Cerca nel blog

2011/03/31

Presunto keylogger trovato nei portatili Samsung: prudenza prima di partire col linciaggio. Aggiornamento: falso allarme

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2011/04/05.

Sta facendo clamore in Rete la notizia secondo la quale sarebbe stato trovato in due laptop della Samsung del malware preinstallato: specificamente StarLogger, un keylogger, che registra tutto quello che viene digitato, password comprese. Sempre secondo la medesima notizia, il servizio clienti Samsung avrebbe ammesso che il programma viene installato intenzionalmente per “monitorare le prestazioni della macchina e scoprire come viene usata”.

Samsung ha dichiarato inizialmente che “prende molto, molto sul serio queste asserzioni” e le sta esaminando; inoltre ha aggiunto che non sapeva nulla della presenza di questo software sui propri laptop.

La notizia è partita da NetworkWorld (prima parte, seconda parte), che l'ha ricevuta da Mohamed Hassan, fondatore di una società di consulenza per la sicurezza informatica, ed è stata subito ripresa da molti siti (Geek.com, PCWorld, CNet). Ma ha un problema: ha una sola fonte. Le altre testate che hanno cercato di verificare l'accusa molto grave non hanno trovato tracce di StarLogger nei loro computer.

Una notizia clamorosa con una singola fonte non confermata corrisponde in pieno al criterio della Legge di Sagan: affermazioni straordinarie richiedono prove straordinarie. Finora di prove non ce ne sono, per cui la prudenza è d'obbligo. Nel frattempo, chi ha un laptop Samsung può verificare l'accusa (e segnalare nei commenti qui sotto i risultati) cercando nel Registro di Windows questa chiave:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winsl

Maggiori dettagli su come rilevare e rimuovere il presunto keylogger sono in questo articolo di CNet.

Nel frattempo, Samsungtomorrow.com ha dichiarato che l'accusa è falsa e che il software installato non è un keylogger.


Aggiornamento (13:15). Mikko Hypponen di F-Secure conferma che si tratta di un falso allarme: altri computer Samsung dello stesso modello di quello incriminato sono risultati privi di keylogger. La spiegazione più probabile è che l'antivirus usato da Hassan, Vipre, abbia trovato nei laptop una directory il cui nome corrisponde a quello della directory usata dal keylogger StarLogger e abbia dato l'allarme basandosi esclusivamente sul nome della directory (schermata), che in realtà era stata creata da un programma innocuo.


Aggiornamento (19:00). È stata confermata la spiegazione citata sopra: si tratta di un falso positivo causato dall'antivirus Vipre, ma resta da chiarire come mai il servizio clienti Samsung avrebbe dato una risposta così bizzarra (PCWorld). Gli autori di Vipre hanno chiesto scusa per l'errore e corretto il proprio programma.


Aggiornamento (2011/04/05). NetworkWorld ha pubblicato le proprie scuse e un'impietosa autoanalisi di dove ha fallito giornalisticamente. Chi lavora sbaglia; la serietà di una persona si valuta non dal fatto che non sbaglia mai, ma da come affronta i propri sbagli.

32 commenti:

Paolo ha detto...

Non importa che l'accusa sia falsa o meno, e non importa se le altre testate hanno dichiarato di non aver trovato tracce del keylogger... questa cosa genererà come al solito una serie infinita di catene di sant'antonio contro Samsung, e scommetto che tra cinque anni ancora ci sarà qualcuno che la farà rigirare spacciandola per l'ultima novità informatica sulla cattiva multinazionale...

theDRaKKaR the bloody homeopath ha detto...

Uhm, non credo che Hassan abbia inventato tutta la storia. Sarebbe un suicidio per una società di sicurezza informatica. Tuttavia potrebbe essere che sia stata una iniziativa di qualche subappaltante della Samsung.

Staremo a vedere...

theDRaKKaR the bloody homeopath ha detto...

Nel giallo, la precisazione di Samsung Tomorrow è ancora più incredibile: secondo loro il tecnico di sicurezza informatica avrebbe usato un software di sicurezza, VIPRE, che avrebbe interpretato l'acronimo SL, presente sul computer nel nome di una cartella, come StartLogger e non come SL, sigla internazionale della lingua slovena.
Il testo di Hassan dice invece che ha perfino eliminato il software di keylogging: "I removed the keylogger software, cleaned up the laptop, and continued using the computer"

Se fosse vera la teoria di Samsung Tomorrow, Hassan è perlomeno un pazzo, sta mentendo e creando un caso su nulla, rovinando per sempre la sua reputazione.
In alternativa quelli di Samsung Tomorrow, che, ricordo, sono su un sito ufficiale della Samsung, stanno cercando pateticamente di difendere la loro azienda, in un modo veramente patetico... Però è anche vero che, chi meglio di loro può sapere cosa c'è nelle loro nuove installazioni sui laptop?

Vedremo...

Ippo ha detto...

Il (presunto) problema riguarda solo i laptop o anche i netbook? Verificherei volentieri se non avessi cancellato windows dal mio...

Piero ha detto...

Io che ho un frigorifero Samsung dove devo guardare? Non vorrei tracciassero il mio profilo mangiatorio.

Ivano ha detto...

Ciao a tutti,
ho finito adesso di configurare un notebook Samsung R530 (pentium t4400, win7HP) per un cliente. Il portatile era ancora nel suo imballo originale, mai aperto. Nessuna traccia del malware in questione. Buona giornata

Paolo ha detto...

Ma poi chi è questo Hassan? Cioè con tutto il rispetto stiamo parlando di Macafee? Symantec? Secunia? Chi la conosce questa sua "società di consulenza per la sicurezza informatica"?

Quello che vedo su Samsungtomorrow è esattamente la riproduzione del "problema", esattamente come segnalato da Hassan. Sta a capire chi abbia ragione, ma di solito essere in grado di replicare il problema è già un bel punto a favore...

Enrico ha detto...

Io sul mio N150 controllerei volentieri, ma ora ci gira solo Kubuntu. Paolo se non sbaglio tu hai lo stesso netbook e se hai ancora win 7 potresti dare un'occhiata?

puffolottiaccident ha detto...

@Pierluigi

Dovresti chiuderlo con una catena da 10 mm e non aprirlo per nessun motivo.

Dio solo sa cosa può uscire da un frigorifero Samsung.

puffolottiaccident ha detto...

Buh, Samsung è per me sinonimo di sregolatezza, ma mi sembra davvero strano che arrivino a mettere in un loro dispositivo una tavanata così palese ed incontrovertibile.

Aggiungo qualcosa che più d'uno si asterrebbe dal dire:

Se il segnalatore, piuttosto che Mohammed Hassan si chiamasse Stephan Cute o Lorenzo Bello... riuscirei a tirarmi via l'immagine mentale di un riparatore di motorini pirata che incidentalmente si è ritrovato fra le mani qualche computer di amici dei genitori.

Oh, sarà razzismo, ma mi è di ostacolo per valutare la questione.

David ha detto...

Se ce ne fosse ancora bisogno, confermo che anche nel mio laptop Samsung non c'è niente del genere. Un bello spavento comunque.

Alexandre ha detto...

La prima parte dell’articolo è, senza mezzi termini, allarmistica. Fa subito riferimenti a casi passati di rootkit di altre compagnie, dichiara che non puó essere un falso positivo, eccetera. Come dice Drakkar, il supporto multi-linguaggio di Microsoft Live crea quella cartella per la versione slovena.

La cosa strana è la seconda parte dell’articolo, in cui si dice che Samsung avrebbe risposto che si, c’é uno spyware, e si, lo sapevano. ????? ???? ?? ?????

????
??????? ???? ????

Ricapitolando: Samsung installa uno spyware sui propri computer, non uno spyware nuovo e segreto, ma uno esistente e in commercio, che viene trovato dagli antivirus, e ammette di farlo in piena consapevolezza. Solo a me sembra... strano?

Puzza di stunt pubblicitario lontano un chilometro per il sito e per ‘sto Hassan. Nella seconda parte dell’articolo, quelli di Networkworld prevedono azioni legali contro Samsung, io invece metto i miei 20 Euro su cause contro Hassan e Networkworld. Visti gli sviluppi del caso, e l’apparente “bufalisticitá” (boh) dell’articolo di Networkworld, io aggiungerei fra le etichette anche “giornalismo spazzatura”.

Se invece viene fuori che effettivamente Samsung ha detto quelle cose, direi di licenziare in tronco gli addetti al servizio clienti e relativo call center per incredibile stupiditá. Anche se, quasi sicuramente, il call center è in outsourcing da qualche parte in India...

Qua un’ulteriore conferma che trattasi di falso positivo...

http://news.netcraft.com/archives/2011/03/31/false-alarm-over-samsung-keylogger.html

naturalbodyartist ha detto...

http://download.cnet.com/StarLogger/3000-2092_4-10261255.html
"StarLogger is a keystrokes recorder utility used to capture, monitor, and record everything typed into a computer and is able to create screen captures regularly. See everything being typed: emails, messages, documents, web pages, usernames, passwords"
E forse questo l'incriminato ?

naturalbodyartist ha detto...

Ne parlano anche a punto-informatico
http://punto-informatico.it/3121540/PI/News/samsung-installa-keylogger-ma-anche-no.aspx

theDRaKKaR the bloody homeopath ha detto...

Sì, ma... Hassan dice che ha "pulito" il suo computer dal keylogger. Sarebbe interessante capire cosa ha precisamente fatto... E poi, con chi ha parlato in Samsung?

Anonimo ha detto...

il mio samsung è differente
no keylogger inside

Palin ha detto...

@ theDRaKKaR the bloody homeopath

Ha cancellato la lingua slovena dal multilingue di 7. Con chi ha parlato? Boh con uno che ha scambiato la parola virus con antivirus e s'è inventato poi una panzana qualunque per tranquillizzare il cliente..

Stupidocane ha detto...

Un po' come quelli che hanno cancellato jdbgmgr.exe dal loro PC perché una mail allertava che l'icona ad orsacchiotto era un trojan...

Anonimo ha detto...

Secondo me il tutto ha degli aspetti da Bufala pur se tristemente sembra non esserla.
Un "esperto" di un anonima agenzia di sicurezza informatica effettua una "accurato" controllo adoperando un singolo antimalware semisconosciuto.
Una volta trovata la cartella incriminata, non si preoccupa neanche di mandare i file sospetti a virustotal o ad una ulteriore scansione.
Samsung risponde in maniera poco efficace tramite un semplice tecnico al call center e scoppia un caso mondiale...mah.
Quindi anche io posso definirmi un esperto, trovare un falso positivo qualunque adoperando Asquared etc e quindi creare perdite a qualsiasi azienda internazionale con le mie sole illazioni ??

Guastulfo (Giuseppe) ha detto...

Di sicuro a sto signore non affiderei neppure la sicurezza del mio cestino per la spazzatura indifferenziata (con quello della carta rischierei troppo).
Preciso che non sono un sistemista o tecnico informatico, ma, per il mio lavoro mi trovo spesso ad avere a che fare con falsi allarmi e "falsi sicuri". Com'è possibile che uno specializzato in sicurezza informatica si sia fidato dell'allarme di un solo antivirus e non gli sia minimamente venuto il dubbio di un falso positivo visto che il pc era nuovo di fabbrica? Due son le cose:
1)Lo ha fatto per pubblicità, sbagliando in pieno
2)Lo ha fatto perché incompetente. In tal caso farebbe bene a cambiare mestiere

Anonimo ha detto...

Per Anonimo

Quindi anche io posso definirmi un esperto, trovare un falso positivo qualunque adoperando Asquared etc e quindi creare perdite a qualsiasi azienda internazionale con le mie sole illazioni ??

La risposta è sì: nell'era in cui le informazioni viaggiano alla velocità della luce in quasi tutti gli Stati, è probabilmente inevitabile.

ilbreso ha detto...

e se si trattasse di un pesce d'aprile con un giorno di anticipo?

MOZ ha detto...

Pesce d'aprile?

( ͡° ͜ʖ ͡°) ha detto...

Hmmm, un po' elaborato come pesce d'aprile, comunque bel tentativo :-))

Perché è un pesce d'aprile, vero?


VERO?


VERO??????

theDRaKKaR the bloody homeopath ha detto...

@Anonimo

Una precisazione: VIPRE non è proprio un antimalware semisconosciuto: è un antivirus aziendale prodotto dalla GIF, un'azienda di un certo livello. GFI ha un target strettamente aziendale, per questo probabilmente non è nota al pubblico domestico.

Palin ha detto...

@ Giuseppe

Stai a priori scartando l'ipotesi che, da incompetente, abbia pensato bene di fare lo scoop prima degli altri, forte della risposta del piffero datagli dall'helpdesk.

Luca_dai_pochi_commenti ha detto...

"Falso allarme" nel senso che non e' vero che dobbiamo usare prudenza prima di partire con il linciaggio? :)

Gian Piero Biancoli ha detto...

"ma resta da chiarire come mai il servizio clienti Samsung avrebbe dato una risposta così bizzarra"

Viste le competenze dei servizi clienti e dei supporti tecnici delle aziende (anche SAMSUNG), visto quanto (poco ) investono sulla formazione del personale, questo tipo di risposta non mi sorprende neanche un po'. Mi auguro salti immediatamente il responsabile del customer care, possibilmente senza buone-uscite milionarie.

Guastulfo (Giuseppe) ha detto...

@Palin

Non l'ho scartata. Mi è proprio sfuggita :-)
Forse perché mi sono assuefatto a quella categoria di persone. E' come un odore o un suono costante: alla fine non li senti più.

Gwilbor ha detto...

A questo articolo ci manca l'immagine di corredo... provvedo io. :-)

mina ha detto...

help help , vorre un programma spia x un samsung wave y , gratissssssss....aiutoooooooooo

Stupidocane ha detto...

minaaaaaaaaaaaa, cerca su goooooogleeeeeeeeeeeeeeeee