Yazılar

Lenovo bilgisayarlarda yeniden arka kapı tespit edildi

lenovo-bilgisayarlarda-yeniden-arka-kapi-tespit-edildiÇin’li bilgisayar üreticisi Lenovo’nun BIOS içerisine gizlediği rootkit zararlı yazılımı tespit edildi.

Daha önce Lenovo’nun sattığı bilgisayarlara Superfish ismindeki spyware yazılımını yüklediği ortaya çıkmıştı. Bu skandalın üzerinden çok geçmeden daha tehlikeli bir zararlı uygulamaya rastlandı. UEFI seviyesinde gizli olarak yerleştirilmiş rootkit Lenovo G50-80 marka yeni alınan bir laptopta tespit edildi. Tamamen temiz olarak baştan kurulan ve Lenovo ile gelen disklerle yüklemesi yapılan sistemde tespit edildi.

İşletim sistemi yeniden kurulduktan sonra ilk reboot işleminin ardından aşağıdaki gibi bir mesaj alınıyor;

“Note: This is from the product itself and not from the network. To help you continue to upgrade system firmware and software, in order to make your system more stable, safe and high performance, download and install the Lenovo system optimization software. The software download process needs to connect to the internet. Click here to read the Lenovo License Agreement LLA”

Bunun anlamı, BIOS işletim sisteminin yeniden kurulduğunu anlıyor ve tekrar sistemde arka kapı oluşturacak dosyaları kopyalamak için uyarıyı gösteriyor. Normal bir Windows sistemle farklılıklar karşılaştırıldığında çok sayıda değişiklik yapıldığı görülüyor. Sistemde LenovoCheck.exe ve LenovoUpdate.exe gibi dosyalar da bulunuyor. Bu dosyalardan biri silinse bile tekrar sistem reboot edildiğinde aynı mesaj gözüküyor ve dosyalar yeniden kopyalanıyor.

Servisler içerisinde “Lenovo Update” olarak gösterilen servisi kapatsanız bile tekrar otomatik olarak aktif hale getiriliyor. Cihaz internete bağlandığında ise Lenovo’ya bağlanarak bir .json dosyası üzerinden çeşitli veriler alıp gönderiyor. Bu işlem için ise SSL kullanılmıyor. Tamamıyla güvensiz olan bu yöntem sayesinde uzaktan sistemde kod çalıştırmak veya iletişimi izleyerek man-in-the-middle saldırılarında bulunmak mümkün.

Problemin çözümü için BIOS güncellemesi yapılması gerekiyor fakat öncesinde yeni ROM içerisinde “NovoSecEngine2” isimli modülün bulunarak kaldırılması gerekiyor. Bu işlemi yaparken dikkatli olmak gerekli çünkü laptop kullanılamaz hale gelebilir. BIOS yeniden yazıldıktan sonra c:\Windows\system32\autochk.exe dosyasını Lenovo’nun mu yoksa Microsoft’un mu imzaladığına bakarak rootkit’in aktif olup olmadığı anlaşılabilir. Alternatif olarak Lenovo’nun yayınladığı son BIOS güncellemesi de kullanılabilir fakat kontrol etmekte yarar var gibi gözüküyor.

Lenovo’nun konu ile ilgili açıklaması ise artık LSE denilen rootkit’in Lenovo cihazlarla birlikte dağıtılmadığı, eski cihazların ise BIOS güncellemesi yaparak kurtulabileceği yönünde oldu.

Lenovo marka thin client, desktop, laptop çeşidi çok sayıda bilgisayar Türkiye’nin en kritik kamu, özel sektör kuruluşlarında kullanılıyor. Rootkit’ten etkilenen Lenovo modelleri;

Lenovo Notebook

  • Flex 2 Pro 15 (Broadwell)
  • Flex 2 Pro 15 (Haswell)
  • Flex 3 1120
  • Flex 3 1470/1570
  • G40-80/G50-80/G50-80 Touch
  • S41-70/U41-70
  • S435/M40-35
  • V3000
  • Y40-80
  • Yoga 3 11
  • Yoga 3 14
  • Z41-70/Z51-70
  • Z70-80/G70-80

Lenovo Desktop

  • A540/A740
  • B4030
  • B5030
  • B5035
  • B750
  • H3000
  • H3050
  • H5000
  • H5050
  • H5055
  • Horizon 2 27
  • Horizon 2e (Yoga Home 500)
  • Horizon 2S
  • C260
  • C2005
  • C2030
  • C4005
  • C4030
  • C5030
  • X310(A78)
  • X315(B85)
  • D3000
  • D5050
  • D5055
  • F5000
  • F5050
  • F5055
  • G5000
  • G5050
  • G5055
  • YT A5700k
  • YT A7700k
  • YT M2620n
  • YT M5310n
  • YT M5790n
  • YT M7100n
  • YT S4005
  • YT S4030
  • YT S4040
  • YT S5030

Verileri şifreleyip şantaj yapan TeslaCrypt 2.0 baş belası yeni özelliklerle geliyor

verileri-sifreleyip-santaj-yapan-teslacrypt-bas-belasi-yeni-ozelliklerle-geliyorÜlkemizde de organize veya bireysel saldırılarda sıkça kullanılan Ransomware türü zararlı yazılımlardan TeslaCrypt ikinci versiyonuyla yenileniyor.

TeslaCrypt’ın yeni versiyonunda artık oyun dosyaları da şifreleniyor. Fakat asıl yenilik şifrelemede yapılan değişiklikler. Eskiye göre çok daha güçlü bir şifreleme bizi bekliyor. Bu versiyonda artık şifrelenen dosyaları açmak imkansız hale geliyor. TeslaCrypt artık kullanıcıya bildirimde bulunmak için bir arabirim yerine kopyaladığı HTML sayfasını kullanıyor.

Bulaşılan her PC için yeni bir anahtar üretiliyor. Yani eskisi gibi bir “master key” yardımıyla tüm şifrelenen verileri açmak mümkün değil. Elbette eski versiyonda bulunan ve güvenlik uzmanlarının verileri şifrelemesine yarayan açıklıkta giderilerek dosyalar kurtarılamayacak hale getirilmiş.

TeslaCrypt 2.0’ın diğer özelliklerine bakacak olursak;

  • Zararlı yazılım bulaştığı sistemden ödeme isterken her sistem için ayrı bir Bitcoin adresi oluşturuyor. Aynı şekilde her sistem için ayrı bir özel anahtar oluşturularak birbiriyle ilişkilendiriliyor
  • AES-256-CBC algoritmasıyla şifreleme gerçekleştiriliyor
  • 268 MB üzerindeki dosyalar şifrelenmiyor
  • C&C sunucuları Tor ağı üzerinde bulunuyor. Zararlı yazılım C&C sunucularıyla tor2web servisi aracılığı ile iletişim kuruyor
  • Şifrelenen dosyalar bilgisayar oyunları gibi çok sayıda şablona ve uzantıya göre seçiliyor
  • Diskteki Shadow kopyalar siliniyor
  • Kullanıcıya gösterilen pencerede yazılı RSA-2048 şifreleme algoritması aslında hiçbir yerde kullanılmıyor
  • TeslaCrypt 2.0’ın tamamı C++ ile yazılmış ve kripto fonksiyonları için ise OpenSSL kütüphanesi kullanılmış

SCADA sistemlere yönelik tehditler

SCADA terimi “Supervisory Control And Data Acquisition” kelimelerinin baş harflerinden oluşmuştur. Türkçe diline “Kontrol ve Veri Toplama Sistemi” olarak çevirilebilir. Haberleşme cihazları, bilgisayarlar, algılayıcılardan ve diğer tüm aygıtlardan oluşturulmuş hem denetlenebilen hem de kontrol edilebilen sistemleri tanımlar.

SCADA öyle kritik bir alan ki petrol, doğalgaz, nükleer güç, hidroelektrik, gaz yağı, kimyasal madde, boru hatları, elektrik gibi kritik altyapılara dair tüm alanlarda kullanılmakta. Buna rağmen SCADA ürünlerini hazırlayan firmalar güncel bilgi güvenliği tehditleriyle paralel bir gelişim göstermiyorlar. Geçmişte ve bugün siber savaşın önemli bir parçası olan SCADA bileşenleri her zamankinden daha önemli. Keşfedilen güvenlik açıkları ülkelerin ulusal güvenliklerini dahi tehdit edebiliyor.

SCADA sistemlerin normalde internete açık olmaması gerekirken biraz araştırıldığında ilginç veriler ortaya çıkabiliyor.

1997 yılında iki taneyle başlayarak keşfedilen SCADA güvenlik zafiyetleri sayısı yıllar içerisinde ciddi bir ivmeyle artarak devam ediyor.

scada-sistemlere-yonelik-tehditler-1

Üreticilere göre keşfedilen zayıflık sayısına baktığımızda Siemens liderliği elinden bırakmıyor.

scada-sistemlere-yonelik-tehditler-2

Yıllara göre bakıldığında internete açık SCADA sistemlerde dışarıdan tespit edilebilen güvenlik açıkları ciddi bir artış gösteriyor. Şu anda yaklaşık 146.000 kadar internetten erişilebilir SCADA sistem bulunuyor. Bu rakamlara göre Internetten erişilemeyen fakat iç ağdan gelebilecek tehditlere karşı savunmasız sistemlerin de ne derece ciddi sayılarda olacağını tahmin etmek mümkün. Internete açık SCADA sistemlerin çoğu ABD’de, onu büyük SCADA üretici firmaların çıktığı Almanya takip ediyor. Türkiye ise internet açık 1402 SCADA sistem ile alt sıralarda. Fakat bu rakam bile oldukça ciddi.

scada-sistemlere-yonelik-tehditler-3

İncelendiğinde internete açık SCADA sistemlerden 15.000 kadarında güvenlik zafiyetleri olduğu göze çarpıyor. Burada ilk üçü ABD, Fransa, Almanya paylaşırken Türkiye’nin internete açık SCADA sistem sayısına oranla çok daha fazla güvenlik açığına sahip olduğu görülüyor.

scada-sistemlere-yonelik-tehditler-4

Ekran kartına zararlı yazılım, keylogger gizlemek

ekran-kartina-zararli-yazilim-keylogger-gizlemekGüvenlik araştırmaları yapan bir ekip ismine Jellyfish dedikleri herhangi bir şekilde yazılımla tespit edilemeyen zararlı yazılımı GPU üzerine yerleştirmeyi başardılar.

Günümüz saldırıları gittikçe sofistike hale geliyor. Bunları engellemek zorlaştığı gibi tespit etme aşaması bile artık hayli güç. Ekran kartının grafik işlemci ünitesi GPU üzerine yerleştirilen Jellyfish zararlı yazılımı bunun son örneği. Bu geleceğin zararlı yazılımı ile GPU üzerinde dijital para birimlerini de üretmek mümkün. Tüm bunlar olurken işletim sisteminde çalışan prosesler veya servisler değiştirilip, müdahale edilmediği için zararlının tespiti de yapılamıyor.

Jellyfish zararlısı Nvidia, AMD ve Intel donanımına sahip ekran kartlarında çalışabiliyor. Böyle bir saldırıda zararlı yazılımı GPU’da çalıştırmak gizlenmek için en az riskli yöntem gibi gözüküyor. CPU çok sayıda güvenlik yazılımı tarafından taranırken, Windows Task Manager veya Process Explorer gibi araçlarla da incelenebiliyor. GPU için ise GPU-Z, GPU Load tarzı uygulamalar bulunuyor. Bunların yaptığı ise basitçe ekran kartlarının performanslarını analiz etmek. Eğer bu yazılımları Visual Studio’ya bağlarsanız ancak o zaman o anda GPU’da çalıştırılan kodu monitör etme şansına sahip olabiliyorsunuz.

Eğer bu tarz bir zararlı yazılımın GPU kullanımına, yüküne bakılarak tespit edilebileceğini düşünüyorsanız yanılıyorsunuz. GPU’ya yerleştirilen zararlı yazılımların getirdiği yük yaklaşık %0.1 kadar. GPU’da çalıştırılan kodlar şu an takip edilemez durumda. Muhtemelen NSA, GCHQ gibi gizli servisler yıllardır bu metodu kullanıyorlar. Çalışır bir örneği herkesin önündeyken gelecekte GPU üzerinden yapılacak saldırıların sadece devletler tekelinde olmayacağı kesin gibi gözüküyor.

7 ay boyunca farkedilmeyen kumarhane soygunu

7-ay-boyunca-farkedilmeyen-kumarhane-soygunuKredi kartı bilgileri siber suçluların göz diktiği yegane finansal bilgilerden. Bu kez hedefleri Las Vegas’ta bulunan Hard Rock Hotel & Casino.

Siber suçlular detaylı bir çalışma sonucu Las Vegas’ta bulunan Hard Rock Hotel & Casino’ya sızarak detaylı kredi kartı bilgilerini ele geçirdi. Ele geçirilen bilgiler arasında kredi kartı numaraları, isimler ve adresler bulunuyor. Hard Rock saldırıyı 3 Nisan’da tespit edebildiğini ve 3 Ekim 2014 ile 4 Nisan 2015 arası restoran, bar, alışveriş kısımlarında yapılan işlemlerin etkilendiğini belirtiyor.

Konu halen kısmen de olsa gizemini korumakta. Çünkü Hard Rock’ta kullanılan zararlı yazılımın ne olduğuna dair henüz bir bilgi yok. Zararlı yazılım POS cihazlarında kullanılan manyetik kartlara ait hassas verileri ele geçirmekte kullanıldı. 28 Nisan tarihinde ise siber suçlular bir web sitesinden ele geçirilen kredi kartlarını satmaya başladılar.

Geçtiğimiz haftalarda yapılan Mayweather ile Paquiao arasındaki boks maçının biletlerinin ortalama 86.000 USD olduğu göz önüne alındığında Las Vegas’ta kullanılan kredi kartlarının limitlerinin ne kadar yüksek olduğu beli olacaktır. Bu yüksek limitler siber suçlular için de yüksek kazanç anlamına geliyor.

ABD’nin hackerlarla zararlı yazılım ticareti

abdnin-hackerlarla-zararli-yazilim-ticaretiABD Uyuşturucu ile mücadele polisinin İtalyan bir firmadan 2012 yılından beridir hack araçları satın aldığı ortaya çıktı.

İsminin RCS (Remote Control System) olduğu belirlenen özel casusluk yazılımı yerleştirildiği telefondaki aramalar, kısa mesajlar, sosyal medya mesajlarını merkeze iletiyor. Tüm servislerin şifrelerini toplayabildiği gibi aynı zamanda kullanıcının haberi olmadan webcam ve mikrofonu da aktif hale getirerek kayıt yapabiliyor.

Hükümet kayıtlarına göre RCS casus yazılımı için 2.4 milyon dolar ödenmiş durumda. Yazılım bir kez yerleştirildikten sonra istenildiği kadar anlık veri sızdırılabiliyor ve casusluk yapılabiliyor. Casus yazılımın kaynağı ise belirsizliğini koruyor. DEA yazılımı Cicom USA adında bir firmadan almış gözüküyor, fakat bazı kaynaklar Cicom’un sadece 2011 yılından beridir devletlere casus yazılım satan yasadışı bir hack grubunun bayisi olduğunu  belirtiyorlar.

abdnin-hackerlarla-zararli-yazilim-ticareti_2

Bu hack grubu da oldukça kötü bir üne sahip. Bu siber suçluların daha önce YouTube ve Microsoft servisleri üzerinden hedefli zararlı yazılım saldırıları düzenledikleri söyleniyor. Bu saldırılarda kullandıkları açıklıkları da Fas, Etiyopya, Birleşik Arap Emirlikleri gibi ülkelere satıyorlar. Hack grubunun sözcüsü Eric Rabe DEA ile karşılıklı bir sözleşmelerinin olup olmadığı konusunda herhangi bir yorum yapmıyor.

Bu olay gösteriyor ki İngiltere MI6/MI8, ABD CIA/FBI, Almanya GCHQ gibi gizli servisler dışında başka devlet kurumları da casus yazılımlar kullanarak kendi vatandaşlarını veya yabancıları hacklemeye devam ediyorlar.

Fidye için şifrelenmiş dosyaları çözmenin yeni yolu

fidye-icin-sifrelenmis-dosyalari-cozmenin-yeni-yoluBir süredir çok sayıda abonesi olan firmaların ismiyle gönderilen phishing mailleri dolaşıyordu. Bunlara tıklayanların sistemindeki veriler şifrelenerek para ödemesi isteniyor. Şimdi ortada yeni bir çözüm var.

Saldırılar önce CryptoLocker türevleri ile başladı. Bu furyanın sonu CryptoLocker’ın şifreleme anahtarının keşfedilmesiyle geldi. Sonrasında ise TorLocker türevi zararlı yazılımlarla dosyalar şifrelenerek kullanıcılardan para toplandı. Halen farklı farklı firmaların ismiyle phishing mailleri gönderilerek kullanıcılar tuzağa düşürülüyor. Torlocker yani Ransom.Win32.Scraper halen çok sayıda varyantıyla birlikte yayılım gösteriyor.

Eğer bulaşan TorLocker zararlı yazılımı dosyaları başarıyla şifreledikten sonra bir güvenlik/antivirus yazılımı tarafından silinirse bir anda arka plan değişerek kırmızı bir uyarı mesajı geliyor. Burada bir .exe dosyasının linki var ve parayı ödeseniz bile bunu yüklemeden dosyaları deşifre edemeyeceğiniz söyleniyor. Aynı zamanda bu ekranda ödeme detaylarını da girebiliyorsunuz.fidye-icin-sifrelenmis-dosyalari-cozmenin-yeni-yolu_2

Zararlı yazılım Office dosyaları, videolar, ses dosyaları, fotoğraflar, arşiv dosyaları, veritabanları, sertifikalar gibi çok tipte dosyayı şifreliyor. Kullanılan şifreleme ise AES-256 ve RSA-2048. Şifrenin çözülebilmesi için kullanıcılardan ortalama 600 TL isteniyor. Fakat şimdi yeni bir çözüm var ve bununla birlikte şifrelenen dosyaların %70’ine yakınını para ödemeden çözme imkanı mevcut.

Kullanılan algoritmada bulunan zayıflık sebebiyle keşfedilmiş olan çözüm, adına “ScraperDecryptor” denilen araçla TorLocker ve bazı türevleri tarafından şifrelenen dosyalarınızı çözmeye yardımcı oluyor. Yazılımı geliştiren firma zararlıyı geliştiren kişilerin ne hata yaptığını açıklamasa da bu hatayı istismar eden bir araç yayınlamayı ihmal etmedi.

TorLocker ile şifrelenmiş dosyaları çözme için kullanılabilecek ScraperDecryptor uygulamasını buradan indirebilirsiniz.

Microsoft Stuxnet’e sebep olan açığı kapatamıyor

microsoft-stuxnet-sebep-olan-acigi-kapatamiyor2010 yılının ortalarında keşfedilen Stuxnet, İran’ın nükleer programını sabote etmeye yönelik hazırlanmış bir zararlı yazılım. 2009 yılında kullanılmaya başlanan Stuxnet zararlısı içerisinde çok sayıda zero day açığı içeriyordu. Bunlar arasında Windows Shell zayıflığı yani LNK dosyaları hakkında olan CVE-2010-2568 kodlu zayıflıkta yer alıyor.

Söz konusu Windows Shell zayıflığı uzaktan veya lokal olarak saldırganın zararlı .LNK veya .PIF uzantılı dosyaları Windows Explorer ile çalıştırmasına olanak tanıyordu. LNK zayıflığı İran’dan önce Pakistan bölgesinde yayılmıştı.

Zayıflık ortaya çıktıktan sonra, 2010 yılında Microsoft MS10-046 kodlu yamayı yayınladı. Fakat işler beklenildiği gibi gitmiyor. 2015 öncesi yaşanan gelişmelere göre yamanın doğru çalışmadığı tespit edildi. Bu yüzden Microsoft bu kez MS15-018 kodlu yeni bir yama yayınladı.

Windows Shell zayıflığı öyle ciddi etkilere sahip ki Kasım 2013 – Haziran 2014 arası 50 milyon kez tespit edildi. Bu saldırılarda dünya çapında 19 milyon sistem hedef alındı. Bu hedef alınan ülkelerde Vietnam ilk sırayı alırken onu Hindistan ve Endonezya takip ediyor. Türkiye ise %5.52 ile Endonezya’nın ardından en çok saldırı alan dördüncü ülke.

Bunun anlamı yamanın yayınlandığı ve açığın kapatıldığının sanıldığı 4 yıl boyunca Stuxnet aktif olarak tüm dünyada yayılımına ve hizmet ettiği amaca yönelik çalışmaya devam etti. Bu bir ülkeye ait siber savaş silahı olarak görülmemiş bir başarıya işaret ederken diğer yandan ülkelerin ulusal güvenliğini ciddi şekilde tehdit ediyor.

PDF dosyası kullanarak farkettirmeden sisteme sızmak

pdf-dosyasi-kullanarak-farkettirmeden-sisteme-sizmakGeçerli, okunabilir bir PDF dosyası içerisinde siyah beyaz JPEG dosyası kullanarak hedef sisteme sızmak mümkün.

PDF dosyaları ile sisteme sızma tekniği önceden de kullanılıyordu. Fakat bu okunamayan ve geçersiz şekilde oluşturulmuş PDF dosyaları yoluyla yapılıyordu. Antivirus yazılımları ise okunabilir olmayan PDF dosyalarını tespit ederek işaretleyerek karantinaya alabiliyordu.

Şimdi ise durum farklı. Geçerli ve açtığınızda okuyabileceğiniz PDF dosyaları içerisinde hiç hissettirmeden sistemde kod çalıştırılabiliyor. Performansı arttırmak için kullanılan DCTDecode adında bir kütüphane bu zafiyete sebep oluyor. Kullanılan kütüphanenin işlevi JPEG dosyalarının RGB renk yoğunluğunu düşürerek PDF dosyasını okurken sistemi yavaşlatmamak.

Fakat kütüphane aynı şeyi düzgün şekilde siyah beyaz JPEG dosyaları için gerçekleştiremiyor. PDF içindeki siyah beyaz JPEG dosyaları sadece siyah ve beyaz renklerin yoğunluk bilgilerini içeriyor. Araştırmacılar kısa bir scripti encode ederek, siyah beyaz bir JPEG dosyası olarak, en yüksek kaliteyle PDF içerisine yerleştirdi. Bu haliyle PDF dosyasını okuyarak siyah beyaz JPEG’i proses etmeye çalışan DCTDecode yerleştirilen zararlı kodu çalıştırdı.

İşin asıl tehdit kısmı ise bu içerisine zararlı kod yerleştirilmiş PDF dosyalarını Adobe Acrobat Reader’ın açabilmesi. Problemsiz şekilde açılan zararlı kod içeren PDF dosyaları, kurumsal ve kişisel bilgisayarlarda yaygın şekilde kullanılan Adobe Acrobat Reader tarafından okunabiliyor. Dolayısıyla zararlı kod bu yazılımın kullanıldığı sistemlerde sessizce çalıştırılıyor. An itibarı ile Adobe Acrobat Reader 9 versiyonu bu zafiyetten etkileniyor. Diğer versiyonlar için ise bazı küçük değişiklikler yapıldıktan sonra istismar etmek mümkün.

Çin’li Lenovo’nun casus yazılım krizi Superfish

cin-lenovo-casus-yazilim-krizi-superfishLenovo en büyük hatalardan birine düşerek sattığı bilgisayarlara Superfish adındaki bir casus yazılım yükledi. Bu yazılımın işlevi ise HTTPS dahil tüm web trafiğini araya girip izleyerek reklam göstermek.

Aslına bakarsak Lenovo’nun yüklediği bu yazılımı “zararlı yazılım” olarakta nitelendirmek mümkün. Sistemlere yüklü olarak gelen Superfish aynı zamanda yazılım gibi firmanın da ismi. Merkezi İsrail, Tel Aviv’de bulunan ve ileri seviye görsel arama teknolojileri geliştirdiğini söyleyen bir firma. Lenovo, Superfish yazılımını Google arama sonuçları içerisine istediği reklamları yerleştirmek için kullanıyordu. Bu şekilde gelir elde ediyordu. Reklamlar yerleştirilirken ise HTTP ve HTTPS trafiği içerisinde web sayfalarına JavaScript inject ediliyor.

HTTP ve HTTPS trafiğinin izlenmesi zararlı yazılımlardan sıkça gördüğümüz Man-in-Middle saldırısı anlamına geliyor. Lenovo sitelerin gerçek SSL sertifikalarını atlayarak Superfish sertifikasıyla gösterek güvenilirliği teyit etmeyi de engelliyor. Superfish gezdiğiniz siteyi algılayarak Facebook veya Google için bile şifreleme sertifikası üretebiliyor.

Burada gizlilikle ilgili birden fazla tehdit varken başka sıkıntılar da göze çarpıyor. Bunlardan ilki iletişiminizi izleyen veya aynı ağda olan kişilerle ilgili. Superfish’in özel anahtarını kıran biri başka bir Lenovo bilgisayarın trafiğini izlemek için kullanabiliyor. Yani bu bir Wi-Fi erişim noktası, iç ağ gibi lokasyonlardan internete bağlanırken tüm trafiğin izlenebilmesi demek.

Superfish’in özel anahtarının şifresini kırmakta pek güç değil. Sadece 2203 kelime içeren basit bir wordlist ile saldırı yapıldığında şifre rahatlıkla ele geçirilebiliyor. Bulunan şifre ise “komodia”.

cin-lenovo-casus-yazilim-krizi-superfish-2

Gelen tepkiler üzerine skandal uygulamayla ilgili geri adım atan Lenovo, bundan böyle üretilen yeni bilgisayarlarda Superfish’in yüklü gelmeyeceğini açıkladı. Hali hazırda yüklü sistemlerde ise “etkisiz” hale getirileceğini belirtti. Halen Superfish’in yüklü olduğu ve satılan 16 milyon bilgisayar olduğu tahmin ediliyor. Bunların bir kısmı iş istasyonu amacıyla kullanılan sistemler. Türkiye’de de sıkça kullanılan, özellikle de kamu sektöründe iş istasyonu, taşınabilir bilgisayar olarak tercih edilen Lenovo dünyanın en büyük PC üreticilerinden biri.