skip to main | skip to sidebar
32 commenti

Presunto keylogger trovato nei portatili Samsung: prudenza prima di partire col linciaggio. Aggiornamento: falso allarme

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2011/04/05.

Sta facendo clamore in Rete la notizia secondo la quale sarebbe stato trovato in due laptop della Samsung del malware preinstallato: specificamente StarLogger, un keylogger, che registra tutto quello che viene digitato, password comprese. Sempre secondo la medesima notizia, il servizio clienti Samsung avrebbe ammesso che il programma viene installato intenzionalmente per “monitorare le prestazioni della macchina e scoprire come viene usata”.

Samsung ha dichiarato inizialmente che “prende molto, molto sul serio queste asserzioni” e le sta esaminando; inoltre ha aggiunto che non sapeva nulla della presenza di questo software sui propri laptop.

La notizia è partita da NetworkWorld (prima parte, seconda parte), che l'ha ricevuta da Mohamed Hassan, fondatore di una società di consulenza per la sicurezza informatica, ed è stata subito ripresa da molti siti (Geek.com, PCWorld, CNet). Ma ha un problema: ha una sola fonte. Le altre testate che hanno cercato di verificare l'accusa molto grave non hanno trovato tracce di StarLogger nei loro computer.

Una notizia clamorosa con una singola fonte non confermata corrisponde in pieno al criterio della Legge di Sagan: affermazioni straordinarie richiedono prove straordinarie. Finora di prove non ce ne sono, per cui la prudenza è d'obbligo. Nel frattempo, chi ha un laptop Samsung può verificare l'accusa (e segnalare nei commenti qui sotto i risultati) cercando nel Registro di Windows questa chiave:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winsl

Maggiori dettagli su come rilevare e rimuovere il presunto keylogger sono in questo articolo di CNet.

Nel frattempo, Samsungtomorrow.com ha dichiarato che l'accusa è falsa e che il software installato non è un keylogger.


Aggiornamento (13:15). Mikko Hypponen di F-Secure conferma che si tratta di un falso allarme: altri computer Samsung dello stesso modello di quello incriminato sono risultati privi di keylogger. La spiegazione più probabile è che l'antivirus usato da Hassan, Vipre, abbia trovato nei laptop una directory il cui nome corrisponde a quello della directory usata dal keylogger StarLogger e abbia dato l'allarme basandosi esclusivamente sul nome della directory (schermata), che in realtà era stata creata da un programma innocuo.


Aggiornamento (19:00). È stata confermata la spiegazione citata sopra: si tratta di un falso positivo causato dall'antivirus Vipre, ma resta da chiarire come mai il servizio clienti Samsung avrebbe dato una risposta così bizzarra (PCWorld). Gli autori di Vipre hanno chiesto scusa per l'errore e corretto il proprio programma.


Aggiornamento (2011/04/05). NetworkWorld ha pubblicato le proprie scuse e un'impietosa autoanalisi di dove ha fallito giornalisticamente. Chi lavora sbaglia; la serietà di una persona si valuta non dal fatto che non sbaglia mai, ma da come affronta i propri sbagli.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (32)
Non importa che l'accusa sia falsa o meno, e non importa se le altre testate hanno dichiarato di non aver trovato tracce del keylogger... questa cosa genererà come al solito una serie infinita di catene di sant'antonio contro Samsung, e scommetto che tra cinque anni ancora ci sarà qualcuno che la farà rigirare spacciandola per l'ultima novità informatica sulla cattiva multinazionale...
Uhm, non credo che Hassan abbia inventato tutta la storia. Sarebbe un suicidio per una società di sicurezza informatica. Tuttavia potrebbe essere che sia stata una iniziativa di qualche subappaltante della Samsung.

Staremo a vedere...
Nel giallo, la precisazione di Samsung Tomorrow è ancora più incredibile: secondo loro il tecnico di sicurezza informatica avrebbe usato un software di sicurezza, VIPRE, che avrebbe interpretato l'acronimo SL, presente sul computer nel nome di una cartella, come StartLogger e non come SL, sigla internazionale della lingua slovena.
Il testo di Hassan dice invece che ha perfino eliminato il software di keylogging: "I removed the keylogger software, cleaned up the laptop, and continued using the computer"

Se fosse vera la teoria di Samsung Tomorrow, Hassan è perlomeno un pazzo, sta mentendo e creando un caso su nulla, rovinando per sempre la sua reputazione.
In alternativa quelli di Samsung Tomorrow, che, ricordo, sono su un sito ufficiale della Samsung, stanno cercando pateticamente di difendere la loro azienda, in un modo veramente patetico... Però è anche vero che, chi meglio di loro può sapere cosa c'è nelle loro nuove installazioni sui laptop?

Vedremo...
Il (presunto) problema riguarda solo i laptop o anche i netbook? Verificherei volentieri se non avessi cancellato windows dal mio...
Io che ho un frigorifero Samsung dove devo guardare? Non vorrei tracciassero il mio profilo mangiatorio.
Ciao a tutti,
ho finito adesso di configurare un notebook Samsung R530 (pentium t4400, win7HP) per un cliente. Il portatile era ancora nel suo imballo originale, mai aperto. Nessuna traccia del malware in questione. Buona giornata
Ma poi chi è questo Hassan? Cioè con tutto il rispetto stiamo parlando di Macafee? Symantec? Secunia? Chi la conosce questa sua "società di consulenza per la sicurezza informatica"?

Quello che vedo su Samsungtomorrow è esattamente la riproduzione del "problema", esattamente come segnalato da Hassan. Sta a capire chi abbia ragione, ma di solito essere in grado di replicare il problema è già un bel punto a favore...
Io sul mio N150 controllerei volentieri, ma ora ci gira solo Kubuntu. Paolo se non sbaglio tu hai lo stesso netbook e se hai ancora win 7 potresti dare un'occhiata?
@Pierluigi

Dovresti chiuderlo con una catena da 10 mm e non aprirlo per nessun motivo.

Dio solo sa cosa può uscire da un frigorifero Samsung.
Buh, Samsung è per me sinonimo di sregolatezza, ma mi sembra davvero strano che arrivino a mettere in un loro dispositivo una tavanata così palese ed incontrovertibile.

Aggiungo qualcosa che più d'uno si asterrebbe dal dire:

Se il segnalatore, piuttosto che Mohammed Hassan si chiamasse Stephan Cute o Lorenzo Bello... riuscirei a tirarmi via l'immagine mentale di un riparatore di motorini pirata che incidentalmente si è ritrovato fra le mani qualche computer di amici dei genitori.

Oh, sarà razzismo, ma mi è di ostacolo per valutare la questione.
Se ce ne fosse ancora bisogno, confermo che anche nel mio laptop Samsung non c'è niente del genere. Un bello spavento comunque.
La prima parte dell’articolo è, senza mezzi termini, allarmistica. Fa subito riferimenti a casi passati di rootkit di altre compagnie, dichiara che non puó essere un falso positivo, eccetera. Come dice Drakkar, il supporto multi-linguaggio di Microsoft Live crea quella cartella per la versione slovena.

La cosa strana è la seconda parte dell’articolo, in cui si dice che Samsung avrebbe risposto che si, c’é uno spyware, e si, lo sapevano. ????? ???? ?? ?????

????
??????? ???? ????

Ricapitolando: Samsung installa uno spyware sui propri computer, non uno spyware nuovo e segreto, ma uno esistente e in commercio, che viene trovato dagli antivirus, e ammette di farlo in piena consapevolezza. Solo a me sembra... strano?

Puzza di stunt pubblicitario lontano un chilometro per il sito e per ‘sto Hassan. Nella seconda parte dell’articolo, quelli di Networkworld prevedono azioni legali contro Samsung, io invece metto i miei 20 Euro su cause contro Hassan e Networkworld. Visti gli sviluppi del caso, e l’apparente “bufalisticitá” (boh) dell’articolo di Networkworld, io aggiungerei fra le etichette anche “giornalismo spazzatura”.

Se invece viene fuori che effettivamente Samsung ha detto quelle cose, direi di licenziare in tronco gli addetti al servizio clienti e relativo call center per incredibile stupiditá. Anche se, quasi sicuramente, il call center è in outsourcing da qualche parte in India...

Qua un’ulteriore conferma che trattasi di falso positivo...

http://news.netcraft.com/archives/2011/03/31/false-alarm-over-samsung-keylogger.html
http://download.cnet.com/StarLogger/3000-2092_4-10261255.html
"StarLogger is a keystrokes recorder utility used to capture, monitor, and record everything typed into a computer and is able to create screen captures regularly. See everything being typed: emails, messages, documents, web pages, usernames, passwords"
E forse questo l'incriminato ?
Ne parlano anche a punto-informatico
http://punto-informatico.it/3121540/PI/News/samsung-installa-keylogger-ma-anche-no.aspx
Sì, ma... Hassan dice che ha "pulito" il suo computer dal keylogger. Sarebbe interessante capire cosa ha precisamente fatto... E poi, con chi ha parlato in Samsung?
il mio samsung è differente
no keylogger inside
@ theDRaKKaR the bloody homeopath

Ha cancellato la lingua slovena dal multilingue di 7. Con chi ha parlato? Boh con uno che ha scambiato la parola virus con antivirus e s'è inventato poi una panzana qualunque per tranquillizzare il cliente..
Un po' come quelli che hanno cancellato jdbgmgr.exe dal loro PC perché una mail allertava che l'icona ad orsacchiotto era un trojan...
Secondo me il tutto ha degli aspetti da Bufala pur se tristemente sembra non esserla.
Un "esperto" di un anonima agenzia di sicurezza informatica effettua una "accurato" controllo adoperando un singolo antimalware semisconosciuto.
Una volta trovata la cartella incriminata, non si preoccupa neanche di mandare i file sospetti a virustotal o ad una ulteriore scansione.
Samsung risponde in maniera poco efficace tramite un semplice tecnico al call center e scoppia un caso mondiale...mah.
Quindi anche io posso definirmi un esperto, trovare un falso positivo qualunque adoperando Asquared etc e quindi creare perdite a qualsiasi azienda internazionale con le mie sole illazioni ??
Di sicuro a sto signore non affiderei neppure la sicurezza del mio cestino per la spazzatura indifferenziata (con quello della carta rischierei troppo).
Preciso che non sono un sistemista o tecnico informatico, ma, per il mio lavoro mi trovo spesso ad avere a che fare con falsi allarmi e "falsi sicuri". Com'è possibile che uno specializzato in sicurezza informatica si sia fidato dell'allarme di un solo antivirus e non gli sia minimamente venuto il dubbio di un falso positivo visto che il pc era nuovo di fabbrica? Due son le cose:
1)Lo ha fatto per pubblicità, sbagliando in pieno
2)Lo ha fatto perché incompetente. In tal caso farebbe bene a cambiare mestiere
Per Anonimo

Quindi anche io posso definirmi un esperto, trovare un falso positivo qualunque adoperando Asquared etc e quindi creare perdite a qualsiasi azienda internazionale con le mie sole illazioni ??

La risposta è sì: nell'era in cui le informazioni viaggiano alla velocità della luce in quasi tutti gli Stati, è probabilmente inevitabile.
e se si trattasse di un pesce d'aprile con un giorno di anticipo?
Pesce d'aprile?
Hmmm, un po' elaborato come pesce d'aprile, comunque bel tentativo :-))

Perché è un pesce d'aprile, vero?


VERO?


VERO??????
@Anonimo

Una precisazione: VIPRE non è proprio un antimalware semisconosciuto: è un antivirus aziendale prodotto dalla GIF, un'azienda di un certo livello. GFI ha un target strettamente aziendale, per questo probabilmente non è nota al pubblico domestico.
@ Giuseppe

Stai a priori scartando l'ipotesi che, da incompetente, abbia pensato bene di fare lo scoop prima degli altri, forte della risposta del piffero datagli dall'helpdesk.
"Falso allarme" nel senso che non e' vero che dobbiamo usare prudenza prima di partire con il linciaggio? :)
"ma resta da chiarire come mai il servizio clienti Samsung avrebbe dato una risposta così bizzarra"

Viste le competenze dei servizi clienti e dei supporti tecnici delle aziende (anche SAMSUNG), visto quanto (poco ) investono sulla formazione del personale, questo tipo di risposta non mi sorprende neanche un po'. Mi auguro salti immediatamente il responsabile del customer care, possibilmente senza buone-uscite milionarie.
@Palin

Non l'ho scartata. Mi è proprio sfuggita :-)
Forse perché mi sono assuefatto a quella categoria di persone. E' come un odore o un suono costante: alla fine non li senti più.
A questo articolo ci manca l'immagine di corredo... provvedo io. :-)
help help , vorre un programma spia x un samsung wave y , gratissssssss....aiutoooooooooo
minaaaaaaaaaaaa, cerca su goooooogleeeeeeeeeeeeeeeee