Alfonso Maruccia

Superfish si muove ancora

Lo scandalo del bloatware installato sui portatili Lenovo si fa sempre più complesso: l'azienda e le autorità riconoscono il problema, l'industria reagisce e gli utenti avviano una class action. Superfish, invece, si scrolla di dosso ogni responsabilità

Roma - Se Lenovo era stata inizialmente restia a parlare di un problema sicurezza in merito a Superfish, l'adware installato su alcuni modelli di laptop consumer venduti dall'azienda, ora arriva lo US-CERT a togliere definitivamente ogni dubbio.

L'organizzazione USA anti-emergenze informatiche ha infatti classificato il bundle Superfish Visual Discovery come software contenente una vera e propria vulnerabilità di sicurezza, una Certificate Authority (CA) compromessa potenzialmente sfruttabile per intercettare tutto il traffico Web cifrato su protocollo HTTPS. Il bug potrebbe in teoria permettere a un malintenzionato di impersonare qualsiasi sito Web, avverte lo US-CERT, e quel che è peggio al momento soluzioni ufficiali al problema non ce ne sono.

Lenovo, nel frattempo, ha aggiornato la propria posizione su Superfish, fornendo un tool per l'eliminazione automatica dell'adware vulnerabile accanto alle istruzioni per la rimozione manuale già fornite nei giorni scorsi. Lenovo ammette finalmente che il bundle Superfish costituisce un rischio di sicurezza concreto per gli utenti, dicendo di essere al lavoro con McAfee e Microsoft per mettere in quarantena il certificato incriminato con le tecnologie migliori a disposizione nell'industria.
Tutto è bene quel che finisce bene? Neanche a parlarne: Windows Defender è stato aggiornato per identificare ed eliminare il rischio Superfish, ma non è detto che l'operazione di pulizia abbia sempre successo. Problematica è in tal senso la scoperta di certificati vulnerabili sui software di rete di Mozilla (Firefox e Thunderbird), che in teoria dovrebbe fare affidamento su un archivio di certificati separato da quello di Windows e che ora sta pensando di invalidare i certificati compromessi.

Superfish, da parte sua, nega le responsabilità nella diffusione della nuova minaccia alla sicurezza dei PC: il software è sicuro e le responsabilità della vulnerabilità sono imputabili a un'azienda di terze parti, dice il CEO della società: si tratta di una tecnologia (un "SSL hijacker" sviluppato da Komodia) che tra l'altro viene correntemente usata in più di una decina di programmi per computer, qualche malware e persino due utility di sicurezza o presunte tali.

Dopo un momento di incertezza iniziale, Lenovo dice ora avere a cuore la sicurezza dei suoi utenti e di aver imparato una lezione importante dal fattaccio di Superfish. C'è però chi potrebbe decidere di partecipare alla class action contro il colosso cinese in via di partenza negli USA.

Alfonso Maruccia
Notizie collegate
  • SicurezzaLenovo: Superfish puzzaLa corporation cinese nella bufera per il bloatware installato sui portatili consumer, un software che viene prima indicato come sicuro e poi relegato a componente indesiderato con tanto di istruzioni per la rimozione. Lenovo si scusa e promette di studiare a fondo la questione
  • SicurezzaLenovo, bloatware con vulnerabilitàLa corporation cinese colta a distribuire laptop con un controverso software installato di default. Quel che è peggio, potenzialmente pericoloso per la sicurezza del sistema. Proprio mentre BSA dimostra la correlazione tra software pirata e rischi per l'utente
30 Commenti alla Notizia Superfish si muove ancora
Ordina
  • - Scritto da: il solito bene informato
    > ... aspetta, l'ho preso senza OS
    anche senza bios...A bocca aperta
    non+autenticato
  • Capisco il problema del certifica falso, della questione Komodia che si occupa di (in)sicurezza da diversi anni, e di tutta la banda stretta o larga che sia, ma resta sempre una domanda nell'aere ...

    Perché dovrei avere sul mio computer personale, un software preinstallato chiamato "superpesce" e soprattutto ... chi è il superpesce in questione ?
    non+autenticato
  • - Scritto da: Luppolo
    > Capisco il problema del certifica falso, della
    > questione Komodia che si occupa di (in)sicurezza
    > da diversi anni, e di tutta la banda stretta o
    > larga che sia, ma resta sempre una domanda
    > nell'aere
    > ...
    >
    > Perché dovrei avere sul mio computer personale,
    > un software preinstallato chiamato "superpesce" e
    > soprattutto ... chi è il superpesce in questione
    > ?

    Tu hai gia' del software preinstallato sul tuo computer personale.
    Sia esso superpesce o finestra.
    C'e' perche' c'e', e tu lo devi pure pagare.

    Sono anni che qui andiamo predicando della necessita' che si venda il ferro crudo e il sistema operativo venga venduto a parte!
  • - Scritto da: panda rossa
    > - Scritto da: Luppolo
    > > Perché dovrei avere sul mio computer
    > personale,
    > > un software preinstallato chiamato
    > "superpesce"

    >
    > Sono anni che qui andiamo predicando della
    > necessita' che si venda il ferro crudo e il
    > sistema operativo venga venduto a
    > parte!
    gia'!
    E la cosa grave e' che ci sono UTENTI che la vedono cosi' -> http://punto-informatico.it//4227440/PI/News/super...
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: panda rossa
    > > - Scritto da: Luppolo
    > > > Perché dovrei avere sul mio computer
    > > personale,
    > > > un software preinstallato chiamato
    > > "superpesce"
    >
    > >
    > > Sono anni che qui andiamo predicando della
    > > necessita' che si venda il ferro crudo e il
    > > sistema operativo venga venduto a
    > > parte!
    > gia'!
    > E la cosa grave e' che ci sono UTENTI che la
    > vedono cosi' ->
    > http://punto-informatico.it//4227440/PI/News/super

    Vabbè ... lasciali perdere, io sul computer ho LMDE quindi niente finestre e nemmeno superpesci.

    D'altra parte siccome cerco di essere obiettivo su certe cose, devo dire che tra il mio vecchio Windows 7 (pulito), con Firefox, Libreoffice e Cygwin, oltre che la suite di Visual Studio Express, che mi ha fatto guadagnare diversi eurini grazie ad un programma su commissione, e qualsiasi superpesce (sporco) c'è una grandissima differenza.
    non+autenticato
  • - Scritto da: Luppolo
    > - Scritto da: bubba
    > > - Scritto da: panda rossa
    > > > - Scritto da: Luppolo
    > > > > Perché dovrei avere sul mio computer
    > > > personale,
    > > > > un software preinstallato chiamato
    > > > "superpesce"
    > >
    > > >
    > > > Sono anni che qui andiamo predicando della
    > > > necessita' che si venda il ferro crudo e il
    > > > sistema operativo venga venduto a
    > > > parte!
    > > gia'!
    > > E la cosa grave e' che ci sono UTENTI che la
    > > vedono cosi' ->
    > >
    > http://punto-informatico.it//4227440/PI/News/super
    >
    > Vabbè ... lasciali perdere, io sul computer ho
    > LMDE quindi niente finestre e nemmeno superpesci.
    >
    >
    > oltre che la suite di Visual Studio
    > Express, che mi ha fatto guadagnare diversi
    > eurini grazie ad un programma su commissione.

    Ma non è illegale vendere software creato usando la suote Express ?
    Occhio...
    non+autenticato
  • - Scritto da: 735040
    > - Scritto da: Luppolo
    > > - Scritto da: bubba
    > > > - Scritto da: panda rossa
    > > > > - Scritto da: Luppolo
    > > > > > Perché dovrei avere sul mio
    > computer
    > > > > personale,
    > > > > > un software preinstallato
    > chiamato
    > > > > "superpesce"
    > > >
    > > > >
    > > > > Sono anni che qui andiamo
    > predicando
    > della
    > > > > necessita' che si venda il ferro
    > crudo e
    > il
    > > > > sistema operativo venga venduto a
    > > > > parte!
    > > > gia'!
    > > > E la cosa grave e' che ci sono UTENTI
    > che
    > la
    > > > vedono cosi' ->
    > > >
    > >
    > http://punto-informatico.it//4227440/PI/News/super
    > >
    > > Vabbè ... lasciali perdere, io sul computer
    > ho
    > > LMDE quindi niente finestre e nemmeno
    > superpesci.
    > >
    > >
    > > oltre che la suite di Visual Studio
    > > Express, che mi ha fatto guadagnare diversi
    > > eurini grazie ad un programma su commissione.
    >
    > Ma non è illegale vendere software creato usando
    > la suote Express
    > ?
    no...... (cmq era completamente OT ...)
    non+autenticato
  • - Scritto da: 735040
    > - Scritto da: Luppolo
    > > - Scritto da: bubba
    > > > - Scritto da: panda rossa
    > > > > - Scritto da: Luppolo
    > > > > > Perché dovrei avere sul mio
    > computer
    > > > > personale,
    > > > > > un software preinstallato
    > chiamato
    > > > > "superpesce"
    > > >
    > > > >
    > > > > Sono anni che qui andiamo
    > predicando
    > della
    > > > > necessita' che si venda il ferro
    > crudo e
    > il
    > > > > sistema operativo venga venduto a
    > > > > parte!
    > > > gia'!
    > > > E la cosa grave e' che ci sono UTENTI
    > che
    > la
    > > > vedono cosi' ->
    > > >
    > >
    > http://punto-informatico.it//4227440/PI/News/super
    > >
    > > Vabbè ... lasciali perdere, io sul computer
    > ho
    > > LMDE quindi niente finestre e nemmeno
    > superpesci.
    > >
    > >
    > > oltre che la suite di Visual Studio
    > > Express, che mi ha fatto guadagnare diversi
    > > eurini grazie ad un programma su commissione.
    >
    > Ma non è illegale vendere software creato usando
    > la suote Express
    > ?
    > Occhio...

    La suite express è incompleta e non ti dà il supporto.

    D'altra parte al cliente vanno i sorgenti che vanno bene ovunque e da lì in poi sono affari suoi.

    Giuro comunque che dopo il primo miliardo di dollari che farò con il software .NET comprerò la suite completa di Microsoft ( e anche un computer nuovo).
    non+autenticato
  • leggevo threads su arstechnica... qualcuno parla di M$, ma in genere "ragionano" su quanto segue.... che ingenui.
    M$ e' contenta che gli OEM installino del crapware... serve a contenere i prezzi e a spacciare piu' preinstallati.

    "
    HEL>>> How is it that Microsoft, after years of carefully controlling OEMs, has just walked away? Of the viable "desktop" platforms, windows machines are the only ones that come preloaded with all kinds of awful. Both Apple and Google already advertise their clean install environment as "more secure".

    HEL>>> At some point, this is going to cut into Microsoft's market share. I'm not a windows fan, but it seems like MS is the only grown-up in the PC world big enough to lean on these bozos. Or has MS just walked away from the PC market?


    DOX>> Microsoft can't control what comes installed on a computer especially not after the monopoly trials and the us and all the restrictions put on them in Europe.

    DOX>> What Microsoft could do is make a clean install certification. If a vendor doesn't install anything but vanilla windows they get certified. Any company that fils the pc with garbage doesn't. They could even put up a warning on first boot that says this pc isn't certificate and may be insecure, or something to that nature.

    DOX>> All that being said you absolutely can't blame Microsoft for other vendors being assholes.


    SIX> True, Microsoft can't control third-party crapware installation.
    SIX>
    SIX> But they can certainly revoke their OEM contract pricing for truly egregious offenders, or make it automatically void if, for example, they're caught installing Komodia-derived products.

    SIX> Manufacturers install this crap because they get paid to do so; margins in the industry are razor-thin, and even pennies per unit helps the bottom line. Cut into those light profits some other way, and this sort of thing will stop in a heartbeat.
    "
    non+autenticato
  • 1) qui si parla di un software terzo messo dal produttore
    2) nella classifica distinguno tutte le versioni di windows, ma non quelle di linux ed OSX....
  • oltre al resto aggiungiamo un pizzico di complottismo....

    Forbes se ne esce con questo commentino :
    <... In a brief email conversation with Barak Weichselbaum, Komodia’s founder who was once a programmer in Israel’s IDF’s Intelligence Core, he said the company was not ...>
    non+autenticato
  • In generale a chi piace mettere mano al software del proprio computer con windows consiglio i seguenti tools microsoft per il debugging:

    https://technet.microsoft.com/it-it/sysinternals/b...

    Se qualcuno esperto di Linux aggiungesse i link per questo OS sarebbe cosa gradita.

    Se qualcuno esperto di Apple aggiungesse i link per il suo OS sarebbe cosa gradita. Anche se per gli utenti Apple è Apple stesso che si occupa della loro sicurezza ... paghi un pò di più ... A bocca aperta
    non+autenticato
  • - Scritto da: prova123
    > In generale a chi piace mettere mano al software
    > del proprio computer con windows consiglio i
    > seguenti tools microsoft per il
    > debugging:
    >
    > https://technet.microsoft.com/it-it/sysinternals/b
    >
    > Se qualcuno esperto di Linux aggiungesse i link
    > per questo OS sarebbe cosa
    > gradita.
    >
    > Se qualcuno esperto di Apple aggiungesse i link
    > per il suo OS sarebbe cosa gradita. Anche se per
    > gli utenti Apple è Apple stesso che si occupa
    > della loro sicurezza ... paghi un pò di più ...
    >A bocca aperta

    Gia'. Apple si occupa della loro sicurezza, invece sysinternals su che sito sta?

    Per quanto riguarda linux, una installazione base contiene gia' tutti gli strumenti per poter verificare l'integrita' del sistema operativo medesimo.
  • - Scritto da: panda rossa

    >
    > Gia'. Apple si occupa della loro sicurezza,
    > invece sysinternals su che sito
    > sta?
    >

    Con quei tools fai quello che serve...
    non+autenticato
  • - Scritto da: prova123
    > - Scritto da: panda rossa
    >
    > >
    > > Gia'. Apple si occupa della loro sicurezza,
    > > invece sysinternals su che sito
    > > sta?
    > >
    >
    > Con quei tools fai     facevi quello che serve...

    Fixed.

    Quando sysinternals era una agenzia indipendente, quei tools erano belli ed efficaci.
    Ma adesso sono EEE ed NSA compliant.
  • - Scritto da: panda rossa

    >
    > Quando sysinternals era una agenzia indipendente,
    > quei tools erano belli ed
    > efficaci.
    > Ma adesso sono EEE ed NSA compliant.

    Allora vorrà dire che EEE ed NSA mi permettono di risolvere molti problemi ... ehm ... causati da programmatori maldestriA bocca aperta

    In questo campo lascio lascio la fede ai fedeli, solo per non avere sgradite sorprese. L'importante è conoscere bene i nemici, una volta che sai come funzionano gli fai credere quello che vuoi e/o gli fai fare quello che vuoi.
    L'elusione è vincente non il contrasto, l'elusione ha un aspetto impagabile: ti rende invisibile al sistema. C'est la vie.Sorride
    non+autenticato
  • - Scritto da: prova123
    > - Scritto da: panda rossa
    >
    > >
    > > Quando sysinternals era una agenzia
    > indipendente,
    > > quei tools erano belli ed
    > > efficaci.
    > > Ma adesso sono EEE ed NSA compliant.
    >
    > Allora vorrà dire che EEE ed NSA mi permettono di
    > risolvere molti problemi ... ehm ... causati da
    > programmatori maldestri
    >A bocca aperta

    Non mi stupisco.
    Programmatori maldestri trovano ampio spazio di manovra in un sistema clicca clicca.

    > In questo campo lascio lascio la fede ai fedeli,
    > solo per non avere sgradite sorprese.
    > L'importante è conoscere bene i nemici, una volta
    > che sai come funzionano gli fai credere quello
    > che vuoi e/o gli fai fare quello che
    > vuoi.
    > L'elusione è vincente non il contrasto,
    > l'elusione ha un aspetto impagabile: ti rende
    > invisibile al sistema. C'est la vie.
    >Sorride

    E infatti l'elusione consiste nel non abboccare alle esche che questi seminano sotto forma di sistemi operativi preinstallati.
  • - Scritto da: panda rossa
    > - Scritto da: prova123
    > > - Scritto da: panda rossa

    > > > Quando sysinternals era una agenzia
    > > indipendente, quei tools erano belli ed
    > > > efficaci.
    > > > Ma adesso sono EEE ed NSA compliant.

    > > Allora vorrà dire che EEE ed NSA mi
    > > permettono di risolvere molti problemi
    > > ... ehm ... causati da programmatori
    > > maldestriA bocca aperta

    > Non mi stupisco.
    > Programmatori maldestri trovano ampio spazio
    > di manovra in un sistema clicca clicca.

    E che non fa controlli, e che non gestisce l'installazione e la disinstallazione, e che ti permette di scrivere ovunque nei dischi, e...

    > > In questo campo lascio lascio la fede ai
    > fedeli,
    > > solo per non avere sgradite sorprese.
    > > L'importante è conoscere bene i nemici, una
    > volta
    > > che sai come funzionano gli fai credere
    > quello
    > > che vuoi e/o gli fai fare quello che
    > > vuoi.
    > > L'elusione è vincente non il contrasto,
    > > l'elusione ha un aspetto impagabile: ti rende
    > > invisibile al sistema. C'est la vie.
    > >Sorride
    >
    > E infatti l'elusione consiste nel non abboccare
    > alle esche che questi seminano sotto forma di
    > sistemi operativi
    > preinstallati.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)