Quick Talk

Resumo da encrenca:

A imprensa de tecnologia norte-americana teve um prato cheio nos últimos dias desde que se tornou público que a Lenovo pré-instalava em uma linha de notebooks vendidos nos EUA um adware chamado Superfish que interferia com a navegação do usuário exibindo propaganda. Mas o que parecia apenas mais um adware pernicioso mostrou ser um autêntico malware. Uma massiva violação de segurança e confiança que ainda deve dar muita dor de cabeça para a Lenovo (e provavelmente levar a Superfish à falência, antes ou depois da investigação criminal) quando uma olhada mais atenta no adware mostrou que a Superfish fez coisas de deixar qualquer analista de segurança de cabelos em pé e já rendeu até alertas da Homeland Security e do CERT para que o software fosse removido de todos os notebooks:

• A Superfish instalou um certificado raiz auto assinado que permite a ela gerar certificados falsos em nome de qualquer site;
• A Superfish usa esses certificados e um proxy para poder interceptar as conexões HTTPS do usuário. Nem bancos escapam. E para o browser tudo está normal. Cadeado fechado e tudo mais enquanto a Superfish observa todo o seu extrato bancário;
• A Superfish usou o mesmo certificado raiz com a mesma chave privada em todos os notebooks. Assim mesmo que a Superfish fosse uma empresa com boas intenções (HAHAHA) qualquer um com acesso à chave privada do certificado  poderia bisbilhotar silenciosamente o acesso bancário de qualquer usuário Lenovo, sem levantar qualquer alerta, bastando estar no caminho do tráfego (o operador de um provedor WiFi, por exemplo);
• A Superfish protegeu de forma ridícula a senha da chave privada e em três horas um especialista em segurança descobriu a senha: “komodia”. Dessa forma o exploit do item anterior deixa de ser teórico para ser real.

Note que acima eu pareço apenas me preocupar com transações bancárias, mas é só um exemplo. Obviamente o fato da Superfish poder ler meus emails no gmail, interceptar meu login em blogs, foruns e todas minhas compras na internet, incluindo os dados de cartão de crédito, não deve ser ignorado.

Minha preocupação:

A princípio isso deveria ser apenas uma curiosidade, porque afeta apenas usuários de determinados modelos de notebooks Lenovo vendidos nos EUA e spyware já se tornou algo tão comum que eu nem perco mais meu sono com isso. Mas o que a Superfish conseguiu fazer é tão absurdo que eu nem achei que fosse possível. Um certificado raiz auto assinado? Quer dizer que qualquer um com acesso ao computador pode criar sua própria Serasa-Experian ou Certisign? Certificados raiz são um troço muito sério e não poder confiar no protocolo HTTPS é “fim de jogo” para qualquer um que use a internet para coisas sérias.

Qual a dificuldade para se instalar isso remotamente via malware? É possível instalar o certificado silenciosamente desde que se tenha a senha de administrador? Infelizmente o Windows não oferece qualquer granularidade de permissões (ou você é administrador ou limitado) e o administrador pode fazer qualquer coisa na máquina. Seria bom se o Windows mostrasse uma janela de permissões como o Android mostra, dizendo (quase) tudo o que o software pretende fazer, mas acho que isso está longe de acontecer. Então você instala (por exemplo) um software que se diz um editor de imagens, dá permissão a ele porque supõe que seja só para instalar os hooks necessários no Explorer e ele acaba instalando um certificado raiz?

Ou o Windows pelo menos abre uma janela de confirmação ao instalar o certificado que não pode ser clicada automaticamente? Isso não vai proteger o usuário-palerma-médio, mas se nem o usuário que sabe o que está fazendo é informado, estamos **didos!

Vou ficar perturbado com essa questão até ter certeza…

Notas:

• Alguns antivirus já fazem interceptação HTTPS “legitima”, supostamente para proteger você de malware em sites assim, mas eu não estou certo de que gosto da idéia. No momento isso não é preocupação para mim porque até o Windows Defender eu desliguei. Antivirus atrapalham demais meu trabalho.
• A Microsoft reagiu com surpreendente rapidez e o Windows Defender já remove (ou tenta remover) o Superfish. Enquanto isso (não sei se me espanto ou não) os desenvolvedores do Firefox ainda (21/02) discutem se devem fazer alguma coisa. A Microsoft remove o certificado depositado no repositório do Windows, mas o Firefox tem o seu próprio repositório, também comprometido, que a Microsoft compreensivelmente parece não se atrever a tocar.
• Este site supostamente é capaz de detectar se você tem o Superfish ou outro “sequestrador de SSL” instalado. Se na caixa no meio da página estiver escrito “YES”, você tem um problema para resolver. Precisa testar com todos os seus browsers.