Lenovo PC-k érkeznek HTTPS kapcsolatba MITM ékelődő, előtelepített adware-rel

Titkosítás, biztonság, privát szféra

Iskolapéldája lehet annak, hogy miért első dolgunk az előtelepített OS-sel érkező számítógépek operációs rendszerének vérmérséklettől függő átvizsgálása, vagy teljes újratelepítése. A Lenovo olyan számítógépeket szállít, amelyeken egy olyan előtelepített adware található, ami MITM beékelődik a HTTPS kapcsolatba. Mindezt úgy, hogy a legtöbb, tapasztalatlan felhasználó számára észrevétlen marad.

A dolog pikantériája, hogy - állítólag - a gépen megtalálható a beékelődéshez használt Superfish Inc. tanúsítványának privát kulcsa is. Ráadásul ez a kulcs minden gépen ugyanaz, így a rosszindulatú támadók a segítségével tanúsíthatnak olyan weboldalakat, amelyek legitim oldalakat személyesítenek meg és ez észrevétlen marad az érintett Lenovo tulajdonosok számára.

A témát tavaly szeptember óta tárgyalják a Lenovo fórumán, de valahogy elkerülte a biztonsági szakemberek figyelmét... Eddig...

A részletek itt.

( gmoore | 2015. 02. 19., cs – 13:55 )

>előtelepített adware, ami MITM beékelődik a HTTPS kapcsolatba

hivatalos nevén: browser

( blalo | 2015. 02. 19., cs – 14:02 )

Na és kértek érte felárat, vagy annyiba került a PC mintha nem lett volna rajta?

( Breaknet | 2015. 02. 19., cs – 14:04 )

Hogy lehet ezt megtalálni? Egy ismerősöm pont tegnap vett egy Lenovo laptopot előtelepített Windows 8-cal. Mit mondjak neki, hol keresse?

Így működnek az UTM-ek, meg minden olyan megoldás, ami bele tud nézni a HTTPS-be, de azért érzed a különbséget, te is? Ott a biztonsági eszköz a céged tulajdonában van, hivatalosan tudtában vagy, hogy belenéznek a titkosított forgalomba, alá is íratják veled stb. Ha mondjuk azon keresztül mész és a gyári tanúsítvány van benne, akkor a böngésződ rinyálni fog. Ha pedig lecserélte az üzemeltető sajátra, akkor nem egy jött-ment, ki tudja milyen céggel vagy kapcsolatban, hanem a munkaadóddal stb.

Nem beszélve arról, hogy abban az esetben a privát kulcs egy jól elzárt helyen van és nem az interneten forog közkézen...

--
trey @ gépház

Persze, vilagos. En csak arra reflektaltam, hogy nincs semmi meglepo abban, hogy ott a privat kulcs. Abban, hogy a felhasznalot hivatalosan tajekoztatjak, hogy a munkahelyen levo proxyk terminalnak bizonyos SSL/TLS, stb. forgalmat, hogy belenezzenek, mar nem vagyok biztos. Eszreveheti, hogy az alairo CA mas, es atmehet paranoid modba. Sajat tapasztalatom szerint ilyen helyeken egyszeruen kozpontilag teritik a szukseges CA certeket. En is patkoltam pl. a firefox (pontosabban a mozilla NSS) builtin certificate store-jat a korabbi munkahelyemen az IT security keresere, hogy szo nelkul elfogadja tuzroka a bluecoat altal alairt certeket.

Validity
Not Before: May 12 16:25:26 2014 GMT
Not After : May 7 16:25:26 2034 GMT
Subject: O=Superfish, Inc., L=SF, ST=CA, C=US, CN=Superfish, Inc.
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:e8:f3:4a:18:76:5f:19:3f:b1:cf:58:e9:7f:43:
07:09:95:80:35:c5:0f:fe:71:31:27:81:99:12:26:
20:a5:df:8f:6a:fc:42:55:39:ee:09:38:89:d9:e0:
36:c4:ac:01:82:5b:d5:39:e6:f9:8f:07:88:df:fe:
ee:f6:a1:14:ce:a9:74:45:d8:fd:f0:17:57:2a:82:
e1:7a:2e:12:93:5a:ac:8a:d7:15:63:d1:b7:9b:55:
80:0f:58:bc:1c:49:ed:20:62:dd:b6:4c:a5:3a:eb:
1c:3d:a0:ff:7a:71:a6:d3:10:78:33:ae:4b:c2:1c:
fd:92:4a:a1:c3:e7:41:a4:2d
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:TRUE

most már annyira idegesít egy-két ***kalap, hogy tisztelettel megkérdezném az itt lévőktől, hogy mi a neve annak a kiegészítőnek, amivel a trollokat a monitoromról el tudom örökre varázsolni. :(

( carlcolt | 2015. 02. 19., cs – 15:06 )

Es az uninstall gombra errorral kilepo elotelepitett McAfee 30 napos probaverzioval az nem adware volt mar 10 eve is? #matricaslaptop #oketudomios7nikeipod #deezutobbilegalabbnemdobottidegesitopopupothogylejart

Igen, az ujratelepites is sokkal egyszerubb.

Valaki mas is futott mar bele olyanba, hogy a windowsba be kell tudni bootolni,
hoyg ujra lehessen telepiteni a recovery particiorol?

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

A topikra valoban nem valasz hogy mi van az Apple-os driverekben, de a szalra igen, ugyanis nem lattam meg olyan nemApple laptopgyartot, amelyiknek a laptopjahoz jaro Windows-aban nem volt valami szamomra mindenkeppen reklamszoftvernek szamito program. Mindemellett sokszor maga melle a driver melle is elindul valami a talcan, ami senkit nem erdekel, a drivernek az a dolga, hogy a hatterben csinalja a dolgat kussban.

Az elotelepitett Windows-okban katasztrofalis a helyzet, rendszeresen egy uninstall gombra errort dobo 30 napos McAfee probaverziot is kapsz, ami popupol hogy vedd meg, de ha leszeded az MSDN-es iso-t, nagy nehezen kiirod pendrive-ra mert direkt DVD olvaso nelkuli gepet vettel, meg az osszes drivert melle letoltod a gyarto hulladek UX disaster honalapjarol (kiveve amit ott nem talaltal mert azt mashonnan), mar akkor is lesz par keretlen szoftver a talcadon ami el akar neked adni ezt-azt.

Ekozben Apple laptopoknal OS X driverestol, mindenestol: felnyitod, mukodik, 0 db reklamprogram, 100% driverlefedettseg.
Ha megis ujra kene huznod: App Store-bol installer lehuz, recovery particiora bootol, es hoppa, megint nincs a rendszeremen egy darab reklam se. Meg egy Catalyst Control Center vagy egy Nvidia Settings Panel se, megis mukodik az nVidia/AMD videokartya. :)

(Egyedul az iOS 7-ben megjelent Nike + iPod-dal nem vagyok kibekulve, le se lehet szedni, de legalabb kussban van es csak a settings-ben botlasz bele)

Ha jol latom ehhez egy mukodo windows-ra van szukseg.
A telepito CD-khez anno nem kellett mukodo windows.

Raadasul ez egy munkafolyamat, amit a user nyakaba varrtak.
Es amikor kiderul, hogy kene, akkor mar eleve keso...

update:
(vagy masik windows-os geprol is lehetseges?
Mert akkor jobb, mint a semmi. Mar csak az a kerdes, hogy egy
nemmukodo windows eseten,
hogyan lehet az eredeti licence kulcsot kilesni,
mert ugye mostmar csak egy szep windows 8 logot ragasztanak kivulre a gepre)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

nezd meg pl. egy Acer vagy Toshiba noti telepitett programlistajat, a majadat kivagod majd kinodban. elso lepes a pc decrapifier lesz mar most mondom.

egyebkent csak ket apro pelda volt, az osszes brand egykutya: sajnos az sem szamit, hogy business modell vagy consumer. a rendszerrel egyutt omlik a szar mindenutt preinstall Windows eseten. ugyan meg lehet koszonni a gyartoknak egyenkent, csak minek.

--
Vortex Rikers NC114-85EKLS

Érdekes, nekem a HP business laptopokhoz sosem volt ilyesmi (vagy nem vettem észre).

Legutoljára januárban telepítettem újra restore DVD-ről, csont üres Windows7 Professional-nak tűnik, minden app vagy ilyesmi nélkül.

Van egy másik DVD, amiről driverek és appok telepíthetőek, de ezeket nekem kell kiválasztani, és pl. DVD lejátszó meg ilyesmik vannak benne.

2001 köröl rendszeresen fel is tettem a DVD lejátszóját, mostanában nem (főleg, mert nincs is optikai meghajtó a gépben)

pedig a business class sem tekinthető kivételnek, ráadásul kényelmesen általánosíthatok: ThinkPad / Tecra / Latitude is kínál pár dolgot. akár 3rd party, akár a saját brandelt szarjai. ha nem DVD-ről csinálnád, hanem OEM partícióról kellene dolgozz vélhetően az automatika felpakolna mindent egy körben. már csak az egyszerűség kedvéért is.

a budget és consumer class pedig az oprendszer mérete alatt már csak egy nagyságrenddel áll szeméttel, gigákban mérhető összes fájlmérettel, szépen beülve a memóriába, közel 20 bejegyzésessel a startupban. ez igazán brutális szokott lenni gyakorlatilag minden esetben.

--
Vortex Rikers NC114-85EKLS

Hát, ezeken a HP gépeken még nem láttam OEM partíciót, mindig a HP support küldött system restore DVD-t (vagy a géphez adták)

A fiam Asus Eee netbookján van OEM restore partíció, az olyan, ahogy mondod, alapból jön vele pár kiegészítő, és minden újratelepítéskor vissza is kerülnek.

( therion | 2015. 02. 19., cs – 22:58 )

Én is megkaptam ezt az izét Lenovo notebook mellé, a NoScript buktatta le. Elég feltűnő volt hogy bárhova megyek mindenhol be van injektálva egy szkript a best-deals-products.com-ról, még az internet banking (!) sem volt kivétel. Komolyan meg voltam döbbenve, gondolom mondanom sem kell hogy amint lett rá időm az előtelepített rendszert kivágtam a kukába.

Egyébként nagyon könnyen be lehet szerezni egyenesen a Microsoft-tól az alap Windows 8.1 telepítőkészletét: Create installation media for Windows 8.1. Ráadásul elég okos ahhoz hogy UEFI-s gépen még licenckódot sem kér, megszerzi azt az UEFI-től.

Egyébként a Microsoft is felelős a dologban, probléma nélkül megtilthatná a gyártóknak hogy ilyet csináljanak.

Nem értem mivel lenne gond. Ha te megvásárlod a Windows 8-at az nem lesz ténylegesen a te tulajdonod, nem csinálhatsz vele azt amit akarsz. Csak licencelted a rendszert, be kell tartanod az EULA-ban megszabott feltételeket. Tiltva van például a reverse engineering, és a rendszerben sem alkalmazhatsz akármilyen változtatásokat. Egy egyszerű példa: a Microsoft a Windows 8 előtt valami elképesztő licencbuzulást folytatott a nyelvi csomagokat illetően, ezek nem voltam hivatalos forrásból telepíthetőek minden kiadásra. Ha pedig nem hivatalos (illegális) forrásból raktad fel őket, azzal lényegében ugrott a licenced, mivel az EULA az ilyen manipulációt tiltja.

Na most ugyanúgy az OEM partnerek sem tulajdonosai a rendszernek, ők is csak licencelik azt, a kialkudott feltételek mellett. Teljes egészében a Microsot-on múlik, mit enged meg nekik. Probléma nélkül megtilthatják nekik például az olyan programok előtelepítését, amelyek nem elengedhetetlenek a rendszer stabilitása szempontjából (illesztőprogramok).

Probléma nélkül megtilthatják nekik például az olyan programok előtelepítését, amelyek nem elengedhetetlenek a rendszer stabilitása szempontjából (illesztőprogramok).

De akkor ugrik a 30napos office probaverzio. EZT AKAROD?!!?!4!,?

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

egy OEM-nek nyilvánvalóan anyagi haszna van bármely 3rd party bevonásából. ahogyan ezt elveszed tőle, marad a preinst környezetből származó nem túl acélos bevétel szoftverek téren. persze ez nem jelenti azt automatikusan, hogy adware & spyware meg egyéb nyalánkságok kell képbe jöjjenek a bevételért, de esetünkben épp a Lenovo volt még ennél is nagyobb birka - ártó kódot terjesztve a driver mátrixon keresztül. (nem Lenovo fikázásból írok, hiszen ez a Lenovo "csak" egy éppen aktuális példa és azokról az esetekről van szó, melyek nem maradtak észrevétlenül és szó nélkül. más gyártókra és rejtve maradt dolgokra élénk fantáziával tudok tippelni).

de visszakanyarodva a problémához, maga az OEM sem igazán lehet képes szűz és drivermentes Windows-t mellékelni a merevlemezen / ssd-n, mivel nem megkerülhető pl. egy kezelhető RAID vezérlő, AHCI mód, vagy épp egy értelmezhető giroszenzor. esetleg egy energiagazdálkodási szoftver, amivel az akkud élettartama kihúzható további 30%-al, bár ez utóbbi erősen opcionális.

rövidre zárva a mondandómat, OEM-ként ragaszkodnék a 3rd party lehetőséghez, akár kizárólagosan is - és ha bárki is így gondolja, azzal a Microsoft ha akarna sem tudna mit kezdeni. azt pedig, hogy mennyire lenne vastag bőr a képemen és mennyire lennék lámer azt az anyagiak határoznák meg. az utóbbi miatt vélhetően az én gépeim sw felszereltségétől is falra másznál.

--
Vortex Rikers NC114-85EKLS

rövidre zárva a mondandómat, OEM-ként ragaszkodnék a 3rd party lehetőséghez, akár kizárólagosan is - és ha bárki is így gondolja, azzal a Microsoft ha akarna sem tudna mit kezdeni. azt pedig, hogy mennyire lenne vastag bőr a képemen és mennyire lennék lámer azt az anyagiak határoznák meg. az utóbbi miatt vélhetően az én gépeim sw felszereltségétől is falra másznál.

Rendben, szóval ragaszkodnál a 3rd party lehetőséghez. És ha a Microsoft erre nemet mondana – jogilag megteheti, ebben szerintem egyetértünk – akkor mit tennél? Két lehetőséged lenne: vagy elfogadod a feltételeiket, vagy nem árulod a rendszert előtelepített Windows-szal. Melyiket választanád?

de visszakanyarodva a problémához, maga az OEM sem igazán lehet képes szűz és drivermentes Windows-t mellékelni a merevlemezen / ssd-n, mivel nem megkerülhető pl. egy kezelhető RAID vezérlő, AHCI mód, vagy épp egy értelmezhető giroszenzor. esetleg egy energiagazdálkodási szoftver, amivel az akkud élettartama kihúzható további 30%-al, bár ez utóbbi erősen opcionális.

Amit én fentebb egy mondatban megfogalmaztam az lehetővé teszi az vezérlők telepítését, nyilván a Microsoft-nak nem feltétlenül egy mondatos feltételrendszert kellene alkalmaznia.

itt arról volt szó, hogy a Microsoft biztosan tehetne a dolog ellen. nos, ha a 3rd party szoftverek letiltásra kerülnek, az az OEM-nek bevétel kiesést okoz. azt, hogy én mit tennék csak úgy tudnám megmondani, ha láthatnám a MS <-> OEM contractot, illetve ismerném az OEM érképzési stratégiáját plusz az eladási statisztikáit. ebben a fontossági sorrendben.

komoly megkötések esetén jó eséllyel nem árulnék gépet előtelepített Windows társaságában. ez viszont már a Microsoftnak is fájna, szóval hülye lenne a fentebb említett 3rd party tiltásért bármit tenni. szerintem nagyjából ezért nem történik semmi ezügyben, és gondolatom szerint nem is fog.

a feltételrendszerről annyit tudok mondani, hogy a szándékosság nem kizárólagos lételeme bármilyen ártó dolognak: elég néhány lámer. a felhasználó pedig ismét ki lenne téve sok mindennek, de legalább már hamis biztonságérzettel.

--
Vortex Rikers NC114-85EKLS

( NCK | 2015. 02. 20., p – 18:48 )

Szerintem ebben nincs semmi meglepő. Sorra derülnek ki a nagy mobilcégekről, hogy adathalász alkalmazásokat (igen, többesszám) futtatnak az általáuk kiadott mobiltelefonok. Miért ne terjesztenék ki ezt a gyakorlatot az általuk forgalmazott laptopokra is?