sexta-feira, 20 de fevereiro de 2015

Sobre o fiasco da Lenovo com o tal Superfish

Já foi noticiado por tudo que é canto da internet mais um caso de crapware malware oficial dos fabricantes vindo da Lenovo. Este, entretanto, é grave por causa disto:

Extracting the SuperFish certificate (Errata Security)

A chave privada do certificado usado pelos trambiqueiros está disponível. Isso é grave, pois, mesmo que você desinstale a imundície, o certificado comprometido continua instalado e, visto que qualquer um pode assinar coisas com ele agora, já viu...

Se for uma vítima, siga os passos do Ars:

How to remove the Superfish malware: What Lenovo doesn’t tell you (Ars Technica)

Apesar de ser impossível, pela forma como o programa funciona (explicação rápida aqui), esconder eficazmente a chave privada, não deixa de ser ridícula a senha usada para protegê-la.

O Squid suporta fazer a mesma coisa, pressupondo-se fins lícitos, mas espera-se que, quando você tem um servidor rodando-o assim, a chave privada do certificado usado para o bumping (mais informações aqui e aqui) será guardada a sete chaves pelo administrador.

[Atualização - 21/02/2015] Komodia/Superfish SSL Validation is broken (Filippo.io)

2 comentários:

  1. Por isso que é muito melhor pegar um PC/note sem OS e você mesmo instalar. É a única forma de não ganhar de brinde toda a sorte de lixo eletrônico que os fabricantes colocam. No caso dos desktops sempre há a opção de você mesmo montar o equipamento, que é melhor ainda.

    ResponderExcluir
    Respostas
    1. Comprar o Windows OEM sai em geral mais barato. A diferença do 8.1 Single Language para o 8.1 Pro na Dell fica cento e poucos reais. Você vai comprar o Pro em caixinha sai bem mais. Pessoalmente gosto da construção das máquinas de grife. Nem sempre o preço é justo, porém são boas máquinas, com qualidade decente, bem montadas e compactas. Entre um leigo comprar um PC marca diabo de supermercado ou de um integrador de fundo de quintal, uma porcaria qualquer num gabinete de papel com uma fonte genérica, e um de grife, sem dúvida recomendo alguma coisa da Dell, HP, Lenovo.

      Basta, logo depois de comprar, fazer uma instalação limpa do zero. Só tem que cuidar com o Windows 8.1 Single Language com Bing que vem em todas as máquinas baratas hoje em dia (pelo menos nos Positivo, AOC). Para ele não tem mídia oficial em pt-br por enquanto.

      E a Lenovo sabia que o malware não era boa coisa, pois não o distribuía nas suas linhas destinadas ao mercado corporativo (TinkPad, ThinkCentre, etc).

      Excluir