Сегодня пользователи уже привыкли встречать на новом компьютере кучу лишнего программного обеспечения, прозванного crapware («хлам»). Может быть и в случае с Superfish мы имеем дело еще с одним представителем данного семейства? Нет, это отдельный класс решений, и не столько из-за самой технологии, сколько из-за того, что своим появлением эта программа обязана не только компании Lenovo, но и всей отрасли в целом.
Но сначала ключевой вопрос — это программное обеспечение в самом деле такое бесполезное? Компания Lenovo продвигает данную технологию под девизом «Superfish здесь, чтобы помочь вам»:
«Технология Superfish поставляется только с потребительскими продуктами Lenovo и помогает пользователям визуально выполнять поиск и находить нужные им товары».
Разве обычно мы находим различные товары не «визуально»? Конечно, на самом деле под этим заявлением подразумевается, что в результаты поиска на сайте Google будут встроены рекламные объявления. Если и есть хоть одна вещь, которая нам нравится меньше, чем реклама, так это ситуация, когда посторонние копаются в каналах связи, которые до их вмешательства считались безопасными. А это уже приводит нас к одному из действительно тревожных факторов — корневому сертификату Superfish.
По большей части каналы связи, защищенные шифрованием SSL, хорошо справляются с задачей ограничения доступа к HTTPS-ресурсам. При правильной настройке это означает, что ресурсы закрыты от прослушивания и какого-либо вмешательства, и злоумышленник не сможет отправить сообщения в канал или внедрить незащищенную страницу аутентификации с улавливателем нажатий клавиш. Но этот подход основывается на предположении, что сертификат выпускается легитимным удостоверяющим центром, а клиентская система подтверждает проверку сертификата. Что же предпринять? Вы добавляете на целевую систему собственный корневой сертификат, который затем доверяет «ненадежному» сертификату, а тот в свою очередь, возможно, был получен от сайта, на который заходили с целевого компьютера, и внедрен на уровне подключения. До того как вы узнаете об этом, злоумышленник выдает себя за банк Bank of America, и вам кажется, что все в полном порядке.
Если и были какие-либо сомнения относительно того, рассматривать ли технологию Superfish как вредоносное программное обеспечение, то компания Microsoft внесла изменения в антивирус Windows Defender, чтобы он мог «вышвыривать» с компьютера данное приложение. С обычным «хламом» они так не поступают. Подобный подход используется, когда есть непосредственная угроза безопасности. Частично это может быть связано с тем, что извлечение сертификата — тривиальная задача, а сертификат в свою очередь делает сетевые соединения «зараженных» систем уязвимыми для всех потенциальных «вредителей».
Но вот что самое важное во всей этой ситуации и что беспокоит меня больше всего: специалисты крупнейшего производителя персональных компьютеров полагали, что такое положение в порядке вещей. На самом деле больше, чем реклама и корневые сертификаты, потребителей должен беспокоить сам факт скрытой установки на компьютеры программного обеспечения данного класса. Мы немного раздраженно отреагировали, когда узнали, что агентство АНБ перехватывало в процессе доставки новые компьютеры и «забавлялось» с ними. Только недавно мы узнали, что они изменяли прошивку жесткого диска, но это было сделано для отобранных целевых компьютеров и как бы в интересах национальной безопасности. Однако в данном случае изменению подверглось огромное количество систем, причем без всякого разбора.
Меня действительно тревожит тот факт, что компания Lenovo не одинока, и если по-честному, то не стоит выделять ее. Это крупнейший производитель, его деятельность связана с максимальными рисками и очевидно, что разработчики Lenovo сожалеют о сложившейся ситуации, но они не единственные. Исследователи уже называют других производителей, которые сэкономили на нашей безопасности, и этот факт свидетельствует о том, что дело зашло слишком далеко. Проблема почти наверняка выходит за рамки продукции Lenovo, и, судя по всему, отрасль нуждается в «небольшой очистке». Технология Superfish внесла свою лепту в освещение данной проблемы, но, скорее всего, показалась лишь верхушка айсберга. Остается добавить, что эта статья написана на моем устройстве Lenovo, которое мне очень нравится… и которое я перенастроил в первый же день.