Ismét egy mozgalmas hetet tudhatunk magunk mögött, legalábbis ami az IT biztonságot illeti. Többek közt kiderült, hogy bizonyos Lenovo laptopokon előtelepített Windows tartalmazza a SuperFish nevű programot, ami képes a titkosított kapcsolatba beékelődni, sőt mi több: eme képessége olyan biztonsági veszélyeket hordoz magában, mellyel komoly veszélybe sodorja a gyanútlan felhasználókat a Lenovo. Mivel nem elszigetelt problémáról van szó, hanem sokakat, akár téged személyesen is érintő gondról, ezért összeszedtem, amit a dolgokkal kapcsolatban tudni lehet és érdemes.

Mi az a SuperFish?

A SuperFish célja, hogy „segítsen” a felhasználónak a vásárlásban. Elemzi a weboldalakon lévő képeket, majd hasonlókat keres a különböző boltokban. Tegyük fel, hogy valahol találtál egy szép nyugágyat és szeretnél egy hasonlót. Rákattintasz, majd a SuperFish hasonlókat keres neked a különböző webshopokban, természetesen a lehető legolcsóbban. Tetszik az ötlet? Nem vagy vele egyedül, a Lenovónak is tetszett. További információkért érdemes meglátogatni a termék weboldalát: http://www.home.superfish.com. Nem is ez a fő gond.

Mi a gond a SuperFish-sel?

Mint láthatod, maga a SuperFish nem kémprogram, adware vagy a klasszikus gyűjtőfogalommal élve „rosszindulatú alkalmazás”, hanem egy szolgáltatás. Nem szeretjük a reklámokat, szóval egy idegesítő szolgáltatás, de nem ez a fő gond. A baj ott van, hogy működéséhez telepít egy úgynevezett gyökérszintű tanúsítványt a Windows tanúsítványai közé. Ezzel a tanúsítvánnyal a biztonságosnak vélt, HTTPS kapcsolatba beleavatkozhat, úgynevezett közbeékelődéses (man-in-the-middle, MITM) támadással. Más szavakkal: a biztonságos csatornán közlekedő adatokat manipulálhatja anélkül, hogy arról tudomást szereznél, hiszen a böngésző csak annyit mutat, hogy biztonságos kapcsolat. Ahhoz, hogy gyanakodni kezdj, közelebbről is meg kell vizsgálni a tanúsítványt, és jó, ha van fogalmad arról, hogy az eredeti hogyan is nézett ki. Erre nyújt megoldást a Certificate Petrol bővítmény, ami figyeli a tanúsítványok változását és értesít róla.

Ez pedig nem a probléma csúcsa: ahogy „mindössze” ez a reklámprogram működött, úgy lehetséges bármilyen más, ennél rosszabb szándékkal megírt programnak is eljátszania ugyanezt. A slusszpoén, hogy a SuperFish eltávolítása után „véletlen” elfelejtődik a tanúsítvány eltávolítása a Windowsból. Nem nehéz kitalálni, hogy ez milyen kapukat hagy nyitva. A SuperFish mellékesen a Komodia technológiáján alapul, aminek a weboldala a „nagy érdeklődésre való tekintettel” megadta magát.

Maga a technológia amúgy régóta ismert megoldása annak, hogyan nézzünk bele az amúgy (elméletileg) biztonságos HTTPS forgalomba. Ilyen megoldást használnak pl. az SSL szűrésre képes UTM-ek (hálózatvédelmi funkciókat ellátó eszköz) is. Azonban ezzel a megoldással ellentétben, előre figyelmeztet a munkahelyed, hogy úgy vigyázz, hogy belenézünk a HTTPS forgalomba.

Érintett vagyok?

Ezt legegyszerűbben a https://filippo.io/Badfish/ oldalra látogatva tudod ellenőrizni.
A Lenovo által közzétett laptoptípusok listája:

• G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
• U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
• Y Series: Y430P, Y40-70, Y50-70
• Z Series: Z40-75, Z50-75, Z40-70, Z50-70
• S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
• Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
• MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
• YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
• E Series: E10-30

Érintett vagyok. Hogyan távolítsam el?

Töltsd le a hivatalos SuperFish eltávolítót. Forráskódja: https://github.com/lenovo-inc/superfishremoval

A telepített biztonsági szoftvered jó eséllyel már ismeri a problémát, így elég ha lefuttatsz egy rendszervizsgálatot. Azonban, ha más nincs, a Windows Defender is megteszi, hiszen felismeri és eltávolítja a fenyegetettséget.

További teendők?

Javaslom, hogy mindenhol változtass jelszót. Ha még nem használnál, épp itt az ideje a jelszószéf bevezetésének. Bővebben: Jelszószéf, avagy mikor a biztonság kényelemmel párosul

A Lenovo reakciója?

A Lenovo vezető technológiai menedzsere egy interjúban válaszolt a Mashable-nek. Az angol nyelvű interjú a http://mashable.com/2015/02/20/lenovo-superfish-interview címen olvasható. Az interjút lefordítottam az angolul nem (túl jól) tudók kedvéért.

Hogy történhetett ez meg?
Többeknek meséltem már el a körülményeket, és még senki sem kételkedett a valóságosságában, ahogy abban sem, hogy mit fogunk a jövőben tenni. Az igazság úgy kezdődik, hogy 2014 szeptemberében kezdtük el és ez év januárjában fejeztük be a SuperFishnek nevezett alkalmazás előtelepítését a fogyasztói laptopokra. Fogyasztói laptopokra, azaz nem a ThinkPadekre, asztali gépekre vagy tabletekre.

A SuperFish, mint tudja, egy vásárlást támogató és segítő alkalmazás, amellyel a felhasználók alternatív forrásokat és ötleteket találhatnak. Ezzel az volt a szándékunk, hogy javítsunk a laptopjainkat használó felhasználók vásárlási élményén. Nyilvánvaló, hogy ennek a megvalósítása elég gyenge lett, ami biztonsági sebezhetőségekhez vezet. Ezért is állunk olyan komolyan a dologhoz tegnap (február 21.) óta.

Érdekes, hogy felhozta a biztonsági sebezhetőségeket, ugyanis a The Wall Street Journal-nak azt nyilatkozta, hogy úgy gondolja, ezek csak elméleti lehetőségek.
Továbbra sincs semmilyen bizonyítékunk azzal kapcsolatban, hogy valaki ezzel a sebezhetőséggel támadna. Azonban tegnap délelőtt valaki megmutatta, hogy kivitelezhető egy ilyen támadás. A gond az, hogy nem gondoltunk, hogy valakinek ez sikerülhet. Nyilvánvalóan tévedtünk. Ezután azt mondtam, hogy nem fogunk csatározni a biztonsági világgal, hiszen a támadás valójában lehetséges.

A következő lépésünk – mint tudja –, hogy tegnap igen részletes eltávolítási instrukciókat adtunk ki. A mai nap végére pedig megjelentettünk egy eltávolító eszközt, amivel sokkal egyszerűbb a teljes eltávolítás. Ez törli a tanúsítványt is. Keményen dolgozunk az iparági partnereinkkel, hogy mindenkihez eljusson az információ.

Példának okáért, a Microsoft már be is jelentette, hogy a Windows Defender már ismeri és karanténba zárja mind az alkalmazást, mind a tanúsítványt. Az elkövetkező napokban további lépésekre is számíthatunk. Igyekszünk mindenkit elérni és átsegíteni ezen a problémán és próbálunk meggyőződni arról, hogy minden érintetthez eljut a megoldás, azokhoz is, akik nem olvasták a hírt vagy nem tudják egyedül használni az eltávolító alkalmazást.

Hogyan történik az előtelepített alkalmazások biztonsági ellenőrzése és hogyan csúszhatott ez át?
Ugyanazt a folyamatot használjuk, amit, úgy gondolom, a legtöbb cég használna. Az első dolog amit megvizsgálunk, hogy ez valóban értéket ad-e a felhasználóinknak? Ez olyan dolog, amit előre szeretnénk telepíteni? Rengeteg dolgot nézünk át és a legtöbbjük nem jut ki az első körből. Azonban azok, amik igen, a vizsgálat következő fázisába kerülnek, amit azt jelenti, hogy a mérnökök megvizsgálják azt. Csak hogy értsd: Mit jelent ez az előtelepítéseinknek? Hogyan működik?

Nyilvánvaló, hogy a munkatársaink nem értették meg vagy alábecsülték a sebezhetőséget. Amit hangsúlyozni szeretnék: nincs rá bizonyítékunk, hogy a Superfish önmagában bármi rosszat vagy rosszindulatút csinálna. Azonban az is tény, hogy a működése során lehetőség van valami rosszindulatú dologra is. Vagy valaki módosíthatja is úgy, hogy ezt tegye. Ez a valódi probléma.

Egyértelmű, hogy nem végeztünk elég jó munkát ennek a megértésével, ezt nem is vitatárgya. A vizsgálat folyamatai és a mérnökök elemzései nem voltak megfelelőek. Ez is része a következő generációs cselekvéseinknek, hogy biztosak lehessünk abban, hogy ez soha többé nem fog megtörténni. Ez azt jelenti, hogy jelentősen javítjuk a vizsgálat folyamatát.

A Lenovo sok bírálatot kapott azzal kapcsolatban, mivel azt mondta, hogy ez az eszköz a vásárolókat szolgálja. Sokak szerint azonban ez azért került be, mert fizetnek önöknek érte. Mit szól ön ehhez?
Az első, amit hozzátennék, hogy ez egy önkéntes program. Nem olyan, hogy ott van, és nincs választásod. Valaki valahol azt mondta, hogy muszáj volt az igenre kattintania. Ez csak egy része. Ez nem olyan, hogy bárkit is köteleztünk volna. Elfogadták a programot. Megértjük, hogy ha valami felvillan, az emberek az „Igen” gombra kattintanak csak azért, mert az ott van. Ezért is teszünk agresszív lépéseket ennek az eltávolítására. Ezért is érzem támadónak, hogy mi ezt csak a pénzért csináltuk.

Itt a pénzügyi megállapodás nagyon kicsi és általános. Az előtelepítésekben elhelyezett programok mögötti motiváció az, hogy azok valamilyen módon a felhasználóinkat szolgálják. Fontos megérteni, hogy nem tetszhet minden szoftver mindenkinek. Azért tettük ezt, mert úgy gondoltuk, hogy az embereknek ez hasznos lehet.

Nyilvánvaló, hogy vannak nem várt mellékhatásai is ennek, ezért tettünk lépéseket az eltávolítására, így világos lett a biztonsági sebezhetőség is.

Úgy gondolja, hogy rendben van az, hogy egy szoftver hirdetési célokból megkerüli a HTTPS-t?
Nem, és biztosak vagyunk abban, hogy a mi verziónk nem is csinál ilyet.

Biztonsági szakemberek kiemelték, hogy a gyökérszintű tanúsítványok képessé teszik a SuperFish-t, hogy megtalálja az utat a „biztonságos” kapcsolatokban is. Vitatja ezt?
A mi verziónk nem hallgatta le a HTTPS-t. Azonban – és itt követtük el a hibát – nem is követtünk el minden annak érdekében, hogy ez megtörténhessen. Tehát újra: A mi gépeinken a SuperFish nem csinált ilyet. Azonban kiemelném, hogy nem kerültek lezárása azon lehetőségek, amelyekkel valaki megtámadhatja a gyökérszintű tanúsítványt és azt tegye, amit. Ez volt a mi hibánk.

Az eset miatt átgondolja az előtelepített bloatware-ek és adware-ek szabályzatát?
(Nevetés) Természetesen, teljesen felülvizsgáljuk, hogy mi az, amit csinálunk. Nem adunk az előtelepített szoftverekhez újabbakat csupán pénzügyi okokból. Azért vannak, mert szerintünk egy problémára nyújtanak megoldást.

Amit ez az élmény megtanított nekünk, hogy sokkal mélyebbre kell ásnunk abban, amit előtelepítünk és jobban át kell gondolnunk, hogy miért tesszük azt. A közleményünkben tisztáztuk, hogy a hónap végére… kiadunk egy specifikációt arról, hogy mit fogunk tenni ezzel kapcsolatban. Ez az, amit elvárnak tőlünk.

Rendben, de a valóságban ön szerint van olyan vásárló, aki használni szeretné a SuperFish-t?
Szerintem sokan érdeklődnek olyan eszközök iránt, amelyek segítenek a vásárlásban vagy bármi másban, hogy azt jobban csinálják. Ennek a felhasználó specifikussága már egy másik történet.

Meg tudja becsülni, hogy körülbelül hány gép érintett?
Számok? Még mi sem tudjuk a számokat, de nem is fogjuk megmondani. Azért, mert biztosítani akarom az embereket arról, hogy ha az érintett modellel rendelkeznek, akkor megoldjuk a gondot.

Konkrétan szeretném megkérdezni: A SuperFish biztonsági kockázatot jelent a Lenovo felhasználóknak?
(Szünet) A jelenlegi állapotában igen. Ezért is tettünk lépéseket az eltávolítására.

Hozzá szeretne tenni még valamit?
Szeretném kiemelni, hogy nem próbáltuk meg a szőnyeg alá seperni a problémát. Úgy gondolom, a legtöbb támadás – különösen az önök cikkeiben, de máshol is – azért van, mert azt mondtam, hogy „elméletileg”, és ez egy erős kijelentés volt, mert nem voltam tudatában annak, hogy valaki már demonstrációs kereteken kívül végrehajtotta a támadást.

Számomra ez elméleti. Azonban ez nem von le abból, hogy komoly lépéseket tettünk a SuperFish eltávolítására, ahogy abból sem, hogy az iparági partnereinkkel együttműködve oldjukmeg a problémát. Szeretnénk biztosítani, hogy a felhasználóink érdekében cselekszünk.