Klątwa bezpieczeństwa komputera Dell niszcząca zabezpieczenia komputera: Co powinieneś wiedzieć

Starając się usprawnić obsługę zdalną, Dell zainstalował samopodpisany certyfikat główny i odpowiedni klucz prywatny na komputerach swoich klientów, najwyraźniej nie zdając sobie sprawy, że ujawnia to zaszyfrowaną komunikację użytkowników do potencjalnego szpiegostwa.

Jeszcze bardziej zaskakujące jest to, że firma robiła to, będąc w pełni świadoma bardzo podobnej gafy bezpieczeństwa popełnianej przez jednego z jej konkurentów. , Lenovo, które wyszło na jaw w lutym.

W przypadku Lenovo był to program reklamowy o nazwie Superfish, który został preinstalowany na niektórych laptopach konsumenckich firmy, a który alled samopodpisany certyfikat główny. W przypadku firmy Dell było to jedno z narzędzi wsparcia firmy, co jest prawdopodobnie jeszcze gorsze, ponieważ Dell ponosi pełną odpowiedzialność za tę decyzję.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Ironicznie, Dell faktycznie wykorzystali niepowodzenie firmy Lenovo, aby podkreślić swoje własne zobowiązanie do prywatności i reklamowania swoich produktów. Strony produktów dla komputerów Dell Inspiron 20 i XPS 27 All-in-One, Inspiron 14 z serii 5000, Inspiron 15 7000 Series, laptopów Inspiron 17 7000 i prawdopodobnie innych produktów, brzmią: "Martwisz się o Superfish? Firma Dell ogranicza wstępnie zainstalowane oprogramowanie do niewielkiej liczby wartościowych aplikacji na wszystkich naszych komputerach. Każda wstępnie załadowana aplikacja podlega testom bezpieczeństwa, prywatności i użyteczności, aby zapewnić naszym klientom najlepszą możliwą wydajność obliczeniową, szybsze konfigurowanie i zmniejszone obawy o prywatność i bezpieczeństwo. "

Dlaczego powinno Cię to obchodzić

Auto eDellRoot certyfikatu jest zainstalowany w magazynie certyfikatów systemu Windows w obszarze "Zaufane główne urzędy certyfikacji". Oznacza to, że każdy certyfikat SSL / TLS lub certyfikat podpisujący kod podpisany kluczem prywatnym certyfikatu eDellRoot będzie zaufany przeglądarkom, komputerowym klientom poczty e-mail i inne aplikacje działające w systemach Dell, których dotyczy problem.

Na przykład atakujący mogą używać klucza prywatnego eDellRoot, który jest teraz publicznie dostępny online, do generowania certyfikatów dla każdej witryny z obsługą HTTPS. Następnie mogą korzystać z publicznych sieci bezprzewodowych lub zhakowanych routerów w celu odszyfrowania ruchu z dotkniętych systemów Dell na te witryny.

W przypadku tak zwanych ataków typu Man-in-the-Middle (MitM) atakujący przechwytują żądania HTTPS użytkowników do bezpieczna strona internetowa - bankofamerica.com na przykład. Następnie zaczynają działać jako proxy, ustanawiając prawowite połączenie z prawdziwą witryną z własnego komputera i przekazując ruch z powrotem ofiarom po ponownym zaszyfrowaniu go za pomocą fałszywego certyfikatu bankofamerica.com wygenerowanego za pomocą klucza eDellRoot.

użytkownicy zobaczą poprawne połączenie szyfrowane HTTPS z Bank of America w swoich przeglądarkach, ale atakujący będą w stanie odczytać i zmodyfikować ich ruch.

Atakujący mogą również użyć klucza prywatnego eDellRoot do wygenerowania certyfikatów, które mogą być użyte do podpisuj szkodliwe pliki. Pliki te wygenerowałyby mniej przerażające monity Kontroli konta użytkownika na dotkniętych komputerach Dell po uruchomieniu, ponieważ wyglądałyby tak, jakby były podpisane przez zaufanego wydawcę oprogramowania. Szkodliwe sterowniki systemowe podpisane takim fałszywym certyfikatem pomijałyby również weryfikację podpisu sterownika w 64-bitowych wersjach systemu Windows.

To nie tylko laptopy

Początkowe raporty dotyczyły znajdowania certyfikatu eDellRoot w różnych modelach laptopów Dell. Jednak certyfikat jest faktycznie instalowany przez aplikację Dell Foundation Services (DFS), która zgodnie z notatkami do wydania jest dostępna na laptopach, komputerach stacjonarnych, urządzeniach wielofunkcyjnych, dwuzakresowych i wieżach z różnych linii produktów Dell. , w tym XPS, OptiPlex, Inspiron, Vostro i Precision Tower.

Dell powiedział w poniedziałek, że w sierpniu zaczął ładować aktualną wersję tego narzędzia na "urządzenia konsumenckie i komercyjne". Może to dotyczyć zarówno urządzeń sprzedawanych od sierpnia, jak i sprzedanych wcześniej, które otrzymały zaktualizowaną wersję narzędzia DFS. Certyfikat został znaleziony na co najmniej jednej starszej maszynie w posiadaniu PCWorld: tabletu Dell Venue Pro 11 pochodzącego z kwietnia.

Więcej niż jeden certyfikat

Badacze z firmy ochroniarskiej Duo Security znaleźli drugi certyfikat eDellRoot z innym odciskem palca na 24 systemach rozproszonych po całym świecie. Najbardziej zaskakujący jest fakt, że jeden z tych systemów wydaje się być częścią konfiguracji SCADA (kontrola nadzoru i pozyskiwania danych), podobnie jak te używane do kontrolowania procesów przemysłowych.

Inni użytkownicy zgłosili również obecność innego certyfikatu o nazwie DSDTestProvider w niektórych Dell komputery. Niektórzy spekulują, że jest to związane z narzędziem Dell System Detect, chociaż nie zostało to jeszcze potwierdzone.

Dostępne jest narzędzie do usuwania

Firma Dell opublikowała narzędzie do usuwania, a także opublikowała instrukcje ręcznego usuwania certyfikatu eDellRoot. Jednakże instrukcje mogą okazać się zbyt trudne dla użytkownika bez wiedzy technicznej. Firma planuje także dzisiaj wprowadzić aktualizację oprogramowania, która będzie wyszukiwać certyfikat i automatycznie usuwać go z systemów.

Użytkownicy korporacyjni to cele o wysokiej wartości

Użytkownicy korporacyjni w roamingu, zwłaszcza podróżujący, mogą być najbardziej atrakcyjnymi celami dla pośredników wykorzystujących man-in-the-middle wykorzystujących tę lukę, ponieważ prawdopodobnie mają cenne informacje na temat swoich komputerów.

"Gdybym był hackerem w czarnych kapeluszach, natychmiast udałbym się na najbliższe lotnisko w dużym mieście i usiadłbym na zewnątrz międzynarodowe salony pierwszej klasy i podsłuchiwanie wszystkich zaszyfrowanych wiadomości "- powiedział Robert Graham, CEO firmy ochroniarskiej Errata Security, w poście na blogu.

Firmy powinny wdrożyć własne, czyste i wstępnie skonfigurowane Obrazy systemu Windows na zakupionych laptopach. Powinni także upewnić się, że ich pracownicy korzystający z roamingu zawsze łączą się z biurami korporacyjnymi za pośrednictwem bezpiecznych wirtualnych sieci prywatnych (VPN).

To nie tylko właściciele komputerów Dell powinni dbać

Konsekwencje tej luki bezpieczeństwa wykraczają poza samych właścicieli systemów Dell. Oprócz kradzieży informacji, w tym danych logowania, z zaszyfrowanego ruchu, agresorzy pośredniczący mogą również modyfikować ten ruch w locie. Oznacza to, że osoba, która otrzymała wiadomość e-mail od zainfekowanego komputera firmy Dell lub strony internetowej otrzymującej wniosek w imieniu użytkownika Dell, nie może być pewna jego autentyczności.