Superfish:联想笔记本电脑内预装的广告软件

2015年2月19日,联想笔记本电脑搭载预装了被称为”Superfish”广告软件的硬盘的事件遭到曝光,而两大主要问题也随之而来。 其一,在2014年9月到2015年2月这几个月内,联想指定的硬件制造商持续将预装了广告软件的硬盘装载到消费笔记本电脑内。 其二,则与Superfish的运行行为有关。该广告软件能够生成自签名证书,可能允许恶意第三方拦截SSL/TLS连接,更简单地说,就是在网页浏览器会话内添加“https”链接。 现在,让我们通过观察Superfish的实际行为来更详细地剖析第二个问题。 下方是通过IE浏览器访问的一家网上银行网站的截图,并且使用的是一台没有安装任何广告软件的干净PC电脑。点击锁定图标,显示的是SSL证书的信息: SSL证书由CA证书授权中心签发,确保网站的归属性。比如,VeriSign作为SSL证书的签发机构保证了”Japan xxxx BANK Co,Ltd.”的真实身份。该证书还被用于对加密会话上的用户ID或密码进行加密。因此连接的安全性得以通过这一方式得到保证。 第二个截图显示的是同一家网站。但这次却使用了已感染Superfish广告软件PC电脑上的IE浏览器访问。点击后清楚显示”Superfish”取代”VeriSign”成为了SSL证书的签发机构。 为什么会有这样的变化?原因在于Superfish在其软件上拥有自己的CA证书授权中心。这使其能够劫持用户的网页会话、生成自签证书并在使用后建立SSL连接。不幸的是,网页浏览器将Superfish生成的证书当作合法证书对待。因此,CA证书授权中心变成了Superfish,而不再是VeriSign。 此外,生成证书的私人密钥被包含在了软件内,任何人都可以随意获取。而密钥的密码已被外泄到互联网上。一旦密钥-密码匹配成功,任何怀有不良企图的人都可以拦截通过加密连接传输的数据,或直接注入恶意代码。最糟糕的情形是来自网上银行网站的网页会话内的数据被窃取。 因此我们强烈建议预装了Superfish广告软件的联想笔记本电脑用户将名为”Superfish Inc. Visual Discovery” 的软件(在Windows控制版面内卸载)和Superfish证书(从受信任的Root认证机构清单中删除)全部清除。 卡巴斯基安全产品能帮助您识别笔记本电脑是否已受到Superfish广告软件的感染。我们的产品完全能删除并未识别为病毒的广告软件:AdWare.Win32.Superfish.b。 此外,联想也在其安全公告(LEN-2015-101)内提供了自动删除Superfish工具的下载。

  • Onuma

2015年2月19日,联想笔记本电脑搭载预装了被称为”Superfish”广告软件的硬盘的事件遭到曝光,而两大主要问题也随之而来。

其一,在2014年9月到2015年2月这几个月内,联想指定的硬件制造商持续将预装了广告软件的硬盘装载到消费笔记本电脑内。

其二,则与Superfish的运行行为有关。该广告软件能够生成自签名证书,可能允许恶意第三方拦截SSL/TLS连接,更简单地说,就是在网页浏览器会话内添加“https”链接

现在,让我们通过观察Superfish的实际行为来更详细地剖析第二个问题。

下方是通过IE浏览器访问的一家网上银行网站的截图,并且使用的是一台没有安装任何广告软件的干净PC电脑。点击锁定图标,显示的是SSL证书的信息:

图1:使用干净笔记本电脑访问网上银行网站

SSL证书由CA证书授权中心签发,确保网站的归属性。比如,VeriSign作为SSL证书的签发机构保证了”Japan xxxx BANK Co,Ltd.”的真实身份。该证书还被用于对加密会话上的用户ID或密码进行加密。因此连接的安全性得以通过这一方式得到保证。

第二个截图显示的是同一家网站。但这次却使用了已感染Superfish广告软件PC电脑上的IE浏览器访问。点击后清楚显示”Superfish”取代”VeriSign”成为了SSL证书的签发机构。

图2:使用受感染的笔记本电脑访问网上银行网站

为什么会有这样的变化?原因在于Superfish在其软件上拥有自己的CA证书授权中心。这使其能够劫持用户的网页会话、生成自签证书并在使用后建立SSL连接。不幸的是,网页浏览器将Superfish生成的证书当作合法证书对待。因此,CA证书授权中心变成了Superfish,而不再是VeriSign。

此外,生成证书的私人密钥被包含在了软件内,任何人都可以随意获取。而密钥的密码已被外泄到互联网上。一旦密钥-密码匹配成功,任何怀有不良企图的人都可以拦截通过加密连接传输的数据,或直接注入恶意代码。最糟糕的情形是来自网上银行网站的网页会话内的数据被窃取。

因此我们强烈建议预装了Superfish广告软件的联想笔记本电脑用户将名为”Superfish Inc. Visual Discovery” 的软件(在Windows控制版面内卸载)和Superfish证书(从受信任的Root认证机构清单中删除)全部清除。

卡巴斯基安全产品能帮助您识别笔记本电脑是否已受到Superfish广告软件的感染。我们的产品完全能删除并未识别为病毒的广告软件:AdWare.Win32.Superfish.b。

此外,联想也在其安全公告(LEN-2015-101)内提供了自动删除Superfish工具的下载。

小隔间办公:人性化的开敞式办公室空间

你喜欢在开敞式办公空间内工作吗?许多人的答案为否。最常提到的缺点包括:过多的嘈杂声、无法集中注意力以及因为不断被同事打断而更易产生疲劳。将整个办公空间隔为一个个小隔间的好处并不多,但却会产生更多的问题。 与此同时,随着未来办公室都朝着’时尚’迈进,私人办公室将彻底消亡。据国际设施管理协会于2010年所的研究报告显示,大约70%的美国办公室坚持开敞式办公空间理念,且这一数字在不断增加中。 问题究竟出在哪里? 当然,雇主的本意并非是想”虐待”自己的员工。开敞式办公空间之所以如此流行的主要原因在于其低廉的成本。办公空间越紧凑,所需支付的租金就越少,因为利润也越高。很简单的一道数学题。 而在现实中并没有那么简单。因为员工是活生生的人,而非机器。因为情绪和身体状态的负面反应却会严重影响工作效率,进而最终导致公司收益的减少。 同时许多研究机构也宣称这一问题真实存在。在开敞式办公空间工作的人不仅感觉更糟和工作效率下降,同时还更容易生病。 举个例子,在开敞式办公空间工作的人相比在单独办公室工作的,感到短时间恶心(无需医疗救助)的频率更高。此外在无窗办公空间工作的人也容易产生抑郁和睡眠障碍。 那么我们该如何应对这些状况呢?下面我为你们精心准备一些小贴士,通过利用更为人性化的方法来应对令人窒息的小隔间和开敞式办公空间。 内向型员工的工作习惯 一般来说,并非每个人都会在这样的工作环境下感到不适。但对于内向型员工来说的确是一个挑战,因为他们将无法安静地独自工作,就如Susan Cane在其书中所提到的全球化形势下内向型员工所担任的角色。 这也是为什么内向型员工在开敞式办公空间工作时应该有自己的指定空间。因此需要有几间为了工作目的而改造的房间,在里面可以集中思想工作,而其他同事则可以在里面休息和小睡片刻,并暂时离开嘈杂声和人群。来自Steelcase的Cane将这一想法变为了现实:装饰此类空间所花费成本大约为1.5万美元。 有一件事依然无法确定:如果外向型员工也开始趋于内向的话那该怎么办呢?谁会拒绝在工作时间小睡一会呢?如果这样的设施无限制对所有人开放的话,那在经济至上的原则下又该如何处理呢? 一家位于英国的公司Agile Acoustics发明了一个更加民主的方法:公司使用再生材料(塑料瓶)制作了几块吸噪音板。 此类吸噪音板的外形极具吸引力,可应用于多种目的:吸收噪音以及将自己与喋喋不休的同事分开。或者在某一天,通过将吸噪音板重新摆放在办公空间中间,从而创造出一个临时会议室。 办公无处不在 灵活性和可重新配置能力是选择办公室家具的重要条件。原先一成不变的固定办公室格局现在通过动态调整后,可应对不断变化的工作环境。 例如,一家美国家具厂商Herman Miller在其MetaForm产品组合系列中采用了轻质塑料元素,可用于创建类似搭建积木的便利办公室环境。如果你需要进行集体讨论和团队活动时—只需将所有办公桌摆到一起即可。一旦你有了新的想法并需要花点时间完成的话,只需将自己的办公桌从共享空间移开又变回了一个独立小隔间。 一家西班牙公司Menéndez and Gamonal Arquitectos则采用了另一个完全不同的方法。该公司认为,办公家具的外形设计应该是为了鼓励团队工作。比如,坐在外形类似调色板的办公桌工作时更能促进团队协作。 这一想法最初由某大学研究小组想出来,旨在鼓励学生在上课时相互讨论而非只固定坐在自己的位子。但一般来说,这一方法在商务环境中更加行之有效。 亚瑟王的秋千 类似于Google或Facebook这样高科技公司的办公室与传统冰冷的工作环境完全不同,他们的办公室内到处摆放了沙发、球体和其它非标准化的办公元素。英国设计师Christopher Duffy提出了进一步的建议:他认为会议室应该摆放…秋千。 首先,在荡秋千时,人们很难再重复说一些毫无意义的废话,而这正是许多公司会议中最多的内容。其次,这一非传统的创意有助于让每个人放松并处于舒适状态下,如此便能跳出固有思维模式进行思考了。当然,一笔开销总少不了的。可容纳12人开会的”带秋千的亚瑟王会议圆桌”售价高达1.6万美元。 Belois

提示
注册