Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Lenovo superfish adware

07-02-2015, 23:32 door Anoniem, 19 reacties
Hallo!
Al een hele tijd trouwe lezer op deze site maar nu eigen post
Afgelopen week hebben we een nieuwe laptop gekocht van het merk lenovo.

Alles leek ok na installatie, echter viel me bij het bezoeken van ING iets op. Namelijk dat wanneer ik naar het inlogscherm van mijning ging ik geen beveiligde verbinding kreeg. Dit verwonderde me want het is een nieuwe laptop dus er moet niets mis mee zijn. Terug naar de hoofdpagina waar ik wel het bekende groene slotje kreeg. Andere sites gaan bezoeken en het groene slotje kreeg ik ook op hotmail.com en inlogpaginas van andere banken.

Op dat moment gaan onderzoeken wat het kon zijn. Wat me het eerste opviel was dat het beveiligingscertificaat op mijning was uitgegeven door Superfish.inc (USA), dit wekte argwaan want op de vaste pc en mijn eigen laptop kreeg ik toch echt Symantec te zien als uitgever.

Superfish in combinatie met lenovo maar eens gaan googelen en daar kwam de artikelen tegen over dat lenovo standaard Superfish adware heeft geinstalleerd op de laptops. Daar ik adblock plus direct had geinstalleerd merkte ik verder niets van advertenties van deze adware.

Nu heb ik een aantal vragen
1.hoe deze adware of moet ik zeggen malware de certificaatgegevens kan wijzigen
2. waarom ik alleen bij mijn ing geen groen slotje kreeg en bij andere banken, hotmail etc wel een groen slotje terwijl ook daar superfish als certificaatuitgever stond aangegeven.
3.Als ING ook gewoon een groen slotje had gehad had ik misschien niets gemerkt. Wat waren dan de concequenties mbt inloggegevens etc?
4.zijn er hier meer gevallen bekend van Superfish

Alvast bedankt en een prettig weekend.
Reacties (19)
08-02-2015, 08:00 door Erik van Straten
Ik vind dit schandalig en crimineel gedrag. In http://stackoverflow.com/questions/27338272/what-is-the-superfish-ssl-certificate-and-where-did-it-originate zie ik dat je niet de enige bent.

Een enkel "fout" root certificaat kan de beveiliging van jouw computer compleet ondermijnen (naast voor https kan het ook voor het ondertekenen van software en mails worden gebruikt). Misschien is "Superfish" zelf nog wel enigszins te vertrouwen, maar hoe goed zijn hun interne beveiligingsmaatregelen? Als meer-dan-adware-criminelen een kopie van de private key (behorend bij het root certificaat) te pakken krijgen, is het eind zoek.

Sowieso ben je nu qua beveiliging ook al afhankelijk (geweest) van de beveiliging van aanvullende reclame websites die, in potentie, troep kunnen injecteren die Adblock niet tegenhoudt.

Persoonlijk zou ik dit ongevraagde reclame billboard retourneren. Op z'n minst zou de leverancier een kale Windows, met de juiste drivers, moeten installeren. Als je er niet mee terug wilt gaan, zou ik,als ik jou was, zelf Windows van scratch installeren (je weet niet wat voor aanvullende troep je al hebt binnengehaald). Mogelijk dat de recovery partitie een Windows installatie zonder Superfish maar met gewenste drivers bevat. Anders kun je bij Digitalriver legaal Windows installatiemedia images downloaden.

Firefox heeft eigen root certificates. Als je die installeert heb je mogelijk een veilige browser (om Windows media te downloaden), maar ook daarin zou de Superfish malware een eigen root certificate kunnen injecteren (uitkijken dus).

De reden dat je bij mijn.ing.nl geen slotje kreeg zou kunnen komen door slimme code van ING die detecteert dat er wat mis is en daarom bewust naar een http site overschakelt.

Triest dat een leverancier als Lenovo zich tot dit soort backdoors verlaagt.
Sterkte!
08-02-2015, 13:59 door Anoniem
Kijk ook of deze software wordt meegeleverd
http://securelist.com/analysis/publications/58278/absolute-computrace-revisited/
08-02-2015, 16:19 door Anoniem
Hartelijk dank voor de antwoorden/uitleg en tips!
Schrok er zelf van dat dit soort rotzooi is meegeinstalleerd, heb het na het ontdekken dan ook meteen verwijderd en de certificaten zijn nu zoals ze moeten zijn en niet meer van Superfish. Ik ben blij dat ik bij ing een http verbinding kreeg en het daardoor direct opviel. Had het waarschijnlijk daarna ook gemerkt omdat ik altijd voordat ik inlog het slotje + certificaat controleer. Mijn vader waarvoor ik de laptop installeer zou dit (met uitzondering van het slotje) niet hebben gecontroleerd.

Nu de laptop helemaal geinstalleerd is en bijv office geactiveerd is met de productcode weet ik niet of dit wat uitmaakt voor een eventuele installatie vanuit de recovery? ( ik bedoel dat de activeringscode wellicht niet meer geldig is). Ik ga er van uit dat de laptop clean is maar zal in ieder geval overleggen of we met de feiten terug gaan naar de winkel.

Mbt computrace, hoe kan ik dit makkelijk checken? (Met de nadruk op makkelijk)
08-02-2015, 16:39 door Anoniem
Mede door dit soort zaken krijgen we hier tegenwoordig voor het grootste deel verse laptops nieuw in de doos om eerst een verse schone install op te zetten voor de klant ermee gaat werken .
Er wordt tegenwoordig teveel meuk vanaf de producent door je strot geduwd en nu ook al adware lees ik .
08-02-2015, 21:37 door Anoniem
@TS: Hartelijk bedankt voor deze info! Goed opgelet!

Mijn dochter zeurt al 'n paar weken om een nieuwe laptop en ik was bijna van plan een Lenovo aan te schaffen.
Gelukkig is het een Asus geworden. Desondanks neem ik die, na levering, even een paar uur in beslag om die vanaf 'null' opnieuw te installeren, ik heb inmiddels genoeg gelezen :(


Wat een schandaal, echt bizar dat een fabrikant / leverancier hier mee wegkomt!
08-02-2015, 22:40 door Erik van Straten
08-02-2015, 16:19 door Anoniem: Nu de laptop helemaal geinstalleerd is en bijv office geactiveerd is met de productcode weet ik niet of dit wat uitmaakt voor een eventuele installatie vanuit de recovery? ( ik bedoel dat de activeringscode wellicht niet meer geldig is).
Mijn ervaring tot nu toe is dat je die activeringscode probleemloos op dezelfde computer kunt hergebruiken. Tijdens activeren worden gegevens over de hardware, waaronder het serienummer van de harddisk, naar Microsoft gestuurd en daar gekoppeld aan de activeringscode. Daarmee wordt de (OEM-) licentie aan specifieke hardware gekoppeld.

Mocht het toch fout gaan bij een volgende installatie (bijv. omdat je ondertussen de harddisk hebt vervangen), dan is het de algemene ervaring dat bellen met een speciaal telefoonnummer van Microsoft volstaat om de zaak weer geactiveerd te krijgen. Alleen als de productcode op internet "gezworven" heeft, en er illegale installaties mee gedaan zijn, heb je waarschijnlijk een probleem.

08-02-2015 16:39 door Anoniem: Er wordt tegenwoordig teveel meuk vanaf de producent door je strot geduwd en nu ook al adware lees ik .
Software die https verbindingen kaapt vind ik geen adware meer, maar ronduit spyware. Zeker geen Possibly maar een Definitely Unwanted Program (geen PUP maar DUP).
08-02-2015, 23:04 door [Account Verwijderd]
[Verwijderd]
09-02-2015, 00:24 door Anoniem
Door Anoniem:

Mbt computrace, hoe kan ik dit makkelijk checken? (Met de nadruk op makkelijk)
Zo?

How to Identify Computrace on Your Laptop
https://www.ehow.com/how_5730323_identify-computrace-laptop.html

How to Disable Computrace in BIOS
https://www.ehow.com/how_8361751_disable-computrace-bios.html

How to Remove Computrace From BIOS
https://www.ehow.com/how_8388270_remove-computrace-bios.html

Meer merken met computrace
http://securitynirvana.blogspot.fr/2012/09/spying-on-ex-employees-others-using.html
10-02-2015, 22:26 door Anoniem
en toen was het stil en hoorden we niets meer van de TS ...
10-02-2015, 23:42 door Eric-Jan H te D - Bijgewerkt: 10-02-2015, 23:43
Door Anoniem: en toen was het stil en hoorden we niets meer van de TS ...

Hij/zij heeft minstens één keer bedankt 08-02-2015, 16:19 en zelfs teruggekoppeld. Dat is in ieder geval oneindig-maal meer dan veel TSers
11-02-2015, 12:38 door Anoniem
Sorry voor de (volgens sommige) ietwat late reply excuus daarvoor. Heb het druk gehad en nu gelukkig even een dagje vrij.

Ik weet helaas niet hoe ik meerdere replys in een bericht kan stoppen dus dan maar zo...

@erikvanstraaten, de recovery partitie bevat helaas ook alle "extras" of er moet een andere mogelijkheid zijn? Zoals je al aangaf gaf Office geen problemen.

@anoniem 9/2 00:24 heb in taakbeheer onder services geen rpcnet.exe gevonden, wel rpcss en rpceptmapper. Ik heb even snel gezocht op internet en meen dat dit legit files zijn, indien dit niet zo is graag even aangeven.

@solaris bedoel je de extra demo versies van programma's of echt adware zoals superfish? Dat eerste maakt me nog niet zoveel uit, het gaat me echt puur om dit soort spyware

@iedereen nogmaals dank voor de input en eigen ervaringen.
19-02-2015, 15:54 door Anoniem
Hallo mensen,

nav het artikel over de malware heb ik nog een nieuwe vraag.

Ik heb Superfish zoals eerder gezegd verwijderd via het configuratiescherm. Nu ben ik na alle nieuwe artikelen nog even gaan zoeken in het SSL/certificaatbeheer van Chrome en tot mijn schrik hier staat het certificaat uitgegeven door Superfish nog steeds in de lijst!! Helaas kan ik zowel met normaal als admin account geen certificaten verwijderen omdat deze optie "greyed out" is en er niet op kan klikken. Ik kan wel de vinkjes weghalen onder Certificaatdoeleinden, is dit een oplossing?

ik heb chrome ook al opnieuw geïnstalleerd maar dat hielp helaas niet.Wat kan ik nog doen om het certificaat te verwijderen? of kan het nu ik na deinstallatie de normale certificaten krijg geen kwaad dat Superfish nog in de lijst staat?


gr Mark (TS)
19-02-2015, 18:38 door Erik van Straten - Bijgewerkt: 19-02-2015, 18:40
19-02-2015, 15:44 door Anoniem: Wat kan ik nog doen om het certificaat te verwijderen? of kan het nu ik na deinstallatie de normale certificaten krijg geen kwaad dat Superfish nog in de lijst staat?
Het kan zeker kwaad dat het certificaat nog in de lijst staat. Als een aanvaller weet dat dit zo is, of als hij dit gokt, kan hij elk SSL certificaat vervalsen, zonder dat jouw PC alarm slaat. Ook kan hij programma's van valse digitale handtekeningen voorzien.

Om het certificaat "Superfish, Inc." te verwijderen kun je het beste, met adminrechten, opstarten: certmgr.msc.

In een Engelstalige Windows open je vervolgens Trusted Root Certification Authorities en daaronder de "submap" Certificates. Rechts scroll je naar beneden tot je Superfish, Inc. vindt. Selecteer die regel en druk de Delete knop op je toetsenbord. Je krijgt een waarschuwing, kies Yes (of Ja).

Zie ook https://www.security.nl/posting/419080/Adware+op+Lenovo-laptops+brengt+SSL-verbinding+in+gevaar en http://tweakers.net/nieuws/101478/https-verkeer-lenovo-laptops-af-te-luisteren-dankzij-meegeleverde-malware.html.

Aanvulling 18:40: controleer voordat je verwijdert, met zowel MSIE als Chrome, op https://filippo.io/Badfish/ dat het certificaat inderdaad geïnstalleerd is.
Na het verwijderen controleer je nogmaals. Laat je ons het resultaat weten? Thanks!
19-02-2015, 19:27 door Anoniem
Door Erik van Straten:
19-02-2015, 15:44 door Anoniem: Wat kan ik nog doen om het certificaat te verwijderen? of kan het nu ik na deinstallatie de normale certificaten krijg geen kwaad dat Superfish nog in de lijst staat?
Het kan zeker kwaad dat het certificaat nog in de lijst staat. Als een aanvaller weet dat dit zo is, of als hij dit gokt, kan hij elk SSL certificaat vervalsen, zonder dat jouw PC alarm slaat. Ook kan hij programma's van valse digitale handtekeningen voorzien.

Om het certificaat "Superfish, Inc." te verwijderen kun je het beste, met adminrechten, opstarten: certmgr.msc.

In een Engelstalige Windows open je vervolgens Trusted Root Certification Authorities en daaronder de "submap" Certificates. Rechts scroll je naar beneden tot je Superfish, Inc. vindt. Selecteer die regel en druk de Delete knop op je toetsenbord. Je krijgt een waarschuwing, kies Yes (of Ja).

Zie ook https://www.security.nl/posting/419080/Adware+op+Lenovo-laptops+brengt+SSL-verbinding+in+gevaar en http://tweakers.net/nieuws/101478/https-verkeer-lenovo-laptops-af-te-luisteren-dankzij-meegeleverde-malware.html.

Aanvulling 18:40: controleer voordat je verwijdert, met zowel MSIE als Chrome, op https://filippo.io/Badfish/ dat het certificaat inderdaad geïnstalleerd is.
Na het verwijderen controleer je nogmaals. Laat je ons het resultaat weten? Thanks!
NIet vergeten dat als je Firefox gebruikt je daar in de instellingen in hun eigen certificate manager ook Superfish moet verwijderen. HitmanPro kan trouwens ook heel Superfish incl cert verwijderen.
19-02-2015, 20:14 door [Account Verwijderd] - Bijgewerkt: 19-02-2015, 21:16
[Verwijderd]
19-02-2015, 20:17 door Anoniem
HitmanPro verwijdert ook het root certificaat van Superfish:
https://twitter.com/markloman/status/568411452396204032
19-02-2015, 20:52 door Anoniem
"Extracting the SuperFish certificate"
http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html
19-02-2015, 21:38 door Anoniem
Bedankt voor jullie inbreng en tips! Ik ga er dit weekend voor zitten om deze rotzooi voorgoed te verwijderen.

Virusscanner, mbam pikken iig (nog) niets op. Zal hitman pro laten draaien en daarna voor de zekerheid dan nog de uitleg van Erik om 1000% zeker te zijn dat deze trash verwijderd is

Jullie horen van mij! Nogmaals dank

Mark
21-02-2015, 09:17 door Anoniem
Goedemorgen forumleden

Ik heb hitman pro laten draaien, die heeft tegen de 50 bestanden verwijderd mbt superfish. Na herstart nogmaals, gelukkig geen meldingen meer.

Voor de zekerheid ook met mbam en virusscanner gecheckt maar ook daar gelukkig geen meldingen.

@erik Heb zowel als chrome en ook in certmgr.msc gekeken en daar staat het certificaat niet meer bij. Via de online check krijg ik ook geen melding meer dat superfish geinstalleerd is.

Nogmaals dank voor alle inbreng en hulp want anders was ik nu nog in de veronderstelling geweest dat superfish er af was door de reguliere uninstall terwijl er nog daadwerkelijk files ed op de laptop stonden.

Prettig weekend!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.