Як перевірити наявність небезпечних сертифікатів, схожих на Superfish, на комп'ютері з ОС Windows
Небезпечні кореневі сертифікати є серйозною проблемою. Від Superfish Lenovo до Dell eDellRoot і ряду інших сертифікатів, встановлених рекламними програмами, виробник вашого комп'ютера або програма, яку ви встановили, могли додати сертифікат, який відкриває вас для атаки. Ось як перевірити чисті сертифікати.
У минулому цей процес не був простим. Однак новий інструмент Microsoft може швидко переглядати вашу систему та інформуватиме вас про те, чи встановлені сертифікати, які зазвичай не довіряють корпорації Майкрософт. Це особливо гарна ідея, щоб запустити це на нових комп'ютерах, щоб перевірити, чи вони відкриті для атаки з коробки.
Оновлення: Інструмент sigcheck не працював на Windows 7 під час публікації, але Microsoft оновила інструмент, і тепер він повинен працювати належним чином на всіх версіях Windows. Отже, якщо ви не змогли змусити його працювати раніше, спробуйте ще раз!
Як перевірити
Для цього ми використовуємо інструмент Sigcheck, наданий корпорацією Майкрософт. Це частина набору інструментів SysInternals, яка була оновлена цією функцією на початку 2016 року.
Щоб розпочати роботу, завантажте програму Sigcheck від Microsoft. Відкрийте завантажений файл .zip і розпакуйте файл sigcheck.exe. Наприклад, можна просто перетягнути файл на робочий стіл.
Перейдіть до папки з файлом sigcheck.exe, який ви тільки що витягли. Наприклад, якщо ви помістіть його на робочий стіл, відкрийте папку "Робочий стіл" у Провіднику файлів (або Провіднику Windows, якщо ви працюєте у Windows 7). Натисніть і утримуйте клавішу Shift на клавіатурі, клацніть правою кнопкою миші у вікні Провідника файлів і виберіть "Відкрити вікно команд тут".
Введіть у командному рядку таку команду та натисніть Enter:
sigcheck -tv
Sigcheck завантажить список надійних сертифікатів від Microsoft і порівняє їх із сертифікатами, встановленими на вашому комп'ютері. Якщо на вашому комп'ютері є сертифікати, які не входять до списку довірених сертифікатів Microsoft, їх можна побачити тут. Якщо все добре і у вас немає жодних сертифікатів, ви побачите повідомлення "Не знайдено сертифікатів".
Допомога, я знайшов поганий сертифікат!
Якщо програма sigcheck перераховує один або більше сертифікатів після запуску команди, і ви не впевнені, що вони є, ви можете спробувати виконати веб-пошук для їхніх імен, щоб дізнатися, що вони є і як вони потрапили.
Видалення їх вручну не обов'язково є найкращою ідеєю. Якщо сертифікат було встановлено програмою, запущеною на вашому комп'ютері, ця програма може просто перевстановити сертифікат після її видалення. Ви дійсно хочете визначити, яка програма викликає проблему і повністю позбутися цієї програми. Як це зробити залежить від програми. В ідеалі ви можете просто видалити його з панелі керування «Видалення програми». Рекламні програми можуть копати свої гачки і потребують спеціальних засобів для очищення. Навіть встановлене виробником «легітимне» програмне забезпечення, таке як eDellRoot і Superfish від Dell, потребувало спеціальних інструментів видалення, які ви повинні були завантажити, щоб видалити їх. Виконайте пошук в Інтернеті, щоб краще видалити точний сертифікат, який ви бачите, оскільки ідеальний метод буде відрізнятися для кожного з них.
Однак, якщо ви дійсно бажаєте - або якщо ви не можете знайти конкретні інструкції - ви можете видалити сертифікат вручну з консолі керування сертифікатами Windows. Щоб відкрити його, виконайте пошук «сертифікатів» у меню «Пуск» або на екрані «Пуск» і натисніть посилання «Керувати сертифікатами комп'ютера». Ви також можете натиснути клавішу Windows + R, щоб запустити діалогове вікно Виконати, введіть "certmgr.msc" у діалоговому вікні Виконати, і натисніть Enter.
Корені сертифікати знаходяться у довірених центрах сертифікації сертифікатів у цьому вікні. Якщо потрібно видалити сертифікат, його можна знайти в цьому списку, клацнути його правою кнопкою миші та вибрати опцію "Видалити".
Однак будьте обережні: не видаляйте жодних законних сертифікатів! Переважна більшість сертифікатів тут легітимні і є частиною самої Windows. Будьте обережні при видаленні сертифікатів і переконайтеся, що ви видаляєте правильний.
До того, як було змінено інструмент sigcheck, не було простого способу перевірити наявність поганих сертифікатів. Було б непогано, якби існував більш дружній метод, ніж команда командного рядка, але це найкраще, що ми можемо зробити зараз.
Корпорація Майкрософт оголосила про те, що вона буде розправлятися з програмним забезпеченням, яке веде себе таким чином. Програми, які встановлюють незахищені кореневі сертифікати для виконання атак "людина в середині" - часто для реклами - будуть зазначатись Захисником Windows та іншими інструментами та автоматично видаляються. Це має трохи допомогти, коли буде виявлено наступний сертифікат, встановлений виробником.
Зображення: Сара Джой на Flickr