Download.com और अन्य बंडल सुपरफ़िश-स्टाइल HTTPS ब्रेकिंग एडवेयर
विंडोज उपयोगकर्ता होने के लिए यह एक डरावना समय है। लेनोवो HTTPS- हाईजैकिंग सुपरफिश एडवेयर को बंडल कर रही थी, कोमोडो शिप्स को और भी बदतर सुरक्षा छेद के साथ PrivDog कहा जाता है, और LavaSoft जैसे दर्जनों अन्य ऐप भी ऐसा ही कर रहे हैं। यह वास्तव में बुरा है, लेकिन अगर आप चाहते हैं कि आपके एन्क्रिप्ट किए गए वेब सत्रों को CNET डाउनलोड या किसी भी फ्रीवेयर साइट के लिए सिर्फ़ सिर पर अपहृत किया जाए, क्योंकि वे अब HTTPS- ब्रेकिंग एडवेयर को बंडल कर रहे हैं.
सुपरफिश फियास्को तब शुरू हुआ जब शोधकर्ताओं ने देखा कि लेनोवो कंप्यूटर पर बंडल किए गए सुपरफिश, विंडोज में एक नकली रूट प्रमाणपत्र स्थापित कर रहे थे जो अनिवार्य रूप से सभी HTTPS ब्राउज़िंग को हाईजैक करता है, ताकि प्रमाण पत्र हमेशा ही वैध दिखें, भले ही वे न हों, और उन्होंने इस तरह से किया असुरक्षित तरीका है कि कोई भी स्क्रिप्ट किडी हैकर उसी चीज को पूरा कर सकता है.
और फिर वे आपके ब्राउज़र में एक प्रॉक्सी स्थापित कर रहे हैं और आपके सभी ब्राउज़िंग को इसके माध्यम से मजबूर कर रहे हैं ताकि वे विज्ञापन डाल सकें। यह सही है, यहां तक कि जब आप अपने बैंक, या स्वास्थ्य बीमा साइट से कनेक्ट करते हैं, या कहीं भी जो सुरक्षित होना चाहिए। और आपको कभी पता नहीं चलेगा, क्योंकि उन्होंने आपको विज्ञापन दिखाने के लिए विंडोज एन्क्रिप्शन को तोड़ दिया था.
लेकिन दुखद, दुखद बात यह है कि वे ऐसा करने वाले अकेले नहीं हैं - Wajam, Geniusbox, Content Explorer, और अन्य जैसे adware सब ठीक वही काम कर रहे हैं, अपने स्वयं के प्रमाण पत्र स्थापित करना और अपने प्रॉक्सी सर्वर के माध्यम से जाने के लिए अपने सभी ब्राउज़िंग (HTTPS एन्क्रिप्टेड ब्राउज़िंग सत्र सहित) को मजबूर करना। और आप इस बकवास से संक्रमित हो सकते हैं बस CNET डाउनलोड पर शीर्ष 10 ऐप्स में से दो को स्थापित करके.
लब्बोलुआब यह है कि अब आप उस ब्राउज़र के एड्रेस बार में हरे रंग के लॉक आइकन पर भरोसा नहीं कर सकते। और यह एक डरावनी, डरावनी बात है.
कैसे HTTPS- हाईजैकिंग एडवेयर वर्क्स, और व्हाई इट सो सो बैड
उम्म, मुझे आपकी जरूरत है कि आप आगे बढ़ें और उस टैब को बंद करें। mmkay?जैसा कि हमने पहले दिखाया है, यदि आप CNET डाउनलोड पर भरोसा करने की बहुत बड़ी गलती करते हैं, तो आप पहले से ही इस प्रकार के एडवेयर से संक्रमित हो सकते हैं।. CNET (KMPlayer और YTD) पर शीर्ष दस में से दो डाउनलोड HTTPS-hijacking adware के दो अलग-अलग प्रकारों को बांध रहे हैं, और हमारे शोध में हमने पाया कि अधिकांश अन्य फ्रीवेयर साइटें यही काम कर रही हैं.
ध्यान दें: इंस्टॉलर इतने मुश्किल और जटिल हैं कि हमें यकीन नहीं है कि कौन है तकनीकी रूप से "बंडलिंग" कर रहा है, लेकिन CNET अपने होम पेज पर इन एप्स को बढ़ावा दे रहा है, इसलिए यह वास्तव में शब्दार्थ का विषय है। यदि आप अनुशंसा कर रहे हैं कि लोग कुछ ऐसा डाउनलोड करें जो खराब है, तो आप समान रूप से गलती पर हैं। हमने यह भी पाया है कि इन एडवेयर कंपनियों में से कई गुप्त रूप से एक ही व्यक्ति हैं जो विभिन्न कंपनी नामों का उपयोग कर रहे हैं.
अकेले CNET डाउनलोड पर शीर्ष 10 सूची से डाउनलोड संख्या के आधार पर, हर महीने एक लाख लोग एडवेयर से संक्रमित होते हैं जो अपने एन्क्रिप्टेड वेब सत्रों को अपने बैंक, या ईमेल, या कुछ भी जो कि सुरक्षित होना चाहिए, अपहरण कर रहे हैं.
यदि आपने KMPlayer को स्थापित करने की गलती की है, और आप अन्य सभी क्रैपवेयर को अनदेखा करने का प्रबंधन करते हैं, तो आपको इस विंडो के साथ प्रस्तुत किया जाएगा। और यदि आप गलती से Accept (या गलत कुंजी को हिट करते हैं) पर क्लिक करते हैं, तो आपका सिस्टम pwned हो जाएगा.
डाउनलोड साइटों को खुद पर शर्म आनी चाहिए.यदि आपने अपने पसंदीदा खोज इंजन में डाउनलोड विज्ञापनों जैसे किसी और भी अधिक स्केच स्रोत से कुछ डाउनलोड करना समाप्त कर दिया है, तो आपको सामान की पूरी सूची दिखाई देगी जो अच्छी नहीं है। और अब हम जानते हैं कि उनमें से कई HTTPS प्रमाणपत्र सत्यापन को पूरी तरह से तोड़ने जा रहे हैं, जिससे आप पूरी तरह से कमजोर हो जाएंगे.
Lavasoft Web Companion HTTPS एन्क्रिप्शन को भी तोड़ता है, लेकिन इस बंडल ने एडवेयर को भी स्थापित किया है.एक बार जब आप इन चीजों में से किसी एक से खुद को संक्रमित कर लेते हैं, तो पहली बात यह है कि यह आपके सिस्टम प्रॉक्सी को स्थानीय प्रॉक्सी के माध्यम से चलाने के लिए सेट करता है जिसे वह आपके कंप्यूटर पर इंस्टॉल करता है। नीचे "सुरक्षित" आइटम पर विशेष ध्यान दें। इस मामले में यह वाजम इंटरनेट "एन्हांसर" से था, लेकिन यह सुपरफिश या जीनियसबॉक्स या अन्य जो भी हमने पाया है, वे सभी उसी तरह से काम कर सकते हैं.
यह विडंबना है कि लेनोवो ने सुपरफिश का वर्णन करने के लिए "एन्हांस" शब्द का इस्तेमाल किया.जब आप किसी ऐसी साइट पर जाते हैं जो सुरक्षित होनी चाहिए, तो आपको हरे रंग का लॉक आइकन दिखाई देगा और सब कुछ बिल्कुल सामान्य दिखाई देगा। आप विवरण देखने के लिए लॉक पर भी क्लिक कर सकते हैं, और ऐसा लगेगा कि सब कुछ ठीक है। आप एक सुरक्षित कनेक्शन का उपयोग कर रहे हैं, और यहां तक कि Google Chrome भी रिपोर्ट करेगा कि आप Google से एक सुरक्षित कनेक्शन से जुड़े हैं. लेकिन तुम नहीं हो!
सिस्टम अलर्ट एलएलसी एक वास्तविक रूट प्रमाणपत्र नहीं है और आप वास्तव में एक मैन-इन-द-मिडिल प्रॉक्सी से गुजर रहे हैं जो पृष्ठों में विज्ञापन डाल रहा है (और जो जानता है कि और क्या है)। आपको बस उन्हें अपने सभी पासवर्ड ईमेल करना चाहिए, यह आसान होगा.
सिस्टम अलर्ट: आपके सिस्टम से समझौता किया गया है.एक बार जब एडवेयर इंस्टॉल हो जाता है और आपके सभी ट्रैफ़िक को समीप कर देता है, तो आपको सभी जगह वास्तव में अप्रिय विज्ञापन दिखाई देने लगेंगे। ये विज्ञापन Google जैसी सुरक्षित साइटों पर प्रदर्शित होते हैं, वास्तविक Google विज्ञापनों को प्रतिस्थापित करते हैं, या वे हर स्थान पर पॉपअप के रूप में दिखाई देते हैं, हर साइट पर.
मैं अपने Google को मैलवेयर लिंक के बिना पसंद करूंगा, धन्यवाद.इस एडवेयर में से अधिकांश एकमुश्त मैलवेयर के लिए "विज्ञापन" लिंक दिखाता है। इसलिए जबकि एडवेयर स्वयं एक कानूनी उपद्रव हो सकता है, वे कुछ वास्तव में, वास्तव में खराब सामान को सक्षम करते हैं.
वे अपने फर्जी रूट प्रमाणपत्र को विंडोज सर्टिफिकेट स्टोर में स्थापित करके और फिर अपने फर्जी प्रमाण पत्र के साथ हस्ताक्षर करते हुए सुरक्षित कनेक्शनों को संलग्न करके इसे पूरा करते हैं.
यदि आप Windows प्रमाणपत्र पैनल में देखते हैं, तो आप सभी प्रकार के पूरी तरह से मान्य प्रमाणपत्र देख सकते हैं ... लेकिन यदि आपके पीसी में कुछ प्रकार के एडवेयर स्थापित हैं, तो आप सिस्टम अलर्ट, एलएलसी, या सुपरफिश, वाजम, या जैसी नकली चीजें देख सकते हैं। दर्जनों अन्य नकली.
है कि छाता निगम से?यहां तक कि अगर आप संक्रमित हो गए हैं और फिर बैडवेयर को हटा दिया गया है, तो प्रमाण पत्र अभी भी हो सकते हैं, जिससे आप अन्य हैकर्स के लिए असुरक्षित हो सकते हैं जो निजी कुंजी निकाल सकते हैं। जब आप उन्हें अनइंस्टॉल करते हैं तो कई एडवेयर इंस्टालर सर्टिफिकेट नहीं निकालते हैं.
वे ऑल-इन-द-मिडिल अटैक्स हैं और यहां बताया गया है कि वे कैसे काम करते हैं
यह भयानक सुरक्षा शोधकर्ता रॉब ग्राहम के एक वास्तविक लाइव हमले से हैयदि आपके पीसी के पास सर्टिफिकेट स्टोर में नकली रूट सर्टिफिकेट स्थापित है, तो आप अब मैन-इन-द-मिडिल हमलों की चपेट में हैं। इसका मतलब यह है कि यदि आप सार्वजनिक हॉटस्पॉट से कनेक्ट होते हैं, या कोई व्यक्ति आपके नेटवर्क तक पहुंच पाता है, या आपसे कुछ अपस्ट्रीम हैक करने का प्रबंधन करता है, तो वे वैध साइटों को नकली साइटों से बदल सकते हैं। यह दूर की कौड़ी लग सकता है, लेकिन हैकर्स वेब पर मौजूद कुछ सबसे बड़ी साइटों पर डीएनएस हाईजैक का उपयोग करने में सक्षम हो गए हैं ताकि उपयोगकर्ताओं को नकली साइट पर हाईजैक किया जा सके.
एक बार जब आप अपहृत हो जाते हैं, तो वे हर एक चीज़ को पढ़ सकते हैं जिसे आप एक निजी साइट पर सबमिट करते हैं - पासवर्ड, निजी जानकारी, स्वास्थ्य जानकारी, ईमेल, सामाजिक सुरक्षा नंबर, बैंकिंग जानकारी, आदि और आप कभी नहीं जान पाएंगे क्योंकि आपका ब्राउज़र आपको बताएगा आपका कनेक्शन सुरक्षित है.
यह काम करता है क्योंकि सार्वजनिक कुंजी एन्क्रिप्शन को सार्वजनिक कुंजी और निजी कुंजी दोनों की आवश्यकता होती है। सार्वजनिक कुंजी प्रमाणपत्र स्टोर में स्थापित की जाती है, और निजी कुंजी केवल उस वेबसाइट से जानी जानी चाहिए जिसे आप देख रहे हैं। लेकिन जब हमलावर आपके रूट सर्टिफिकेट को हाईजैक कर सकते हैं और सार्वजनिक और निजी दोनों तरह की चाबियां रख सकते हैं, तो वे अपनी इच्छानुसार कुछ भी कर सकते हैं.
सुपरफ़िश के मामले में, उन्होंने सुपरफ़िश स्थापित किए गए प्रत्येक कंप्यूटर पर एक ही निजी कुंजी का उपयोग किया, और कुछ घंटों के भीतर, सुरक्षा शोधकर्ता निजी कुंजियों को निकालने और वेबसाइटों का निर्माण करने में सक्षम थे कि क्या आप कमजोर हैं, और यह साबित करने के लिए कि आप कर सकते हैं अपहृत होना। Wajam और Geniusbox के लिए, कुंजियाँ भिन्न होती हैं, लेकिन सामग्री एक्सप्लोरर और कुछ अन्य adware भी हर जगह समान कुंजियों का उपयोग करते हैं, जिसका अर्थ है कि यह समस्या सुपरफ़िश के लिए अद्वितीय नहीं है.
यह बदतर हो जाता है: इस बकवास के अधिकांश HTTPS मान्यता पूरी तरह से निष्क्रिय कर देता है
कल ही, सुरक्षा शोधकर्ताओं ने एक और बड़ी समस्या का पता लगाया: इन सभी HTTPS परदे के पीछे सभी मान्यताओं को निष्क्रिय कर देते हैं, जबकि ऐसा लगता है कि सब कुछ ठीक है.
इसका मतलब है कि आप एक HTTPS वेबसाइट पर जा सकते हैं जिसके पास पूरी तरह से अमान्य प्रमाण पत्र है, और यह एडवेयर आपको बताएगा कि साइट ठीक है। हमने उस एडवेयर का परीक्षण किया जिसका हमने पहले उल्लेख किया था और वे सभी HTTPS सत्यापन को पूरी तरह से अक्षम कर रहे हैं, इसलिए यह महत्वपूर्ण नहीं है कि निजी कुंजी अद्वितीय है या नहीं। बुरी तरह से बुरा!
यह सब एडवेयर सर्टिफिकेट चेकिंग को पूरी तरह तोड़ देता है.एडवेयर के साथ कोई भी व्यक्ति सभी प्रकार के हमलों की चपेट में है, और कई मामलों में एडवेयर को हटाए जाने के बाद भी असुरक्षित बना रहता है.
आप जाँच कर सकते हैं कि क्या आप सुपरफ़िश, कोमोडिया के प्रति संवेदनशील हैं या सुरक्षा शोधकर्ताओं द्वारा बनाई गई परीक्षण साइट का उपयोग करके अमान्य प्रमाणपत्र की जाँच कर रहे हैं, लेकिन जैसा कि हम पहले ही प्रदर्शित कर चुके हैं, एक ही काम करने वाले और हमारे शोध से और भी बहुत कुछ पता चलता है। चीजें बदतर होती जा रही हैं.
अपने आप को सुरक्षित रखें: प्रमाणपत्र पैनल की जाँच करें और खराब प्रविष्टियों को हटा दें
यदि आप चिंतित हैं, तो आपको यह सुनिश्चित करने के लिए अपने प्रमाणपत्र स्टोर की जांच करनी चाहिए कि आपके पास कोई स्केच्य प्रमाणपत्र स्थापित नहीं है जो बाद में किसी के प्रॉक्सी सर्वर द्वारा सक्रिय किया जा सकता है। यह थोड़ा जटिल हो सकता है, क्योंकि इसमें बहुत सारा सामान है, और इसमें से अधिकांश को माना जाता है। हमारे पास इस बात की भी अच्छी सूची नहीं है कि क्या होना चाहिए और क्या नहीं.
Run डायलॉग को खींचने के लिए WIN + R का उपयोग करें और फिर Microsoft प्रबंधन कंसोल विंडो को खींचने के लिए "mmc" टाइप करें। फिर फ़ाइल का उपयोग करें -> स्नैप-इन जोड़ें / निकालें और बाईं ओर सूची से प्रमाण पत्र चुनें, और फिर इसे दाईं ओर जोड़ें। अगले संवाद पर कंप्यूटर खाते का चयन करना सुनिश्चित करें, और फिर बाकी के माध्यम से क्लिक करें.
आप विश्वसनीय रूट प्रमाणीकरण प्राधिकारी के पास जाना चाहते हैं और इनमें से किसी (या इनके समान कुछ भी) जैसी वास्तव में स्केच्य प्रविष्टियों की तलाश करेंगे।
- Sendori
- Purelead
- रॉकेट टैब
- सुपर फिश
- Lookthisup
- पैंडो
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (फ़िडलर एक वैध डेवलपर उपकरण है, लेकिन मैलवेयर ने उनके प्रमाणपत्र को अपहृत कर लिया है)
- सिस्टम अलर्ट, एलएलसी
- CE_UmbrellaCert
उन प्रविष्टियों में से कोई भी राइट-क्लिक करें और हटाएं, जो आपको मिलती हैं। यदि आपने अपने ब्राउज़र में Google का परीक्षण करते समय कुछ गलत देखा, तो उस एक को भी हटाना सुनिश्चित करें। बस सावधान रहें, क्योंकि यदि आप यहां गलत चीजों को हटाते हैं, तो आप विंडोज को तोड़ने जा रहे हैं.
हम उम्मीद कर रहे हैं कि Microsoft आपके रूट प्रमाणपत्रों की जांच करने के लिए कुछ जारी करे और सुनिश्चित करें कि केवल अच्छे लोग हैं। सैद्धांतिक रूप से आप Windows द्वारा आवश्यक प्रमाणपत्रों के Microsoft से इस सूची का उपयोग कर सकते हैं, और फिर नवीनतम रूट प्रमाणपत्रों के लिए अपडेट कर सकते हैं, लेकिन यह इस बिंदु पर पूरी तरह से अप्रयुक्त है, और हम वास्तव में इसकी अनुशंसा नहीं करते हैं जब तक कि कोई इसे परीक्षण न करे।.
इसके बाद, आपको अपना वेब ब्राउज़र खोलने और उन प्रमाणपत्रों को खोजने की आवश्यकता होगी जो संभवतः वहां कैश किए गए हैं। Google Chrome के लिए, सेटिंग, उन्नत सेटिंग और फिर प्रमाणपत्र प्रबंधित करें पर जाएं। व्यक्तिगत के तहत, आप आसानी से किसी भी खराब प्रमाणपत्र पर निकालें बटन पर क्लिक कर सकते हैं ...
लेकिन जब आप विश्वसनीय रूट प्रमाणीकरण प्राधिकारी के पास जाते हैं, तो आपको उन्नत पर क्लिक करना होगा और फिर उस प्रमाणपत्र को अनुमति देने से रोकने के लिए जो कुछ भी दिखाई देगा उसे अनचेक करें ...
लेकिन वह पागलपन है.
उन्नत सेटिंग विंडो के निचले भाग पर जाएं और Chrome को डिफ़ॉल्ट पर रीसेट करने के लिए रीसेट सेटिंग्स पर क्लिक करें। जो भी अन्य ब्राउज़र आप उपयोग कर रहे हैं, या पूरी तरह से अनइंस्टॉल करें, सभी सेटिंग्स को मिटा दें और फिर इसे फिर से इंस्टॉल करें.
यदि आपका कंप्यूटर प्रभावित हो गया है, तो शायद आप विंडोज की पूरी तरह से साफ-सुथरी स्थापना करने से बेहतर हैं। बस अपने दस्तावेज़ों और चित्रों और उस सभी का बैकअप लेना सुनिश्चित करें.
तो आप अपनी रक्षा कैसे करते हैं?
अपने आप को पूरी तरह से सुरक्षित करना लगभग असंभव है, लेकिन यहां कुछ सामान्य ज्ञान दिशानिर्देश हैं जो आपकी सहायता करने के लिए हैं:
- सुपरफिश / कोमोडिया / प्रमाणन सत्यापन परीक्षण स्थल की जाँच करें.
- अपने ब्राउज़र में प्लग-इन के लिए क्लिक-टू-प्ले सक्षम करें, जो आपको उन सभी शून्य-डे फ्लैश और अन्य प्लगइन सुरक्षा छेदों से बचाने में मदद करेगा जो कि हैं.
- वास्तव में सावधान रहें कि आप क्या डाउनलोड करते हैं और निन्यानबे का उपयोग करने का प्रयास करते हैं जब आपको बिल्कुल होना चाहिए.
- जो भी आप क्लिक कर रहे हैं उस पर ध्यान दें.
- Microsoft के एन्हांस्ड मिटिगेशन एक्सपीरिएंस टूलकिट (EMET) या मालवेयरबाइट्स एंटी-एक्सप्लॉइट का उपयोग करके अपने ब्राउज़र और अन्य महत्वपूर्ण अनुप्रयोगों को सुरक्षा छेद और शून्य-दिन के हमलों से बचाने के लिए विचार करें.
- सुनिश्चित करें कि आपके सभी सॉफ़्टवेयर, प्लगइन्स, और एंटी-वायरस अपडेट रहते हैं, और जिसमें विंडोज अपडेट भी शामिल हैं.
लेकिन यह एक बहुत ही काम का काम है जो बिना हाईजैक किए वेब को ब्राउज़ करना चाहता है। यह टीएसए से निपटने जैसा है.
विंडोज इकोसिस्टम क्रैपरवेयर का एक घुड़सवार है। और अब विंडोज उपयोगकर्ताओं के लिए इंटरनेट की मूलभूत सुरक्षा टूट गई है। Microsoft को इसे ठीक करने की आवश्यकता है.