Página principal » cómo » Download.com y otros paquetes de Superfish-Style HTTPS Breaking Adware

    Download.com y otros paquetes de Superfish-Style HTTPS Breaking Adware

    Es un momento aterrador para ser un usuario de Windows. Lenovo estaba empaquetando el software publicitario Superfish que secuestraba HTTPS, Comodo viene con un agujero de seguridad aún peor llamado PrivDog, y docenas de otras aplicaciones como LavaSoft están haciendo lo mismo. Es realmente malo, pero si desea que sus sesiones web cifradas sean secuestradas, simplemente diríjase a Descargas CNET o a cualquier sitio de software gratuito, ya que todos ellos incluyen un software publicitario que rompe HTTPS ahora..

    El fiasco de Superfish comenzó cuando los investigadores notaron que Superfish, incluido en las computadoras de Lenovo, estaba instalando un certificado raíz falso en Windows que esencialmente secuestra toda navegación HTTPS para que los certificados siempre se vean válidos incluso si no lo son, y lo hicieron de tal manera. forma insegura de que cualquier pirata pirata informático infantil pudiera lograr lo mismo.

    Y luego están instalando un proxy en su navegador y obligan a que realice su navegación para que puedan insertar anuncios. Así es, incluso cuando se conecte a su banco o al sitio de seguro de salud, o en cualquier lugar que deba ser seguro. Y nunca lo sabrías, porque rompieron el cifrado de Windows para mostrarte anuncios.

    Pero lo triste es que no son los únicos que hacen esto. - Adware como Wajam, Geniusbox, Content Explorer y otros están haciendo exactamente lo mismo, instalando sus propios certificados y forzando que toda su navegación (incluidas las sesiones de navegación cifradas con HTTPS) pase por su servidor proxy. Y puede infectarse con este disparate simplemente instalando dos de las 10 aplicaciones principales en las descargas de CNET.

    La conclusión es que ya no puede confiar en el icono de candado verde en la barra de direcciones de su navegador. Y eso es algo aterrador, aterrador..

    Cómo funciona el adware de secuestro HTTPS y por qué es tan malo

    Ummm, voy a necesitar que sigas adelante y cierres esa pestaña. Mmkay?

    Como mostramos anteriormente, si comete el enorme y gigantesco error de confiar en las descargas de CNET, ya podría estar infectado con este tipo de adware.. Dos de las diez mejores descargas en CNET (KMPlayer y YTD) están agrupando dos tipos diferentes de adware de secuestro HTTPS, y en nuestra investigación encontramos que la mayoría de los otros sitios de software libre están haciendo lo mismo.

    Nota: Los instaladores son tan complicados y complicados que no estamos seguros de quién es técnicamente haciendo el "paquete", pero CNET está promoviendo estas aplicaciones en su página de inicio, por lo que es realmente una cuestión de semántica. Si está recomendando que la gente descargue algo que es malo, es igualmente culpable. También descubrimos que muchas de estas compañías de software publicitario son, en secreto, las mismas personas que usan nombres de empresas diferentes.

    Basándose en los números de descarga de la lista de los 10 principales en las descargas de CNET solo, un millón de personas se infectan cada mes con adware que está secuestrando sus sesiones web cifradas en su banco o correo electrónico, o cualquier cosa que deba ser segura.

    Si cometió el error de instalar KMPlayer y se las arregla para ignorar todos los demás crapware, aparecerá esta ventana. Y si accidentalmente hace clic en Aceptar (o presiona la tecla equivocada), su sistema será pwned.

    Los sitios de descarga deben avergonzarse de sí mismos.

    Si terminaste de descargar algo de una fuente aún más incompleta, como los anuncios de descarga en tu motor de búsqueda favorito, verás una lista completa de cosas que no son buenas. Y ahora sabemos que muchos de ellos romperán completamente la validación de certificados HTTPS, lo que lo dejará completamente vulnerable..

    Lavasoft Web Companion también rompe el cifrado HTTPS, pero este empaquetador también instaló adware.

    Una vez que te infectas con cualquiera de estas cosas, lo primero que sucede es que configura el proxy del sistema para que se ejecute a través de un proxy local que se instala en tu computadora. Preste especial atención al artículo "Seguro" a continuación. En este caso, fue de "Mejorador" de Wajam Internet, pero podría ser Superfish o Geniusbox o cualquiera de los otros que hemos encontrado, todos funcionan de la misma manera.

    Es irónico que Lenovo haya usado la palabra "mejorar" para describir a Superfish..

    Cuando vaya a un sitio que debería ser seguro, verá el icono de candado verde y todo se verá perfectamente normal. Incluso puede hacer clic en el bloqueo para ver los detalles, y parecerá que todo está bien. Estás utilizando una conexión segura, e incluso Google Chrome informará que estás conectado a Google con una conexión segura. Pero tu no eres!

    System Alerts LLC no es un certificado raíz real y en realidad está pasando por un proxy Man-in-the-Middle que inserta anuncios en las páginas (y quién sabe qué más). Solo deberías enviarles por correo electrónico todas tus contraseñas, sería más fácil.

    Alerta del sistema: su sistema ha sido comprometido.

    Una vez que el adware esté instalado y distribuya todo tu tráfico, comenzarás a ver anuncios realmente desagradables en todo el lugar. Estos anuncios se muestran en sitios seguros, como Google, reemplazando los anuncios reales de Google, o aparecen como ventanas emergentes en todo el lugar, controlando cada sitio..

    Me gustaría mi Google sin enlaces de malware, gracias.

    La mayor parte de este adware muestra enlaces "publicitarios" a programas maliciosos descarados. Entonces, si bien el adware en sí puede ser una molestia legal, permiten algunas cosas realmente malas..

    Lo logran instalando sus falsos certificados raíz en el almacén de certificados de Windows y luego procesando las conexiones seguras mientras las firman con su certificado falso.

    Si mira en el panel de Certificados de Windows, puede ver todo tipo de certificados completamente válidos ... pero si su PC tiene instalado algún tipo de adware, verá cosas falsas como Alertas del sistema, LLC, Superfish, Wajam o docenas de otras falsificaciones.

    Es eso de la corporación Umbrella.?

    Incluso si ha sido infectado y luego ha eliminado el software malicioso, es posible que los certificados aún estén allí, lo que lo hace vulnerable a otros hackers que pueden haber extraído las claves privadas. Muchos de los instaladores de adware no eliminan los certificados cuando los desinstala.

    Todos son ataques de hombre en el medio y así es como funcionan.

    Esto es de un ataque real en vivo por el impresionante investigador de seguridad Rob Graham

    Si su PC tiene certificados raíz falsos instalados en el almacén de certificados, ahora es vulnerable a los ataques Man-in-the-Middle. Lo que esto significa es que si te conectas a un punto de acceso público, o si alguien tiene acceso a tu red, o logra piratear algo de tu parte anterior, pueden reemplazar sitios legítimos con sitios falsos. Esto puede sonar inverosímil, pero los piratas informáticos han podido usar secuestros de DNS en algunos de los sitios más grandes de la web para secuestrar a los usuarios en un sitio falso.

    Una vez que son secuestrados, pueden leer cada cosa que envíe a un sitio privado: contraseñas, información privada, información de salud, correos electrónicos, números de seguridad social, información bancaria, etc. Y nunca lo sabrá porque su navegador le informará que tu conexión es segura.

    Esto funciona porque el cifrado de clave pública requiere tanto una clave pública como una clave privada. Las claves públicas se instalan en el almacén de certificados, y la clave privada solo debe ser conocida por el sitio web que está visitando. Pero cuando los atacantes pueden secuestrar su certificado raíz y mantener las claves públicas y privadas, pueden hacer lo que quieran.

    En el caso de Superfish, utilizaron la misma clave privada en cada computadora que tiene Superfish instalado, y en unas pocas horas, los investigadores de seguridad pudieron extraer las claves privadas y crear sitios web para probar si usted es vulnerable y demostrar que puede ser secuestrado Para Wajam y Geniusbox, las claves son diferentes, pero Content Explorer y algunos otros adware también usan las mismas claves en todas partes, lo que significa que este problema no es exclusivo de Superfish.

    Se empeora: la mayor parte de esta mierda deshabilita por completo la validación de HTTPS

    Justo ayer, los investigadores de seguridad descubrieron un problema aún mayor: todos estos proxies HTTPS deshabilitan toda la validación y hacen que parezca que todo está bien..

    Eso significa que puede ir a un sitio web HTTPS que tiene un certificado totalmente inválido, y este adware le dirá que el sitio está bien. Probamos el adware que mencionamos anteriormente y todos desactivan la validación HTTPS por completo, por lo que no importa si las claves privadas son únicas o no. Sorprendentemente malo!

    Todo este adware rompe completamente la verificación de certificados.

    Cualquier persona con adware instalado es vulnerable a todo tipo de ataques, y en muchos casos continúa siendo vulnerable incluso cuando se elimina el adware..

    Puede verificar si es vulnerable a Superfish, Komodia o la verificación de certificados no válidos utilizando el sitio de prueba creado por los investigadores de seguridad, pero como ya hemos demostrado, hay mucho más adware haciendo lo mismo, y según nuestra investigación , las cosas van a seguir empeorando.

    Protéjase: revise el panel de certificados y elimine entradas incorrectas

    Si está preocupado, debe verificar su almacén de certificados para asegurarse de que no tiene ningún certificado incompleto instalado que luego pueda ser activado por el servidor proxy de alguien. Esto puede ser un poco complicado, porque hay muchas cosas ahí, y se supone que la mayoría debe estar ahí. Tampoco tenemos una buena lista de lo que debería y no debería estar allí..

    Use WIN + R para abrir el cuadro de diálogo Ejecutar, y luego escriba "mmc" para abrir una ventana de Microsoft Management Console. Luego use Archivo -> Agregar / Quitar complementos y seleccione Certificados de la lista de la izquierda, y luego agréguelo al lado derecho. Asegúrese de seleccionar Cuenta de computadora en el siguiente cuadro de diálogo y luego haga clic en el resto.

    Querrás ir a las autoridades de certificación de raíz de confianza y buscar entradas realmente incompletas como cualquiera de estas (o algo similar a estas)

    • Sendori
    • Purelead
    • Ficha de cohete
    • Súper pescado
    • Mira esto
    • Pando
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (Fiddler es una herramienta de desarrollo legítima, pero el malware ha pirateado su certificado)
    • Alertas del sistema, LLC
    • CE_UmbrellaCert

    Haga clic derecho y Eliminar cualquiera de esas entradas que encuentre. Si vio algo incorrecto cuando probó Google en su navegador, asegúrese de eliminar eso también. Solo ten cuidado, porque si eliminas las cosas incorrectas aquí, vas a romper Windows.

    Esperamos que Microsoft lance algo para verificar sus certificados raíz y asegurarnos de que solo existan los buenos. Teóricamente, puede utilizar esta lista de Microsoft de los certificados requeridos por Windows y luego actualizar a los certificados raíz más recientes, pero esto no se ha probado en absoluto en este momento, y realmente no lo recomendamos hasta que alguien lo pruebe.

    A continuación, tendrá que abrir su navegador web y encontrar los certificados que probablemente estén guardados allí. Para Google Chrome, vaya a Configuración, Configuración avanzada y luego Administrar certificados. En Personal, puede hacer clic fácilmente en el botón Eliminar en cualquier certificado defectuoso ...

    Pero cuando acceda a las Entidades de certificación raíz de confianza, tendrá que hacer clic en Avanzado y, a continuación, desactivar todo lo que ve para dejar de otorgar permisos a ese certificado ...

    Pero eso es una locura..

    Vaya a la parte inferior de la ventana de Configuración avanzada y haga clic en Restablecer configuración para restablecer completamente Chrome a los valores predeterminados. Haga lo mismo para cualquier otro navegador que esté usando, o desinstale completamente, borre todas las configuraciones, y luego instálelas nuevamente.

    Si su computadora se ha visto afectada, probablemente esté mejor haciendo una instalación completamente limpia de Windows. Solo asegúrate de hacer una copia de seguridad de tus documentos e imágenes y todo eso.

    Entonces, cómo protegerse?

    Es casi imposible protegerse completamente, pero aquí hay algunas pautas de sentido común para ayudarlo:

    • Compruebe el sitio de prueba de validación de Superfish / Komodia / Certification.
    • Habilite Click-To-Play para los complementos en su navegador, lo que lo ayudará a protegerse de todos los agujeros de seguridad de Flash de día cero y otros complementos que existen.
    • Tenga mucho cuidado con lo que descarga e intente usar Ninite cuando sea absolutamente necesario..
    • Presta atención a lo que haces clic cada vez que haces clic..
    • Considere utilizar el Kit de herramientas de experiencia de mitigación mejorada de Microsoft (EMET) o Malwarebytes Anti-Exploit para proteger su navegador y otras aplicaciones críticas de los agujeros de seguridad y los ataques de día cero..
    • Asegúrese de que todo su software, complementos y antivirus se mantengan actualizados, y eso incluye también las actualizaciones de Windows.

    Pero eso es un montón de trabajo solo por querer navegar por la web sin ser secuestrado. Es como tratar con la CST..

    El ecosistema de Windows es una cabalgata de crapware. Y ahora, la seguridad fundamental de Internet está rota para los usuarios de Windows. Microsoft necesita arreglar esto.