Computerbouwers hebben niks met veiligheid

Superfish

Lenovo had al eens een akkefietje met spiewaar…

Sinds Edward Snowden de lont heeft gestoken in het NSA-kruitvat zijn allerlei techbedrijven bezig (of zeggen bezig te zijn) de veiligheid van je computer te verbeteren, zodat geen onbevoegden je rekentuig kunnen overnemen of binnendringen. Uit een onderzoek van het veiligheidsbedrijf Duo Security blijkt dat computerbouwers daar niet echt mee bezig zijn. De geteste computers kwamen van HP, Dell, Lenovo, Acer en Asus. Volgens het bedrijf hadden alle geteste computers van deze fabrikanten ernstige veiligheidsproblemen, waardoor derden tijdens het bijwerken van de programmatuur met op de computer geinstalleerde programma’s derden de kans gaven toegang te krijgen om, bijvoorbeeld kwaadaardige programmatuur te installeren of het apparaat geheel over te nemen. 

Je verdediging is net zo sterk als de zwakste schakel en die schakel lijkt de al op de computer geïnstalleerde bijwerkprogrammatuur te zijn. Zo zijn de verbindingen via welke de updates worden opgehaald niet beveiligd via https en is de certificatie en verificatie van de overgestuurde bestanden niet in orde. Dat maakt het mogelijk voor de aanvaller zich in dat dataverkeer te mengen en andere dan de door de gebruiker gedachte bestanden naar de zich bijwerkende computer te sturen. Daar helpen geen McAfees of Nortons aan, aangezien die updateprogramaa’s en -procedures als veilig worden beschouwd.
“Er zijn heel wat manieren om kwaad aan te richten”, zegt Darren Kemp van Duo Security. “Je kunt dan zo’n beetje alles wat de beheerder van de computer ook kan/mag.” De vijf onderzochte fabrikanten zijn enigszins willekeurig gekozen (de merken worden wel veel gekocht), maar de onderzoekers zijn er van overtuigd dat het bij de niet onderzochte computers niet beter zal zijn, alhoewel ze veronderstellen dat Apple zijn zaken beter voor elkaar heeft (waarom onderzoek je die dan niet?). “Dit is een van de gevallen waarbij Apples ommuurde tuin werkt. Je krijgt alleen Appleprogrammatuur en het is dus makkelijker de vinger aan de pols te houden.”

Firmware

Het gaat hierbij om de programmatuur die de fabrikant op de computer installeert om op te starten, het besturingsprogramma te laden en de stuurprogramma’s bij te werken, de zogeheten firmware (letterlijk firmawaar). De onderzoekers vonden twaalf lekken bij de vijf fabrikanten en elk fabrikaat had minstens één ernstige kwetsbaarheid in zijn updateprogramma. Van de vijf fabrikanten was de programmatuur van Dell het veiligst. Het werkt met https, maar ‘ondertekent’ het zogeheten manifestbestand niet (het bestand met de gegevens van de update). Daar zitten mogelijkheden voor een aanvaller. De bestanden die overgestuurd worden, worden dan weer wel geverifieerd op geldig certificaat. HP doet het ook aardig, maar ‘ondertekent’ ook de manifestbestanden niet. Lenovo had twee kanten. Het bedrijf leverde twee bijwerkprogramma’s, waarvan het ene de beste is dat de onderzoekers tegenkwamen (Lenovo Solutions Center), het tweede (UpdateAgent) een van de slechtste. Acer ondertekende de bestanden wel, maar liet die niet door het programma controleren. Ook de manifestbestanden werden niet ondertekend. Asus was nog slechter qua veiligheid. Het bijwerkprogramma rammelde zo erg dat de onderzoekers het als een uitnodiging zagen voor aanvallers om de computer van afstand over te nemen. Als de vijf fabrikanten https hadden gebruikt en hadden gewerkt met certificaten en verificatie op een juiste wijze dan zou er al veel gewonnen zijn geweest, stellen de onderzoekers.

De reacties van de fabrikanten waren verschillend. HP was al bezig de lekken te dichten. Lenovo had het makkelijk: die verwijderde UpdateAgent. Ondanks dat de onderzoekers al meer dan vier maanden geleden hadden gemeld, bleef het van de kant van Acer en Asus stil. Ze gaven niet aan hoe ze de kwetsbaarheden zouden verwijderen.

Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.