TehnoMil

Sursa: rappler.com

Incep sa se adune incidentele de securitate care au in centru celebrul producator chinez (prin adoptie) Lenovo. Luate separat sint doar niste incidente nefericite, puse cap la cap par a indica ceva mai mult.

Problemele au inceput in Septembrie anul trecut cand utilizatori ai Notebook-urilor Lenovo au remarcat indicii ale existentei unui adware ce interfera cu functionarea normala a browserelor. Mai precis, utilizatorii erau prezentati cu rezultate alternative pentru obiectele cautate, ca si cand cineva ar fi observat interactiunea utilizatorului cu motoarele de cautare. Lucru teoretic imposibil, avand in vedere ca, spre exemplu, Google foloseste un canal securizat TLS/SSL pentru protectia utilizatorilor (folosit implicit, cu unele exceptii).

Toate semnele indicau o problema extrem de grava, cunoscuta ca man-in-the-middle (MITM) attack. Nu a durat mult pana ca vinovatul sa fie identificat: profitand de faptul ca marea majoritate a notebook-urilor erau cumparate cu sistemul de operare pre-instalat, Lenovo instala o componenta a unei terte parti, cunoscuta ca SuperFish, ce executa un atac MITM cu scopul declarat de a “imbunatati experienta utilizatorilor”.

In urma scandalului Lenovo a recunoscut culpa, a prezentat instructiuni de dezactivare a componentei instalate local si a cerut in Februarie 2015 oprirea serverelor SupeFish ce colectau informatiile utilizatorilor. E probabil primul caz in care un producator recunoaste instalarea a ceea ce reprezinta de fapt un malware clasic. Mai multe detalii pot fi citite pe site-ul US-CERT.

Problema era doar la inceput: modul in care SuperFish intercepta canalul securizat TLS/SSL era bazat pe existenta unui certificat root preinstalat. Deoarece Lenovo avea controlul instalarii sistemului de operare inainte ca notebook-ul sa fie livrat, instalarea certificatului nu prezenta nici o problema iar SuperFish avea cale libera pentru a intercepta (aproape) orice fel de de canal securizat deschis de notebook-ul in cauza. SuperFish avea deci capacitatea tehnica de a se prezenta drept Google, pentru a observa preferintele utilizatorului, putea apoi juca rolul Amazon sau eBay pentru a monitoriza tranzactiile si PayPal (sau orice alta banca) pentru a observa transferurile financiare (doar niste exemple luate la intamplate).

Dezinstalarea SuperFish nu elimina insa si certificatul problema. Nu a durat mult pana cand s-a demonstrat obtinerea cheii private aferente acestuia (o bresa majora de securitate in sine) si din acel moment oricine ar fi fost in posesia acesteia ar fi putut emite certificate valide pentru a trece drept Google, Amazon, eBay, PayPal sau banca personala (din nou, doar niste exemple). De aici si pana la cosmarul interceptarii oricarui tip de canal securizat SSL nu mai era decat un pas. Singurul motiv pentru care hotspot-urile WiFi publice functioneaza in relativa siguranta (chiar si in cazul in care sint instalate de catre atacatori) este faptul ca orice canal care merita protejat poate fi securizat prin TLS/SSL, ce nu poate fi, teoretic, interceptat (usor). Cu exceptia cazului in care atacatorul obtine cheia privata a unui certificat root in care utilizatorul are incredere…

Din fericire problema a fost mediatizata destul de discret astfel incat nu au fost inca inregistrate cazuri de cafenele cu promotii de genul “Doar luna aceasta, cate un venti latte gratuit pentru cei ce vin cu un laptop Lenovo. WiFi gratuit.” Cafeaua s-ar fi platit singura. La propriu.

Si daca asta ar fi fost sfarsitul afacerii SuperFish, ar fi fost inca “bine”. La cateva zile dupa publicarea vulnerabilitatii reprezentate de SuperFish, Lenovo a fost victima unui atac cibernetic al “unor hackeri chinezi”. Probabil ca cineva malitios ar spune ca hackerii chinezi ar fi venit sa colecteze “comoara”.

Lenovo a trebuit, evident, sa prezinte 1.001 de scuze pentru o idee cu adevarat catastrofala.

Aventurile nu erau decat la inceput: exact in aceeasi perioada (Februarie 2015), o firma specializata, IOActive, a descoperit si alertat Lenovo in legatura cu o serie de vulnerabilitati descoperite in zona sistemului de update. Practic, se permitea executia unor comenzi de sistem, pe un nivel superior celui permis in mod normal, precum si instalarea unor componente software “false”, implementarea sistemului care verifica sursa software-ului fiind pur si simplu gresita.

Au urmat alte update-uri de software si 1.002 de scuze din partea Lenovo.

Tocmai cand se credea ca nimic nu poate fi mai rau, chinezii au ramas optimisti ca se poate: cum suna ideea unei componente care nu poate fi stearsa nici macar prin reinstalarea completa a sistemului de operare?

Luna in curs, US-Cert a publicat un anunt sec: “Certain Lenovo personal computers contain a vulnerability in LSE (a Lenovo BIOS feature). Exploitation of this vulnerability may allow a remote attacker to take control of an affected system.”

O explicatie mai pe larg poate fi citita aici, pe scurt fiind vorba despre o rutina BIOS ce preia controlul procesului de boot al Windows si verifica prezenta utilitarelor Lenovo. In cazul in care aceastea lipsesc (poate pentru ca au fost sterse), vor fi re-instalate. Nici macar o re-instalare completa a sistemului de operare nu va impiedica LSE sa ruleze si sa adauge componentele lipsa.

E adevarat ca o parte din vina revine Microsoft, care faciliteaza intreaga schema, probabil pentru a veni in ajutorul departamentelor IT ce au nevoie sa controleze componentele ce sint instalate pe sistemele avute in grija. Motivul pentru care Lenovo au fost prinsi este ca LSE introducea o vulnerabilitate identificabila extern asa ca nu se stie cati alti producatori (sau departamente IT) folosesc acelasi canal.

Lenovo a publicat deja update-urile de BIOS necesare stergerii LSE, nu e insa clar daca 1.003 scuze mai sint de ajuns.

Morala: indiferent de cat de bune sint masurile de securitate perimetrale, acestea sint complet inutile in cazul in care vulnerabilitatea vine pre-instalata de la producator/distribuitor.