本文章是由機器翻譯。
編輯的話
掏出
.jpg)
我記得我寫過的第一次 IT 文章之一。我住在芝加哥,偶爾自由職業者為寫文章每週計算小報同時為一家行銷公司,技術性香煙在酒吧的臨時工作。美好的時光。這篇文章是關於軟碟傳播的病毒爆發,這本身就是很難的消息。當時的大多數惡意軟體通過 5.25 英寸或 3.5 英寸軟碟用於移動資料,並將應用程式安裝到電腦上了有新聞價值的是由一個當地的電子商店銷售的新軟碟上露面的病毒。
四分之一個世紀以前,惡意軟體感染媒體是疏忽的由製造商的令人遺憾的一個副產品。今天,製造商感染硬碟為了取樂和利益。
採取電腦生產商聯想 Lenovo 的 (相當令人震驚) 的示例。該公司已經有點有害的軟體叫做例,聯想已描述為"視覺發現軟體,"無論到底應該意味著舾裝其消費線的瑜伽筆記本電腦和可轉債。事實上,例是用於監視聯想使用者 Web 搜索並注入結果它自己的廣告,當他們回到由遠端伺服器返回了一個男人在中間 (MITM) 漏洞。但是,與許多搜索現在進行安全的 HTTPS 連結,例有一個問題。它需要一種方式進入這些加密的談話。
這是當事情嚴重聯想出軌。作為捆綁交易的一部分,聯想預先安裝入的 Windows 受信任的根存儲區及其系統的每個例,本質上同一個憑證授權單位的擁有權力灌輸例自簽名的私人的根憑證。例提出了一種攔截通信被拴在這個根憑證的 SSL 憑證,導致瀏覽器完全信任該證書例提出了。
正如高級技術總監為信任服務在賽門鐵克,瑞克安德魯斯寫過博客例處理後不久炸毀了:"預先安裝任何不屬於審計的憑證授權單位的根並將它標記為受信任破壞了信任模型創建和維護的平臺供應商、 瀏覽器供應商和憑證授權單位。"
真是太快。更糟的是,在每台電腦上設置相關聯的私密金鑰進行加密使用相同的死簡單密碼 — — komodia — — 這從字面上是提供廣告注射軟體為例的公司的名稱。我不會這樣做。在他的勘誤表安全博客羅伯特 · 格雷厄姆 (bit.ly/18mAiO0) 描述他是如何能夠快速提取例證書和打破私密金鑰密碼。請記住,密碼是相同的為所有受影響的聯想系統。任何一台 PC 與例證書安裝很容易有截獲其 Web 通信。
微軟介入迅速,更新其後衛及安全要點的工具來發現和刪除例安裝和聯想來到其感官稍後使用它自己的移除工具。這一事件的真正難堪部分解析其中沒有一個。根據福布斯 》 報告 (onforb.es/1ErfZeR),大概賺了 $200,000 和 250000 美元的捆綁協定之間的聯想 — — 幾乎沒有進位誤差對聯想的 $ 141 億第三季度的收入。然而,那是足以激勵一線的電腦製造商聯繫,以徹底破壞其付費客戶的根級別安全性。
好的所以忘了利潤。也許製造商此時感染硬碟只是為了好玩。
Michael Desmond · 是 MSDN 雜誌總編輯。