1. A breve aggiorneremo la piattaforma di Reboot per risolvere alcuni problemi con i plug-in, quindi chiediamo ancora un po' di pazienza, Lo staff di Reboot

Lenovo + Superfish : come spiare le connessioni SSL

Discussione in 'Sicurezza informatica' iniziata da StandardBus, 20 Feb 2015.

By StandardBus on 20 Feb 2015 alle 12:50
  1. StandardBus

    StandardBus Alan

    Iscritto:
    15 Dic 2014
    Messaggi:
    4.091
    Like ricevuti:
    5.316
    [​IMG]
    Lenovo ha spedito 16 milioni di PC negli ultimi 4 mesi con bloatware che espone gli utenti a problemi di sicurezza.
    I produttori di computer sanno che l'utente medio NON disinstalla i programmi che vengono inseriti nei PC senza l'autorizzazione dell'utente, oppure chiedono l'autorizzazione alla prima accensione, quando nessuno legge i termini di utilizzo ed accetta tutto.
    Come dovreste comportarvi alla prima accensione di un computer con sistema preinstallato:
    1. Aprite il tool di rimozione dei programmi che vi viene messo a disposizione
    2. Fate ricerche per OGNI singola voce che non conoscete o che vi pare sospetta
    3. Se non necessaria, rimuovetela, e ricordatevi che il programma si reinstallerà dopo la "formattazione", se usate la partizione di ripristino fornita col PC.
    In pratica, una volta comprato un PC nuovo dovreste formattarlo NON usando la partizione di ripristino fornita dal produttore, installare un sistema pulito da un disco di installazione OS generico e poi aggiungere i driver manualmente. In ogni caso accettare com'è quello che ci viene proposto non è una buona idea. Perché?
    Non è la prima volta che succedono cose di questo genere, ma Lenovo ha fatto rumore perché il suo nome sta emergendo: mentre tutti scommettevano sui tablet, Lenovo, in controtendenza, ha proposto computer discreti a pochi soldi. Il tempo gli ha dato ragione.
    Il prezzo basso è in parte giustificato dalla presenza sui PC dei software indesiderati. Le aziende vengono pagate per inserirli, e Superfish rientra tra questi o tra gli strumenti utilizzati da Lenovo per monetizzare gli utenti che navigano in internet tramite i loro PC.

    Superfish, il malware?

    Lenovo ovviamente non vuole che Superfish venga catalogato come malware, ed in effetti non lo è, nel vero senso del termine, ma il suo comportamento non lascia dubbi: è un enorme rischio per la sicurezza.
    Effettivamente, Superfish è un Adware: un programma che ha lo scopo di visualizzare banner pubblicitari all'interno di alcune pagine visitate. Come tanti altri nel suo genere, è risaputo che inserisca annunci pubblicitari tra i risultati delle ricerche su Google.
    Il sito ufficiale di Superfish lo presenta come uno strumento avanzato di ricerca per immagine. Ovviamente nel caso del bloatware sui Lenovo hanno applicato questa tecnologia al mondo degli Adware, come confermato da un Amministratore del forum ufficiale Lenovo:
    Quindi è tutto qui il problema?
    Il sistema di Superfish si fa un idea del'utente che sta usando il computer in base alle ricerche ed alle pagine visitate, proponendo poi i prodotti che all'utente potrebbero interessare. Al di là del problema "privacy" che questo comportamento può sollevare, non si discosta dal funzionamento dei banner pubblicitari che vengono normalmente inseriti nei siti internet.

    Qual è il vero problema?

    L'azienda che fa capo a Superfish appare come Certificate Authority per quanto riguarda i certificati SSL, quindi è in grado di creare il proprio certificato, e di firmarselo da sola.
    Un'azienda che si auto-certifica come sicura. Potrebbe essere diversamente?
    Dal punto di vista dei browser web installati sugli stessi PC sui quali è presente l'Adware, Superfish firma i certificati, e può decidere cosa considerare sicuro e cosa non lo è.
    Qualunque sito internet faccia utilizzo di https può essere ri-certificato a piacere da Superfish, fra tutti gli e-commerce, Facebook o persino Google.
    Quindi chi ha in mano Superfish può modificare a piacimento ciò che viene considerato affidabile sul PC dell'utente.

    OK. Riepilogando, se ho Superfish installato sul PC, loro possono decidere cosa tra ciò che visualizzo nel browser è attendibile, anche modificandolo. MA cliccando su "accetta" nella pagina dei termini di utilizzo, li ho esplicitamente autorizzati a farlo.
    Lenovo potrebbe abusare di questo potere, come potrebbe benissimo non farlo. Magari si sta facendo un sacco di rumore per nulla...
    Putroppo non è così.

    Certificati SSL "sicuri" per tutti!

    Superfish utilizza sempre la stessa root Certificate Authority key per ogni singolo PC su cui è installato. Tradotto, significa che chiunque sia in grado di estrarre la chiave privata che Superfish utilizza per firmare i suoi certificati può ricrearli, rendere "trusted" qualsiasi sito internet, spiare ed addirittura modificare qualsiasi connessione criptata e ri-certificata, ma solamente dai/ai PC Lenovo "infetti" o qualsiasi altro PC abbia installato Superfish.
    Ebbene... la chiave privata è oramai pubblica.
    Infatti sono stati creati siti internet ad-hoc che permettono di verificare la presenza di questa specifica vulnerabilità. Eccovene uno: https://filippo.io/Badfish/
    Tra i browser confermati che hanno registrato l'utilizzo del falso certificato ci sono Internet Explorer, Chrome ed anche Firefox, nonostante utilizzi una lista privata di CA sicure con cui confrontare le firme.

    Come detto all'inizio, dovrebbero rientrare tra i Lenovo vulnerabili solo quelli con attivo il sistema preinstallato di fabbrica e distribuiti tra settembre e dicembre 2014. Da Gennaio 2015 Lenovo ha smesso di preinstallare Superfish.
    NB: questo non significa che si debba evitare i PC Lenovo. Ci tengo a precisare che gli altri produttori di PC fanno altrettanto, solo che non sono ancora state scoperte vulnerabilità gravi come questa nei programmi installati.

    Come difendersi

    Reinstallare un sistema operativo pulito è la scelta migliore, come detto all'inizio di questo articolo, ed ovviamente NON dagli strumenti di ripristino previsti dal produttore, o dalla partizione di ripristino presente nell'HDD (rimuovetela pure). Solo in questo modo potrete essere sicuri di non avere malware preinstallato sul PC (a meno che il software maligno non sia il firmware di qualche dispositivo installato).
    Altri siti propongono invece dei tutorial alla rimozione manuale dell'Adware.

    Aggiornamento: Lenovo ha reso pubblica la procedura ufficiale di rimozione per Superfish, nonchè l'elenco con i modelli sui quali è stato installato il programma.

    Aggiornamento 2: Altro tutorial per la rimozione, quello ufficiale di Lenovo non prende in considerazione la rimozione dei certificati da Firefox.
    Microsoft ha preso sul serio il problema: ora in Windows defender, Superfish compare tra i "Compromised Cert" e dovrebbe venire rimosso automaticamente.
     
    #1
    Ultima modifica: 20 Feb 2015
    A montale piace questo elemento.
Studiare è inutile se l'apprendimento non stimola la creatività.
Modder venticinquenne appassionato di retrogaming, ha studiato elettronica/telecomunicazioni. È molto affascinato dall'internet delle cose e dall'entusiasmo con cui sono stati accolti online Arduino e Raspberry Pi.
Sperimenta sulle console dal 2006, scoprendone le potenzialità grazie al defunto ConsoleWorld.
[​IMG] [​IMG] [​IMG]
Tags: this article has not been tagged

Commenti

Discussione in 'Sicurezza informatica' iniziata da StandardBus, 20 Feb 2015.

    1. Coolguy
      Coolguy Livello 15
      Alan. Ma un tutorial per eliminare la partizione di ripristino? Che spesso e' nascosta? Lo si potrebbe fare? In piu' esiste un programma che elenca tutti i driver installati al fine di andarseli a recuperare uno ad uno,una volta eliminata la partizione di ripristino? possiedo un Asus Rog g74sx ed i driver audio non sono riuscito a trovarli. In piu' non sempre ogni qualvolta ho usato la partizione di ripristino, installava tutyi i driver previsti!!!

      Una guida sarebbe piu' che ben accetta
    2. StandardBus
      StandardBus OP Alan
      Rimuovere la partizione di ripristino secondo alcuni produttori equivale (ingiustamente) ad invalidare la garanzia, quindi se si decide di rimuoverla bisogna tenere conto di questo fatto.
      Gparted, programma utilizzabile anche dalle live di Ubuntu, permette di vedere, rimuovere e ridimensionare tutte le partizioni. Ovviamente va usato con cautela.

      I driver in genere si trovano sul sito ufficiale del produttore, ma puoi usare anche gli all-in-one come http://drp.su/
      Da qua puoi scaricare il torrent (10GB, contiene la maggior parte dei driver, ma viene costantemente aggiornato):
      Altrimenti la versione online, che scarica solo i driver che servono al momento, ma richiede una connessione ad internet:
      A ll FrenK ll e Coolguy piace questo messaggio.
    3. Coolguy
      Coolguy Livello 15
      1000 grazie Alan
    4. StandardBus
      StandardBus OP Alan
      Niente :wink:
      Siamo solo su Reboot.
      A Coolguy piace questo elemento.
    5. Coolguy
      Coolguy Livello 15
      e si vede!!! :wink:

Condividi questa Pagina