Discret: picatura chinezeasca

Incep sa se adune incidentele de securitate care au in centru celebrul producator chinez (prin adoptie) Lenovo. Luate separat sint doar niste incidente nefericite, puse cap la cap par a indica ceva mai mult.

Problemele au inceput in Septembrie anul trecut cand utilizatori ai Notebook-urilor Lenovo au remarcat indicii ale existentei unui adware ce interfera cu functionarea normala a browserelor. Mai precis, utilizatorii erau prezentati cu rezultate alternative pentru obiectele cautate, ca si cand cineva ar fi observat interactiunea utilizatorului cu motoarele de cautare. Lucru teoretic imposibil, avand in vedere ca, spre exemplu, Google foloseste un canal securizat TLS/SSL pentru protectia utilizatorilor (folosit implicit, cu unele exceptii).

Toate semnele indicau o problema extrem de grava, cunoscuta ca man-in-the-middle (MITM) attack. Nu a durat mult pana ca vinovatul sa fie identificat: profitand de faptul ca marea majoritate a notebook-urilor erau cumparate cu sistemul de operare pre-instalat, Lenovo instala o componenta a unei terte parti, cunoscuta ca SuperFish, ce executa un atac MITM cu scopul declarat de a “imbunatati experienta utilizatorilor”.

In urma scandalului Lenovo a recunoscut culpa, a prezentat instructiuni de dezactivare a componentei instalate local si a cerut in Februarie 2015 oprirea serverelor SupeFish ce colectau informatiile utilizatorilor. E probabil primul caz in care un producator recunoaste instalarea a ceea ce reprezinta de fapt un malware clasic. Mai multe detalii pot fi citite pe site-ul US-CERT.

Problema era doar la inceput: modul in care SuperFish intercepta canalul securizat TLS/SSL era bazat pe existenta unui certificat root preinstalat. Deoarece Lenovo avea controlul instalarii sistemului de operare inainte ca notebook-ul sa fie livrat, instalarea certificatului nu prezenta nici o problema iar SuperFish avea cale libera pentru a intercepta (aproape) orice fel de de canal securizat deschis de notebook-ul in cauza. SuperFish avea deci capacitatea tehnica de a se prezenta drept Google, pentru a observa preferintele utilizatorului, putea apoi juca rolul Amazon sau eBay pentru a monitoriza tranzactiile si PayPal (sau orice alta banca) pentru a observa transferurile financiare (doar niste exemple luate la intamplate).

Dezinstalarea SuperFish nu elimina insa si certificatul problema. Nu a durat mult pana cand s-a demonstrat obtinerea cheii private aferente acestuia (o bresa majora de securitate in sine) si din acel moment oricine ar fi fost in posesia acesteia ar fi putut emite certificate valide pentru a trece drept Google, Amazon, eBay, PayPal sau banca personala (din nou, doar niste exemple). De aici si pana la cosmarul interceptarii oricarui tip de canal securizat SSL nu mai era decat un pas. Singurul motiv pentru care hotspot-urile WiFi publice functioneaza in relativa siguranta (chiar si in cazul in care sint instalate de catre atacatori) este faptul ca orice canal care merita protejat poate fi securizat prin TLS/SSL, ce nu poate fi, teoretic, interceptat (usor). Cu exceptia cazului in care atacatorul obtine cheia privata a unui certificat root in care utilizatorul are incredere…

Din fericire problema a fost mediatizata destul de discret astfel incat nu au fost inca inregistrate cazuri de cafenele cu promotii de genul “Doar luna aceasta, cate un venti latte gratuit pentru cei ce vin cu un laptop Lenovo. WiFi gratuit.” Cafeaua s-ar fi platit singura. La propriu.

Si daca asta ar fi fost sfarsitul afacerii SuperFish, ar fi fost inca “bine”. La cateva zile dupa publicarea vulnerabilitatii reprezentate de SuperFish, Lenovo a fost victima unui atac cibernetic al “unor hackeri chinezi”. Probabil ca cineva malitios ar spune ca hackerii chinezi ar fi venit sa colecteze “comoara”.

Lenovo a trebuit, evident, sa prezinte 1.001 de scuze pentru o idee cu adevarat catastrofala.

Aventurile nu erau decat la inceput: exact in aceeasi perioada (Februarie 2015), o firma specializata, IOActive, a descoperit si alertat Lenovo in legatura cu o serie de vulnerabilitati descoperite in zona sistemului de update. Practic, se permitea executia unor comenzi de sistem, pe un nivel superior celui permis in mod normal, precum si instalarea unor componente software “false”, implementarea sistemului care verifica sursa software-ului fiind pur si simplu gresita.

Au urmat alte update-uri de software si 1.002 de scuze din partea Lenovo.

Tocmai cand se credea ca nimic nu poate fi mai rau, chinezii au ramas optimisti ca se poate: cum suna ideea unei componente care nu poate fi stearsa nici macar prin reinstalarea completa a sistemului de operare?

Luna in curs, US-Cert a publicat un anunt sec: “Certain Lenovo personal computers contain a vulnerability in LSE (a Lenovo BIOS feature). Exploitation of this vulnerability may allow a remote attacker to take control of an affected system.

O explicatie mai pe larg poate fi citita aici, pe scurt fiind vorba despre o rutina BIOS ce preia controlul procesului de boot al Windows si verifica prezenta utilitarelor Lenovo. In cazul in care aceastea lipsesc (poate pentru ca au fost sterse), vor fi re-instalate. Nici macar o re-instalare completa a sistemului de operare nu va impiedica LSE sa ruleze si sa adauge componentele lipsa.

E adevarat ca o parte din vina revine Microsoft, care faciliteaza intreaga schema, probabil pentru a veni in ajutorul departamentelor IT ce au nevoie sa controleze componentele ce sint instalate pe sistemele avute in grija. Motivul pentru care Lenovo au fost prinsi este ca LSE introducea o vulnerabilitate identificabila extern asa ca nu se stie cati alti producatori (sau departamente IT) folosesc acelasi canal.

Lenovo a publicat deja update-urile de BIOS necesare stergerii LSE, nu e insa clar daca 1.003 scuze mai sint de ajuns.

Morala: indiferent de cat de bune sint masurile de securitate perimetrale, acestea sint complet inutile in cazul in care vulnerabilitatea vine pre-instalata de la producator/distribuitor.

 

You can leave a response, or trackback from your own site.

4 Responses to “Discret: picatura chinezeasca”

  1. enzo says:

    Dragut.
    Chinezii nu au finetea occidentalilor si a americanilor cand vine vorba despre colectat de informatii.
    Daca bine imi amintesc au fost si ceva probleme cu alte echipamente chinezesti, de retele – Huawei, motiv pentru care au fost exclusi din retelele serioase (mai putin la noi unde sunt mega-provider pentru RDS).
    Au fost la un moment dat cu ochii sclipici si mainile frecate cand BlackBerry au avut probleme financiare dar din nou s-au opus niste guverne.
    Partea cu Microsoft e destul de cacacioasa dar chiar si asa se mai pot face niste lucruri care sa limiteze instalarea de soft aiurea.
    Partea si mai buna e ca poti sa iti pui altceva decat Windoz, desi se cam stramba din nas.
    Recent am reusit sa implementez o solutie gen add-block direct in router (cu un rom customizat), la fel se pot aplica diverse masuri de securitate mai mult sau mai putin costisitoare.
    Ca unul care lucreaza in domeniu nu incetez sa ma minunez de naivitatea utilizatorilor in general.

    • admin says:

      Au ceva rezultate, probabil ca fara asta programele lor de inarmare ar fi mult mai lente.

      Cat despre Huawei (dar sa nu-i uitam nici pe prietenii de la ZTE) ar mai fi lucruri de spus, sa nu uitam ca sint furnizori si pentru Romtelecom. Au acaparat un segment important din piata, in primul rand prin preturi foarte agresive, e foarte greu sa-i scoti din licitatii. Mai bine zis, iti trebuie un motiv foarte bun.

      In general raspandirea malware se face prin social engineering, cu cat utilizatorii sint mai naivi cu atat mai “bine”. Educatia incepe abia atunci cand le dispar bani din cont. Insa exista situatii cand si oamenii informati isi prind urechile, depinde de cat efort s-a investit in malware-ul respectiv.

  2. Nu este vorba de bani si accesul la conturi ci la informatie mult mai sensibila din companiile multinationale vestice.
    Ei au nevoie de tehnologia “de maine” inca nu sunt in stare sa o produca asa ca incearca sa o fure cat mai complet cu putinta.
    Conturile si banii sunt pagube colaterale pentru utilizatorii casnici sau cei din domeniul small business.
    Apropos – cat de sigure sunt sistemele de lupa navale bazate pe Windows customizate?

    • admin says:

      Cam tot atat de sigure sau nesigure (depinde din ce unghi privesti) ca restul sistemelor care nu sint bazate pe Windows. Toate OSurile au vulnerabilitati, fara exceptie. Diferenta e facuta de cat de repede sint identificate si reparate. La modul ideal un open-source ar fi mai bun dar nu traim intr-o lume ideala si trebuiesc facute compromisuri. E o intreaga discutie filozofica ref la “cel mai sigur OS”, care se poarta de la inceputurile istoriei (IT) si care nu si-a gasit pana acum raspunsul, mai mult decat “teoretic, open-source ar fi mai bun, practic nu e foarte clar, dezbaterile continua”.

Leave a Reply