Crapware, adware og grayware. Uanset navnet er den horde af tredjeparts-software, som pc-producenter - drevet af udsigten til økonomisk gevinst - fylder på dere produkter, inden de bliver langet over disken, sjældent en udpræget fornøjelse for slutbrugeren.
Ikke alene kan præ-installerede demoprogrammer være grænseløst irriterende, når prøveperioden udløber, og de med konstante pop-up-bokse forsøger at lokke brugeren til at købe den fulde udgave af program x. Og i den forbindelse er det langt fra sikkert, en simpel afinstallation kan gøre det.
Den seneste sag med pc-producenten Lenovo, der har præ-installeret adware-programmet SuperFish, viser også, at tredjeparts-programmerne kan gennemhulle sikkerheden på det, der typisk er Windows-pc'ere fuldstændigt.
Kort fortalt, bevirkede SuperFish-installationen, at det var muligt at gennemføre et man-in-the-middle angreb, hvor hvem som helst kunne give sig ud for, eksempelvis at være brugerens netbank.
Det skyldes, at SuperFish benytter et selvsigneret rodcertifikat for at kunne lytte med på også krypteret SSL-kommunikation med det formål, at kunne skyde reklamer ind på websider. Det er i sig selv en dårlig opførsel.
Men hvad værre er, så har den private nøgle til det rodcertifikat, som SuperFish anvender, på flere punkter vist sig at være så svag, at den kun tog få timer at knække.
Og når først den private nøgle er kendt, så er det muligt for enhver at signere certifikater i et væk, som bliver godkendt via SuperFish-rodcertifikatet på maskinen. Så www.netbank.eksempel vil vise en grøn hængelås i browseren, uanset om det er banken eller hacker, som brugerens maskine er koblet op til.
Så altså ikke alene har SuperFish på flere Lenovo-maskiner i markedsføringsøjemed lyttet med på linjen, uanset om den skulle forestille at være krypteret eller ej. Programmet har fuldstændigt undermineret den sikkerhedsarkitektur, der ellers er på plads til at skabe sikre forbindelser mellem browseren på klienten og en server.
Og selvom SuperFish blev afinstalleret, blev rodcertifikatet i øvrigt ved med at ligge på maksinen. Både Lenovo og Microsoft har sidenhen arbejdet på at komme den skadelige software til livs.
CSIS: Der bør kun være Windows
Version2-debattør og partner i it-sikkerhedsvirksomheden CSIS Peter Kruse mener, sagen med SuperFish bør være et wake-up-call for pc-producenterne i forhold til at tilbyde deres kunder Windows-maskiner, uden der er alt muligt andet installeret oven i.
I den forbindelse peger Peter Kruse på, at Oracles Java (med den bundlede ask.com-toolbar), Adobes Flash og andre gængse tredjepartsprodukter også kan udgøre et sikkerhedsproblem. Han peger på, at brugerne ikke nødvendigvis er klarover, at maskinen er fyldt med disse plugins, som kan være uddaterede.
»Og så er de allerede inficeret i løbet af de første par dage på nettet, fordi de kører nogle gamle plugins, som de ikke aner er installeret.«
Også sådan noget som demo-software kan udgøre et konkret sikkerhedsproblem. Hvis det eksempelvis er et demoprodukt af antivirussoftware, som kun fungerer i 30 dage, så kan der opstå en situation, hvor brugeren aktiverer produktet, og - når de 30 dage er gået - stadig tror, maskinen er sikret, selvom antivirus softwaren ikke virker længere, påpeger Peter Kruse.
Dertil kommer det, Peter Kruse kalder grayware-aspektet, hvor sådan noget som SuperFish-adwaren florerer. Altså programmer der måske ikke direkte er tænkt som malware, men alligevel svækker sikkerheden på maskinen.
»Hvis man som producent ønsker at putte den slags på maskinen, så skal man virkeligt tænke sig godt om. Der skal i hvert fald være en eller anden form for screening, så man ikke hovedløst stoler på de forskellige producenter af grayware.«
I den forbindelse peger han på, at selvom programmer kan starte med at virke relativt tilforladelige, så kan de ende med at installere andre programmer, der er langt mere skadelige.
Allerhelst så Peter Kruse derfor gerne, at producenterne leverede udstyr uden andet end eventuelt et styresystem.
Udfordringerne med tredjepartsprogrammer, vurderer Peter Kruse til at være størst for private og helt små virksomheder, mens større organisationer kører med egne Windows-installationer.
»For de fleste almindelige brugere, vil det være at foretrække, at Windows er forudinstalleret, tror jeg. Men det man så kunne kræve var, at det var en ren Windows og ikke en, som er fyldt med alt muligt, som producenten indirekte tjener penge på,« siger han.
Men en ting er, hvad der er ønskværdigt, noget andet er, hvordan realiteterne ser ud her og nu. Hvilke pc-producenter bør private og mindre virksomheder holde sig til, hvis de er på udkig efter Windows-maskiner, og hvad bør de undgå? Måske Version2’s læsere har et par bud.
