此文章由机器翻译。
编者寄语
掏出
.jpg)
我记得我写过的第一次 IT 文章之一。我住在芝加哥,偶尔自由职业者为写文章每周计算小报同时为一家营销公司,技术性香烟在酒吧的临时工作。美好的时光。这篇文章是关于软盘传播的病毒爆发,这本身就是很难的消息。当时的大多数恶意软件通过 5.25 英寸或 3.5 英寸软盘用于移动数据,并将应用程序安装到电脑上了有新闻价值的是由一个当地的电子商店销售的新软盘上露面的病毒。
四分之一个世纪以前,恶意软件感染媒体是疏忽的由制造商的令人遗憾的一个副产品。今天,制造商感染硬盘为了取乐和利益。
采取计算机生产商联想 Lenovo 的 (相当令人震惊) 的示例。该公司已经有点有害的软件叫做例,联想已描述为"视觉发现软件,"无论到底应该意味着舾装其消费线的瑜伽笔记本电脑和可转债。事实上,例是用于监视联想用户 Web 搜索并注入结果它自己的广告,当他们回到由远程服务器返回了一个男人在中间 (MITM) 漏洞。但是,与许多搜索现在进行安全的 HTTPS 链接,例有一个问题。它需要一种方式进入这些加密的谈话。
这是当事情严重联想出轨。作为捆绑交易的一部分,联想预安装入的 Windows 受信任的根存储区及其系统的每个例,本质上同一个证书颁发机构的所有权力灌输例自签名的私人的根证书。例提出了一种拦截通信被拴在这个根证书的 SSL 证书,导致浏览器完全信任该证书例提出了。
正如高级技术总监为信任服务在赛门铁克,瑞克安德鲁斯写过博客例处理后不久炸毁了:"预安装任何不属于审计的证书颁发机构的根并将它标记为受信任破坏了信任模型创建和维护的平台提供商、 浏览器供应商和证书颁发机构。"
真是太快。更糟的是,在每台计算机上设置相关联的私钥进行加密使用相同的死简单密码 — — komodia — — 这从字面上是提供广告注射软件为例的公司的名称。我不会这样做。在他的勘误表安全博客罗伯特 · 格雷厄姆 (bit.ly/18mAiO0) 描述他是如何能够快速提取例证书和打破私钥密码。请记住,密码是相同的为所有受影响的联想系统。任何一台 PC 与例证书安装很容易有截获其 Web 通信。
微软介入迅速,更新其后卫及安全要点的工具来发现和删除例安装和联想来到其感官稍后使用它自己的删除工具。这一事件的真正难堪部分解析其中没有一个。根据福布斯 》 报告 (onforb.es/1ErfZeR),大概赚了 $200,000 和 250000 美元的捆绑协议之间的联想 — — 几乎没有舍入误差对联想的 $ 141 亿第三季度的收入。然而,那是足以激励一线的计算机制造商联系,以彻底破坏其付费客户的根级别安全性。
好的所以忘了利润。也许制造商此时感染硬盘只是为了好玩。
Michael Desmond 是 MSDN 杂志总编辑。