Masz laptop "Lenovo"?...sprawdź koniecznie czy nie masz na nim "super rybki"

[ichito]

Superfish - "super rybka" to oprogramowanie adware/PNP, które wyświetla własne reklamy podczas wyszukiwania haseł w przeglądarkach, nachalnie czasem nakłaniając do dokonania sugerowanego wyboru. To jednak nie wszystko, o czym poinformował Niebzepiecznik, a szczegóły poniżej

Domyślna instalacja systemu (czyli to co startuje po wyjęciu laptopa Lenovo z pudełka) wgrywa oprogramowanie Superfish, czyli adware znany też jako VisualDiscovery. Jego zadaniem jest podmiana lub wstrzykiwanie nowych reklam do stron internetowych, jakie odwiedza użytkownik laptopa. Ale nie to jest w tym oprogramowaniu najgorsze…

Laptopy Lenovo ze szpiegiem

Historia wypłynęła na jaw na forum Lenovo już we wrześniu 2014, jednak dopiero ostatnio jeden z pracowników firmy przyznał rację klientom i napisał:

Tymczasowo wyłączamy Superfisha na świeżoprodukowanych laptopach dopóki nie usunie funkcjonalności z popupami, która drażni naszych klientów. Jeśli chodzi o te, które już zostały rozesłane do sklepów, poprosiliśmy producenta Superfisha o wypuszczenie aktualizacji, która usunie popupy.

Lenovo stoi na stanowisku, że Superfish pozwala klientom znaleźć produkty, których szukają (za co zapewne Lenovo otrzymuje prowizję) a że robi to 100% alorytmicznie to “nie narusza prywatności użytkownika”. W ich opinii Superfish jest więc oprogramowaniem przydatnym. Przed zarzutami o wciskaniu go na siłę firma broni się argumentem, że podczas pierwszego włączenia klient może nie zaakceptować regulaminu oprogramowania i wtedy nie będzie ono działać (wstrzykiwać swoich reklam na obcych stronach).

Poważniejszy problem niż reklamy to możliwość podsłuchu połączeń

To nie w reklamach jest problem, a w sposobie, w jakim Superfish je wstrzykuje… Superfish działa bowiem na zasadzie ataku Man in the Middle.
Aby móc wstrzyknąć kontekstową reklamę w połączenie HTTPS, instaluje ono na systemie klienta swój certyfikat SSL (własne CA) i przekierowuje ruch przeglądarki użytkownika przez serwer proxy. W ten sposób może bez efektu “złamanej kłódki” podglądać zawartość połączeń szyfrowanych HTTPS.

[Aby zobaczyć linki, zarejestruj się tutaj]

Certyfikat Superfish pojawia się jako certyfikat dla domeny, która w rzeczywistości ma inny certyfikat SSL

Klient łączy się de facto z fałszywym serwerem (po HTTPS), co oznacza, że fałszywy serwer widzi wszystkie dane klienta. Następnie fałszywy serwer przekazuje dane do prawdziwego, docelowego serwera (strony WWW, którą chciał obejrzeć użytkownik).

W przypadku Windowsa, przejmowane będą połączenia wykonywane z przeglądarek Internet Explorer i Google Chrome. Mozilla nie korzysta z systemowego zbioru certyfikatów SSL — ma własny, do którego Superfish nie wstrzykuje certyfikatu.

Jak podsłuchiwać okoliczne laptopy Lenovo?

Żeby było śmieszniej, certyfikaty są takie same na każdym z laptopów — co może oznaczać, że ktoś, kto zdobędzie klucz prywatny (a ten zapewne jest w kodzie programu) będzie mógł generować akceptowane przez klientów Lenovo certyfikaty SSL dla fałszywych stron internetowych i w konsekwencji podsłuchiwać dane osób korzystających z laptopów Lenovo… To daje olbrzymie możliwości phishingowe.

Mam laptopa Lenovo – co robić, jak żyć?

Jeśli macie nowego laptopa od Lenovo (pierwsze doniesienia o Superfish pojawiają się w połowie 2014 roku) to rzućcie okiem na poniższy filmik obrazujący jak ręcznie pozbyć się składników Superfisha — zwykłe odinstalowanie Superfisha nie usuwa bowiem certyfikatu — to oznacza, że dalej można wprowadzać w błąd użytkownika i podsłuchiwać jego połączenia.
Superfisha wykrywają też antywirusy. Zapewne po tej aferze, certyfikat zostanie zablokowany w nowej wersji Google Chrome.

Oczywiście jak zawsze, dobrym rozwiązaniem jest całkowite usunięcie “domyślnego” systemu operacyjnego i zainstalowanie własnego, z czystej kopii (nie systemowej partycji “recovery”). Taki system powinien być bez “producenckich dodatków” — ale jeśli zamiast osiedlowego sklepu z oprogramowaniem wybraliście sieć hipermarketów BitTorrent, to miejcie świadomość, że Windows pozyskany z tego źródła, bardzo często od razu będzie miał doinstalowaną koparkę Bitcoina lub podstawiony certyfikat CA jednej z grup przestępczych (co umożliwia im, na takiej samej zasadzie jak Superfishowi, podszywanie się pod dowolną domenę). Mówiąc krótko, możecie zamienić siekierkę na kijek. Na szczęście bez problemu można dziś zdobyć darmowy i legalny system operacyjny.

PS. Oby tylko SuperFish nie połączyło się z GreyFishem, bo wtedy na pewno przetrwa reinstall ;-)

PPS. Wygląda też na to, że nawet nagłówek HSTS nie pomoże stronom bankowości internetowej przed “przechwyceniem”, bo SuperFish jest instalowany w systemie przed wykonaniem pierwszego połączenia ze stroną banku, a więc już na tym etapie może wyciąć nagłówek HSTS banku i uniemożliwić tym samym wymuszenie na przeglądarce weryfikacji certyfikatu po jego ID.

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

Wyjaśnienie - "szara rybka" czyli

[Aby zobaczyć linki, zarejestruj się tutaj]

[zbc]

Jeżeli to podmienia certyfikaty, to jest to naprawdę niebezpieczne (i pomyśleć, że ktoś będzie do banku się logował). Po prostu Lenovo daje nam szkodnika w prezencie na nowym komputerze. Z tego co pamiętam, Lenovo było oskarżane o umieszczanie backdoorów w komputerach i oprogramowaniach. Lenovo ma tendęcję do szkodliwego oprogramowania Podmienianie certów, adware za niedługo phishing, to wszystko w zwykłym, nowym komputerze.

[LowcyGier]

I dlatego mam ASUS''a, chociaż i pewnie tutaj coś znalazłoby się.

[M'cin]

Tyczy się to Lenovo Lenovo czy serii Thinkpad też?

[Konto usunięte]

Thinkpady to urządzenia raczej biznesowe, a mowa jest o konsumenckich więc.. strzelam, że nie.

[ichito]

Mam ''thinkpada" służbowego właśnie i pobieżnie sprawdziłem...dogłębnie nie ma jak, bo nie mam uprawnień...i wydaje się, że czysto...i niech tak zostanie,żebym się nie denerwował

[Buli]

No a czego się spodziewaliście po Chińskiej firmie?

[dolar444]

Firma sama w sobie jest dobra, i sprzęt robi dobry.
Co do aplikacji, prosta rada, kupujesz z systemem, sprawdź czy to co dostarczył producent jest ci potrzebne. Masz chwile czasu przeinstaluj system na świeży.
Lub prosta rada kup sprzęt bez zainstalowanego systemu.

Ale racja lepiej napisać ze firma jest do dupy bo chińska.

[Konto usunięte]

Firma sama w sobie jest dobra, i sprzęt robi dobry.

Robiła.
Thinkpady się skończyły ( )

[dolar444]

To jest prawda się skończyły, ale w strefie budżetowej dalej ta firma jest na czele.
Oferują tanio, całkiem dobry sprzęt o dobrych podzespołach i całkiem fajnie spasowany, nawet ze plastik.

[Buli]

Nie wyczułeś ironii?
Jasne, że sprzęt OK wkońcu to spuścizna IBM. Ale tak jak w przypadku chińskich AV cześć ludzi im nie ufa, tak i tu można mieć obawy. Pewno w całej tej "awanturze" może być ziarnko prawdy.

[LowcyGier]

Masz chwile czasu przeinstaluj system na świeży.

Wpierw trzeba mieć ten obraz systemu np. na płycie lub pendrive. A co jeśli ktoś nie ma takiego obrazu systemu i musi pobierać z internetu? A tam jak wiadomo prędzej trafi się na modyfikację aniżeli kopię 1:1.

[dolar444]

Nie wyczułeś ironii?
Jasne, że sprzęt OK wkońcu to spuścizna IBM. Ale tak jak w przypadku chińskich AV cześć ludzi im nie ufa, tak i tu można mieć obawy. Pewno w całej tej "awanturze" może być ziarnko prawdy.

Wyczułem ją, i wiem o co chodziło w twoim poprzednim poście, dlatego tez napisałem od siebie coś, i też zapewne wiesz o co mi chodziło.

Masz chwile czasu przeinstaluj system na świeży.

Wpierw trzeba mieć ten obraz systemu np. na płycie lub pendrive. A co jeśli ktoś nie ma takiego obrazu systemu i musi pobierać z internetu? A tam jak wiadomo prędzej trafi się na modyfikację aniżeli kopię 1:1.

Owszem jak ktoś nie ma to trzeba pobrać. Jest zgadza się sporo modyfikacji, ale ze strony microsoftu też można pobrać. Jak sie chce to można znaleźć a tu link:

[Aby zobaczyć linki, zarejestruj się tutaj]

czysty oryginalny obraz systemu bez żadnych aktualizacji.

[LowcyGier]

Wpierw trzeba mieć ten obraz systemu np. na płycie lub pendrive. A co jeśli ktoś nie ma takiego obrazu systemu i musi pobierać z internetu? A tam jak wiadomo prędzej trafi się na modyfikację aniżeli kopię 1:1.

Owszem jak ktoś nie ma to trzeba pobrać. Jest zgadza się sporo modyfikacji, ale ze strony microsoftu też można pobrać. Jak sie chce to można znaleźć a tu link:

[Aby zobaczyć linki, zarejestruj się tutaj]

czysty oryginalny obraz systemu bez żadnych aktualizacji.

Pytanie tylko: Czy jest potrzebna aktywna subskrypcja MSDN aby móc pobrać obraz systemu Windows 7?

[Eugeniusz]

Trzeba mieć subskrypcję.

[zord]

Wystarczy klucz z wersji Retail

[Aby zobaczyć linki, zarejestruj się tutaj]

niestety w większości laptopów jest OEM i z pobierania nici.

[LowcyGier]

Trzeba mieć subskrypcję.

Wystarczy klucz z wersji Retail

[Aby zobaczyć linki, zarejestruj się tutaj]

niestety w większości laptopów jest OEM i z pobierania nici.

Tego właśnie obawiałem się. No nic - trudno się mówi. Znaleźć i pobrać odpowiednią kopię systemu 1:1 nie jest tak hop siup.

[M'cin]

Wystarczy poprosić znajomego o podrzuceni na DB albo coś?

[hivonzooo]

Dla osób szukających czystego obrazu Windowsa polecam

[Aby zobaczyć linki, zarejestruj się tutaj]

. Programik pobiera najnowszy dostępny obraz z sieci i działa na laptopach z kluczami zaszytymi w biosie.

[Toruniak]

Dla osób szukających czystego obrazu Windowsa polecam

[Aby zobaczyć linki, zarejestruj się tutaj]

. Programik pobiera najnowszy dostępny obraz z sieci i działa na laptopach z kluczami zaszytymi w biosie.

Trochę więcej info:

[Aby zobaczyć linki, zarejestruj się tutaj]