Ψηφιακό πιστοποιητικό σε υπολογιστές Dell, εκθέτει τους χρήστες τους σε κίνδυνο

[nnn]

Στην λίστα των κατασκευαστών υπολογιστών που πουλάνε συστήματα με "προβληματικό" λογισμικό, προστέθηκε η Dell, αφού σε
τουλάχιστον 2 από τα νέα μοντέλα laptops της (Inspiron 5000, XPS 15), εντοπίστηκε εύκολα κλωνοποιήσιμο ψηφιακό πιστοποιητικό, που χρησιμοποιείται σε περιπτώσεις απομακρυσμένης υποστήριξης από την Dell.

Το TLS credential (self signed) έκδοσης eDellRoot, έρχεται προεγκατεστημένο σε υπολογιστές της Dell σαν Root
Certificate και είναι υπογεγραμμένο με το ίδιο ιδιωτικό κλειδί κρυπτογράφησης, το οποίο αποθηκεύεται τοπικά. Αυτό το κάνει ευάλλωτο σε υποκλοπή και χρήση του για "πιστοποίηση" ανασφαλών websites χρησιμοποιώντας το ανωτέρο πιστοποιητικό.

Η Dell ανακοίνωσε πως οι τεχνικοί της ελέγχουν το πρόβλημα και αφαιρούν από τους υπολογιστές τους το εν λόγω Root Certificate.

Customer security and privacy is a top concern and priority for Dell. The recent situation raised is related to an on-the-box support certificate intended to provide a better, faster and easier customer support experience.

Unfortunately, the certificate introduced an unintended security vulnerability. To address this, we are providing our customers with instructions to permanently remove the certificate from their systems via direct email, on our support site and Technical Support.

We are also removing the certificate from all Dell systems moving forward. Note, commercial customers who image their own systems will not be affected by this issue. Dell does not pre-install any adware or malware. The certificate will not reinstall itself once it is properly removed using the recommended Dell process.

We began loading the current version on our consumer and commercial devices in August to make servicing PC issues faster and easier for customers.

When a PC engages with Dell online support, the certificate provides the system service tag allowing Dell online support to immediately identify the PC model, drivers, OS, hard drive, etc. making it easier and faster to service. No personal information has been collected or shared by Dell without the customer’s permission.

Πηγές : Arstechnica, Engadget, CSO online


Αναλυτικές οδηγίες για την αφαίρεση του/αναμένεται αυτόματο update

[GigaSat]

Και το βάλανε μετά από το ντόρο που σήκωσε η αντίστοιχη υπόθεση της Lenovo.

[nnn]

Και το βάλανε μετά από το ντόρο που σήκωσε η αντίστοιχη υπόθεση της Lenovo.

Τον οποίο ντόρο εκμεταλλεύτηκε διαφημιστικά και σε πωλήσεις.

[GigaSat]

Τον οποίο ντόρο εκμεταλλεύτηκε διαφημιστικά και σε πωλήσεις.

Για την Dell λες ή για την Lenovo;

[nuxx]

Ενταξει παιδια, γι' αυτο κανουμε format και clean install τα windows με καθε νεο PC

[nnn]

Για την Dell λες ή για την Lenovo;

Για την Dell.

[yyy]

Ενταξει παιδια, γι' αυτο κανουμε format και clean install τα windows με καθε νεο PC

Μην το λες, γιατί ο περισσότερος κόσμος θέλει να το αποφύγει αυτό, μιας και δεν ξέρει και πώς να το κάνει ο ίδιος. Αλλά και γω, πολλές φορές που με ρωτάνε, προτείνω κάποιον ΗΥ με έτοιμα τα windows, γιατί μετά, εγώ θα τρέχω να τα εγκαταστήσω :Ρ

Πέρα απ' αυτό, ευτυχώς που το διόρθωσαν. Αλλά έχει αρχίσει να καταντάει αηδία, αυτό το θέμα, remote suppert, πριν από σας για σας κλπ...

[zardoz]

Ειλικρινά προσπαθώ να καταλάβω το "vulnerability" της κατάστασης και δε μου βγαίνει.

Ένα root certificate είναι ένα self-signed certificate που - όντας προεγκατεστημένο - επιτρέπει την "εγγυροποίηση"
δευτερευόντων πιστοποιητικών (πχ SSL ή TLS) από τον ΚΑΤΟΧΟ ΤΟΥ ΠΙΣΤΟΠΟΙΗΤΙΚΟΫ

Τί ζόρι τραβάνε ? Ότι δηλαδή η DELL έχει "κακόβουλο" τμήμα από κακούς κινέζους και αυτοί θα αρχίσουν να δίνουν
δευτερεύοντα πιστοποιητικά στο https://www.θασταχακάρωόλα.com τότε, ναι υπάρχει ζήτημα.

Την DELL την εμπιστεύεστε λιγότερο από πχ από την TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcısı
που έχει προεγκατεστημένο πιστοποιητικό ρίζας στο Firefox ?

Τι πράγματα είναι αυτά? Αφορούν ζητήματα εταιρικών ανταγωνισμών? Αν βάλει η Lenovo και η Dell δικό της
πιστοποιητικό ρίζας, μόνο τα "πιστοποιημένοι" root authorities τραβάνε το ζόρι της αρκούδας γιατί ουσιαστικά τους
παίρνουν το authority και τη δουλειά (κυριολεκτικά).

Αν κάποιος ξέρει κάτι περισσότερο ας το μοιραστεί, αλλά τί παίζει ? εγώ δεν το καταλαβαίνω

[kostarcng]

Τί ζόρι τραβάνε ? Ότι δηλαδή η DELL έχει "κακόβουλο" τμήμα από κακούς κινέζους και αυτοί θα αρχίσουν να δίνουν
δευτερεύοντα πιστοποιητικά στο https://www.θασταχακάρωόλα.com τότε, ναι υπάρχει ζήτημα.

Ο υπερσύνδεσμος δεν λειτουργεί

[sdikr]

Ο υπερσύνδεσμος δεν λειτουργεί

Θέλει να έχεις υπολογιστή dell με το καλό certificate

[zardoz]

Ο υπερσύνδεσμος δεν λειτουργεί

Θέλει να έχεις υπολογιστή dell με το καλό certificate

[DrNo]

Παει το κλεισανε και το θασταχακάρωόλα.com

[Cha0s]

Ειλικρινά προσπαθώ να καταλάβω το "vulnerability" της κατάστασης και δε μου βγαίνει.

Ένα root certificate είναι ένα self-signed certificate που - όντας προεγκατεστημένο - επιτρέπει την "εγγυροποίηση"
δευτερευόντων πιστοποιητικών (πχ SSL ή TLS) από τον ΚΑΤΟΧΟ ΤΟΥ ΠΙΣΤΟΠΟΙΗΤΙΚΟΫ

Τί ζόρι τραβάνε ? Ότι δηλαδή η DELL έχει "κακόβουλο" τμήμα από κακούς κινέζους και αυτοί θα αρχίσουν να δίνουν
δευτερεύοντα πιστοποιητικά στο https://www.θασταχακάρωόλα.com τότε, ναι υπάρχει ζήτημα.

Χωρίς να το έχω ψάξει το θέμα, διαβάζοντας μόνο εδώ την είδηση το ζουμί πιστεύω είναι στο ότι το private key αποθηκεύεται στο ίδιο το PC.

Το TLS credential (self signed) έκδοσης eDellRoot, έρχεται προεγκατεστημένο σε υπολογιστές της Dell σαν Root
Certificate και είναι υπογεγραμμένο με το ίδιο ιδιωτικό κλειδί κρυπτογράφησης, το οποίο αποθηκεύεται τοπικά.

Αυτό σημαίνει ότι με αυτό το private key μπορείς να κάνεις sign certificates πχ για το facebook.com κάνοντας έτσι ένα ωραιότατο man in the middle attack σε όσα Dell laptops έχουν το εν λόγω root cert εγκατεστημένο.
Έτσι οι χρήστες θα βαράνε το https://facebook.com το οποίο θα κάνει redirect ο attacker στο δικό του μηχάνημα με το δικό του cert και ο browser δεν θα εμφανίσει warning αφού θα βλέπει signed cert από τον CA που έχει ήδη trusted.

Για άλλη μια φορά φαίνεται πως όσοι γράφουν software την σήμερον ημέρα (που το encryption είναι επιτακτικής ανάγκης) δεν έχουν ιδέα περί ασφάλειας και το πως δουλεύει το PKI και παρέχουν ψευδή ασφάλεια στον μέσο χρήστη.

[nnn]

Ειλικρινά προσπαθώ να καταλάβω το "vulnerability" της κατάστασης και δε μου βγαίνει.

Ένα root certificate είναι ένα self-signed certificate που - όντας προεγκατεστημένο - επιτρέπει την "εγγυροποίηση"
δευτερευόντων πιστοποιητικών (πχ SSL ή TLS) από τον ΚΑΤΟΧΟ ΤΟΥ ΠΙΣΤΟΠΟΙΗΤΙΚΟΫ

Τί ζόρι τραβάνε ? Ότι δηλαδή η DELL έχει "κακόβουλο" τμήμα από κακούς κινέζους και αυτοί θα αρχίσουν να δίνουν
δευτερεύοντα πιστοποιητικά στο https://www.θασταχακάρωόλα.com τότε, ναι υπάρχει ζήτημα.

Την DELL την εμπιστεύεστε λιγότερο από πχ από την TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcısı
που έχει προεγκατεστημένο πιστοποιητικό ρίζας στο Firefox ?

Τι πράγματα είναι αυτά? Αφορούν ζητήματα εταιρικών ανταγωνισμών? Αν βάλει η Lenovo και η Dell δικό της
πιστοποιητικό ρίζας, μόνο τα "πιστοποιημένοι" root authorities τραβάνε το ζόρι της αρκούδας γιατί ουσιαστικά τους
παίρνουν το authority και τη δουλειά (κυριολεκτικά).

Αν κάποιος ξέρει κάτι περισσότερο ας το μοιραστεί, αλλά τί παίζει ? εγώ δεν το καταλαβαίνω

Το πρόβλημα φαίνεται πως είναι η τοπική αποθήκευση του κλειδιού του πιστοποιητικού και το εύκολο cloning του, κάτι που δίνει την δυνατότητα σε επιτιθέμενο να "υπογράψει" δικό του πιστοποιητικό και να σε στείλει σε κακόβουλο site, που θα το παίζει κανονικό.

[zardoz]

Το πρόβλημα φαίνεται πως είναι η τοπική αποθήκευση του κλειδιού του πιστοποιητικού και το εύκολο cloning του, κάτι που δίνει την δυνατότητα σε επιτιθέμενο να "υπογράψει" δικό του πιστοποιητικό και να σε στείλει σε κακόβουλο site, που θα το παίζει κανονικό.

Παιδιά, το private part του κλειδιού ενός CA και ειδικά root, αποθηκεύεται σε ηλεκτρονική μορφή σε χρηματοκιβώτιο (σοβαρολογώ)
ή στο κέντρο της γής (που μόνο ο Tom Cruise θα εμφανιστεί στο MI7), και υπάρχει ένα Key Ceremony για τις περαιτέρω υπογραφές.

Αν η Dell το "ξέχασε" μέσα στα PC είναι γκάφα μεγαλύτερη και από τις εκλογές της ΝΔ. Δεν γίνονται αυτά τα πράγματα ούτε στην Ελλάδα