CA-сертификат Superfish в хранилище ключей Windows
В феврале 2015 года компанию Lenovo уличили в установке на ноутбуки вредоносной программы VisualDiscovery, разработанной Superfish. При подробном рассмотрении это оказался типичный зловред, который прослушивает трафик, анализирует поисковые запросы и внедряет рекламу на страницы сторонних сайтов. Приложение перехватывает, в том числе, HTTPS-трафик. Для этого, оно устанавливает корневой CA-сертификат Superfish в хранилище ключей Windows (с приватным ключом к нему) и проксирует весь трафик между хостом и браузером, подменяя сертификат на свой. Простой брутфорс по словарю из 2203 слов с помощью взломщика сертификатов pemcrack определил пароль для приватного ключа komodia.
В общем, история вышла крайне неприятная. Выяснилось, что данный зловред устанавливается на ноутбуки Lenovo с сентября 2014 года.
Дальнейшее расследование показало, что в общей сложности зловред был установлен на 750 000 ноутбуков следующих моделей: E-Series, Edge Series, Flex-Series, G-Series, Miix Series, S-Series, U-Series, Y-Series, Yoga Series и Z-Series.
Зловред не только сам вторгался в зашифрованный трафик пользователя, но благодаря приватному ключу от сертификата с простым паролем потенциально предоставлял возможность для проведения MitM-атаки стороннему злоумышленнику, что ставит под угрозу конфиденциальность информации, в том числе финансовых данных и проч.
Приватный ключ для CA-сертификата Superfish
После разразившегося скандала Lenovo выложила инструмент для автоматического удаления Superfish и инструкцию по его удалению вручную. Но это не спасло её от наказания. Сначала возмездие пришло в виде хакерской атаки с дефейсом Lenovo.com, а сейчас китайскую фирму заставили выплатить компенсацию пострадавшим владельцам ноутбуков.
Против компании Lenovo был подан коллективный иск (PDF) в Федеральный окружной суд Северного округа Калифорнии с требованием о выплате компенсации, и 21 ноября 2018 года суд предварительно удовлетворил эти требования.
Однако до выплаты установленной судом компенсации дело не дошло, потому что Lenovo договорилась с представителями истца о досудебной компенсации в размере $7,3 млн. Эта сумма добавляется к предыдущей компенсации $1 млн, которую уже выделила Lenovo. Таким образом, общий объём фонда для выплаты компенсации пострадавшим американским пользователям теперь составляет $8,3 млн.
Нужно заметить, что Lenovo долго не соглашалась с требованиями истца на том основании, что ей «неизвестно об эксплуатации программы Superfish третьими лицами». Она осталась при своём мнении, но выразила удовлетворение тем, что этот 2,5-летний процесс наконец-то закончен. Об этом сказано в официальном (уже удалённом) пресс-релизе.
Возможно, из фонда придётся вычесть стоимость юридических услуг на ведение процесса. Если разделить компенсацию на всех 750 000 пострадавших пользователей, то каждому досталось бы всего лишь около $10. В принципе, это очень мало за установку MitM-прокси с внедрением рекламы: например, Amazon даёт скидку $20 на свои Kindle, если пользователь соглашается на просмотр рекламы. Так что $10 за человека — очень мало и даже выгодно для Lenovo. Если не считать ущерб для репутации.
Но на практике количество компенсационных выплат может быть гораздо меньше, чем 750 000, так что и выплаты будут побольше, чем $10. Компенсация предусмотрена только для тех, кто в период с 1 сентября 2014 года по 28 февраля 2015 года купил на территории США ноутбуки следующих моделей:
- G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
- U Series: U430P, U430Touch, U530Touch
- Y Series: Y40-70, Y50-70
- Z Series: Z50-75, Z40-70, Z50-70
- Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15(BTM), Flex 10
- MIIX Series: MIIX2-10, MIIX2-11
- YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
Точный размер суммы компенсации зависит от количества пользователей, которые подадут заявления в фонд. Кроме этих денег, ранее Lenovo уже заплатила два штрафа по $3,5 млн по соглашению с Федеральной торговой комиссией и властями 32 штатов.
В России коллективный иск против Lenovo, насколько известно, не подавался, поэтому компенсация ущерба не предусмотрена.
АКЦИЯ GMO GlobalSign Russia для подписчиков Habr
Дополнительную информацию вы можете получить, связавшись с менеджером GlobalSign по телефону: +7 (499) 678 2210 или заполните форму на сайте, указав промо-код CS002HBFR.
Комментарии (66)
Neusser
05.12.2018 14:25-2В России коллективный иск против Lenovo, насколько известно, не подавался, поэтому компенсация ущерба не предусмотрена.
А был ущерб?
tvr
05.12.2018 17:01+2Мне был нанесён неисчислимый моральный ущерб, я потерял аппетит и сон, мучаясь от мыслей, что мог оказаться одной из беззащитных жертв Superfish.
Revertis
05.12.2018 17:39+2В РФ бывает и такое, что «потерпевший» официально заявляет, что ущерба нет, но «подсудимого» признают виновным.
Denkenmacht
06.12.2018 05:16+1Такое бывает во всех странах, не надо тут на суды РФ ярлыки вешать. Во-первых подсудимый, несмотря на отсутствие ущерба, все равно нарушил закон. Во-вторых, если есть доказанный умысел создать ущерб, но по каким-то причинам не получилось (поймали во время ограбления например), это ведь все равно нарушение закона. Умысел может быть еще и косвенным, когда подсудимый последствия предвидел, но отнесся к их наступлению с безразличием. Ну и много других нюансов есть, по которым вам только юристы с практикой расскажут. А то, что заявляет потерпевший про ущерб, это дело третье уже, в зависимости от статьи, возможно ли примирение сторон в связи с возмещением или отсутствием ущерба.
wataru
06.12.2018 12:28Такое бывает во всех странах, не надо тут на суды РФ ярлыки вешать. Во-первых подсудимый, несмотря на отсутствие ущерба, все равно нарушил закон.
Но только в России, при отсутствие учерба, судят по статье за нанесение значительного ущерба.
Denkenmacht
06.12.2018 12:47Нет такой статьи «Нанесение значительного ущерба». Вы 165 имеете в виду?
И пример можете привести, да?wataru
06.12.2018 13:33Статья 159 ч. 4. Мошенничество. Там нанесение значительного ущерба — квалифицирующий признак. Пример: Навальный и дело Ив Роше. Ив Роше официально заявило, что никакого ущерба нет. Но мошенничество, по мнению самого справедливого суда в мире, есть.
Denkenmacht
06.12.2018 14:44Я глубоко в дело не вникал в это дело, но помню что там приговор не только по 159, но еще и по 174 (легализация). Кроме того, наличие или отсутствие ущерба как правило определяется экспертами, а не потерпевшим. Суд в итоге установил, что они похитили больше 30 млн. руб. Правильно это суд заявил или нет, судить уж точно не нам, потому что для мнения надо хотя бы почитать материалы дела. То, что потерпевшие потом где-то «официально заявляли» об отсутствии ущерба, ничего не говорит, надо смотреть, что они в письменных показаниях и заявлениях писали. Официальные заявления никакого отношения к делу не имеют, у нас много кто много где и много чего официально заявляет, тот же Навальный например…
При этом я не отрицаю, что данное дело не может быть образцом судебной практики, приговоры виновным слишком уж разные, что странно.wataru
06.12.2018 17:01но еще и по 174 (легализация)
Легализация чего? Если не было мошеннечества, то и нет никакой легализации.
Кроме того, наличие или отсутствие ущерба как правило определяется экспертами, а не потерпевшим.
Да, а то потерпевшие, как тут, могут отказаться давать показания или вообще выступать в защиту обвиняемого, а эксперты — они родные, почти ручные совсем, все что как надо установят.
Суд в итоге установил, что они похитили больше 30 млн. руб
Из материалов дела, похитили они эти деньги предоставляя услуги надлежещего качества по ценам ниже среднерыночных. Да, кстати, сумма ущерба — все заплаченные за услуги деньги, а не мошеннеческая наценка. Иначе на нужный размер ущерба не накопится.
То, что потерпевшие потом где-то «официально заявляли»
Не потом. Ходатайство следствию от представителя "потерпевших" о том, что цены услуг ниже среднерыночных и претензий к качеству услуг нет. Отказ выступать потерпевшим в суде. А вишенка на торте, когда защита хотела представителя "потерпевших" вызвать свидетелем, суд, как обычно, отказал.
Denkenmacht
06.12.2018 19:02Я вам еще раз говорю, не считаю это дело образцовым, хотя в отличие от вас, я уж точно не буду судить о том, ручные ли эксперты и правильные ли выводы суд сделал. Вы просто видимо не в курсе, за что сейчас дают «легализацию».
А вас в принципе не мучает вопрос, почему ваш кумир получил условку в который раз, а его брат — реальный срок?wataru
06.12.2018 19:33А вас в принципе не мучает вопрос, почему ваш кумир получил условку в который раз, а его брат — реальный срок?
Меня много вопросов по поводу этого суда "мучает", но ответ на этот вопрос мне кажется очевидным: "Как бы чего не вышло". Побоялись посадить. Навальный, все-таки весьма публичная персона.
Была до этого еще замечательная история с другим
справделивымсудом Навального: дело Кировлеса. Тогда его реально посадили же и взяли под стражу прямо в суде. Правда много народу вышло на несанкционированный митинг. И во внезапном порыве гуманизма, после рабочего для, через несколько часов после вынесения приговора, прокуратура запросила отпустить Навального. Что примечательно, сделал это тот же самый прокурор, который настаивал на заключении под стражу на заседании. Потом в аппеляции заменили приговор на условный.
timoteo_cirkulera
06.12.2018 15:23Не только в России. Вон в США начали травлю популяризатора науки Лоуренса Краусса, якобы он руку положил на грудь какой-то женщины на вечеринке. Сама «жертва» говорит, что она не жертва, эксперты сказали, что рука на фото не лежит на груди, а просто висит. Но Краусса всё равно уволили.
wataru
06.12.2018 16:49Есть небольшая разница, все-таки, между уголовной судимостью с реальным сроком заключения и общественной травлей, вы не находите.
И что там за эксперты в истории с Крауссом? Было какое-то формальное разбирательство или только вой в интернетах?
CKOPOCTb
05.12.2018 17:25+2Я всегда, при покупке, переустанавливаю ОС. Так как реально надоело получать тонну ненужного предустановленного софта, а тем более такое. Увы, с утилитами для работы железа тоже много чего ненужного идет(((
loginsin
05.12.2018 18:16Так надо покупать ноутбук без ОС. Если ноутбук с Windows, то какой смысл за нее платить, а потом удалять?
Q2W
05.12.2018 18:42-1Активировать всё равно можно по серийнику с наклейки на ноуте.
AbstractGaze
05.12.2018 19:32Вам бы актуализировать информацию, а то она уже несколько лет как не актуальна.
Q2W
06.12.2018 00:12Активировал Win7 на ноуте asus жены серийником винды с моего lenovo год или два назад последний раз.
Не думаю, что не смогу сделать это повторно.CKOPOCTb
06.12.2018 01:13Ну уже серийники в биос зашивают. Так что установщик сам видит ключ. У меня был серийник для Home, и я перешил биос, чтобы убрать серийник, для pro версии.
Tufed
06.12.2018 10:41А без перешивки биоса апгрейд до Pro возможен? официальный установщик от MS видит в биосе ключ для Home и упрямо ставит именно Home версию. Дать пользователю выбор? Нет не слышали. Как потом апнуться то?
CKOPOCTb
06.12.2018 13:59Вот я тоже это не понимаю. Может уже в системе можно новый ключ ввести и она апгрейдится. Но это костыль…
epee
07.12.2018 17:20не может, а так и есть на Win 10 это System -> Change Product key…
ну или искать в настройках Activation
я так предустановленую Win 10 Home на Win 10 Pro менял
Q2W
07.12.2018 10:37Вот мой виндовый серийник от ноута thinkpad подходит на такую же винду на любом ноуте.
vaslobas
05.12.2018 19:05Не все ноуты идут без винды. Бывает, что нет просто возможности купить ноут с дос/линукс на борту.
TimsTims
06.12.2018 01:06+1Не все ноуты идут без винды
Да это так, но вы можете в магазине отказаться от винды, вам отформатируют диск, и сделают скидку примерно в 2000р (стоимость лицензии), оторвут стикер. По закону вы можете отказаться от навязываемой вам ОС.iig
06.12.2018 14:10-1По закону вы можете отказаться от навязываемой вам ОС
Не думаю. Ноут с предустановленной ОС это не дополнительный сервис магазина (от этого можно и нужно отказываться), а отдельная единица учета. Можете попробовать отказаться от блока питания к ноутбуку (у вас, к примеру, есть уже) и потребовать скидку.
ЗЫ: Ага, увидел. Производитель может продавать ноутбуки в любой комплектации, с ОС и без.
Магазин может продавать только то, что есть на складе.по квитанции корова рыжая одна, брали мы ее одну по квитанции, сдавать будем одну, чтобы не нарушать отчетности.
Nick_Shl
05.12.2018 19:40Удаляя Windows вы не лишаетесь лицензии и права ее использовать.
Ваше выражение звучит как "Зачем покупать, если можно украсть".shalm
05.12.2018 20:34+1Странно, что до сих пор не появилась религия, запрещающая использовать лицензионное ПО, никто никогда такое бы не сказал, чтоб чувства не оскорбить
Nick_Shl
06.12.2018 15:55Странно, что до сих пор не появилась религия, запрещающая покупать вещи в магазине(а только брать бесплатно). Вот только я сомневаюсь, что приверженцы такой религии могли бы выходить из магазина не заплатив и никто никогда им бы ничего не сказал, чтоб чувства не оскорбить.
shalm
06.12.2018 19:56Или время не пришло или люди не верят, что такое возможно, а вот компов и ноутов с максималкой я видел немеряно, и что интересно, на каждом втором наклейка есть. Никто из их хозяев не считает себя вором, не испытывает угрызений совести перед Билом и не раскаивается в содеянном, более того многие попытаются доказать, что их пиратка даже лучше Вашей лицухи. Почва есть, потенциальных последователей не счесть, а где мессия и религия не понимаю.
Nick_Shl
06.12.2018 20:14Одно дело красть для себя втихаря, и совсем другое пропагандировать воровство на сайте международного уровня.
Уверен, что те же люди о которых вы пишете на референдум по отмене всех налогов бежали бы сломя голов и голосовали бы за их отмену совсем не задумываясь о последствиях.shalm
06.12.2018 20:27Вам надо расслабиться, у меня юмор такой, как я могу пропагандировать сидя на лицензионной про десятке и ноут рядом лежит с наклейкой, при том что там стоит убунта?
Нашим людям налоги параллельны, половина работающего населения неизвестно как себя обеспечивает согласно статистике, скажем так -уже проголосовало за на вашем референдуме
shalm
05.12.2018 20:20Видел много раз в оптовых прайсах ноутбуки с windows дешевле чем без неё та же модель.
uzverkms
06.12.2018 10:49Если нужна Win Pro, то юридически покупать без ОС и затем устанавливать свою — ощутимо дороже. Физ лицо не имеет права ставить дешевую OEM винду (140 USD), только коробочную (300 USD).
SantaCluster
07.12.2018 10:46но он имеет право купить комп без ОС и поставить туда легитимный Линукс и|или "чёрта лысого"
khanid
06.12.2018 10:59Я столкнулся с тем, что высокопроизводительные ноуты предпочитаемой марки часто идут только на винде, хотя я от доса/линухи/безсистемки нос не воротил бы.
Хотя с текущией политикой ms может быть и неплохо сохранить систему — с win 7 home на win 8 pro (до 8.1 даже и не пытался использовать, на самом деле), например, переход стоил всего 400 рублей.
На десятку я не перешёл. Если в будущем что-то нормальное выпустят, что мне понравится — может снова вернусь к винде. А пока или федора, или 8.1.
Иметь полноценную винду на борту второй системой — почему бы и нет?
tbp2k5
06.12.2018 01:10+1В случае Lenovo с Windows вам это не поможет (их гумус автоматически и незаметно возвращается даже после переустановки с нуля): www.theregister.co.uk/2015/08/12/lenovo_firmware_nasty
У этой фирмы серьезные проблемы в корпоративной культуре.
Nick_Shl
05.12.2018 19:38Amazon даёт скидку $20 на свои Kindle, если пользователь соглашается на просмотр рекламы.
На что-то $20, а на что-то $15(Fire 7 например). Отключить эту рекламу можно как за деньги, так и бесплатно если вы живёте за пределами США. Давным давно статья была на Хабре про это. И это до сих пор работает.
Anshi85
05.12.2018 20:42У меня где то в шкафу валяется планшет трансформер lenovo miix 2 10, получается не только Microsoft знает, о том какие сайты для взрослых я предпочитаю, но и Lenovo. Ладно мне не жалко.
arheops
05.12.2018 22:09Ну вот у меня x220 купленный на территории США в данный период. И как получить компенсацию?
UPDATE На x220 не ставилося, тоесть никак. Но все равно вопрос, что делать тем, у кого такие ноуты?
Svbakulin
06.12.2018 06:37+1… осталась при своём мнении, но выразила удовлетворение тем, что ...
И потом они удивляются почему хуавеи с зте банят.
Леново грубейшим образом вторглась в личные дела своих покупателей и намерянно создала для них огромную угрозу. И кто знает сколько злоумышленников этив воспользовались — это не проследить.
Это недопустимо и непростительно не под каким соусом. А тут же компания продолжает утверждать что она вообще ничего плохого не сделела… Поудмаешь мы полностью наплевали на ваши права и выставили всю вашу информацию напоказ, тоже мне делов…
Похожу это нормально для китайских компаний.prs123
06.12.2018 10:56А остальные производители софта и железа такие белые и пушистые и их продукция работает идеально, без ошибок, не имея возможности для взлома?
sved
06.12.2018 08:43Я может чего-то не понимаю, но разве они не должны кого-то из руководства посадить? Ведь это ж чистой воды уголовка!
Svbakulin
06.12.2018 10:07уголовные дела — как правило намеряный и существенный вред или угроза индивидуму или обществу в целом. Это в совершенно другом измерении находится.
sved
07.12.2018 00:02По-моему, вред как намеренный так и существенный. Если я кого-нибудь взломаю и установлю зловред на миллионе компьютеров, меня наверняка посадят. Не понимаю почему для леново всё сошло с рук
teecat
06.12.2018 11:19Увы. Если помните, когда выходила Windows 10 — сколько было шума про отслеживание трафика и передачу данных на сервера Microsoft? И что было заявлено регулятором на официальный запрос? Пользователь принимает условия использования ОС, поэтому нарушения законов нет. Вот если бы он не принял и ему установили слежку — тогда нарушение.
Так и тут. Закона с запретом устанавливать следящее ПО нет? Нет. Да Верховный суд выпустил проект документа, в котором рассматривается законность слежки. И написано там, что она возможна, если пользователь уведомлен. А пользователь купил и тем самым согласился. «Начиная использовать наш… вы тем самым соглашаетесь… использовать»
И вопрос скатывается в вопросы морали и готовности суда назначить компенсацию за моральный ущерб.
Грусть и печаль. И самое печальное, что последние полгода наблюдается активное лоббирование вопроса о свободной продаже собранных персданных. Типа в целях развития бизнеса
khrundel
06.12.2018 08:56Чего-то вообще мало. Не забашляла ли Леново адвокатской конторе, подававшей иск?
Svbakulin
06.12.2018 10:12ну подумайте прежде чем такие глупости писать: пришлось бы очень много забашлять, просто катастрофически много. Контора и все ее адвокаты потеряют лицензии когда это вскроется, скорее всего навсегда. Зарабатывают они скорее всего много, всяко гораздо больше 8М в год. нужно хотя бы лет 20-25 вперед всем заплатить чтобы это имело какой либо экономический смысл. А не вскрыться этому будет сложно просто потому что на этом можно совершенно законно заработать.
khrundel
06.12.2018 21:22+1Точно, как я забыл, преступления же не окупаются, поэтому они и не происходят.
Коррупция есть везде, где-то наглая, где-то не очень. Иногда деньги в чемоданах не таскают, а используют хитрые схемы, разбираться с которыми ни у кого нет желания.
Приведу пример. Вот есть такой человек по имени Эл по фамилии Гор. В 2000м году он баллотировался в президенты США и, как положено, задекларировал своё имущество. Было меньше 2х миллионов долларов. В 2013м году его состояние Форбс оценил в 300 миллионов, и это «консервативная оценка». Чтоб добиться такого успеха нужно увеличивать состояние в полтора раза каждый год. Неплохая прибыльность даже для опытного инвестора. И это если он не потратил часть своих денег на избирательную кампанию, и с учётом того, что до этого всю жизнь занимался политикой, а после президентской кампании боролся против глобального потепления. Источники денег известны, он работал свадебным генералом в Apple и Google и получил немного опционов. Он заработал около 25 миллионов на алармистском фильме про глобальное потепление. Но самый большой куш он получил от продажи кабельной телекомпании. Вот так вот просто, не какой-нибудь фейсбук там придумал, обычной кабельной сети, коих в США вагон и маленькая тележка, и которую он соосновал в 2004м и которая, несмотря на финансовые трудности и постоянные смены формата вдруг стала стоить полмиллиарда долларов в 2013. Ну, наверное, счастливый покупатель уже отбил вложения, раз компания так быстро растёт? Нет, покупателем был канал Аль Джазира, который принадлежит Катару, т.е. отследить источник денег невозможно. И Аль Джазира начала с капитальной переделки канала, декларируя грандиозные планы, но через пару лет тихо закрыла его. Что это было, удачная бизнес сделка для Гора и ошибка арабов или взятка от ОПЕК человеку со связями, который ставил палки в колёса фрекингу? Как определить? Кто возьмётся расследовать?
Вот и с этими ребятами так же. Переговоры с Леново вёл ограниченный круг лиц, что они там обсуждали? Деньги в коробке из под ксерокса никто не передавал, просто Леново, например, сделает пожертвование в благотворительный фонд, принадлежащий некоему политику. Это выгодно, на благотворительность можно налоги списывать. Политик часть этих денег потратит на выборы (иногда в штабе политика работают волонтёрами люди, которые при этом получают зарплату в его благотворительном фонде), часть переведёт «на благотворительность», т.е. так же заплатит взятку в фонд другого политика. Ну а за щедрое пожертвование от Леновы этот политик окажет какую-нибудь услугу фирме, интересы которой представляют как раз эта адвокатская контора, и контора получит хороший гонорар. Формально всё гладко, интересы клиентов защищены, требования удовлетворены, за сознательное нарушение безопасности личных и финансовых данных пользователи получат по 10 долларов на нос. Адвокатская контора получит обычное вознаграждение. Леново не передаст никаких денег адвокатам противников, не наймёт эту контору, так что конфликта интересов нет.
Dioxin
06.12.2018 09:14Lenovo заплатит владельцам ноутбуков компенсацию $8,3 млн
Видимо эту сумму уже отбили с лихвой
Beaglz
06.12.2018 12:49Это хорошая новость, но компенсация мизерная.
Я вживую видел как суперфиш модифицирует трафик на моем собственном проекте,
внедряя в него рекламу конкурентов с учетом специфики сайта. Верстка при это не щадилась.
Itachi261092
06.12.2018 22:24Помню как мне выдали в институте учебный ноутбук серии EDGE (E330) и я сразу же после запуска заметил кучу странного софта, распиханного как типичные Malavare. Один из них убивал стандартный просмотрщик фотографий Windows (он просто падал при листании картинок) второй был этот самый Superfish, который встраивался в траффик браузера и отслеживал запросы. Я сразу обратил на эту фигню внимание и даже обратился к руководству ВУЗа с претензией что на этих ноутбуках стоит зловредное ПО из коробки сразу от производителя, но делать с этим что-либо (сносить систему, ставить чистый образ винды, или пытаться убить текущие зловреды) мне запретили и сказали «либо пользуйся как есть, либо сдавай ноутбук обратно если не нужен»… С тех пор я принял аксиому, что компании Lenovo доверять нельзя и никогда никому не советовал их продукцию. Только удар по карману может научить такие компании как вести себя с пользователями.
Q2W
07.12.2018 10:53Проблема в том, что эта компания взяла в заложники линейку ноутов thinkpad.
И хоть данная конкретная проблема этой линейки не коснулась, хоть виндой люди, которым дорога информация на ноуте, стараются не пользоваться, а шпионилка только под винду, от этого не особенно легче.
EskakDolar
Каждому!