Sobre o fiasco da Lenovo com o tal Superfish
Já foi noticiado por tudo que é canto da internet mais um caso de crapware malware oficial dos fabricantes vindo da Lenovo. Este, entretanto, é grave por causa disto:
Extracting the SuperFish certificate (Errata Security)
A chave privada do certificado usado pelos trambiqueiros está disponível. Isso é grave, pois, mesmo que você desinstale a imundície, o certificado comprometido continua instalado e, visto que qualquer um pode assinar coisas com ele agora, já viu...
Se for uma vítima, siga os passos do Ars:
How to remove the Superfish malware: What Lenovo doesn’t tell you (Ars Technica)
Apesar de ser impossível, pela forma como o programa funciona (explicação rápida aqui), esconder eficazmente a chave privada, não deixa de ser ridícula a senha usada para protegê-la.
O Squid suporta fazer a mesma coisa, pressupondo-se fins lícitos, mas espera-se que, quando você tem um servidor rodando-o assim, a chave privada do certificado usado para o bumping (mais informações aqui e aqui) será guardada a sete chaves pelo administrador.
[Atualização - 21/02/2015] Komodia/Superfish SSL Validation is broken (Filippo.io)
Extracting the SuperFish certificate (Errata Security)
A chave privada do certificado usado pelos trambiqueiros está disponível. Isso é grave, pois, mesmo que você desinstale a imundície, o certificado comprometido continua instalado e, visto que qualquer um pode assinar coisas com ele agora, já viu...
Se for uma vítima, siga os passos do Ars:
How to remove the Superfish malware: What Lenovo doesn’t tell you (Ars Technica)
Apesar de ser impossível, pela forma como o programa funciona (explicação rápida aqui), esconder eficazmente a chave privada, não deixa de ser ridícula a senha usada para protegê-la.
O Squid suporta fazer a mesma coisa, pressupondo-se fins lícitos, mas espera-se que, quando você tem um servidor rodando-o assim, a chave privada do certificado usado para o bumping (mais informações aqui e aqui) será guardada a sete chaves pelo administrador.
[Atualização - 21/02/2015] Komodia/Superfish SSL Validation is broken (Filippo.io)
Por isso que é muito melhor pegar um PC/note sem OS e você mesmo instalar. É a única forma de não ganhar de brinde toda a sorte de lixo eletrônico que os fabricantes colocam. No caso dos desktops sempre há a opção de você mesmo montar o equipamento, que é melhor ainda.
ResponderExcluirComprar o Windows OEM sai em geral mais barato. A diferença do 8.1 Single Language para o 8.1 Pro na Dell fica cento e poucos reais. Você vai comprar o Pro em caixinha sai bem mais. Pessoalmente gosto da construção das máquinas de grife. Nem sempre o preço é justo, porém são boas máquinas, com qualidade decente, bem montadas e compactas. Entre um leigo comprar um PC marca diabo de supermercado ou de um integrador de fundo de quintal, uma porcaria qualquer num gabinete de papel com uma fonte genérica, e um de grife, sem dúvida recomendo alguma coisa da Dell, HP, Lenovo.
ExcluirBasta, logo depois de comprar, fazer uma instalação limpa do zero. Só tem que cuidar com o Windows 8.1 Single Language com Bing que vem em todas as máquinas baratas hoje em dia (pelo menos nos Positivo, AOC). Para ele não tem mídia oficial em pt-br por enquanto.
E a Lenovo sabia que o malware não era boa coisa, pois não o distribuía nas suas linhas destinadas ao mercado corporativo (TinkPad, ThinkCentre, etc).