Ini adalah waktu yang menakutkan untuk menjadi pengguna Windows. Lenovo membundel adware Superfish yang membajak HTTPS, Comodo mengirim dengan lubang keamanan yang lebih buruk yang disebut PrivDog, dan lusinan aplikasi lain seperti LavaSoft melakukan hal yang sama. Ini benar-benar buruk, tetapi jika Anda ingin sesi web terenkripsi Anda dibajak hanya menuju ke Unduhan CNET atau situs freeware apa pun, karena semuanya bundling HTTPS-melanggar adware sekarang.
Kegagalan Superfish dimulai ketika para peneliti memperhatikan bahwa Superfish, yang dipaketkan pada komputer Lenovo, memasang sertifikat root palsu ke Windows yang pada dasarnya membajak semua penelusuran HTTPS sehingga sertifikat tersebut selalu terlihat valid bahkan jika tidak, dan mereka melakukannya dengan cara seperti itu. cara yang tidak aman bahwa hacker script kiddie bisa mencapai hal yang sama.
Lalu mereka memasang proxy ke browser Anda dan memaksa semua penjelajahan Anda melewatinya sehingga mereka dapat memasukkan iklan. Itu benar, bahkan ketika Anda terhubung ke bank Anda, atau situs asuransi kesehatan, atau di mana saja yang seharusnya aman. Dan Anda tidak akan pernah tahu, karena mereka merusak enkripsi Windows untuk menampilkan iklan kepada Anda.
Tapi yang menyedihkan, fakta menyedihkan adalah bahwa mereka bukan satu-satunya yang melakukan ini - adware seperti Wajam, Geniusbox, Content Explorer, dan yang lainnya semua melakukan hal yang sama persis, memasang sertifikat mereka sendiri dan memaksa semua penelusuran Anda (termasuk sesi penelusuran terenkripsi HTTPS) untuk melewati server proxy mereka. Dan Anda bisa terinfeksi dengan omong kosong ini hanya dengan menginstal dua dari 10 aplikasi teratas di Unduhan CNET.
Intinya adalah bahwa Anda tidak lagi dapat mempercayai ikon kunci hijau di bilah alamat browser Anda. Dan itu hal yang menakutkan, menakutkan.
Seperti yang telah kami tunjukkan sebelumnya, jika Anda membuat kesalahan besar dengan mempercayai Unduhan CNET, Anda mungkin sudah terinfeksi dengan jenis adware ini. Dua dari sepuluh unduhan teratas di CNET (KMPlayer dan YTD) menggabungkan dua jenis adware HTTPS-pembajak yang berbeda, dan dalam penelitian kami, kami menemukan bahwa sebagian besar situs freeware lain melakukan hal yang sama.
catatan:installer sangat rumit dan berbelit-belit sehingga kami tidak yakin siapa itu secara teknis melakukan "bundling", tetapi CNET mempromosikan aplikasi ini di beranda mereka, jadi ini benar-benar masalah semantik. Jika Anda menyarankan agar orang mengunduh sesuatu yang buruk, Anda sama-sama bersalah. Kami juga menemukan bahwa banyak dari perusahaan adware ini secara diam-diam adalah orang yang sama yang menggunakan nama perusahaan yang berbeda.
Berdasarkan nomor unduhan dari daftar 10 teratas di Unduhan CNET saja, satu juta orang terinfeksi setiap bulan dengan adware yang membajak sesi web terenkripsi mereka ke bank mereka, atau email, atau apa pun yang seharusnya aman.
Jika Anda membuat kesalahan dengan menginstal KMPlayer, dan Anda berhasil mengabaikan semua crapware lainnya, Anda akan disajikan dengan jendela ini. Dan jika Anda secara tidak sengaja mengklik Terima (atau tekan tombol yang salah) sistem Anda akan di-pwned.
Situs unduhan seharusnya malu dengan dirinya sendiri.Jika Anda akhirnya mengunduh sesuatu dari sumber yang lebih samar, seperti iklan unduhan di mesin telusur favorit Anda, Anda akan melihat seluruh daftar hal-hal yang tidak baik. Dan sekarang kita tahu bahwa banyak dari mereka akan benar-benar melanggar validasi sertifikat HTTPS, membuat Anda benar-benar rentan.
Lavasoft Web Companion juga melanggar enkripsi HTTPS, tetapi bundel ini juga memasang adware.Setelah Anda terinfeksi salah satu dari hal-hal ini, hal pertama yang terjadi adalah mengatur proxy sistem Anda untuk dijalankan melalui proxy lokal yang diinstal pada komputer Anda. Bayar perhatian khusus pada item "Aman" di bawah ini. Dalam hal ini berasal dari Wajam Internet “Enhancer,” tetapi bisa juga Superfish atau Geniusbox atau yang lain yang kami temukan, semuanya bekerja dengan cara yang sama.
Sungguh ironis bahwa Lenovo menggunakan kata "meningkatkan" untuk menggambarkan Superfish.Ketika Anda pergi ke situs yang seharusnya aman, Anda akan melihat ikon kunci hijau dan semuanya akan terlihat sangat normal. Anda bahkan dapat mengeklik kunci untuk melihat detailnya, dan akan tampak bahwa semuanya baik-baik saja. Anda menggunakan koneksi aman, dan bahkan Google Chrome akan melaporkan bahwa Anda terhubung ke Google dengan koneksi aman.Tapi kamu tidak!
System Alerts LLC bukan sertifikat root sebenarnya dan Anda benar-benar akan melalui proxy Man-in-the-Middle yang memasukkan iklan ke dalam halaman (dan siapa yang tahu apa lagi). Anda hanya perlu mengirim email ke semua kata sandi Anda, itu akan lebih mudah.
Peringatan Sistem: Sistem Anda telah disusupi.Setelah adware dipasang dan mengesahkan semua lalu lintas Anda, Anda akan mulai melihat iklan yang benar-benar menjengkelkan di semua tempat. Iklan ini ditampilkan di situs yang aman, seperti Google, menggantikan iklan Google yang sebenarnya, atau mereka muncul sebagai popup di semua tempat, mengambil alih setiap situs.
Saya ingin Google saya tanpa tautan malware, terima kasih.Sebagian besar adware ini menunjukkan tautan “ad” ke malware yang langsung. Jadi sementara adware itu sendiri mungkin merupakan gangguan hukum, mereka memungkinkan beberapa hal yang benar-benar buruk.
Mereka mencapai ini dengan menginstal sertifikat akar palsu mereka ke toko sertifikat Windows dan kemudian proxy koneksi aman saat menandatanganinya dengan sertifikat palsu mereka.
Jika Anda melihat di panel Windows Certificates, Anda dapat melihat semua jenis sertifikat yang benar-benar valid ... tetapi jika PC Anda memiliki beberapa jenis adware yang terpasang, Anda akan melihat hal-hal palsu seperti System Alerts, LLC, atau Superfish, Wajam, atau lusinan palsu lainnya.
Apakah itu dari perusahaan Payung?Bahkan jika Anda telah terinfeksi dan kemudian menghapus badware, sertifikat mungkin masih ada di sana, membuat Anda rentan terhadap peretas lain yang mungkin telah mengekstrak kunci privat. Banyak penginstal adware tidak menghapus sertifikat saat Anda menghapusnya.
Jika PC Anda memiliki sertifikat akar palsu yang dipasang di toko sertifikat, Anda sekarang rentan terhadap serangan Man-in-the-Middle. Apa artinya ini jika Anda terhubung ke hotspot publik, atau seseorang mendapat akses ke jaringan Anda, atau mengelola untuk meretas sesuatu di hulu dari Anda, mereka dapat mengganti situs yang sah dengan situs palsu. Ini mungkin terdengar tidak masuk akal, tetapi peretas dapat menggunakan pembajakan DNS di beberapa situs terbesar di web untuk membajak pengguna ke situs palsu.
Setelah Anda dibajak, mereka dapat membaca setiap hal yang Anda kirimkan ke situs pribadi - kata sandi, informasi pribadi, informasi kesehatan, email, nomor jaminan sosial, informasi perbankan, dll. Dan Anda tidak akan pernah tahu karena browser Anda akan memberi tahu Anda koneksi Anda aman.
Ini berfungsi karena enkripsi kunci publik membutuhkan kunci publik dan kunci privat. Kunci publik dipasang di toko sertifikat, dan kunci privat hanya boleh diketahui oleh situs web yang Anda kunjungi. Tetapi ketika penyerang dapat membajak sertifikat root Anda dan memegang kunci publik dan pribadi, mereka dapat melakukan apa pun yang mereka inginkan.
Dalam kasus Superfish, mereka menggunakan kunci pribadi yang sama pada setiap komputer yang memiliki Superfish diinstal, dan dalam beberapa jam, peneliti keamanan mampu mengekstrak kunci privat dan membuat situs web untuk menguji apakah Anda rentan, dan membuktikan bahwa Anda dapat dibajak. Untuk Wajam dan Geniusbox, tombolnya berbeda, tetapi Content Explorer dan beberapa adware lainnya juga menggunakan kunci yang sama di mana-mana, yang berarti masalah ini tidak unik untuk Superfish.
Baru kemarin, para peneliti keamanan menemukan masalah yang lebih besar: Semua proxy HTTPS ini menonaktifkan semua validasi sementara membuatnya terlihat seperti semuanya baik-baik saja.
Itu berarti Anda dapat membuka situs web HTTPS yang memiliki sertifikat yang benar-benar tidak valid, dan adware ini akan memberi tahu Anda bahwa situs itu baik-baik saja. Kami menguji adware yang kami sebutkan sebelumnya dan semuanya menonaktifkan validasi HTTPS sepenuhnya, jadi tidak masalah jika kunci privat itu unik atau tidak. Sangat buruk!
Semua adware ini benar-benar melanggar pemeriksaan sertifikat.Siapa pun yang memasang adware rentan terhadap segala macam serangan, dan dalam banyak kasus terus menjadi rentan bahkan ketika adware dihapus.
Anda dapat memeriksa apakah Anda rentan terhadap Superfish, Komodia, atau pengecekan sertifikat yang tidak sah menggunakan situs uji yang dibuat oleh peneliti keamanan, tetapi seperti yang telah kami tunjukkan, ada lebih banyak adware di luar sana yang melakukan hal yang sama, dan dari penelitian kami , hal-hal akan terus memburuk.
Jika Anda khawatir, Anda harus memeriksa toko sertifikat Anda untuk memastikan bahwa Anda tidak memiliki sertifikat samar yang diinstal yang nantinya dapat diaktifkan oleh server proxy seseorang. Ini bisa sedikit rumit, karena ada banyak barang di sana, dan sebagian besar seharusnya ada di sana. Kami juga tidak memiliki daftar yang bagus tentang apa yang seharusnya dan tidak seharusnya ada di sana.
Gunakan WIN + R untuk membuka dialog Run, dan kemudian ketik "mmc" untuk membuka jendela Microsoft Management Console. Kemudian gunakan File -> Tambah / Hapus Snap-in dan pilih Sertifikat dari daftar di sebelah kiri, lalu tambahkan ke sisi kanan. Pastikan untuk memilih Akun komputer pada dialog berikutnya, dan kemudian klik sisanya.
Anda akan ingin pergi ke Otoritas Sertifikasi Root Terpercaya dan mencari entri yang benar-benar samar seperti ini (atau yang serupa dengan ini)
Klik kanan dan Hapus entri apa pun yang Anda temukan. Jika Anda melihat sesuatu yang salah ketika Anda menguji Google di browser Anda, pastikan untuk menghapusnya juga. Berhati-hatilah, karena jika Anda menghapus hal yang salah di sini, Anda akan merusak Windows.
Kami berharap Microsoft merilis sesuatu untuk memeriksa sertifikat akar Anda dan memastikan bahwa hanya ada yang bagus di sana. Secara teoritis Anda dapat menggunakan daftar ini dari Microsoft dari sertifikat yang diperlukan oleh Windows, dan kemudian memperbarui ke sertifikat akar terbaru, tetapi itu belum diuji pada titik ini, dan kami benar-benar tidak merekomendasikannya sampai seseorang menguji ini.
Selanjutnya, Anda akan perlu membuka browser web Anda dan menemukan sertifikat yang mungkin di-cache di sana. Untuk Google Chrome, buka Pengaturan, Pengaturan Lanjutan, dan kemudian Kelola sertifikat. Di bawah Pribadi, Anda dapat dengan mudah mengeklik tombol Hapus pada semua sertifikat buruk ...
Tetapi ketika Anda pergi ke Otoritas Sertifikasi Root Terpercaya, Anda harus mengeklik Lanjutan dan kemudian menghapus centang semua yang Anda lihat untuk berhenti memberikan izin ke sertifikat itu ...
Tapi itu gila.
Pergi ke bagian bawah jendela Pengaturan Lanjutan dan klik Atur ulang pengaturan untuk sepenuhnya mengatur ulang Chrome ke default. Lakukan hal yang sama untuk browser lain apa pun yang Anda gunakan, atau hapus instalan sepenuhnya, hapus semua pengaturan, lalu instal kembali.
Jika komputer Anda telah terpengaruh, Anda mungkin lebih baik melakukan instalasi Windows yang benar-benar bersih. Pastikan saja untuk mem-backup dokumen dan gambar Anda dan semua itu.
Hampir tidak mungkin untuk sepenuhnya melindungi diri Anda sendiri, tetapi berikut beberapa panduan yang masuk akal untuk membantu Anda:
Tapi itu banyak sekali pekerjaan karena hanya ingin menjelajah web tanpa dibajak. Ini seperti berurusan dengan TSA.
Ekosistem Windows adalah iring-iringan crapware. Dan sekarang keamanan dasar Internet rusak untuk pengguna Windows. Microsoft perlu memperbaiki ini.