» »

Nadaljevanje zgodbe Superfish-Lenovo kaže na resnejšo ranljivost

Nadaljevanje zgodbe Superfish-Lenovo kaže na resnejšo ranljivost

Slo-Tech - Hitro se je začela odvijati zgodba, ko so na računalnikih Lenovo odkrili Superfish. Medtem ko proizvajalec programa trdi, da ni nič narobe, je Lenovo že ponudil navodila za odstranitev, na internetu pa so ugotovili, da so sporni certifikati prisotni tudi v drugi programski opremi in da je ranljivost še bistveno resnejša.

Izvršni direktor podjetja, ki je razvilo program Superfish, Adi Pinhas, je v izjavi za javnost dejal, da program za uporabnike ne predstavlja nikakršnega tveganja. Poudaril je, da Superfish ne shranjuje nobenih informacij o uporabnikih in da so skupaj z Lenovom pred začetkom prodaje izvedli obširno testiranje, ki pa ni odkrilo omenjene varnostne ranljivosti. Bodisi pri Superfishu sploh ne razumejo, v čem je problem pri podpisovanju certifikatov, ali pa vztrajno tiščijo glavo v pesek.

Lenovo je hitro obrnil ploščo. Njihov tehnični direktor je v intervjuju za Wall Street Journal povedal, da napako obžalujejo in da očitno niso storili dovolj za varnost. Dejal je, da njihovi strokovnjaki že pripravljajo programsko opremo, ki bo v celoti odstranila Superfish z računalnikov, hkrati pa so že izdali tudi navodila za ročno odstranitev. Večina programov za odstranjevanje zlonamerne programske opreme je Superfish že dodala na seznam nezaželenih in ga po novem odstranjuje, recimo Windows Defender je že tak. Najboljša rešitev je seveda formatiranje računalnika in namestitev sveže, retail verzije Windows.

Podjetje Superfish je namreč izdelavo programske opreme za ugrabljanje seje naročilo pri podjetju Komodia, medtem ko je samo skrbelo za vsebinski del. Certifikati, ki jih uporabljajo, so shranjeni z geslom - komodia. Izkazalo pa se je, da so ti isti certifikati prisotni še marsikod, pravzaprav povsod, kjer je imela prste zraven Komodia. In povsod je geslo komodia. To pa sedaj pomeni, da niso prizadeti le računalniki Lenovo, temveč vsi, ki imajo katerikoli program izpod prstov Komodie. Hkrati ima algoritem resne pomanjkljivosti, ker uporablja zastarele tehnologije in lahko ustvari šibke SSL-povezave.

Še večji problem pa je nepravilna validacija certifikatov. Kadar Komodia naleti na neveljaven strežniški certifikat, ga bo še vedno prekopirala, podpisala in uporabniku predstavila kot pristnega, le ime mu bo spremenila v npr. verify_fail.events.ccc.d. Certifikat bo torej veljaven, a bo iz imena vidno, da je nekaj narobe. Toda, če uporabnik certifikata deklarira alternativno ime, ga Komodia ne bo spremenila, temveč ga bo podpisala in brskalnik ne bo opazil, da v originalu ni bil pristen.

To je velika površnost in pravzaprav celoten problem zakomplicira. Sedaj niso ranljivi le računalniki Lenovo, temveč vsi s programi Komodie. In za zlorabo sploh ni treba zlomiti certifikata Komodie za podpisovanje (kar je tudi uspelo), temveč zadostuje že sprememba alternativnega imena v kateremkoli neveljavnem certifikatu.

26 komentarjev

vostok_1 ::

Lenovotov drugače tako ali tako ne taknem niti v izložbi, kaj šele da bi kupil.

Spura ::

Podjetje Superfish je namreč izdelavo programske opreme za ugrabljanje seje naročilo pri podjetju Komodia, medtem ko je samo skrbelo za vsebinski del. Certifikati, ki jih uporabljajo, so shranjeni z geslom - komodia.
Nice password. Kar ime firme.

Glugy ::

Jz sicer nimam Lenovo ampak sem vseen probu: https://filippo.io/Badfish/ če bi mel. In mi napiše "YES, your connections can be tampered with" . Pol sledim navodilom pa nikjer sledu o Superfish-u. Tko da nism mogu nč zbrisat, tud programa ni. ..tko da sploh ne razumem od kje mam ranljivost.

Zgodovina sprememb…

  • spremenilo: Glugy ()

krneki0001 ::

vostok_1 je izjavil:

Lenovotov drugače tako ali tako ne taknem niti v izložbi, kaj šele da bi kupil.


Razlog?

Sam sicer vedno prednaložene smeti dol vržem in si na novo postavim svoj sistem po svojih željah, tako teh problemov nimam.
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster

Zgodovina sprememb…

Looooooka ::

vostok_1 je izjavil:

Lenovotov drugače tako ali tako ne taknem niti v izložbi, kaj šele da bi kupil.

Ne vem no. Lenovo Y50 Touch 4K zgleda kr ok za dotikanje :)

Gandalfar ::

Glugy je izjavil:

Jz sicer nimam Lenovo ampak sem vseen probu: https://filippo.io/Badfish/ če bi mel. In mi napiše "YES, your connections can be tampered with" . Pol sledim navodilom pa nikjer sledu o Superfish-u. Tko da nism mogu nč zbrisat, tud programa ni. ..tko da sploh ne razumem od kje mam ranljivost.


To pomeni, da imas nek drug malware, ki ti SSL certifkate prestreza. Najboljse, da odpres novo temo in poskusis ugotovit kaj se dogaja.

crniangeo ::

@gandalfar: upam da ne smetim, just for @Glugy: Predlagam da poskusiš pogledat, če boš zadevo našu s tem programom: http://www.pcdecrapifier.com/..
@gandalfar: če sem šel preveč offtopic pa se lahko zrbriše post, vem samo , da sem si enkrat s to zadevo na prednaloženimi Lenovi zelo pomagal ker je blo res polno bloatwara..
Convictions are more dangerous foes of truth than lies.

Lonsarg ::

Glugy je izjavil:

Jz sicer nimam Lenovo ampak sem vseen probu: https://filippo.io/Badfish/ če bi mel. In mi napiše "YES, your connections can be tampered with" . Pol sledim navodilom pa nikjer sledu o Superfish-u. Tko da nism mogu nč zbrisat, tud programa ni. ..tko da sploh ne razumem od kje mam ranljivost.

In kaj točno napiše, superfish ali kaka druga ranljivost od te firme? Neki so upgradal, bi moralo točno napisat kaj.

Rias Gremory ::

Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Glugy ::

Gandalfar je izjavil:

Glugy je izjavil:

Jz sicer nimam Lenovo ampak sem vseen probu: https://filippo.io/Badfish/ če bi mel. In mi napiše "YES, your connections can be tampered with" . Pol sledim navodilom pa nikjer sledu o Superfish-u. Tko da nism mogu nč zbrisat, tud programa ni. ..tko da sploh ne razumem od kje mam ranljivost.


To pomeni, da imas nek drug malware, ki ti SSL certifkate prestreza. Najboljse, da odpres novo temo in poskusis ugotovit kaj se dogaja.

Ok sem odprl novo temo. Upam da bo znal kdo pomagat: Ranljivost

Qushaak ::

Ljudje, kdaj se boste naučili formatirati nov računlanik? Sej to ne pomeni, da morate piratske Windows-e gor dajat. Če se sname orifinal Microsoft-ov image identične verzije bi moral ključ prijeti.
Komp bo hitrejši, baterija bo dlje zdržala, pa še take varnostne težave so precej redkejše.

Nummy ::

Qushaak je izjavil:

Ljudje, kdaj se boste naučili formatirati nov računlanik? Sej to ne pomeni, da morate piratske Windows-e gor dajat. Če se sname orifinal Microsoft-ov image identične verzije bi moral ključ prijeti.
Komp bo hitrejši, baterija bo dlje zdržala, pa še take varnostne težave so precej redkejše.

In zakaj bi moral formatirati nov računalnik? Naj proizvajalec poskrbi, da bo uporaben od prvega dne, ne pa da mora človek potem še doma vse formatirati in na novo inštalirati... Ne hvala.
Treba bo samo narediti pritisk na proizvajalce, da se kaj spremeni, če to ne pomaga pa presedlati na konkurenco in jih udariti po žepu. To v zadnjih časih firme najbolj zastopijo.

Qushaak ::

To je dandanes utopično pričakovati. Čeprav se stgrinjam s tabo. Osebno pač reskiram neki časa in grem od začetka naprej. Pa vem, da je potem narejeno tako kot mora biti.

Poldi112 ::

Ker če formatiraš nov računalnik veš, da ne boš imel težav kot jih opisuje novica kasneje. Itak moraš instaliral cel kup stvari, pač začneš z os-om, par klikov, ko on pol ure dela. Če ti je to preveč pa uživaj v bloatu, ki so ti ga namestili. Važno, da slediš svojim principom, da ma da je uporaben od prvega dne.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Nummy ::

Zakaj bi podpiral proizvajalce, da nam vsiljujejo stvari? Ne bom.
Poleg tega že napisal v sosednji temi,da določeni driverji preprosto ne obstjajo brez bloat-a. Proizvajalec da take ven in potem hočeš nočeš moraš uporabiti ali pa nimaš inštalirano. TO JE problem.
Tu pa itak vsi vseznalci kot ponavadi se delate pametne kako naj na novo inštaliramo sistem. Zakaj bi? Zapravljal svoj čas? Sem zato plačal nov računalnik, da bom potem zagonu še skoraj cel dan da bom vse driverje pošlihtal in sistem? Ne nisem.
Prav tako ne podpiram proizvajalcev da nam podtikajo bloat v vsako stvar samo zato da potem gledam tist njihov beden logo.
Problem, ki ga novica opisuje ni v tem, da nebi mogli na novo inštalirat sistema, ampak da nam to vsiljujejo in take driverje. Za določene stvari praktično ni driverjev brez bloat-a in to se mora spremenit, pa če bo moralo par firm propasti zaradi tega mi je čisto vseeno. Posiljevati folka s tem ni zdravo in lepo.

Poldi112 ::

In to rešuješ tako, da tak bloat požreš? Ker stvar ni nova...
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

torson ::

Kaj pa tem v Komodiji ni jasno.. a se hecajo . Mislim kater developer pri zdravi pameti bi pa to tako naredil ? aja ups , money talks .

Zgodovina sprememb…

  • spremenil: torson ()

dope1337 ::

Rias Gremory je izjavil:

The analysis of SuperFish adware


Tnx za tale link. Dobra analiza.

P.S. Ima kdo slučajno pregledno verzijo te javascripte?
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein

Zgodovina sprememb…

  • spremenilo: dope1337 ()

MrStein ::

Najboljša rešitev je seveda formatiranje računalnika in namestitev sveže, retail verzije Windows.

You mean "OEM verzije", a ne?
(sam medij je sicer identičen, licenca pa se avtomatsko detektira, tako v resnici uporabnik sploh ne more retail namestiti)

Qushaak je izjavil:

Ljudje, kdaj se boste naučili formatirati nov računlanik? Sej to ne pomeni, da morate piratske Windows-e gor dajat. Če se sname orifinal Microsoft-ov image identične verzije bi moral ključ prijeti.
Komp bo hitrejši, baterija bo dlje zdržala, pa še take varnostne težave so precej redkejše.

Laž (kot se tu radi izražajo...).
Odstranitev "odveč" programov je veliko preprosteje kot nova namestitev, pa še hitreje in manj baterije bo žrlo, posebej, če so gonilniki "skriti" oziroma težko dostopni.
(da ne omenjam, kako bo laik iskal install image, potem narobe zapekel itd itn ipd...)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Poldi112 ::

Laiki rekdo instalirajo os. In ja, odstranitev odveč programov je hitrejša (pa ne dosti), ampak če hočeš biti brez skrbi pač butneš gor čisto verzijo, za katero si ziher, da nima še kakšnega skritega sranja. V bistvu se gre za zaupanje prodajalcu, in jaz ga načeloma nimam. Zakaj med drugim kaže tudi ta novica.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Phantomeye ::

Qushaak je izjavil:

Ljudje, kdaj se boste naučili formatirati nov računlanik? Sej to ne pomeni, da morate piratske Windows-e gor dajat. Če se sname orifinal Microsoft-ov image identične verzije bi moral ključ prijeti.
Komp bo hitrejši, baterija bo dlje zdržala, pa še take varnostne težave so precej redkejše.


To smo dali skoz že v prejšnji temi o Lenovo super ribi. Od človeka, ki uporablja računalnik zgolj kot orodje (človek, k kupuje računalnik z besedami "da bom loh uporabljal word, internet in gledal filme'), pričakovat takšen manever je podobno kot od ljudi pričakovat, da si bodo sami servisirali avtomobile.

Ravno ti ljudje so največje žrtve tega. Zadnjič sem neki ženski popravljal računalnik. ZA težave je krivila svojega vnuka, ker naj bi preko torrenta nalagal igre. Ampak igra je bila clean (nekaj s partisa). Problem je blo 20 vtičnikov za firefox (tipa cheapdeals, extradiscount) in 50 različnih drugih adware/malware/spyware zadev. resnica je, da je te zadeve dobila zaradi lastne neprevidnosti. In od takšnih ljudi pričakuješ, da bodo sposobni razumet, kaj je bloatware in po možnosti potem bili sposobni naložit ISO windowsov?

Zgodovina sprememb…

Glugy ::

No evo sem rešil zadevo. Problem je bil PrivDog.
"Two more software makers have been caught adding dangerous, Superfish-style man-in-the-middle code to the applications they publish"
"The first case involves Lavasoft Ad-aware Web Companion, software that's distributed by antivirus provider Lavasoft. "
"The second security-marketed software was "PrivDog," which is the creation of Comodo CEO Melih Abdulhayoglu."

Podrobnosti:
http://arstechnica.com/security/2015/02...

Po naključju odkril da ima zgodba še veliko večje razsežnosti kot je sprva kazalo:
https://m.facebook.com/notes/protect-th...
"Beyond Superfish

We've observed more than a dozen other software applications using the Komodia library, and many of these applications appear to be suspicious. Here is a list of the certificate issuers we observed:

CartCrunch Israel LTD
WiredTools LTD
Say Media Group LTD
Over the Rainbow Tech
System Alerts
ArcadeGiant
Objectify Media Inc
Catalytix Web Services
OptimizerMonitor"

Zgodovina sprememb…

  • spremenilo: Glugy ()

Truga ::

Obstajajo doloceni VPN clienti ki nucajo komodia certifikat :D

Jupito ::

Phantomeye je izjavil:


Ravno ti ljudje so največje žrtve tega. Zadnjič sem neki ženski popravljal računalnik. ZA težave je krivila svojega vnuka, ker naj bi preko torrenta nalagal igre. Ampak igra je bila clean (nekaj s partisa). Problem je blo 20 vtičnikov za firefox (tipa cheapdeals, extradiscount) in 50 različnih drugih adware/malware/spyware zadev. resnica je, da je te zadeve dobila zaradi lastne neprevidnosti. In od takšnih ljudi pričakuješ, da bodo sposobni razumet, kaj je bloatware in po možnosti potem bili sposobni naložit ISO windowsov?


Pri taki klienteli obstaja še veliko večja težava; kako jim sploh dopovedati, da bi jih moralo brigati. Lahko jih razumemo, ampak dejstvo je, da so del problema. In nič ne kaže, da se kaj spreminja (razen tega, da jih je čedalje več).
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Zgodovina sprememb…

  • spremenil: Jupito ()

MrStein ::

To isto, kot če bi folku razlagal, da morajo med tankanjem na črpalki pregledati in filtrirati bencin.
Ejnt gona heppen.

Glugy je izjavil:


"Two more software makers have been caught adding dangerous, Superfish-style man-in-the-middle code to the applications they publish"
"The first case involves Lavasoft Ad-aware Web Companion, software that's distributed by antivirus provider Lavasoft. "

8-O

Glugy je izjavil:


"The second security-marketed software was "PrivDog," which is the creation of Comodo CEO Melih Abdulhayoglu."

Komodia ~ Comodo
To sem pomislil že takoj.
A gre le za "puko slučajnost"?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Glugy ::

Comodo pa Komodia nimata nč skupnega.
http://www.pcworld.com/article/2887632/...

"PrivDog is bundled with some products from Comodo, like Comodo Internet Security as well as its Chromodo, Dragon and IceDragon browsers. However, it seems that these products include PrivDog version 2, which lacks the HTTPS proxy functionality, and thus does not expose users to man-in-the-middle attacks."

"This "potential issue" only exists in PrivDog versions 3.0.96.0 and 3.0.97.0 that have never been distributed by Comodo and are not present in the company's browsers, a Comodo representative said Monday via email."

"Superfish's mistake was using the same root certificate across all deployments. PrivDog's mistake is not validating certificates at all."

In to je njihova rešitev:
http://privdog.com/advisory.html

"PrivDog Security Advisory (Threat level: LOW)


Update, 2/23/2015 14:51 EST: PrivDog 3.0.105.0 has been released with a fix to address the security issue found in the third party library. The update is available from the home page. An automatic update of the effected users is commencing presently.

A minor intermittent defect has been detected in a third party library used by the PrivDog standalone application which potentially affects a very small number of users. This potential issue is only present in PrivDog versions, 3.0.96.0 and 3.0.97.0. The potential issue is not present in the PrivDog plug-in that is distributed with Comodo Browsers and Comodo has not distributed this version to its users. There are potentially a maximum of 6,294 users in the USA and 57,568 users globally that this could potentially impact. The third party library used by PrivDog is not the same third party library used by Superfish.

The issue potentially affects a very limited number of websites. In some circumstances self-signed certificates do not trigger a browser warning but encryption is still provided to the end user, hence security via encryption remains intact. The potential issue is only present if a user visits a site that actually has a self-signed certificate.

The potential issue has already been corrected. There will be an update tomorrow which will automatically update all 57568 users of these specific PrivDog versions.

We take security very seriously and we will continue to protect our users from malicious websites and malicious advertising. We thank all the researchers who contribute to make the Internet safer.
"

Še en lep člank: https://gigaom.com/2015/02/23/beyond-su...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Lenovo jo je za vsiljevanje reklam odnesel zelo dobro

Oddelek: Novice / Tožbe
267394 (5567) MrStein
»

Ob vstopu na stran spletne banke mi ne ponudi okna s certifikatom

Oddelek: Pomoč in nasveti
429222 (6906) mepa
»

Nadaljevanje zgodbe Superfish-Lenovo kaže na resnejšo ranljivost

Oddelek: Novice / Varnost
2620246 (16561) Glugy
»

Ranljivost

Oddelek: Pomoč in nasveti
51672 (1304) SeMiNeSanja
»

Računalniki Lenovo z veliko varnostno luknjo

Oddelek: Novice / Varnost
4720340 (17141) miroB

Več podobnih tem