Небрежное программное обеспечение для обеспечения безопасности открывает ноутбуки Dell хакерам

ОБНОВЛЕНО 9:30 во вторник, 24 ноября, с дополнительной информацией.

Dell может продавать некоторые ноутбуки с Windows с опасным недостатком безопасности, который может позволить хакерам получить доступ к вашему компьютеру. Пользователи сообщают, что последние модели ноутбуков Dell, в том числе серии XPS и Inspiron 5000, поставляются с предварительно загруженными самозаверяющими цифровыми сертификатами, которые могут позволить преступникам и шпионам выдавать себя за Dell и загружать на эти ПК вредоносные программы, которые могут делать что угодно, от кражи вашей личной информации чтобы превратить ваш компьютер в бота.

Сегодня (23 ноября) появилась ветка на Reddit, в которой подробно описывается обнаружение пользователем Reddit Rotorcowboy сертификата Dell, называемого eDellRoot, на недавно созданном ноутбуке XPS 15. Rotorcowboy обнаружил, что сертификат содержит закрытый ключ, и смог извлечь его с помощью обычных хакерских инструментов. На недавно выпущенном Dell XPS 13 мы обнаружили второй самозаверяющий сертификат, названный DSDTestProvider, который также содержал закрытый ключ — большая ошибка безопасности.

Любой, у кого есть недавний ноутбук Dell, может протестировать на наличие сертификата eDellRoot, посетив https://bogus.lessonslearned.org/, который использует этот закрытый ключ для аутентификации как Dell. Если вы видите изображение собаки ниндзя, у вас могут быть проблемы.

БОЛЬШЕ: лучший средний диапазон Антивирусное программное обеспечение для ПК

«Если бы я был хакером в черной шляпе, я бы немедленно пошел в ближайший аэропорт большого города и сижу на улице. международные первоклассные залы ожидания и подслушивание всех зашифрованных сообщений », — написал Роберт Грэм, технический директор компании Errata Security в Атланте, в своем блоге. «Я предлагаю« международный первый класс », потому что, если они могут позволить себе 10 000 долларов за билет, у них, вероятно, есть что-то пикантное на своем компьютере, которое стоит взломать».

Грэм означает, что любой может использовать частный сертификат Dell. ключ для организации атаки типа «злоумышленник посередине» на другие компьютеры в той же общедоступной сети Wi-Fi. С помощью закрытого ключа Dell любое программное обеспечение или любой веб-сайт может выглядеть так, как если бы они принадлежали Dell, а компьютеры Dell с плохим сертификатом будут воспринимать их как подлинные.

Но для атак необходимо не ограничиваться одной сетью Wi-Fi. Вредоносные веб-сайты могут выдавать себя за Dell, а затем загружать поддельное программное обеспечение Dell на компьютеры Dell; вредоносная онлайн-реклама может делать то же самое даже на безопасных веб-сайтах.

Ars Technica сообщила, что некоторые ноутбуки Inspiron 5000 также могут быть затронуты.

Обнаружен второй неверный сертификат

Здесь, в Laptop Mag, мы обнаружили сертификаты eDellRoot и DSDTestProvider на новом Dell XPS. 13 ноутбук; у них была одна и та же дата истечения срока действия 9 ноября 2031 года. Как и eDellRoot, DSDTestProvider также был самоподписанным и содержал закрытый ключ. Двухлетний Dell XPS 13, который также находится в нашем распоряжении, не содержал ни одного сертификата.

Непонятно, для чего предназначен тот или иной сертификат, но некоторые пользователи Reddit предположили, что это могут быть сертификаты собственного производства. которые случайно попали в розничную сборку Windows. Ранее в этом году было обнаружено, что Lenovo устанавливает самозаверяющие сертификаты как часть программного обеспечения для внедрения рекламы «Superfish», что принесло Lenovo немного дополнительных денег; нет никаких указаний на то, что сертификаты Dell являются частью аналогичной программы.

«Безопасность и конфиденциальность клиентов — главная забота Dell», — сказал нам представитель Dell. «У нас есть команда, которая расследует текущую ситуацию, и мы сообщим вам, как только у нас будет больше информации».

Другие технические веб-сайты получили более подробные объяснения, которые, по утверждению представителя Dell, были точными.

«Возникшая в последнее время ситуация связана с сертификатом поддержки в комплекте, предназначенным для обеспечения более качественной, быстрой и простой поддержки клиентов», — цитирует представителя Dell Стив Рэган из CSO. «К сожалению, сертификат привел к непреднамеренной уязвимости системы безопасности. Чтобы решить эту проблему, мы предоставляем нашим клиентам инструкции по окончательному удалению сертификата из их систем по электронной почте, на нашем сайте поддержки и в службе технической поддержки».

«Мы начали загружать текущую версию на наши потребительские и коммерческие устройства в августе, чтобы сделать обслуживание ПК более быстрым и простым для клиентов», — сказал представитель Dell коллеге Рагана по IDG Джереми Кирку. «Когда ПК подключается к онлайн-поддержке Dell, в сертификате указывается системный сервисный тег, позволяющий онлайн-службе поддержки Dell немедленно определять модель ПК, драйверы, ОС, жесткий диск и т. Д., Что упрощает и ускоряет обслуживание. Никакая личная информация не передавалась. собираются или передаются Dell без разрешения клиента «.

Как работают цифровые сертификаты

Цифровые сертификаты используются для проверки подлинности Интернет, убедившись, что веб-сайт, к которому вы подключаетесь, действительно принадлежит, например, Amazon, или что программное обеспечение, которое вы загружаете, действительно принадлежит Microsoft. Но они должны быть правильно реализованы, и похоже, что сертификата eDellRoot не было.

Вот несколько краткое объяснение. Цифровые сертификаты работают с использованием криптографии с открытым ключом, при которой одна сторона распространяет открытый ключ (на самом деле очень длинное простое число), но хранит в секрете закрытый ключ (также очень длинное простое число), который математически связан с открытым ключом.. Любое сообщение, зашифрованное с помощью закрытого ключа, можно расшифровать с помощью открытого ключа.

Когда веб-браузер подключается к защищенному (HTTPS) веб-сайту, этот веб-сайт отправляет сообщение, зашифрованное с помощью своего закрытого ключа. Браузер расшифровывает сообщение, используя открытый ключ в цифровом сертификате веб-сайта, принимает сайт как подлинный, и начинается безопасный веб-сеанс.

Но для максимальной безопасности этой системы сами сертификаты должны быть сертифицированным «высшей властью», третьей стороной, которой доверяют все, которая проверяет подлинность цифрового сертификата.

Если все это звучит сложно и скучно, то это так. Но без цифровых сертификатов вы не сможете доверять сайтам покупок или банков, а также обновлениям программного обеспечения, доставляемым через Интернет.

Подрыв вашей безопасности

Проблемы с сертификатами eDellRoot и DSDTestProvider заключаются в том, что каждый из них содержит как открытый, так и закрытый ключ и перечисляет себя как высший орган, гарантирующий подлинность — следовательно, они «самоподписанные». Вы можете извлечь закрытый ключ из любого из них, использовать его для сертификации поддельного веб-сайта, дождаться, пока затронутые ноутбуки Dell начнут безопасные веб-сеансы, и — бинго! — заразить эти ноутбуки вредоносным ПО.

«Любой может выдать себя за Dell» с помощью сертификата eDellRoot, — говорится в заявлении Эндрю Левмана, вице-президента по разработке данных в Foster City, калифорнийской консалтинговой компании Norse по безопасности. . «Все предприятия должны заблокировать центр сертификации Dell как в сети, так и на своих устройствах. Удаление центра сертификации с портативных и настольных компьютеров должно быть вопросом обновления политики».

Как удалить Сертификаты

ИТ-персонал обучен удалению цифровых сертификатов, но сделать это самостоятельно не так уж и сложно. Если у вас есть права администратора на ПК с Windows, перейдите в меню «Пуск», введите «certmgr.msc», нажмите «Доверенные корневые центры сертификации», затем нажмите «Сертификаты». Если у вас есть сертификат с именем «eDellRoot» или «DSDTestProvider», щелкните его правой кнопкой мыши, удалите его и перезагрузите компьютер.

ОБНОВЛЕНО: приведенных выше инструкций по удалению недостаточно, поскольку выясняется, что Dell встроила библиотеку с прямой связью (DLL) в свою сборку Windows, которая переустанавливает сертификат eDellRoot после перезапуска. Dell опубликовала инструкции о том, как полностью удалить сертификат здесь (документ Word), и заявляет, что удалит сертификат вместе с программным исправлением, которое будет выпущено сегодня (24 ноября).

Недостаток может повлиять на большее количество моделей Dell, чем указано ранее. eDellRoot связан со средством удаленной помощи Dell Foundation Services, которое имеется в трех десятках моделей, включая настольные компьютеры OptiPlex и Precision Tower. Работает на 32- и 64-битных Windows 7, Windows 8.. 1 и Windows 10.

Если вы не собираетесь удалять сертификат самостоятельно и вам нужно использовать Интернет, ожидая, пока Dell выпустит исправление для удаления, вы можете оставаться (относительно) в безопасности. с помощью Mozilla Firefox, который использует собственный набор цифровых сертификатов и не должен быть затронут. Однако затронуты Microsoft Edge и Internet Explorer, Google Chrome и Opera.

Однако Dell не обратилась к самозаверяющему сертификату DSDTestProvider, который мы обнаружили вчера. Мы связались с Dell по поводу этого второго сертификата и обновим эту историю, когда получим ответ.

  • 10 наихудших утечек данных за все время
  • 12 Вероятно, вы совершаете ошибки, связанные с компьютерной безопасностью
  • Лучшая антивирусная защита для ПК, Mac и Android
Оцените статью
ubisable.ru
Добавить комментарий