19.02.2015, 11:11
Superfish - "super rybka" to oprogramowanie adware/PNP, które wyświetla własne reklamy podczas wyszukiwania haseł w przeglądarkach, nachalnie czasem nakłaniając do dokonania sugerowanego wyboru. To jednak nie wszystko, o czym poinformował Niebzepiecznik, a szczegóły poniżej
Wyjaśnienie - "szara rybka" czyli
Cytat:Domyślna instalacja systemu (czyli to co startuje po wyjęciu laptopa Lenovo z pudełka) wgrywa oprogramowanie Superfish, czyli adware znany też jako VisualDiscovery. Jego zadaniem jest podmiana lub wstrzykiwanie nowych reklam do stron internetowych, jakie odwiedza użytkownik laptopa. Ale nie to jest w tym oprogramowaniu najgorsze…
Laptopy Lenovo ze szpiegiem
Historia wypłynęła na jaw na forum Lenovo już we wrześniu 2014, jednak dopiero ostatnio jeden z pracowników firmy przyznał rację klientom i napisał:
Cytat:Tymczasowo wyłączamy Superfisha na świeżoprodukowanych laptopach dopóki nie usunie funkcjonalności z popupami, która drażni naszych klientów. Jeśli chodzi o te, które już zostały rozesłane do sklepów, poprosiliśmy producenta Superfisha o wypuszczenie aktualizacji, która usunie popupy.
Lenovo stoi na stanowisku, że Superfish pozwala klientom znaleźć produkty, których szukają (za co zapewne Lenovo otrzymuje prowizję) a że robi to 100% alorytmicznie to “nie narusza prywatności użytkownika”. W ich opinii Superfish jest więc oprogramowaniem przydatnym. Przed zarzutami o wciskaniu go na siłę firma broni się argumentem, że podczas pierwszego włączenia klient może nie zaakceptować regulaminu oprogramowania i wtedy nie będzie ono działać (wstrzykiwać swoich reklam na obcych stronach).
Poważniejszy problem niż reklamy to możliwość podsłuchu połączeń
To nie w reklamach jest problem, a w sposobie, w jakim Superfish je wstrzykuje… Superfish działa bowiem na zasadzie ataku Man in the Middle.
Aby móc wstrzyknąć kontekstową reklamę w połączenie HTTPS, instaluje ono na systemie klienta swój certyfikat SSL (własne CA) i przekierowuje ruch przeglądarki użytkownika przez serwer proxy. W ten sposób może bez efektu “złamanej kłódki” podglądać zawartość połączeń szyfrowanych HTTPS.
[Aby zobaczyć linki, zarejestruj się tutaj]
Certyfikat Superfish pojawia się jako certyfikat dla domeny, która w rzeczywistości ma inny certyfikat SSLCytat:Klient łączy się de facto z fałszywym serwerem (po HTTPS), co oznacza, że fałszywy serwer widzi wszystkie dane klienta. Następnie fałszywy serwer przekazuje dane do prawdziwego, docelowego serwera (strony WWW, którą chciał obejrzeć użytkownik).Źródło
W przypadku Windowsa, przejmowane będą połączenia wykonywane z przeglądarek Internet Explorer i Google Chrome. Mozilla nie korzysta z systemowego zbioru certyfikatów SSL — ma własny, do którego Superfish nie wstrzykuje certyfikatu.
Jak podsłuchiwać okoliczne laptopy Lenovo?
Żeby było śmieszniej, certyfikaty są takie same na każdym z laptopów — co może oznaczać, że ktoś, kto zdobędzie klucz prywatny (a ten zapewne jest w kodzie programu) będzie mógł generować akceptowane przez klientów Lenovo certyfikaty SSL dla fałszywych stron internetowych i w konsekwencji podsłuchiwać dane osób korzystających z laptopów Lenovo… To daje olbrzymie możliwości phishingowe.
Mam laptopa Lenovo – co robić, jak żyć?
Jeśli macie nowego laptopa od Lenovo (pierwsze doniesienia o Superfish pojawiają się w połowie 2014 roku) to rzućcie okiem na poniższy filmik obrazujący jak ręcznie pozbyć się składników Superfisha — zwykłe odinstalowanie Superfisha nie usuwa bowiem certyfikatu — to oznacza, że dalej można wprowadzać w błąd użytkownika i podsłuchiwać jego połączenia.
Superfisha wykrywają też antywirusy. Zapewne po tej aferze, certyfikat zostanie zablokowany w nowej wersji Google Chrome.
Oczywiście jak zawsze, dobrym rozwiązaniem jest całkowite usunięcie “domyślnego” systemu operacyjnego i zainstalowanie własnego, z czystej kopii (nie systemowej partycji “recovery”). Taki system powinien być bez “producenckich dodatków” — ale jeśli zamiast osiedlowego sklepu z oprogramowaniem wybraliście sieć hipermarketów BitTorrent, to miejcie świadomość, że Windows pozyskany z tego źródła, bardzo często od razu będzie miał doinstalowaną koparkę Bitcoina lub podstawiony certyfikat CA jednej z grup przestępczych (co umożliwia im, na takiej samej zasadzie jak Superfishowi, podszywanie się pod dowolną domenę). Mówiąc krótko, możecie zamienić siekierkę na kijek. Na szczęście bez problemu można dziś zdobyć darmowy i legalny system operacyjny.
PS. Oby tylko SuperFish nie połączyło się z GreyFishem, bo wtedy na pewno przetrwa reinstall ;-)
PPS. Wygląda też na to, że nawet nagłówek HSTS nie pomoże stronom bankowości internetowej przed “przechwyceniem”, bo SuperFish jest instalowany w systemie przed wykonaniem pierwszego połączenia ze stroną banku, a więc już na tym etapie może wyciąć nagłówek HSTS banku i uniemożliwić tym samym wymuszenie na przeglądarce weryfikacji certyfikatu po jego ID.
[Aby zobaczyć linki, zarejestruj się tutaj]
Wyjaśnienie - "szara rybka" czyli
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"