Superfish

Superfish

DearBytesBlogSuperfish

Superfish. De naam klinkt al vies, ik moet meteen aan phishing denken. Als we het met hoofdletters schrijven kan het de zoveelste NSA-programma zijn dat in het nieuws komt in het kader van de Snowden onthullingen. Maar dit is geen hacker tool of overheidsmalware, het is meegeleverde software van Lenovo.

Adware

lenovo superfishNu is vendor-geïnstalleerde software vrij gangbaar, de marges zijn nou eenmaal flinterdun en wanneer er extra geld verdiend kan worden door software met proeflicenties of advertenties (zogenaamde ‘adware’) mee te leveren wordt dat in meer of mindere mate door iedere leverancier wel gedaan. Meestal is dat een antivirus programma dat je na enkele weken lastigvalt met aanbiedingen voor een volledige licentie, of een webbrowser balk met advertenties. Maar in dit geval heeft Lenovo het echt extra bont gemaakt: ze verkopen sinds september 2014 PC’s met software die advertenties in bezochte websites plaatst, ook als dat beveiligde verbindingen zijn zoals bijvoorbeeld internetbankieren. Dat advertenties geïnjecteerd worden in websites die je bezoekt is al vies, maar dat het ook gebeurt met beveiligde verbindingen is heel naar, met name omdat de manier waarop dit gebeurt vrij eenvoudig te misbruiken is door kwaadwillenden.

Hoe werkt het?

Wanneer je naar de webpagina van je bank gaat om te internetbankieren, geschiedt dat via een beveiligde verbinding. Dat je dan daadwerkelijk verbinding maakt met een server van je bank wordt gecheckt middels een digitaal certificaat, uitgegeven door een vertrouwde derde partij. Je ziet in de URL-balk van je webbrowser ‘https’ staan, een slotje en waarschijnlijk in het groen de naam van de bank, waar je weer op kan klikken voor uitgebreide informatie over het certificaat. Wanneer het certificaat niet klopt (of verlopen is), zie je vaak rode tekst en een kruisje in je URL-balk. Visueel geeft je webbrowser dus aan of alles klopt of niet. Wat de meegeleverde Superfish software door Lenovo doet, is er tussen gaan zitten, door zich op je PC vast te stellen als vertrouwde derde partij, een zogenaamde ‘man-in-the-middle’. Zo is de software in staat om alle informatie dat heen en weer gaat tussen je PC en de website via de beveiligde verbinding in te zien en zelfs aan te passen voor advertentiedoeleinden. Dit is een ernstige verzwakking van de beveiliging van je PC.

Misbruik

Waar je natuurlijk op kan wachten wanneer je IT beveiliging verzwakt, is dat kwaadwillenden daar misbruik van maken. Elke PC van Lenovo waar Superfish op geïnstalleerd is bevat dezelfde ‘private key’. Deze is nu al buitgemaakt, wat betekent dat iedereen in staat is om certificaten te genereren die vertrouwd worden door de Lenovo PC’s. Al het internetverkeer van deze PC’s is nu toegankelijk als je de verbinding weet te onderscheppen. Er kan zelfs malware aan de PC’s aangeboden worden dat vermomd is als bijvoorbeeld een Windows update. Dit komt doordat het mechanisme om de oorsprong van de software te checken, het certificaat, volledig is gecompromitteerd.

Vertrouwen

Als voormalig product manager heb ik ervaring met hoe producten en functionaliteit tot stand komen. Het verkopen van PC’s met dergelijke software is niet per ongeluk, daar is een afweging aan voorafgegaan. Naast het feit dat het getuigd van heel weinig respect voor jou als klant, stelt Lenovo impliciet de veiligheid van je PC en je data ondergeschikt aan hun eigen financieel gewin. Hoewel het consumenten PC’s betreft, is zo’n leverancier in mijn ogen niet meer te vertrouwen. Cybersecurity is al uitdagend genoeg zonder dat je ook nog mogelijk tegengewerkt wordt door je leveranciers. Het is daarom enorm belangrijk om bij het kiezen van leveranciers je goed te verdiepen of zij te vertrouwen zijn. Niet alleen om veilige producten en diensten te leveren, maar ook qua mindset: denken ze mee over security in jouw omgeving?

Mocht je twijfelen of de Lenovo PC’s in jouw omgeving van Superfish voorzien zijn, dan kun je dit inmiddels via meerdere producten – waaronder DearBytes Bytescan – gemakkelijk controleren en zo nodig dit nare stukje software verwijderen.

McAfeeLabs Advisory voor Superfish

***Update 25-feb*** McAfeeLabs heeft de volgende advisory uitgebracht voor Superfish: https://kc.mcafee.com/corporate/index?page=content&id=PD25792