Sicurezza

Gli ultimi laptop Dell sono infetti da eDellRoot

Gli ultimi laptop Dell sono infetti da eDellRoot / Sicurezza

Oh caro. Dell è in un po 'di acqua calda. Il terzo produttore di computer al mondo è stato catturato mentre inviava certificati root su tutti i loro computer, e nel processo presentava un enorme rischio per la sicurezza a tutti i loro clienti.

Se suona stranamente familiare, è perché lo è. Lo scorso anno, Lenovo è stato sorpreso a fare praticamente la stessa cosa con il malware SuperFish. Proprietari di laptop Lenovo Attenzione: il tuo dispositivo potrebbe avere malware preinstallato Proprietari di laptop Lenovo Attenzione: il tuo dispositivo potrebbe avere malware preinstallato Il produttore cinese di computer Lenovo ha ammesso che i portatili sono stati spediti a negozi e consumatori alla fine del 2014 il malware era preinstallato. Leggi di più, con una mossa che ha causato la furia del consumatore, e ha provocato la censura del produttore cinese da parte del Dipartimento della Sicurezza Nazionale degli Stati Uniti.

Quindi, cosa sta succedendo? E dovresti essere preoccupato?

Scopri eDellRoot

Indipendentemente da chi ha prodotto il tuo computer, è stato spedito con una raccolta di certificati sicuri e affidabili. Che cos'è un certificato di sicurezza del sito Web e perché dovresti preoccuparti? Che cos'è un certificato di sicurezza del sito Web e perché dovresti aver cura di te? Leggi di più per alcuni server fidati gestiti da aziende come Verisign e Thawte. Pensa a questi come alle password o alle firme.

Questi certificati sono essenziali per il funzionamento della crittografia. Consentono di accedere in modo sicuro alle pagine Web crittografate, scaricare gli aggiornamenti di sistema e verificare i certificati di altre pagine Web. Di conseguenza, è importante che questi certificati vengano gestiti correttamente.

Lunedì mattina, un utente Reddit con il nome di RotorCowboy (vero nome Kevin Hicks) ha inviato un messaggio di testo al subreddit tecnologico, avvertendo un'autorità di certificazione radice autofirmata (CA) che ha trovato installata sul suo nuovissimo Dell Laptop XPS, chiamato eDellRoot.

Il certificato è stato spedito con una chiave privata, contrassegnata come “non esportabile”. Ma usando uno strumento prodotto dal gruppo NCC chiamato Jailbreak, è stato in grado di estrarlo. Dopo alcune indagini, Hicks ha scoperto che eDellRoot era in vendita su tutti i nuovissimi laptop Dell con il stesso certificato e chiave privata esatti.

Questo presenta a significativo rischio per la sicurezza per gli utenti. Ma perché?

I rischi pubblicati da eDellRoot

C'è un motivo per cui i siti di e-commerce, le app di banking online e i social network crittografano tutto il loro traffico Cos'è HTTPS e Come abilitare connessioni sicure per impostazione predefinita Cos'è HTTPS e Come abilitare connessioni sicure Per default I problemi di sicurezza si stanno diffondendo in lungo e in largo hanno raggiunto la cima della mente di tutti. Termini come antivirus o firewall non sono più un vocabolario strano e non sono solo compresi, ma anche usati da ... Per saperne di più. Senza di esso, chiunque potrebbe intercettare i messaggi inviati dai loro server ai propri utenti e, a sua volta, accedere alle loro informazioni private e persino accedere alle credenziali.

Se è possibile precaricare un certificato falso o duplicato, diventa possibile intercettarlo tutti comunicazioni sicure inviate da quell'utente, senza che l'utente ne sia più saggio. Questo tipo di attacco è chiamato a “uomo nel mezzo” attacco Che cos'è un attacco Man-in-the-Middle? Il gergo della sicurezza ha spiegato cos'è un attacco man-in-the-middle? Il gergo della sicurezza spiegato Se hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo che fa per te. Leggi di più .

Se qualcuno dovesse copiare il certificato radice dal portatile Dell e fingere di essere il sito web di HSBC Bank, l'utente vedrebbe comunque il lucchetto verde nella barra degli indirizzi e sarebbe in grado di interagire con il sito come farebbe normalmente. Non ci sarebbe schermo rosso. Nessun avvertimento.

Ma qui è dove diventa davvero interessante. Dell ha consegnato lo stesso certificato e la stessa chiave per ogni laptop Dell. Se hai acquistato un portatile Dell nell'ultimo anno, è molto probabile che tu sia a rischio.

Un altro terrificante effetto collaterale di questo è che significa anche che un utente malintenzionato sarebbe in grado di firmare malware con un certificato di root legittimo, il che lo renderebbe un po 'più legittimo e persino offuscare le origini del software.

È roba cattiva. A questo punto, potresti essere perdonato per grattarti la testa, e chiedermi perché Dell avrebbe scelto di fare una cosa del genere, specialmente dopo la ricaduta successiva a SuperFish.

Cosa diavolo stava pensando a Dell?

Sappiamo tutti perché Lenovo voleva spedire la propria CA radice con i propri computer. Ha permesso loro di inserire pubblicità in ogni singola pagina web. Anche quelli crittografati.

I computer, in particolare quelli meno costosi, sono un'attività a basso margine. I dettaglianti non guadagnano molto denaro da loro, motivo per cui vengono continuamente venduti servizi e prodotti aggiuntivi ogni volta che si acquista una nuova macchina. Ma i produttori non guadagnano molto da loro. Cercano di rimediare installando abitualmente montagne di trialware e crapware Come rimuovere Bloatware ed evitarlo sui nuovi computer portatili Come rimuovere Bloatware ed evitarlo sui nuovi laptop Stanco di software che non hai mai desiderato consumare le risorse del tuo portatile? Il tuo computer non è spazio pubblicitario gratuito. Ecco come sbarazzarsi di bloatware. Leggi di più su tutte le nuove macchine.

Ma molti dei computer che sono stati identificati come infetti da eDellRoot non sono macchine di fascia bassa. Il più economico Dell XPS, ad esempio, costa $ 799.

Nessuno sa davvero quali fossero le motivazioni di Dell. Non c'è niente da suggerire che stiano cercando di iniettare le proprie pubblicità o di dirottare il traffico web.

Finora, tutto indica che c'è stata una significativa perdita di giudizio in Dell. Soprattutto dato che la CA eDellRoot è stata creata sei mesi dopo il fiasco SuperFish.

Nota: Dell ha creato il proprio certificato #eDellRoot sei mesi dopo che lo scandalo Superfish di Lenovo ha colpito le notizie. Nessuna lezione appresa.

- Mikko Hypponen (@mikko), 23 novembre 2015

Come sbarazzarsi di eDellRoot

Sbarazzarsi di eDellRoot è semplice. Innanzitutto, apri il menu Start e ricerca per “certmgr.msc“. Questo è lo strumento standard di Windows utilizzato per gestire, modificare, eliminare e richiedere certificati. Per utilizzarlo, è necessario accedere a un account con privilegi di amministratore.

Quindi fare clic su Autorità di certificazione radice affidabili> certificati. Elenca tutte le CA principali installate sul computer. Cerca eDellRoot. Dovrebbe sembrare come questo.

Dell XPS 15 con il certificato eDellRoot installato pic.twitter.com/X5UFZKFoU7

- Adam (@_xpn_) 23 novembre 2015

Se è lì, hai il certificato dodgy installato. Per eliminarlo, fare clic con il tasto destro del mouse sul certificato e fare clic Elimina.

Puoi anche scoprire se vieni effettuato con una sola riga di codice PowerShell.

Prova il tuo Dell con #PowerShell: if (ls cert: -re |? $ _. Thumbprint -eq "98A04E4163357790C4A79E6D713FF0AF51FE6927") "eDellRoot found"

- Mathias Jessen (@IISResetMe), 23 novembre 2015

Un disastro PR di proporzioni epiche

Date le dimensioni di Dell, il vasto numero di macchine interessate e la propensione a utilizzare le macchine Dell per le aziende, garantisco che ci saranno alcune conseguenze importanti da questo episodio. Le scuse saranno emesse dal più alto, e le persone perderanno il lavoro. I consumatori esperti di tecnologia penseranno due volte a comprare sempre un portatile Dell. Ma tu??

Eri affetto? Comprerai di nuovo un Dell? Parlamene nei commenti qui sotto.

Crediti fotografici: tastiera Dell (David Precious)

Scopri di più su: sicurezza informatica, crittografia, sicurezza online.