Опасните коренни сертификати са сериозен проблем. От Superfish на Lenovo до eDellRoot на Dell и редица други сертификати, инсталирани от adware програми, производителят на компютъра или инсталирана от вас програма може да са добавили сертификат, който ви отваря да атакувате. Ето как да проверите дали вашите сертификати са чисти.
В миналото това не беше лесен процес. Нов инструмент на Microsoft може бързо да сканира системата ви и да ви информира, ако са инсталирани сертификати, които обикновено не се доверяват на Microsoft. Това е особено добра идея да стартирате това на нови компютри, за да проверите дали те са отворени за нападение от кутията.
Актуализация: Инструментът sigcheck не работи на Windows 7 по време на публикуването, но Microsoft е актуализирал инструмента и сега той трябва да работи правилно във всички версии на Windows. Така че, ако не можете да го получите преди работа, опитайте отново сега!
Ще използваме инструмента Sigcheck, предоставен от Microsoft за това. Тя е част от комплекта инструменти SysInternals, който бе актуализиран с тази функция в началото на 2016 година.
За да започнете, изтеглете Sigcheck от Microsoft. Отворете изтегления .zip файл и изтеглете файла sigcheck.exe. Например, можете просто да плъзнете и пуснете файла на работния си плот.
Придвижете се до папката, съдържаща файла sigcheck.exe, който току-що сте извадили. Например, ако го поставите на работния си плот, отворете папката на работния плот в File Explorer (или Windows Explorer, ако сте в Windows 7). Натиснете и задръжте клавиша Shift на клавиатурата си, щракнете с десния бутон на мишката върху прозореца File Explorer и изберете "Open window window here".
Въведете следната команда в командния ред и натиснете Enter:
sigcheck -tv
Sigcheck ще изтегли списък от надеждни сертификати от Microsoft и ще го сравни с сертификатите, инсталирани на вашия компютър. Ако на компютъра ви има сертификати, които не са в "Списък с доверителни сертификати на Microsoft", ще ги видите тук. Ако всичко е добро и нямате сертификати за измамници, ще видите съобщението "Няма намерени сертификати".
Ако приложението sigcheck изброява един или повече сертификати след като изпълните командата и не сте сигурни какво представляват, можете да опитате да извършите търсене в мрежата на имената им, за да разберете какви са те и как са стигнали дотам.
Премахването им ръчно не е непременно най-добрата идея. Ако сертификатът е инсталиран от програма, изпълнявана на вашия компютър, тази програма може да преинсталира само сертификата, след като го премахнете. Наистина искате да определите коя програма причинява проблема и да се отървете изцяло от тази програма. Как да направите това зависи от програмата. В идеалния случай можете да го деинсталирате от контролния панел "Деинсталиране на програма". Програмите на Adware могат да копаят куките и да се нуждаят от специални инструменти за почистване. Дори и "легитимен" софтуер, инсталиран от производителя, като eDellRoot и Superfish на Dell, са необходими специални инструменти за деинсталиране, които трябва да изтеглите, за да ги премахнете. Направете онлайн търсене за най-добрия начин за премахване на точния сертификат, който виждате, защото идеалният метод ще бъде различен за всеки от тях.
Ако наистина искате - или ако не можете да намерите конкретни инструкции - можете да премахнете сертификата ръчно с конзолата за управление на сертификати на Windows. За да го отворите, извършете търсене на "сертификати" в менюто "Старт" или "Начален екран" и кликнете върху връзката "Управление на сертификати на компютъра". Можете също така да натиснете клавиша Windows Key + R, за да стартирате диалоговия прозорец "Изпълнение", напишете "certmgr.msc" в диалоговия прозорец Изпълнение и натиснете Enter.
Кодовите сертификати се намират в този прозорец под Trusted Root Certification authorities \ Certificates. Ако има сертификат, който трябва да премахнете, можете да го намерите в този списък, да кликнете с десния бутон върху него и да изберете опцията "Изтриване".
Бъдете внимателни, обаче: не премахвайте легитимните сертификати! По-голямата част от сертификатите тук са легитимни и са част от самия Windows. Бъдете внимателни, когато премахвате сертификатите и се уверете, че премахвате правилния.
Преди да промените инструмента за сигкетиране по-горе, нямаше лесен начин да проверите за лоши сертификати, които не би трябвало да са там. Би било хубаво, ако има по-приятелски метод от командата за команден ред, но това е най-доброто, което можем да направим за момента.
Microsoft обяви, че ще се отърве от софтуер, който се държи по този начин. Приложенията, които инсталират несигурни коренни сертификати за извършване на атаки в средата - често за реклама - ще бъдат маркирани от Windows Defender и други инструменти и автоматично ще бъдат премахнати. Това би трябвало да помогне малко, когато бъде открит следващият сертификат, инсталиран от производителя.
Image Credit: Сара Джой на Flickr