om je advertenties te laten zien.

Maar het trieste, verdrietige feit is dat ze niet de enige zijn die dit doen - adware zoals Wajam, Geniusbox, Content Explorer en anderen doen allemaal exact hetzelfde , installeren hun eigen certificaten en dwingen al uw browsen (inclusief HTTPS versleutelde browsersessies) om hun proxyserver te doorlopen. En je kunt geïnfecteerd raken met deze onzin door twee van de top 10-apps te installeren op CNET Downloads. En dat is eng, eng.

Hoe HTTPS-kaping werkt, en waarom het zo slecht is

Ummm, ik wil dat je doorgaat en dat tabblad sluit. Mmkay?

Zoals we eerder hebben laten zien, als je de enorme gigantische fout maakt om CNET Downloads te vertrouwen, zou je al besmet kunnen zijn met dit soort adware.

Twee van de top tien downloads op CNET (KMPlayer en YTD ) bundelen twee verschillende soorten adware van HTTPS en in ons onderzoek hebben we vastgesteld dat de meeste andere freeware-sites hetzelfde doen. de installatieprogramma's zijn zo lastig en ingewikkeld dat we niet niet zeker wie technisch

de "bundeling" doet, maar CNET promoot deze apps op hun startpagina, dus het is echt een kwestie van semantiek. Als je mensen aanbeveelt om iets te downloaden dat slecht is, heb je dezelfde schuld. We hebben ook vastgesteld dat veel van deze adwarebedrijven in het geheim dezelfde mensen zijn die verschillende bedrijfsnamen gebruiken. Op basis van de downloadnummers van de top 10 op CNET Downloads alleen al zijn er elke maand een miljoen mensen besmet met adware die kapen van hun gecodeerde websessies naar hun bank, of e-mail, of iets dat veilig moet zijn. Als je de fout hebt gemaakt om KMPlayer te installeren en je erin slaagt alle andere crapware te negeren, krijg je dit venster te zien . En als u per ongeluk op Accepteren klikt (of op de verkeerde toets drukt), wordt uw systeem weergegeven. Downloadsites moeten zich schamen.

Als u iets hebt gedownload van een nog schimmere bron, zoals de download-advertenties in je favoriete zoekmachine zie je een hele lijst met dingen die niet goed zijn. En nu weten we dat velen van hen de certificering van het HTTPS-certificaat volledig zullen doorbreken, waardoor u volledig kwetsbaar blijft.

Als u eenmaal besmet bent met een een van deze dingen, het eerste dat gebeurt, is dat het uw systeemproxy instelt om door een lokale proxy te lopen die hij op uw computer installeert. Besteed speciale aandacht aan het item "Beveiligd" hieronder. In dit geval was het van Wajam Internet "Enhancer", maar het kan Superfish of Geniusbox zijn of een van de andere die we hebben gevonden, ze werken allemaal op dezelfde manier.

Het is ironisch dat Lenovo het woord 'verbeteren' heeft gebruikt om Superfish te beschrijven.

Wanneer u naar een website gaat die veilig moet zijn, ziet u het groene vergrendelingspictogram en ziet alles er normaal uit. U kunt zelfs op het slot klikken om de details te bekijken en het lijkt erop dat alles in orde is. U gebruikt een beveiligde verbinding en zelfs Google Chrome meldt dat u bent verbonden met Google via een beveiligde verbinding.

Maar dat bent u niet!

Systeemwaarschuwingen LLC is geen echt hoofdcertificaat en u bent feitelijk het doorlopen van een Man-in-the-Middle-proxy die advertenties in pagina's invoegt (en wie weet wat nog meer). Je zou ze gewoon al je wachtwoorden moeten e-mailen, het zou makkelijker zijn.

Systeemwaarschuwing: je systeem is aangetast.

Zodra de adware is geïnstalleerd en al je verkeer wordt geprojecteerd, zul je echt irritante advertenties gaan zien overal. Deze advertenties worden weergegeven op beveiligde sites, zoals Google, die de daadwerkelijke Google-advertenties vervangen, of ze worden overal weergegeven als pop-ups en nemen elke site over. Ik wil graag mijn Google zonder malwarelinks, bedankt.

De meeste van deze adware toont "advertentie" -links naar regelrechte malware. Dus hoewel de adware zelf een legale overlast kan zijn, zorgen ze ervoor dat sommige echt heel slechte dingen mogelijk zijn.

Ze doen dit door hun valse rootcertificaten in het Windows-certificaatarchief te installeren en vervolgens de beveiligde verbindingen proxying terwijl ze worden ondertekend met hun valse certificaat .

Als u in het paneel Windows Certificaten kijkt, kunt u allerlei volledig geldige certificaten zien ... maar als uw pc een soort adware heeft geïnstalleerd, ziet u nep-zaken zoals System Alerts, LLC of Superfish , Wajam, of tientallen andere vervalsingen.

Is dat van Umbrella-bedrijf?

Zelfs als u bent geïnfecteerd en vervolgens de badware hebt verwijderd, kunnen de certificaten nog steeds aanwezig zijn, waardoor u kwetsbaar bent voor andere hackers die mogelijk de privésleutels uitgepakt. Veel van de adware-installatieprogramma's verwijderen de certificaten niet wanneer je ze verwijdert.

Het zijn allemaal 'Man-in-the-Middle-aanvallen' en hier is hoe ze werken

Dit komt van een echte live aanval door de geweldige beveiliging onderzoeker Rob Graham

Als uw pc nep root-certificaten heeft geïnstalleerd in het certificaatarchief, bent u nu kwetsbaar voor Man-in-the-Middle-aanvallen. Dit betekent dat als u verbinding maakt met een openbare hotspot of iemand toegang krijgt tot uw netwerk, of als u iets stroomopwaarts van u hackt, zij legitieme sites kunnen vervangen door valse sites. Dit klinkt misschien vergezocht, maar hackers hebben DNS-kapingen op enkele van de grootste sites op het web kunnen gebruiken om gebruikers naar een nep-site te gijzelen.

Zodra u gekaapt bent, kunnen ze elk ding lezen dat u indient naar een privésite - wachtwoorden, privéinformatie, gezondheidsinformatie, e-mails, burgerservicenummers, bankgegevens, enz. En je zult het nooit weten, want je browser zal je vertellen dat je verbinding veilig is.

Dit werkt omdat de publieke sleutel codering vereist zowel een openbare sleutel als een privésleutel. De openbare sleutels worden geïnstalleerd in het certificaatarchief en de privésleutel moet alleen bekend zijn bij de website die u bezoekt. Maar als aanvallers je rootcertificaat kunnen kapen en zowel de publieke als de private sleutel kunnen bevatten, kunnen ze alles doen wat ze willen.

In het geval van Superfish hebben ze dezelfde privésleutel gebruikt op elke computer waarop Superfish is geïnstalleerd, en binnen een Na een paar uur konden beveiligingsonderzoekers de privésleutels uitpakken en websites maken om te testen of je kwetsbaar was en bewijzen dat je kon worden gekaapt. Voor Wajam en Geniusbox zijn de sleutels anders, maar Content Explorer en een andere adware gebruiken ook overal dezelfde sleutels, wat betekent dat dit probleem niet uniek is voor Superfish.

Het wordt erger: de meeste van deze Crap schakelt HTTPS-validatie helemaal uit

Gisteren ontdekten beveiligingsonderzoekers een nog groter probleem: al deze HTTPS-proxy's schakelen alle validatie uit terwijl het lijkt alsof alles in orde is.

Dat betekent dat u naar een HTTPS-website met een volledig ongeldig certificaat kunt gaan , en deze adware zal je vertellen dat de site prima is. We hebben de adware getest die we eerder hebben genoemd en ze schakelen allemaal HTTPS-validatie volledig uit, dus maakt het niet uit of de privésleutels uniek zijn of niet. Schrikwekkend slecht!

Al deze adware breekt het certificaat volledig af.

Iedereen met adware geïnstalleerd is kwetsbaar voor allerlei soorten aanvallen en blijft in veel gevallen kwetsbaar, zelfs als de adware wordt verwijderd.

U kunt controleren of u kwetsbaar bent voor Superfish, Komodia, of ongeldige certificaatcontrole met behulp van de testsite gemaakt door beveiligingsonderzoekers, maar zoals we al hebben aangetoond, is er nog veel meer adware die hetzelfde doet, en van ons onderzoek zullen de dingen nog steeds doorgaan slechter.

Bescherm uzelf: controleer het Certificatenpaneel en verwijder onjuiste gegevens

Als u zich zorgen maakt, moet u uw certificaatarchief controleren om ervoor te zorgen dat er geen schetsmatige certificaten zijn geïnstalleerd die later door iemand kunnen worden geactiveerd proxy server. Dit kan een beetje ingewikkeld zijn, omdat er veel spullen in zitten, en het meeste ervan hoort daar te zijn. We hebben ook geen goede lijst met wat er wel en niet moet zijn.

Gebruik WIN + R om het dialoogvenster Uitvoeren op te halen en typ 'mmc' om een ​​Microsoft Management Console-venster op te roepen. Gebruik vervolgens Bestand -> Snap-ins toevoegen / verwijderen en selecteer Certificaten in de lijst aan de linkerkant en voeg het vervolgens toe aan de rechterkant. Zorg ervoor dat u Computeraccount selecteert in het volgende dialoogvenster en klik vervolgens op de rest.

U wilt naar Vertrouwde basiscertificeringsinstanties gaan en op zoek gaan naar echt schetsmatige vermeldingen zoals deze (of iets dergelijks)

Sendori

Purelead

Rocket-tab

Super Fish

• Lookthisup
• Pando
• Wajam
• WajaNEnhance
• DO_NOT_TRUSTFiddler_root (Fiddler is een legitieme ontwikkelaarstool maar malware heeft hun certificaat gekaapt )
• Systeemwaarschuwingen, LLC
• CE_UmbrellaCert
• Klik met de rechtermuisknop en verwijder alle vermeldingen die u vindt. Als u iets niet juist zag toen u Google in uw browser testte, zorg er dan voor dat u die ook verwijdert. Wees voorzichtig, want als je hier de verkeerde dingen verwijdert, verbreek je Windows.
• We hopen dat Microsoft iets publiceert om je rootcertificaten te controleren en ervoor te zorgen dat alleen goede certificaten aanwezig zijn. Theoretisch zou je deze lijst van Microsoft kunnen gebruiken voor de certificaten die vereist zijn door Windows, en dan updaten naar de nieuwste rootcertificaten, maar dat is op dit moment nog niet volledig getest, en we raden het echt niet aan totdat iemand dit uittest.
• Volgende , je moet je webbrowser openen en de certificaten vinden die waarschijnlijk in de cache zijn opgeslagen. Ga voor Google Chrome naar Instellingen, Geavanceerde instellingen en vervolgens Certificaten beheren. Onder Persoonlijk kunt u eenvoudig op de knop Verwijderen klikken op ongeldige certificaten ...
• Maar wanneer u naar Vertrouwde basiscertificeringsinstanties gaat, moet u op Geavanceerd klikken en vervolgens de selectie van alle zichtbare tekens opheffen om geen toestemming meer te verlenen certificaat ...

Maar dat is waanzin.

GERELATEERD:

Probeer niet meer om uw geïnfecteerde computer schoon te maken! Gewoon Nuke it en Windows opnieuw installeren

Ga naar de onderkant van het venster Geavanceerde instellingen en klik op Instellingen resetten om Chrome volledig te resetten naar de standaardinstellingen. Doe hetzelfde voor elke andere browser die u gebruikt of verwijder alles volledig, veeg alle instellingen weg en installeer het opnieuw.

Als uw computer is getroffen, kunt u beter een volledig schone installatie van Windows uitvoeren. Zorg er wel voor dat je een back-up maakt van je documenten en foto's en zo.

Dus hoe bescherm je jezelf? Het is bijna onmogelijk om jezelf volledig te beschermen, maar hier zijn enkele gezonde richtlijnen om je te helpen:

Controleer de Superfish / Komodia / certificering validatie testsite.

Activeer Click-to-Play voor plug-ins in uw browser, die u zullen beschermen tegen al die zero-day Flash en andere plug-ins beveiligingsgaten die er zijn.

Wees voorzichtig met wat u downloadt en probeer Ninite te gebruiken wanneer dat absoluut noodzakelijk is.

Let op wat u klikt wanneer u klikt.

• Overweeg om de Enhanced Mitigation Experience Toolkit (EMET) van Microsoft of Malwarebytes Anti te gebruiken Exploiteer uw browser en andere kritieke applicaties tegen beveiligingslekken en zero-day-aanvallen.
• Zorg ervoor dat al je software, plug-ins en antivirusupdates up-to-date blijven en ook Windows Updates.
• Maar dat is ontzettend veel werk omdat je gewoon op internet wilt surfen zonder te worden gehackt. Het is als het omgaan met de TSA.
• Het Windows-ecosysteem is een verzameling van crapware. En nu is de fundamentele veiligheid van internet voor Windows-gebruikers verbroken. Microsoft moet dit oplossen.

---



Hoe u uw iPhone laat flitsen LED-lampje wanneer u een melding krijgt

Heeft u wel eens uw iPhone helemaal stil willen maken, maar nog steeds uw melding ontvangen wanneer iemand belt of wanneer u een sms ontvangt? Het is mogelijk om het rinkelen en de trillingen te dempen, maar nog steeds meldingen te ontvangen door het knipperen van het LED-lampje op de achterkant. Deze truc is heel eenvoudig en duurt maar een paar seconden om uit te voeren, maar het kan je heel goed een een hoop gedoe als je je telefoon dempt voor een belangrijke vergadering of een gesprek en vergeet dan het dempen op te heffen.

(how-to)



Toegang verkrijgen tot het scherm van uw Mac vanuit Windows (en Vice-Versa)

Het scherm op afstand delen is een handige manier om toegang te krijgen tot een andere computer alsof u er voor zit. OS X en Windows hebben deze mogelijkheid ingebouwd, wat betekent dat je het scherm van je Mac gemakkelijk kunt delen met Windows-pc's en omgekeerd. Als je een gemengd netwerk gebruikt, is dit waarschijnlijk een combinatie van Macs en Windows-pc's.

(how-to)