Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 100 reacties

Vertrouwelijke verbindingen op laptops van Lenovo die werden geleverd met de SuperFish-malware aan boord, waren eenvoudig af te luisteren. Mogelijk kan dat zelfs nog steeds. De malware kaapt ssl-verkeer met een certificaat dat door iedereen kan worden gebruikt.

Dat de Lenovo-malware het ssl-verkeer van klanten kaapt, was al bekend, maar beveiligingsonderzoeker Yonathan Klijnsma ontdekte dat het de private key van het ssl-certificaat waarmee dat gebeurt met een debugger te achterhalen is. "Je kunt nu een man in the middle-aanval uitvoeren op iedereen met een getroffen Lenovo-laptop", aldus beveiligingsonderzoeker Klijnsma tegenover Tweakers. Daarvoor moet hij wel eerst het internetverkeer van een Lenovo-gebruiker kunnen onderscheppen en manipuleren, bijvoorbeeld via een vervalste wifi-hotspot.

De Lenovo-spyware maakt de bescherming die https biedt in dat geval volledig ongedaan. Gebruikers merken niet dat een aanvaller met het netwerkverkeer knoeit, omdat de computer vanwege het Superfish-certificaat denkt dat er niets aan de hand is. Aanvallers kunnen zo internetbankieren manipuleren, wachtwoorden afvangen of vertrouwelijke chatgesprekken afluisteren. Dat Superfish het ssl-certificaat tijdens internetbankieren, zoals van de Rabobank, vervangt, bewijst bijvoorbeeld Mark Loman van beveiligingsbedrijf SurfRight.

De privésleutel van het rootcertificaat waarmee de advertenties worden geïnjecteerd heeft Klijnsma met 'een beetje klooien' kunnen achterhalen, zegt hij. Een aanvaller zou dat certificaat eveneens kunnen achterhalen, om het vervolgens te serveren aan alle Lenovo-gebruikers die zijn getroffen. Bij zogenoemde asymmetrische cryptografie hoort de private key normaliter niet te worden meegeleverd, enkel het publieke deel. Waarschijnlijk wordt de privésleutel meegeleverd om de malware valse ssl-certificaten te laten uitgeven.

Onlangs bleek dat Lenovo malware meelevert met sommige laptops; het gaat in ieder geval om de Lenovo Y50, Z40, Z50 en G50, evenals de Yoga 2 Pro. Het gaat in alle gevallen om consumentenlaptops, niet om zakelijke modellen. In Internet Explorer, Firefox en Chrome kaapt de malware het ssl-verkeer met het valse ssl-certificaat om advertenties te kunnen injecteren.

Het is onduidelijk of klanten nog steeds kwetsbaar zijn. Lenovo heeft de malware inmiddels uitgeschakeld, maar dat is op zichzelf niet voldoende. "Zolang het certificaat aanwezig is, blijven alle klanten met zo'n laptop kwetsbaar", aldus onderzoeker Klijnsma. De vraag is daarom of Lenovo het ssl-certificaat ook daadwerkelijk heeft verwijderd.

Erg waarschijnlijk is het niet dat Lenovo de ssl-certificaten van de computers van klanten heeft verwijderd. Het deïnstallatieproces van de SuperFish-malware zorgt er namelijk niet voor dat het ssl-certificaat wordt verwijderd, zegt Klijnsma. Als het ssl-certificaat inmiddels wel is verwijderd van Lenovo-laptops, zijn getroffen klanten maandenlang nog steeds kwetsbaar geweest. Lenovo begon in september met het meeleveren van de spyware.

Lenovo kan nog geen duidelijkheid scheppen. "We zijn druk bezig om het te onderzoeken", aldus een woordvoerder van het Chinese bedrijf. Eerder zei de woordvoerder dat de SuperFish-spyware 'niet als malware kan worden bestempeld'.

De Chinese pc-fabrikant kan in de problemen komen met het voorinstalleren van de malware: meerdere juristen zeiden eerder op donderdag tegenover Tweakers dat het bedrijf de wet overtreedt. Het bedrijf kan bijvoorbeeld een boete krijgen voor het overtreden van de cookiewet - die voor meer dan enkel cookies geldt, anders dan de bijnaam suggereert - of zelfs vervolgd worden voor computervredebreuk.

Update 18:15: Lenovo laat in een aanvullende reactie weten dat het in januari helemaal is gestopt met het bundelen van de SuperFish-malware.

Update, vrijdag 10.45: Een beveiligingsonderzoeker relateert de privésleutel, "komodia", aan een bedrijf dat een 'SSL Digestor' aanbiedt: precies de methode die Superfish gebruikt voor het kapen van ssl-verbindingen. Het bedrijf Komodia beschrijft ook hoe de SSL Digestor gebruikt kan worden voor het injecteren van advertenties. De site is op moment van schrijven offline, volgens Komodia vanwege een ddos-aanval.

Rabobank Superfish

SuperfishSuperfish

Lees meer over

Gerelateerde content

Alle gerelateerde content (21)
Moderatie-faq Wijzig weergave

Reacties (100)

Even voor de duidelijkheid; wat Yonathan Klijnsma hier achterhaalt heeft is niet het root certificaat maar de private key van het root certificaat. Daarmee kan je voor elke website een 'fake' certificaat aanmaken — iets wat uitermate gevaarlijk is voor de mensen met dit certificaat in hun trust store.
Een aanvaller zou dat certificaat eveneens kunnen achterhalen, om het vervolgens te serveren aan alle Lenovo-gebruikers die zijn getroffen. Dat is een flinke fout: bij zogenoemde asymmetrische cryptografie hoort hoort de private key niet te worden meegeleverd, enkel het publieke deel.
Je kunt je dus ook sterk afvragen of dit wel een "fout" is, vanuit optiek van de malwaremakers. Wat in de afbeelding van Loman te zien is, is dat een certificaat op naam van rabobank.nl is uitgegeven en ondertekend door de malware. Om dit te kunnen doen moet er dus wel getekend kunnen worden met een private key.

In feite speelt de malware hier dus mini-CA, wat de aanwezigheid van de private key verklaart en logisch maakt. Zonder de private key zou de malware alleen reeds geprepareerde certificaten kunnen serveren, of constant door een internetserver certificaten moeten laten genereren (met alle vertraging en afhankelijkheden van dien).

Overigens wordt exact dezelfde truc toegepast door diverse virusscanners, waaronder Kaspersky, waardoor het mogelijk is om SSL-verkeer op malware te scannen. Dit voorkomt dat malwaremakers een eenvoudig SSL-kanaal opzetten om 'onzichtbaar' malware te downloaden. In die situatie krijg je dus ook een nieuw root certificaat in je trust store, waarna SSL-sites per keer een nieuw (lokaal gegenereerd) certificaat lijken voor te schotelen.

[Reactie gewijzigd door Eagle Creek op 19 februari 2015 15:09]

Cryptografisch gezien is dit inderdaad niet 'fout'. Denk aan bedrijfs proxies die op dezelfde manier on-the-fly certificaten aanmaken. De (potentiële) schadelijk zou echter aanzienlijk lager zijn als elke machine een unieke private key had gekregen.
Cryptografisch gezien is dit inderdaad niet 'fout'. Denk aan bedrijfs proxies die op dezelfde manier on-the-fly certificaten aanmaken.

Het is welzeker fout!

Dat zou namelijk juist een aanvalsvector zijn. Bij die bedrijfsproxies is het namelijk doorgaans bedoeld om HTTPS en andere TLS verbindingen op malware en lekken bedrijfsgeheimen te controleren. Het is dan echter zaak dat enkel zij en niet een ander die verbinding kan lezen.

Ook voor proxies - inclusief deze adware - is het niet nodig het private certificaat in de root-store te zetten. Enkel de public key is goed genoeg.

Als men dit gedaan heeft is het gewoon beunwerk van deze adware makers. Gewoon met een commandline tool en certifciaat maken en hoppa in de root-store zetten. Normaal zou je uit het geproduceerde certificaat - via een tweede command line tool O-) ) ) - het publieke en private certificaat splitsen. Ofwel, de adware makers wisten net genoeg van certificaten om de MITM aanval op te zetten, maar niet genoeg om het 'veilig' te doen_/-\o_

Maar omdat gesproken wordt van het gebruik van een debugger, hebben de adware makers dit wellicht ook niet gedaan!?!? Wellicht zit het private deel van de key IN de adware, en dan is wel een debugger nodig.

[Reactie gewijzigd door Armin op 19 februari 2015 18:28]

Ook voor proxies - inclusief deze adware - is het niet nodig het private certificaat in de root-store te zetten. Enkel de public key is goed genoeg.
In dit geval is het wel degelijk nodig om een private key mee te leveren. De adware (of hoe je het wilt noemen) maakt namelijk lokaal, on-the-fly, certificaten aan. Zonder private key is dat niet mogelijk. Cryptografisch gezien is daar niks fout aan.

Bij een bedrijfs-proxy hoeft de gebruiker inderdaad alleen de root-certificaat geïnstalleerd te hebben. Het punt is echter dat deze adware 'proxy' juist lokaal draait.

Eagle Creek heeft dit hierboven al aangekaart:
Zonder de private key zou de malware alleen reeds geprepareerde certificaten kunnen serveren, of constant door een internetserver certificaten moeten laten genereren (met alle vertraging en afhankelijkheden van dien).

[Reactie gewijzigd door justincase op 19 februari 2015 20:37]

In dit geval is het wel degelijk nodig om een private key mee te leveren

Niet in de root-store.

Dat schreef ik ook in de post waar je op reageerde? O-)

"Maar omdat gesproken wordt van het gebruik van een debugger, hebben de adware makers dit wellicht ook niet gedaan!?!? Wellicht zit het private deel van de key IN de adware, en dan is wel een debugger nodig. "
Ahzo, excuses. Ja, de encrypted private key (en de passphrase daarvan) zaten inderdaad in de adware zelf. Maakt uiteindelijk niet zoveel verschil als je ziet hoe makkelijk het kraken daarvan ging; zie het linkje van Kamiquasi hieronder.
[...]

Je kunt je dus ook sterk afvragen of dit wel een "fout" is, vanuit optiek van de malwaremakers. Wat in de afbeelding van Loman te zien is, is dat een certificaat op naam van rabobank.nl is uitgegeven en ondertekend door de malware. Om dit te kunnen doen moet er dus wel getekend kunnen worden met een private key.
Waarom geen rootcertificaat voor *?
Can a wildcard SSL certificate be issued for a second level domain?

TL;DR — zal in de praktijk door browsers en andere SSL clients niet geaccepteerd worden.
Je kunt je dus ook sterk afvragen of dit wel een "fout" is, vanuit optiek van de malwaremakers.
Geredeneerd vanuit wat ze proberen te doen, puur gekeken naar het ontwerp, hebben ze inderdaad weinig andere keus dan de private key ook mee te leveren (al heeft justincase een beter voorstel, dat ook zou werken).

Blijft er nog steeds een tweede vraag openstaan, vanuit de optiek van de malware makers: "Is het fout om Russisch Roulette te spelen..., met iemand ander zijn internetbankieren..., van een grote groep mensen..., zonder dat je zelfs maar een waarschuwing geeft... en zonder een zeer dwingende reden; puur en alleen om een paar lullige euros te verdienen?".
En voor de mensen die willen weten hoe makkelijk dat te vinden was:
http://blog.erratasec.com...uperfish-certificate.html
Sterker nog, de passphrase die Robert Graham daar achterhaalt is de naam van het bedrijf en software welke deze functionaliteit mogelijk maakt.

http://www.komodia.com/

source: https://twitter.com/ericlaw/status/568416258594463745
Lekker schaamteloos clubje is dat bedrijf.

Hoe kan zo'n bedrijf in hemelsnaam zijn bestaan waarborgen, eigenlijk? Je zou verwachten dat wetten die het breken van aangebrachte beveiliging verbieden er heel, heel snel voor zouden zorgen dat dit soort louche mannetjes opgerold worden.

(Oh nee wacht; dat werkt alleen als je de lobby machine van Hollywood mobiliseert. Eerder hebben beleidsmakers en -uitvoerders geen zin om met hun reet uit het pluche omhoog te komen...)
nieuws: Https-verkeer Lenovo-laptops eenvoudig af te luisteren dankzij malware
Gelukkig is de malware op lenovo's ook eenvoudig te verwijderen dankzij windows.

Zoals gepost bij het eerdere nieuwsbericht, deze 3 methoden kun je het beste gebruiken om de malware te verwijderen.

1. Het opschonen van je windowsPC en browsers.
  • Het configuratiescherm openen
  • Programma's verwijderen kiezen
  • Superfish/VisualDiscovery selecteren en te kiezen voor verwijderen
Voor het verwijderen van het Certificaat ga je in Google Chrome naar:
Click the Chrome menu [=] on the browser toolbar.
Select Settings.
Click Show advanced settings.

SSL certificates and settings
Go to the "HTTPS/SSL" section to manage your SSL certificates and settings.
Voor het verwijderen van het SSL certificaat in IE ga je naar:
  • 1. Extra
  • 2. Internet opties
  • 3. Inhoud
  • 4. Certificaten
  • 5. Selecteer certificaat en verwijder het
Alternatieven zijn:
2. Het 'schoon' herinstalleren van windows.
3. Verwijderen van de Software + Browser Reset in Chrome, of IE

Kortom deze advertentie-ware is een stuk makkelijker van je laptop te verwijderen dan dat de advertentie-ware van play-services van je tablet te krijgen is. Maar desalniettemin ook véél gevaarlijker. Doordat je geen zekerheid meer hebt dat je op de site zit, waar je denkt dat je op zit.

[Reactie gewijzigd door nul07 op 20 februari 2015 09:06]

Van StackOverflow,com (MSEMack) :


FYI, this Superfish software is now a major news headline: http://arstechnica.com/se...breaks-https-connections/

It is preloaded by Lenovo (there may be other vendors). You have to uninstall it, but that will not remove the certificate. To remove the certificate, you must do the following:

Run mmc.exe
Go to File -> Add/Remove Snap-in
Pick Certificates, click Add
Pick Computer Account, click Next
Pick Local Computer, click Finish
Click OK
Look under Trusted Root Certification Authorities -> Certificates
Find the one issued to Superfish and delete it.

If you are really paranoid, the best solution would be to reformat your laptop and install Windows with Microsoft media, not the factory recovery stuff.

Iemand met een getroffen lenovo bovenstaande al geprobeert? Ben wel benieuwd of het klopt.

[Reactie gewijzigd door Poekie McPurrr op 19 februari 2015 14:54]

Is het niet beter om het in de untrusted store te plaatsen? Maar ja ik zou ook voor formatteren gaan (of ja, ik zou alle partities weggooien en van MS ISO installeren ook meteen van die restore partitie af).

Lenovo mag ondertussen wel erg diep door het stof gaan.
Hopelijk schrikt het ook andere fabrikanten af om al die rommel maar op hun producten te zetten. Sowieso was het al een dubieus product, maar nu is de term mallware helemaal toepasselijk.
Is het niet beter om het in de untrusted store te plaatsen

De untrusted store is bedoeld als een certificaat zelf niet vertrouwd is, maar de ondertekenaars hoger in de keten nog wel. Je wilt dan andere certificaten van die CA nog wel vertrouwen. Denk aan als je als bedrijf een bepaald certifciaat wil uitfaseren.

Bij self-signed of (andere) root-certificaten is het verwijderen effectief hetzelfde als untrusted maken. In beode gevallen wordt een verbinding geweigerd aangezien de default (bij afwezigheid in de store) ook 'untrusted' is. Het laatste is echter ietsje trager (meetbaar, niet merkbaar) aangezien er expliciet tegen gecontroleerd wordt.
Ik ben er inderdaad toe overgegaan alle PC's en laptops te voorzien van zelfgemaakte images op basis van schone media, voor al onze PC en laptop vekopen. Afgezien van van dit soort issues, spaar je een hoop tijd met het deïnstalleren van voorgebakken meuk. Wij verkopen 9 van de 10 keer iets uit een beperkt assortiment, dan is imagen veel makkelijker.
Ik heb een Yoga2Pro. Volgens mij klopt het wel, alleen heb ik een tijd geleden het programma zelf al "geuninstalled". Het certificaat staat idd nog nog wel in het lijstje onder "trusted root enz" , maar als ik een https verbinding open, bv. rabobank, dan wordt dat certificaat niet gebruikt. (in het geval van de rabobank is het de symantec class3 enz)

Zit ook maar eens aan een schone installatie te denken, maar de info over hoe dat moet, en of het uberhaupt gaat lukken is op z'n minst nogal tegenstrijdig/onduidelijk (bv op het lenovo forum, mensen bij wie de hele installatie niet lukt, keys die niet willen werken, gezeur over missende partities enz)...
Dat maakt niet uit of de Rabobank site aangeeft dat het niet gebruikt word (en Firefox was niet kwetsbaar), maar om je certificaat als trusted root staat geinstalleerd word ieder certificaat vertrouwd dat hier mee gesigneerd is.

Gooid het weg of verplaats het naar untrusted.

[Reactie gewijzigd door LOTG op 19 februari 2015 15:49]

Ok... Wil het best verplaatsen, maar hoe? Gebruik chrome en opties zijn importeren, exporteren en (mits chrome openen als admin) verwijderen. Op zich is verwijderen vast ook wel een goed idee :)
Chrome gebruikt de store van windows, in poekie zijn post hierboven staat hoe je daar bij kunt. En dan gewoon naar untrusted slepen.
dank :)

Verplaatsen gelukt. Nu maar even verder zien. O ja, bij het sluiten van de console kon ik die opslaan. Heb ik maar gedaan, maar is dat eigenlijk puur de instellingen m.b.t. wat je ziet in de console wat je opslaat? Met andere woorden: als ik niet opgeslagen had, dan was het superfish certificaat nog steeds verplaatst, maar de volgende keer dat ik de console open zou ik de certificaten weer "zichtbaar" moeten maken?. Nu kan ik dus mijn gesavede console openen en dan zie ik meteen weer cetrifcaatbeheer ofzo?

Misschien een beginnersvraag, maar ik zit sinds mijn oude 80386 (waar je dagen bezig kon kon zijn autoexec.bat en config.sys fils om maar geheugen vrij te krijgen, ach, toen ik nog jong en mooi was) niet meer zo in het "diepere syteembeheer" van windows...
Ik heb een G710 en ik heb het certificaat verwijderd m.b.v. bovenstaand.

Nou ben ik best wel really paranoid en voor het bankverkeer gebruikt mn laptop nu een certificaat van VeriSign Class 3.
Is dat dan wel te vertrouwen?
Ik heb me er eerlijk gezegd noot in verdiept en zoveel weet ik nou ook niet van computersystemen.
Bij internetbankieren is er 1 regel: ziet het er niet ok uit of krijg je popups > stoppen en pc scannen.
Het controleren v/d certificate chain is eigenlijk ook gewoon iets waarvan iedereen zou moeten hoe dat te doen en het is ook iets wat iedereen gewoon zou moeten doen. Gewoon kijken wanneer je op de inlogpagina van je internet bankieren staat, nog voordat je ook maar gegevens ingevuld hebbt.

[Reactie gewijzigd door R4gnax op 19 februari 2015 20:51]

Ik heb een Yoga2Pro en had, zoals ik altijd bij nieuwe machines doe, direct na het uitpakken allerhande meegeleverde software die ik niet kon plaatsen al van de machine afgehaald. Zo heb ik kennelijk ook SuperFish gelijk verwijderd.

Net je stappenplan doorgelopen en geconstateerd dat het certificaat er wel nog stond. Nu ook het certificaat verwijderd. Je stappenplan klopt dus; dank!

Overigens heeft Lenovo (inmiddels?) ook goede instructies online gezet die nog wat makkelijker zijn. Zie hier.

Rest nu nog een mail aan Lenovo te sturen. Naast dat ik mijn teleurstelling over het bedrijf wil uitspreken, eis ik ook de garantie dat ik als gebruiker op geen enkele manier meer gevaar loop met mijn Lenovo machine dan met een laptop van een willekeurig ander merk.

[Reactie gewijzigd door vanoijen op 20 februari 2015 09:08]

Ik zou die hele handleiding niet 'eenvoudig' willen noemen. Eenvoudig is 'sudo apt-get remove lenovo-bloatware' in een terminal typen. Moeilijk doen is een 3 punten-5-stappen plan posten ;)
Eh ja, de beste methode voor *elke* nieuwe laptop is om alle partities ( inclusief de zgn. "herstel" partitie ) te deleten vanaf een bootable USB stick, en Windows vers te installeren. Dit is natuurlijk minder haalbaar voor de gemiddelde consument, zeker als de activatie sleutel eerst veiliggesteld moet worden.
.
Terzijde hoorde ik van een nieuwe, misselijk makende trend, waarbij laptop verkopers 50 euro "pre-installatie kosten" rekenen bovenop de verkoop prijs, voor de software meuk waarmee ze argeloze consumenten opzadelen. Daar mee wordt een fonkel nieuwe laptop al meteen vrijwel kreupel gemaakt. Er zou hiervoor een verplichte opt-out mogelijkheid moeten komen!

[Reactie gewijzigd door Geekomatic op 19 februari 2015 17:18]

Het is dan ook uitermate moeilijk om een duidelijke stap-voor-stap handleiding te vinden over hoe je Windows vers kan installeren op een laptop met enkel de voorgeinstalleerde Windows.. Ik heb er geen kunnen vinden in ieder geval, jij wel?
Het is toch te gek voor woorden dat je een product koopt en bloatware erbij krijgt? Dat zou je kunnen accepteren als dat ding gratis was, niet bij een product van vele honderden euros.
Nee, die handleiding gaan laptop bouwers niet maken.
De geven je wel instructies om Windows te herstellen vanaf een herstel partitie, waardoor je alle bloatware fijn weer terug krijgt....
nieuws: Https-verkeer Lenovo-laptops eenvoudig af te luisteren dankzij malware
Gelukkig is de malware op lenovo's ook eenvoudig te verwijderen dankzij windows.

....

...de advertentie-ware van 'play-services' van je tablet te krijgen is. Maar desalniettemin ook véél gevaarlijker. Doordat je geen zekerheid meer hebt dat je op de site zit, waar je denkt dat je op zit.
Haha wat een onzin, hoe voorziet Windows hier in voor een eenvoudige verwijdering? Oh wacht het is een regulier programma, en je moet 'eenvoudig' een SSL certificaat verwijderen!

Je hebt ook overduidelijk geen benul(07) wat Play Services doet, je zoveelste reactie vol onzin.. op dat kleine stukje na wat je al eerder had geplaatst.
Op de tablet, moet je eigenlijk de hele beveiliging omzeilen door eerst je toestel helemaal te rooten, en daarna via een app weer de roottoegang te beveiligen voor je je gang kan gaan. Of je installeert een heel andere rom. Daarna kun je pas de stappen ondernemen om te beginnen aan verwijdering.

In dit geval kun je met windows eigenlijk alles doen binnen het systeem door de stappen te volgen en gebruik te maken van de opties die windows en de google chrome browser en internet Explorer bieden. Als Lenovo slim is maken ze zelf een .exe die de stappen automatisch doet en bieden ze die aan als update.

Dan is het draaien van de exe genoeg.
Gaat dit over tablets? Gaat dit over Android? Ondervangt Play Services SSL certificaten? Injecteert Play Services reclames in websites van anderen? Zou ik eigenlijk wel op reacties van jou moeten reageren?
Dit is toch al gepost?
Dit nieuws is nieuws omdat nu ook de private key waarmee de certificaten gesigned zijn achterhaald is. Hiermee kan dus iedereen zelf certificaten voor elk willekeurig domein maken welke door Lenovo laptops met deze rootkit/malware/adware/gore troep die certificaten vertrouwen. En waarmee je https dus volledig negeert.
Dus, gratis CA gesigneerde keys voor je eigen servertje?
Nee, waar jij op doelt is
http://tweakers.net/nieuw...installeerde-malware.html

Dit bericht gaat over het feit dat doordat Lenovo zo ongelooflijk dom is geweest malware te installeren dit nu misbruikt kan worden door anderen.
Dit is wel zo ongelooflijk idioot van Lenovo geweest. Sorry voor het taalgebruik mensen.. maar dit laat toch duidelijk zien dat je dit soort dingen niet moet doen.. Echt ook.

"Laten we malware installeren om mensen ad's te tonen"
En dan niet denken dat andere hier geen misbruik van gaan maken??? 8)7 8)7 8)7

(edit: typo Lenova > Lenovo )

[Reactie gewijzigd door Lightmanone1984 op 20 februari 2015 04:03]

Dit bericht gaat over het feit dat doordat Lenova zo ongelooflijk dom is geweest malware te installeren dit nu misbruikt kan worden door anderen.
Niet dat ik het een slimme actie vindt van Lenovo, maar laten we even realistisch blijven, wat dachten de mensen die de "gebundelde software" (of, in goed Nederlands: bloatware) uitkozen dat dit was:
- Generieke adware
- Venijnige malware, die als kers op de taart HTTPS van voor tot achter ondermijnt

Ik ben hoe dan ook geen fan van voorgeïnstalleerde zooi, maar totdat iemand anders kan bewijzen, ga ik er even vanuit dat Lenovo dacht dat ze hun klanten "alleen maar" wat meer zinloze maar schadeloze onzin meeleverde.

Zouden ze veel strikter moeten controleren wat ze precies meeleveren? Ja, uiteraard. Mag je ze van mij aanklagen, ja, want het is nog steeds hun verantwoordelijkheid. Maar was hier kwade opzet in het spel, heeft iemand bij Lenovo erbij stilgestaan dat dit niet zomaar dertien-in-een-dozijn adware is, nee, ik heb geen enkel argument gehoord om dat te denken.
Hoe groot het gat tussen "competent" en "incompetent" ook moge zijn, laten we even wachten met de beschuldiging "kwade opzet" totdat daar een reden voor is, want dat is een gigantische sprong verder.

Als je de fabrikant van de malware zelf in de schandpaal wil stoppen, dan zal ik op geen enkele manier protesteren.

[Reactie gewijzigd door robvanwijk op 20 februari 2015 02:23]

Ik mag echt zo erg hopen dat Lenovo hier daadwerkelijk niets van wist, als dat namelijk wel zo is, is dit op geen enkele manier goed te praten. Het is duidelijk dat het verhaal nog lang niet over is.

Malware is nooit goed te praten, op geen enkele manier. |:(
Als je de fabrikant van de malware zelf in de schandpaal wil stoppen, dan zal ik op geen enkele manier protesteren.
Daar ben ik het ook helemaal met je eens.

[Reactie gewijzigd door Lightmanone1984 op 20 februari 2015 04:08]

Lenovo had gewoon de naam van het bedrijf kunnen DuckDuckGo-en (Google is niet cool in China). Ik vond meteen dit uit 2013: http://malwaretips.com/bl...sh-window-shopper-adware/

Lenovo is wel verantwoordelijk voor hun leveranciers. Ik koop niet iets van SuperFish - als zij hier niets over opzoeken is hun probleem, ik zou het wel doen als ik iets koop en voor mij staat Lenovo voor een bepaalde prijs en bouwkwaliteit. Als ik bij MediaMarkt een laptop koop is het aan MediaMarkt om uit te zoeken of het in Nederland verkocht mag worden en of dit schade toebrengt aan de klant en wat voor schade het is.

Ini dit geval vind ik de schade bestwel ENORM aangezien mijn browsers niet meer kunnen controleren of ik veilig aan het browsen ben.

Daarbij komt dat SuperFish bekend is door het maken van malware/adware. Je kunt er anuit gaan dat Lenovo naar een tricky adware bedrijf op zoek is gegaan. Ze wisten vanaf het begin dat het adware was en ze hadden kunnen weten dat het malware was door een simpele zoekmachine te benaderen.

Het lagere personeel bij Lenovo weet natuurlijk van niets, maar er zitten echtwel een paar managers die hier goed geld hebben geroken en wisten (met een mooi verhaal van SuperFish) dat zij veel privacy gevoelige gegevens binnen zouden halen.

Dat deze leverancier vervolgens keiharde malware levert, had Lenovo niet per se kunnen weten, ze vragen er niet voor niets een derde partij voor. Dat zij vervolgens geen background check doen op hun derde partij is ze dan wel weer aan te rekenen.
Dit is blijkbaar een verdieping van het originele bericht. Er wordt naar het originele bericht ook verwezen in het stukje: "Dat de Lenovo-malware het ssl-verkeer van klanten kaapt, was al bekend"
Staat ook in het artikel (inclusief link):

"Dat de Lenovo-malware het ssl-verkeer van klanten kaapt, was al bekend, maar beveiligingsonderzoeker Yonathan Klijnsma ontdekte dat het ssl-certificaat waarmee dat gebeurt met een debugger te achterhalen is."

Gaat er nu om dat het SSL certificaat te achterhalen valt.
correct, alleen is deze een stuk uitgebreider.
Als deze malware "redelijk" makkelijk het ssl verkeer zo makkelijk compleet kan ontwrichten, dan moet andere malware dat toch ook makkelijk kunnen?
En in Firefox kan het niet omdat die een soort kluis gebruiken voor de certificaten. IE en Chrome zijn wel geïnfecteerd. Is dat dan ook niet gewoon een ontwerpfout van die browsers waardoor ssl verkeer makkelijk te ontwrichten is?
Als de private key te achterhalen is, dan wel.
Bij i.e en chrome woord dat geregeld Door Windows zelf en bij Firefox Door mozila.
En in Firefox kan het niet omdat die een soort kluis gebruiken voor de certificaten. IE en Chrome zijn wel geïnfecteerd. Is dat dan ook niet gewoon een ontwerpfout van die browsers waardoor ssl verkeer makkelijk te ontwrichten is?

De malware zet het eigen certifciaat in de certifciaat store van Windows. Zowel IE als chrome gebruiken die. Firefox heeft zijn eigen store. Niets had de makers echter verhinderd hun certifciaat ook daar te plaatsen. Enkel niet gedaan.

Het plaatsen van certifciaten in de store is namelijk een gewone legitieme functie. Het is dan ook geen ontwrichten. Alles werkt gewoon zoals het zo moeten. Immers het onderscheppen van SSL/TLS verkeer om te analyzeren is een legitieme functie (voor bijvoorbeeld anti-virus software). Wat echter het probleem is, is
- dat de eigenaar niet verwittigd wordt
- het doel is injecteren van advertenties, hetgeen de gebruiker (anders dan bij anti-virus) waarschijnlijk uberhaupt niet wil
- het certificaat niet gedeinstalleerd wordt bij uitschakelen software, én de private key niet beschermd is zodat kwaadaardige 3den daarna ook kunnen onderscheppen.

Dat laatste is waar dit artikel over gaat.
Zou de gewone consument (lees: ouders / minder-IT-gerichte personen) hier ooit iets van horen? Wij als IT'ers weten dat dit not-done is en zelfs sterk te veroordelen, maar zal dit nieuws ook verder geraken dan ons wereldje?
Om de rest van de massa te bereiken kun je onderaan klikken op "delen" en dan het medium kiezen waarop je het wilt delen (vooropgesteld dat je van die media gebruikt maakt natuurlijk).
Dan gaat bijvoorbeeld mijn broer echt nog niet begrijpen wat een root certificaat is en wat hier de impact van kan zijn.

Er worden schouders opgehaald en men gaat vrolijk door met internetbankieren. Hoeveel mensen zouden hun slot vervangen als je simpel een loper bij Lips kan bestellen?
Dan gaat bijvoorbeeld mijn broer echt nog niet begrijpen wat een root certificaat is en wat hier de impact van kan zijn.

Er worden schouders opgehaald en men gaat vrolijk door met internetbankieren. Hoeveel mensen zouden hun slot vervangen als je simpel een loper bij Lips kan bestellen?
Gewoon in Dikkie Dik taal uitleggen: "Wat doet Dikkie Dik nu? Dikkie Dik gaat internetbankieren.. maar oh jee.. Dikkie heeft niet door dat zijn pc besmet is!" "Dikkie Dik heeft geen centjes meer om nieuwe kattebrokjes te halen".
Met wat geluk krijgt Lenovo opgelegd dat ze alle getroffen klanten moeten benaderen voor een terugroepactie, of de malware via de auto-update moeten gaan verwijderen. Ook zou Microsoft een patch kunnen uitbrengen voor hun anti-malware software die de installatie ongedaan maakt.
Here ya go :)

Meer en meer.

[Reactie gewijzigd door RobIII op 20 februari 2015 18:38]

Kijk naar een PC van een gemiddeld familie-lid en wanneer je 36 toolbars ziet en tig "cleaning" programmas die het alleen maar erger maken, schat ik in van niet.
Scannen anti-virus tools niet standaard op dit soort malafide certificaten op je computer? Of laten ze deze gewoon standaard lekker met rust? Vind ik wel een interessante vraag eigenlijk...
Wat alleen zou werken is dat de virusscanners zelf een lijst hebben met 'deze certificaten moeten deze root CA's hebben', maar dat is ook weer lastig omdat die lijst continu bijgewerkt moet worden; als Windows eerder een nieuwe CA lijst krijgt dan de virusscanner krijg je false positives.
Nou ja, je kunt behalve whitelisten (en dus altijd een volledige up-to-date-lijst moeten hebben) ook blacklisten natuurlijk. Dus alleen steigeren bij certificaten waarvan expliciet bekend is dat ze fout zijn (superfish).
Je kunt aan een certifciaat niet zien of het adware / malware / legitiem is. Certificaten kunnen bovendien on-the-fly gegenereerd en geinstalleerd worden, dus echt veel zin heeft het niet.

De software zélf is wel aangemerkt als malware door sommige anti-virus pakketten.
Zo.. Dit is geen goede dag voor Lenovo lijkt het.

Wel goed dat dit allemaal aan het licht komt!
Bloatware meeleveren is één ding, per ongeluk malware is een tweede, maar dat dit zo diepgaande gevolgen heeft had ik niet direct aan zien komen (mede ook omdat het mij persoonlijk niet raakt).
Hopelijk leidt dit ertoe dat fabrikanten eens beter nadenken over wat meegeleverd wordt ten opzichte van het rendement dat ze ervoor terug krijgen :)
Ik denk dat de klanten hier weinig van wakker liggen. Snowden is 100% genegeerd en niemand "heeft wat te verbregen", dus wat maakt het uit dat behalve de (contractors van) NSA ook nog een (ander) bedrijf of kwaadwillende meekijkt?

Zolang er geen geld van de bankrekening verdwijnt en familieleden nog niet achter de tralies belanden voor het hebben van een mening ligt niemand hier wakker van (behalve enkele Tweakers).

[Reactie gewijzigd door GeoBeo op 19 februari 2015 14:57]

Is denk ik een understatement. Dit is een héle slechte dag voor Lenovo, en dit mag ook gewoon niet gebeuren, zeer amateuristisch. Ben zelf wel altijd gecharmeerd van Lenovo geweest, maar alleen al het feit dat ze dit kan gebeuren, daar krijg ik een beetje een nare smaak van.
Firefox beheert zijn certificaten zelf, en is daardoor niet getroffen.

Volgens https://twitter.com/supersat/status/568343079268327424 probeert de malware het root certificaat ook in o.a. Firefox' en Opera's certificate store te plaatsen. Het is niet duidelijk of de malware daar ook in slaagt.
Firefox beheert zijn certificaten zelf, en is daardoor niet getroffen.

Volgens https://twitter.com/supersat/status/568343079268327424 probeert de malware het root certificaat ook in o.a. Firefox' en Opera's certificate store te plaatsen. Het is niet duidelijk of de malware daar ook in slaagt.
Dan zou je een foutmelding moeten krijgen.
Firefox is idd getroffen omdat Superfish het verkeer vanuit de kernel afvangt. Zie hier een screenshot waaruit blijkt dat Firefox ook getroffen is: https://twitter.com/erikloman/status/568421667330002944
.. en
https://twitter.com/erikloman/status/568426358948413440

[Reactie gewijzigd door erikloman op 19 februari 2015 16:11]

Ik hoop nu dat er op Nederlands of liever Europees niveau een wet wordt aangenomen waarbij het verboden wordt dat leveranciers van complete machines software voorinstalleren en dat die een lijst met URLs naar de productpagina's van de hardware meegeven / volledige beschrijvingen van welke hardware er in de machine zit.

Omgekeerd worden de hardware fabrikanten verplicht om up-to-date drivers uit te brengen die voor iedereen gratis toegankelijk is.
Hierdoor ligt de verantwoordelijkheid van het up-to-date houden van je systeem niet meer bij de hardware leverancier. Het is inmiddels bekend hoe o-zo supersnel Samsung en andere Android smartphone makers zijn met het uitrollen van nieuwe Android. Oeps niet dus.

Jammer voor de techbedrijven die gebaat zijn met voorinstallaties zoals Apple met MacOSX, Google met Android, Microsoft met Windows, BlackBerry met QNX / BlackBerryOS, Jolla met Sailfish.
Maar dit is voor ieder het beste en Lenovo laat met deze actie zien dat de markt zichzelf niet reguleert tot de grenzen van wat moreel redelijk is.
Dat zal niet werken. Je zal toch een besturingssysteem moeten installeren en daar kan net zo goed rommel bijzitten als bij de computer zelf.

Wat mij betreft valt de actie van Lenovo gewoon onder computervredebreuk (ssl spoofing) en nalatigheid (ssl key bekend) en worden ze daarvoor vervolgd.
Voor de duidelijkheid: het OS is ook software. Zonder dat, heb je aan kale hardware niets. Dat gaat dus niet werken. Er zijn bosjes mensen die niet in staat zijn een OS installatie te doen, die dus heel erg graag een pre-installed hardware willen.

Uitbesteden aan 'Piet-PC-op-de-hoek' vrijwaart je ook niet direct van malware :-).

Je noemt in 1 zin (als ik goed tel) 7 platformen. Voor sommige platformen is er slechts (gebruikelijke) 1 keuze (bijv. Apple, Blackberry).

Als een gebruiker na aanschaf van de hardware alsnog dezelfde software moeten downloaden dan moet je:
a. een ander apparaat hebben waar dat mee kan (een stuk nieuwe hardware kan nog niets)
b. de winst nihil als wat je kan downloaden alleen de fabrikanten image is.

Dus moreel redelijk is wel een heel grote term in het licht van voorgaande.
Ik hoop nu dat er op Nederlands of liever Europees niveau een wet wordt aangenomen waarbij het verboden wordt dat leveranciers van complete machines software voorinstalleren

Onzin, verreweg de meeste gebruikers kunnen niet zelf installeren. En waarom PC's wel, maar tablets en telefoons niet? Zeker nu is die grens steeds vaker heel arbitrair.

Je gooit nu de hele kleuterschool met het badwater weg ...

Ook niet nodig om meteen weer te grijpen naar de Grote Helpende Overheid die de zoveelse wet moet maken. Kijk naar de ophef en de reputatie schade die Lenovo nu gaat krijgen. Dat zal het vanzelf oplossen.
Hoe is Lenovo er ooit op gekomen zoiets uit te steken? SSL is te belangrijk voor alles zoals online bankieren, shoppen, privacy, belastingaangifte, enz. veilig te kunnen doen zonder dat derden het kunnen lezen of ermee kunnen foefelen. Er is geen enkele goede reden waarom dat zou mogen.

Ze leveren dus laptops waar ze expres een cruciaal stuk van de beveiliging gesaboteerd hebben.

Om met een cliché naar auto's te verwijzen: stel je es voor dat je lokale BMW garagist bij de auto's die hij verkoopt stiekem de gordels kapotmaakt zodat ze bij een ongeval losschieten. Dat is het niveau van Lenovo dus.
Een mooi bedrag vanuit de leverancier van SuperFish waardoor Lenovo hun consumenten notebooks erg scherp geprijsd in de markt kan zetten zal wel geholpen hebben. Wat je verliest aan prijs op verkoop haal je binnen via je "partners".

En zoals eerder aangehaald, de gemiddelde consument zal het een rotzorg zijn. Immers: goedkope notebook met goede prestaties.
Eerder dat de garagist en of vertegenwoordiger stiekem een camera en microfoon installeerd opdat men de volgende keer als je komt onderhandelen maximaal winst kan cashen.Of op zijn minst jouw profiel doorgeven kan worden zodat de auto goedkoper wordt voor de garagist en gerichte reclame op de boordcomputer/navi getoond kan worden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True