Insecure in Security – ”Superfish, Lenovo och dåliga beslut”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om Lenovos dåliga beslut

Superfish, Lenovo och dåliga beslut
Få, om ens någon inom säkerhetsindustrin har nog missat nyheten om Lenovo och att de levererar sina datorer med, vad jag skulle kalla, malware installerat. Programmet i fråga, Superfish, installerar ett certifikat i webbläsaren och om det inte är ett övertramp nog så installerades samma certifikat på alla berörda datorer. Lenovo är som bekant världens största PC-leverantör och det krävs inte avancerad matematik för att förstå att en hel del datorer har haft Superfish. Det visade sig även att certifikatet, som var det samma på alla berörda datorer, även hade ett riktigt svagt lösenord. Lösenordet ”komodia” knäcktes på 3 timmar av säkerhetsforskaren Robert Graham från Errata Security.

Har man tillgång till certifikatet kan man väldigt enkelt sätta upp en webbserver som påstår sig vara Nordea eller Swedbank. När du med en drabbad dator går in på webbsidan kommer det installerade certifikatet autentisera sidan och se den som säker. Man kan fråga sig vad anledningen var att installera Superfish på datorerna och anledningen är dummare än man kan tro – för annonsering. Lenovos tanke var att du som användare skulle få tillgång till annonser som speglade dina intressen på ett bättre sätt. Även om tanken i sig kan vara god så är det helt klart idiotiskt att medvetet sabotera säkerheten hos HTTPS. I ett uttalande uttryckte sig Lenovo så här:

“Superfish was previously included on some consumer notebook products shipped in a short window between September and December to help customers potentially discover interesting products while shopping”

Om du själv sitter på en Lenovo så kan du kolla om du har Superfish installerat här. Men jag skulle rekommendera att rensa datorn helt och göra en ren installation. Konsumentdatorer levereras idag med en mängd ’value added’ mjukvara som mest gör din dator onödigt seg. Eller så kan du alltid använda Lenovos egna mjukvara för att ta bort Superfish, om du nu litar på det.

Jag har naturligtvis allvarliga problem med det här. För det första så är det en enorm kränkning av förtroendet mellan konsument och företag. För det andra är det för mig helt oförklarligt att ett företag medvetet bryter etablerade säkerhetsfunktioner och gercyberkriminella fantastiska möjligheter att lura vanliga konsumenter. Jag har svårt att förstå hur några ingenjörer har övertygats att Superfish skulle integreras i deras konsumentdatorer. Ursäkten att man inte förstod vilka potentiella säkerhetsbrister som kunde uppstå av Superfish kan inte godtas. För om det på riktigt inte finns någon säkerhetsingenjör på Lenovo som förstår att det inte är en bra idé att undergräva HTTPS så har de bekymmer – och då finns det ju alltid tredjepartskonsulter som kan hjälpa till. Det är mer rimligt att ingen som kan IT-säkerhet var en del av beslutet.

Jag har inget emot Lenovo och jag har själv ägt en Thinkpad en längre tid. Jag vill snarare illustrera ett problem i branschen – att säkerhet fortfarande inte byggs in i grunden. Men det sätter även fingret på ett annat problem, att IT-säkerhet och expertkunskap inte värdesätts i den här typen av projekt. Jag tror att Lenovo har lärt sig sin läxa och kommer nog att inkludera säkerhetsingenjörer för framtida projekt och jag hoppas att andra aktörer på marknaden har lärt sig något de med. För något måste ju göras för att skydda kunderna, men även för att förebygga den här typen av PR-katastrofer.