Breșă de securitate la anumite modele de calculatoare Lenovo, livrate cu Windows preinstalat


De mai multe zile circulă pe internet știrea cum că firma producătoare de calculatoare, Lenovo, a livrat clienților în perioada octombrie - decembrie 2014 și chiar la începutul acestui an, calculatoare cu un program dezvoltat de o companie parteneră numită Superfish, program ce crează o breșă în securitatea calculatoarelor.

Rolul programului creat de compania Superfish era să afișeze anumite reclame utilizatorilor atunci când navigau pe internet însă nu făcea doar atât. Se pare că programul cu pricina instala un certificat ce permitea interceptarea traficului pe internet de către companie.

Orice navigator ce folosește HTTPS verifică autenticitatea certificatelor ce leagă numele de domenii de internet de cheile publice de criptare pe care acestea le folosesc. Această verificare se face prin utilizarea unei liste cu autoritățile de certificare inclusă în sistemul de operare. Un certificat este considerat autentic doar dacă este semnat de una din autoritățile de certificare de pe listă.

O modalitate de a submina securitatea HTTPS este introducerea unei autorități de certificare controlată de atacator în lista menționată mai sus. Astfel, atacatorul poate crea propriile ceritificate semnate cu autoritatea lui de certificare. În felul acesta se lasă o ușă deschisă infractorilor ce pot folosi versiuni false ale unor situri ce ar trebui să fie sigure (cum ar fi situl unei banci spre exemplu) pentru a sustrage informații personale cum ar fi nume de utilizator sau parole.

Exact o astfel de breșa de securitate crea și programul de la Superfish pe calculatoarele Lenovo.

Se pare că cheia de criptare a certificatului de la Superfish a fost spartă de către Rob Graham, directorul general de la firma Errata Security, o firmă specializată în domeniul securității cibernetice. Acesta a explicat și procedeul prin care a reușit să spargă cheia respectivă. Articolul poate fi citit accesând legătura de mai jos (pagina conține Javascript neliber, este recomandat să dezactivați Javascript înainte de accesare).

În urma raportării acestor vulnerabilități și datorită presiunii media, Lenovo a declarat public că începând cu luna ianuarie a acestui an programul de la Superfish nu va mai fi inclus pe calculatoarele livrate și că a întrerupt legătura cu serverul ce activa programul respectiv.

Declarația din partea celor de la Lenovo poate fi citită accesând legătura de mai jos :

Tot în declarația oficială Lenovo ne spune si care ar fi modelele ce au fost livrate cu programul de la Superfish. Mai jos gasiți o listă cu acestea :

  • Seria G : G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • Seria U : U330P, U430P, U330Touch, U430Touch, U530Touch
  • Seria Y : Y430P, Y40-70, Y50-70
  • Seria Z : Z40-75, Z50-75, Z40-70, Z50-70
  • Seria S : S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Seria Flex : Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • Seria MIIX : MIIX2-8, MIIX2-10, MIIX2-11
  • Seria YOGA : YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
  • Seria E : E10-30

Așa cum am mentionat în titlul articolului această breșa de securitate este prezentă la calculatoarele ce au fost livrate cu sistemul de operare neliber, Windows preinstalat. Fundația Frontiera Electronică a publicat un articol în care prezintă pașii pentru dezinstalarea programului de la Superfish. Articolul cu pricina poate fi citit accesând legătura de mai jos.

Indiferent de spusele Lenovo, sfatul nostru este nu doar să dezinstalați programul de la Superfish ci chiar să înlocuiți sistemul de operare proprietăresc cu unul liber cum este GNU+Linux.

De asemenea dacă dețineți unul din modelele de calculator de mai sus este recomandat să vă resetați parolele de pe diverse situri, în special cele de pe situri aparținând vreunei banci.

Companii precum Lenovo sau Superfish sunt dovada clară a lipsei de respect față de proprii clienți, clienți care plătesc pentru a intra în posesia unui calculator. În primul rând calculatorul este livrat cu un sistem de operare ce nu respectă libertățile utilizatorilor iar în al doilea rând are instalate programe ce creează breșe în securitate lăsând astfel utilizatorii vulnerabili în cazul unui atac.

Această întâmplare ne dovedește încă o dată că utilizatorii trebuie să fie foarte atenți atunci când își achiziționează un aparat. Este foarte important să achiziționăm doar aparate ce ne respectă libertățile. O listă cu astfel de aparate poate fi găsită aici. De asemenea o resursă foarte utilă este baza de date de pe situl h-node.org.

*Articol scris în colaborare cu Marius Gavrilescu, directorul tehnic al Fundației Ceata.


« Pagina anterioară

Dezvoltarea navigatorului Firefox va fi orientată doar spre siturile securizate | Mai mult...


© 2013 - 2015 gnuvideo.ro | Găzduit de Fundația Ceata | Planul sitului | Susținere