joi, martie 28, 2024

Superfish

Discutam deunăzi despre problema încrederii și certificatele digitale; uneori însă „viața bate filmul” ca să folosesc și eu o expresie care tinde să intre în folclor. O firmă chinezească s-a gândit să rezolve problema încrederii în maniera lui Alexandru Macedon. Pentru că avea nevoie să intercepteze traficul nostru SSL ( pentru a-i injecta ceva reclamă, din ce alt motiv?) a scris o aplicație care preia traficul, îl decriptează și îl criptează la loc ( „man în the middle” se cheamă asta în termeni tehnici). Pentru că browserul ne-ar fi avertizat că avem de-a face cu un certificat dubios, aplicația  își  instalează și propriul CA ( „semnătura” autorității de certificare) în sistem, astfel că toate certificatele lor sunt prezentate ca fiind valide.

Desigur, ne-am obișnuit cu tot felul de mici escrocherii de genul asta în aria geografică în care electronica e mai ieftină decât orezul, de la placuțe de plastic cu terminale vândute drept memorii și până la discuri de 40Gb „aranjate” să afișeze 1 Tb.

Numai că respectiva firmă se numește Lenovo, și pe produsele lor scria până mai ieri IBM.

După vânzarea diviziei de PC-uri și a celei de servere de către IBM multă lume a rămas fidelă produselor. În definitiv sunt aceleași linii de producție, aceleași produse ( evident, aduse la zi) , doar „jupânul” diferă.

Multe firme mari au politici foarte stricte de achiziții în IT. Când ai de întreținut zeci sau sute de mii de PC-uri, este esențial ca acestea să fie la fel. Așa poți produce pachete pentru instalare automată, cu fix aceleași drivere , le poți înlocui între ele fără emoții, în întregime sau pe bucăți, așa poți să comanzi fără emoții exact componenta defectă și nu în ultimul rând, poți să obții discount-uri sănătoase de la furnizor.

Nu e deci de mirare că administratorii și responsabilii IT crescuți cu zicala „ nimeni n-a fost concediat pentru că a cumpărat IBM” au continuat dintr-o inerție justificată relația cu bătrânul „nou producător”.

Iată însă că, vorba lui Fouché, Lenovo a comis ceva mai rău decât o infracțiune, a comis o prostie. Dacă mai punem la socoteală și prima lor reacție, aceea de a anunța că va înceta instalarea respectivului adware pe mașinile ce vor fi livrate de acum încolo, am putea număra chiar două prostii.

Vorbim de o aplicație, se pare , instalată pe PC-uri de pe la începutul lui 2010; problema este însă în definitiv nu aplicația în sine ( un pic de adware nu a omorât pe nimeni) ci faptul că în continuare, autoritatea de certificare este acolo și va valida orice certificat emis de … nu știm precis cine, pentru că respectivul spyware nu e produs de Lenovo ci de un contractor.  US-CERT a emis următorul buletin .

Din care reiese clar că singura măsură acceptabilă este dezinstalarea aplicației ȘI a certificatului aferent.

Desigur că de aici am putea da și în scenarită. Poate că scopul nu a fost adware-ul în sine, ci certificatul, care acționează ca un „troian” pentru cel care deține respectiva autoritate. Am mai povestit într-un articol trecut despre o altă încercare de „man în the midle” legată de „marele firewall” chinezesc.

Însă se prea poate ca explicația să fie mult mai simplă. De câțiva ani, agenda publică a lumii democratice este ocupată în mod constant de problemele dreptului la confidențialitate, ale libertății de expresie în cadrul Internetului ( și nu numai) etc.

Mă îndoiesc că asta este o preocupare și în China. Pur și simplu, ei au vrut o aplicație care să meargă și să facă ceea ce voiau să facă. Încrederea? Ai încredere în cine îți spun eu să ai.

Problema este însă că Lenovo a cumpărat și divizia de servere. Faptul că s-a întâmplat ceva cu niște produse „consumer” ( în mediul enterprise mai rar cumperi computere cu software preinstalat, fiecare companie își instalează licențele și pachetele ei) ar mai putea fi trecut cu vederea. Însă se ridică întrebarea dacă mai poți avea încredere în serverele produse de o companie care pare a trata confidențialitatea „à la légère”. Chiar de-ar fi cele mai puternice din lume.

Părerea mea e că pierderile vor fi semnificative. Partea bună pentru producător este că probabil nu va avea nici un impact pe piața locală, care bănuiesc că e destul de insensibilă la acest subiect, din motive pragmatice ( când agentul poate da buzna peste mine când vrea, problema confidențialității pare un moft). Însă USA și Europa sunt încă mai importante pe piața tehnologiei, și mica escapadă se va dovedi costisitoare.

Distribuie acest articol

18 COMENTARII

  1. Da,am auzit despre Superfish sau Swordfish cum ii spun unii pe net:)))
    Explicatia e simpla:Lenovo e o firma controlata de guvernul chinez
    China,Rusia,India,Brazilia au o alianta economica si militara si asa mai departe
    Chinezii au cumparat datoria de 2 trilioane de dolari a SUA catre ei,acuma vedem congresele PCC la CNN si asa mai departe:))
    Deci vorba lunga saracia omului,americanii partial sunt controlati de chinezi inca din 2007 de aceea IBM a vandut tot catre Lenovo
    IBM care daca va uitati capitalizarea bursiera pe finance.yahoo.com o sa vedeti ca stau mai prost ca Facebook in momentul de fata si Apple e de 3 ori mai valoroasa ca si ei si Microsoft si Intel parca
    Deci lumea se plimba de la hardware la software si de la industrie la servicii si de la tehnologie la marketing
    Metoda e de asemenea simpla:se cumpara serverele,se formateaza tot si se intaleaza Linux
    Eu folosesc Zorin OS 9 si din pacate…inca caut drivere pt webcam si tv tuner:) ca sa fac o firma de calculatoare ieftine si bune

    • Dacă tot v-aţi hotărât să produceţi un comentariu, de ce nu realizaţi un text cât de cât coerent? nu de alta, dar harababura gândurilor, aşternută pe hârtie, produce doar maculatură.

  2. Dar legat de blocarea platformelor hardware bazate pe chip-uri ARM asa cum e ceruta de certificarea hardware Microsoft ce parere aveti ?

    https://msdn.microsoft.com/en-us/library/windows/hardware/jj128256

    C.The firmware setup shall indicate if Secure Boot is turned on, and if it is operated in Standard or Custom Mode. The firmware setup must provide an option to return from Custom to Standard Mode which restores the factory defaults. On an ARM system, it is forbidden to enable Custom Mode. Only Standard Mode may be enabled.

    Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure Boot must not be possible on ARM systems.

  3. Daca vorbim despre acest segment de piata nu trebuie sa uitam de comunicatii. Doar se numeste ICT, Information and Communication Tehnology.
    Recent emisiunea de investigatie VOXPOP al postului de televiziune franco-german ARTE a difuzat un material despre anumite aspecte ale activitatii companiei chineze Huawei, locul trei in lume in industria de telecomunicatii. Titlul spune deja despre ce este vorba, „Huawei: un spion venit din China. Materialul pune in discutie, chiar printr-un exemplu, posibilitatea spionajului prin aparatura, produsa de Huawei, instalata in sistemul de comunicatii european. Totodata se prezinta diferentele cum privesc aceasta problema tarile din Uniunea Europeana. Printre altele datorita acestor diferente, desigur si datorita activitatii de lobby bine platit de la Brussel, EU nu mai discuta problema preturilor de dumping de la Huawei si ZTE (o alta firma de telecomunicatii din China).
    Toata lumea vrea sa obtina informatii, daca nu se poate altfel, chiar si prin mijloace ilegale.
    Rezolvarea acestei probleme abia a ajuns la pima faza, constientizarea existentei ei. Problema nu poate fi rezolvata prin introducerea de noi si noi masuri de securitate, pentru care se vor gasi totdeauna modalitati de a dejuca aceste masuri. Pentru a rezolva problema trebuie sa gasim cauzele care au dus la aparitia ei.
    Din pacate si in acest caz am indoieli ca vom ajunge la aceasta faza, si sa nu mai vorbesc despre combaterea, eliminarea acestor cauze.
    Pentru cei care au 7 minute URL-urile pentru materialul amintit, atit in franceza cit si in germana: http://info.arte.tv/fr/huawei-un-espion-venu-de-chine
    http://info.arte.tv/de/huawei-der-spion-aus-china

    • Banuielile sunt vechi, deocamdata dovezi concrete lipsesc. Probabil ca lipsa unui producator national de routere ar putea fi si ea considerata o vulnerabilitate strategica, dar cum noi nu prea producem mai nimic pe segmentul asta, in afara de Bitdefender, probabil ca trebuie sa folosim Cisco :)

      • Ceea ce priveste incredera in Cisco am anumite indoieli. Aceasta indoiala nu se refera numai la ceea ce poate face Cisco, dar si la ceea ce poate face oricine daca are anumite interese. Si aici nu ma refer numai la ce a trebuit sa faca Cisco la ruterele livrate pentru China, impuse fiind aceste modificari de beneficiarii din China. Si guvernul SUA a impus modificari routerelor livrate in China. Conform Cisco fara stirea si peste capul lor. Vezi http://www.infoworld.com/article/2607613/network-router/cisco-ceo-tells-obama–nsa-spying-impacts-technology-sales.html
        Aceasta deciyie a guvernului afectind si alte firme din SUA. Conform stirii Reuters IBM, Microsoft, Oracle si poate si alte firme. Vezi reuters.com/article/2013/11/14/us-china-cisco-idUSBRE9AD0J420131114
        Si pot fi gasite inca multe alte exemple in ambele directii.
        Mai departe ramine intrebarea, care este cauza acestei intreceri fara sfirsit pentru a obtine informatii. Lipsa de incredere este chiar atit de mare incit NSA trebuia sa asculte convorbirile telefonice a lui Angela Merkel? Paranoia a pus stapinere peste toti? Democratia inteleasa acum si aici (ma refer la cultura numita europeana, americana) are anumite probleme? Nu stiu. E adevarat acesta nu este o problema a ICT, dar merita o liturghie (Henric al IV). Poate se va ajunge si la aceasta discutie.

        • Da, dar macar americanii sunt „din tabara noastra” :) Ideal ar fi sa le avem pe ale noastre- macar firmware-ul, dar ….

      • 1. iMac este un desktop PC. Discutia noastra se limiteaz ala laptopuri
        2. Se numea „Flashback” si a infectat peste 600.000 de sisteme de operare OsX in 2012.. 2 ani mai tarziu inca erau zeci de mii de sisteme infectate.
        3. Superfish este o firma cu sediul Palo Alto, California.
        4. iMac-ul tau tot in China e facut

        Apple nu pare sa fi avut mari probleme cu „increderea” dupa incidentul din 2012, desi efectele au fost dezastruoase comparativ cu cateva zeci de mii de laptopuri Lenovo „vulnerabile”. Concluzia? Exista o tendinta printre jurnalistii IT de a proteja anumite companii. Poate pentru ca una e chineza si alta americana? Poate pentru ca una e mai „cool”? Greu de spus..

        • Sunt cateva aspecte:
          1. Flashback a fost un troian, nu un software instalat intentionat
          2. Apple sunt facute in China dar specificatiile vin din USA
          3. Nu conteaza unde este locata firma superfish ci ca Lenovo a acceptat acest aranjament ( puteau cumpara un certificat de la Verisign si macar eliminau prioncipala problema, cea a increderii, pentu ca sa fim seriosi, adware instaleaza cam toti, ia instalati dvs o imprimanta HP cu CD-ul de la producator si dupa aceea spuneti ce este chestia aia care te trimite la ei sa cumparati conumabile :) )

          si 4, Apple nu produce srvere, sau , ma rog, produce dar nu-i pasa nimanui :)

          • Corect, dar asemanarile sunt mai mari ca deosebirile: Apple a ignorat un update de securitate Java timp de cateva luni. Chiar si atunci cand a inteles ce se intampla (din presa), tot a avut nevoie de alte cateva luni ca sa rezolve macar partial problema. Un troian instalat inseamna ca ai deja un „intrus” in sistem, dar un certificat care permite potentiale atacuri de un anumit tip nu este o amenintare la fel de mare.
            Am scris ca Superfish sunt americani doar pentru a demonta teorii conspirationiste cu chinezi care vor sa ne fure datele..

    • Daca ii prindem, comentam, evident :) Vorbim totusi de nr 1 mondial in materie de servere, avem niste asteptari de la ei, sunt mostenitorii celor care au inventat PC-ul, nu de „PC-ul Vesel” din Berceni .

  4. Ar fi bine daca statul ar sustine un proiect pentru o platforma hardware si software deschisa care sa stea la baza platformei educationale si care sa reduca dependenta de producatorii mari de software si hardware.

    • Lucrurile sunt complicate cu sprijinul de stat; de multe ori investitia ajunge in proiecte fara relevanta; imi amintesc ca prin ’94 cand lucram la Institutul de Mecanica Fina acestia produsesera (pe tema de cercetare) un „RoCad” adica replica romaneasca la Autocad. Acum vreo cativa ani citisem ca francezii voiau sa subventioneze producerea unui motor de cautare… Probabil ca cel mai bun lucru ramane tot incurajarea startup-urilor, care sa isi gaseasca singuri directiile. Si bineinteles, aducerea achizitiilor publice „cu picioarele pe pamant” imi aduc aminte cum caietele de sarcini de pe vremuri cereau routere „care sa suporte 10000 de VPN-uri” sau servere cu nu stiu cate procesoare pentru gazduirea unor aplicatii folosite de 20 oameni… va dati seama de ce. Sau 5 specialisti certificati Microsoft sau cate si mai cate, cu scopul evident de a limita accesul la respectiva licitatie.

  5. Oare numai mie mi se pare evident ca nu facem decat sa evitam acceptarea realitatii? Informatia nu mai poate fi limitata. Cine poate va privi si va asculta, va analiza la nivel global, va incerca sa prevada pana si actiunile viitoare.

    Solutia nu e sa ne ascundem ci sa oferim aceasta informatie in mod transparent si deschis si unor structuri cu puterea si dedicatia de a ne proteja. Va dau un exemplu. IP-ul e o informatie privata care poate da informatii asupra locatiei curente a unui utilizator, poate a locului sau de munca, a activitatii etc. Aceasta este disponibila unui oarecare administrator de blog daca user-ul adauga un comment sau uneori chiar la vizitare. User-ul poate folosi unul sau mai multe proxy-uri pentru a-si masca identitatea dar pentru specialisti nu e mare lucru sa ajunga la ip-ul original. Nu e normal sa ceri user-ului sa incerce sa se protejeze singur fara a fi un specialist si fara o tehnica necesara pentru a se proteja cu adevarat decat daca vrei sa il pacalesti ca e in siguranta. Daca vrei sa il protejezi il lasi sa isi foloseasca ip-ul real si faci legislatie impotriva celui ce ar publica sau folosi aceste date. Aceasta abordare exista la nivel european. Secretele de stat trebuie aparate si protejate de stat pe cand celelalte trebuie protejate prin legi si organisme de control. Da, cineva te poate santaja daca are o informatie insa acel cineva poate fi si oprit daca e arestat pentru santaj. Pur si simplu.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.

Autor

Mihai Badici
Mihai Badici
Absolvent al Facultății de Electronică si Telecomunicații București ( 1991) Administrator de sistem cu peste zece ani de experiență cu specializari in sisteme de stocare si securitatea datelor. De asemenea a absolvit in 1996 Facultatea de Litere la Universitatea Bucuresti. In prezent, consultant IT independent, colaboreaza pe mai multe proiecte legate de infrastructura de date.

Sprijiniți proiectul Contributors.ro

Pagini

Carti noi

 

Cu acest volum, Mirel Bănică revine la mai vechile sale preocupări și teme de cercetare legate de relația dintre religie și modernitate, de înțelegerea și descrierea modului în care societatea românească se raportează la religie, în special la ortodoxie. Ideea sa călăuzitoare este că prin monahismul românesc de după 1990 putem înțelege mai bine fenomenul religios contemporan, în măsura în care monahismul constituie o ilustrare exemplară a tensiunii dintre creștinism și lumea actuală, precum și a permanentei reconfigurări a raportului de putere dintre ele.
Poarta de acces aleasă pentru a pătrunde în lumea mănăstirilor o reprezintă ceea ce denumim generic „economia monastică”. Autorul vizitează astfel cu precădere mănăstirile românești care s-au remarcat prin produsele lor medicinale, alimentare, cosmetice, textile... Cumpara cartea de aici

Carti noi

În ciuda repetatelor avertismente venite de la Casa Albă, invazia Ucrainei de către Rusia a șocat întreaga comunitate internațională. De ce a declanșat Putin războiul – și de ce s-a derulat acesta în modalități neimaginabile până acum? Ucrainenii au reușit să țină piept unei forte militare superioare, Occidentul s-a unit, în vreme ce Rusia a devenit tot mai izolată în lume.
Cartea de față relatează istoria exhaustivă a acestui conflict – originile, evoluția și consecințele deja evidente – sau posibile în viitor – ale acestuia. Cumpara volumul de aici

 

Carti

După ce cucerește cea de-a Doua Romă, inima Imperiului Bizantin, în 1453, Mahomed II își adaugă titlul de cezar: otomanii se consideră de-acum descendenții Romei. În imperiul lor, toleranța religioasă era o realitate cu mult înainte ca Occidentul să fi învățat această lecție. Amanunte aici

 
„Chiar dacă războiul va mai dura, soarta lui este decisă. E greu de imaginat vreun scenariu plauzibil în care Rusia iese învingătoare. Sunt tot mai multe semne că sfârşitul regimului Putin se apropie. Am putea asista însă la un proces îndelungat, cu convulsii majore, care să modifice radical evoluţiile istorice în spaţiul eurasiatic. În centrul acestor evoluţii, rămâne Rusia, o ţară uriaşă, cu un regim hibrid, între autoritarism electoral şi dictatură autentică. În ultimele luni, în Rusia a avut loc o pierdere uriaşă de capital uman. 
Cumpara cartea

 

 

Esential HotNews

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro