Nadaljevanje zgodbe Superfish-Lenovo kaže na resnejšo ranljivost
Matej Huš
21. feb 2015 ob 23:08:27
Hitro se je začela odvijati zgodba, ko so na računalnikih Lenovo odkrili Superfish. Medtem ko proizvajalec programa trdi, da ni nič narobe, je Lenovo že ponudil navodila za odstranitev, na internetu pa so ugotovili, da so sporni certifikati prisotni tudi v drugi programski opremi in da je ranljivost še bistveno resnejša.
Izvršni direktor podjetja, ki je razvilo program Superfish, Adi Pinhas, je v izjavi za javnost dejal, da program za uporabnike ne predstavlja nikakršnega tveganja. Poudaril je, da Superfish ne shranjuje nobenih informacij o uporabnikih in da so skupaj z Lenovom pred začetkom prodaje izvedli obširno testiranje, ki pa ni odkrilo omenjene varnostne ranljivosti. Bodisi pri Superfishu sploh ne razumejo, v čem je problem pri podpisovanju certifikatov, ali pa vztrajno tiščijo glavo v pesek.
Lenovo je hitro obrnil ploščo. Njihov tehnični direktor je v intervjuju za Wall Street Journal povedal, da napako obžalujejo in da očitno niso storili dovolj za varnost. Dejal je, da njihovi strokovnjaki že pripravljajo programsko opremo, ki bo v celoti odstranila Superfish z računalnikov, hkrati pa so že izdali tudi navodila za ročno odstranitev. Večina programov za odstranjevanje zlonamerne programske opreme je Superfish že dodala na seznam nezaželenih in ga po novem odstranjuje, recimo Windows Defender je že tak. Najboljša rešitev je seveda formatiranje računalnika in namestitev sveže, retail verzije Windows.
Podjetje Superfish je namreč izdelavo programske opreme za ugrabljanje seje naročilo pri podjetju Komodia, medtem ko je samo skrbelo za vsebinski del. Certifikati, ki jih uporabljajo, so shranjeni z geslom - komodia. Izkazalo pa se je, da so ti isti certifikati prisotni še marsikod, pravzaprav povsod, kjer je imela prste zraven Komodia. In povsod je geslo komodia. To pa sedaj pomeni, da niso prizadeti le računalniki Lenovo, temveč vsi, ki imajo katerikoli program izpod prstov Komodie. Hkrati ima algoritem resne pomanjkljivosti, ker uporablja zastarele tehnologije in lahko ustvari šibke SSL-povezave.
Še večji problem pa je nepravilna validacija certifikatov. Kadar Komodia naleti na neveljaven strežniški certifikat, ga bo še vedno prekopirala, podpisala in uporabniku predstavila kot pristnega, le ime mu bo spremenila v npr. verify_fail.events.ccc.d. Certifikat bo torej veljaven, a bo iz imena vidno, da je nekaj narobe. Toda, če uporabnik certifikata deklarira alternativno ime, ga Komodia ne bo spremenila, temveč ga bo podpisala in brskalnik ne bo opazil, da v originalu ni bil pristen.
To je velika površnost in pravzaprav celoten problem zakomplicira. Sedaj niso ranljivi le računalniki Lenovo, temveč vsi s programi Komodie. In za zlorabo sploh ni treba zlomiti certifikata Komodie za podpisovanje (kar je tudi uspelo), temveč zadostuje že sprememba alternativnega imena v kateremkoli neveljavnem certifikatu.