Na laptopach Della odnaleziono zaufany certyfikat głównego urzędu certyfikacji o nazwie eDellRoot umożliwiający niezauważalne podszywanie się pod dowolną szyfrowaną usługę w sieci. Co gorsza, towarzyszy mu klucz prywatny.
Użytkownicy, wyczuleni po ostatnich aferach Lenovo, zidentyfikowali kolejne podejrzane praktyki producentów komputerów mogące wystawiać ich posiadaczy na poważne ryzyko. Tym razem problemy zauważono na niektórych laptopach Della.
Certyfikat dla wszystkich
Trzy tygodnie temu niejaki Joe Nord znalazł na swoim komputerze Dell Inspiron 5000 dziwny certyfikat.
Wśród certyfikatów zaufanych głównych urzędów certyfikacji widniała pozycja, której nie widział wcześniej, pod nazwą eDellRoot. Certyfikaty te są podstawą systemu zaufania do szyfrowania serwisów internetowych, głównie stron WWW dostępnych przez protokół HTTPS. Główny urząd certyfikacji, którego certyfikat znajduje się na Waszym komputerze, może wystawić certyfikat dowolnej witrynie i Wasza przeglądarka uzna go za zaufany (wyświetli „zieloną kłódeczkę”). Oznacza to, że posiadacz klucza prywatnego dla certyfikatu eDellRoot może, podsłuchując ruch internetowy, podstawić stronę banku, Facebooka czy Gmaila i nie będziecie w stanie ich odróżnić od prawdziwych.
Powyższy opis zawiera pewne uproszczenie – nie każda przeglądarka korzysta z magazynu certyfikatów Windows (np. Firefox ma swój własny), również niektóre przeglądarki nie dadzą się tak prosto oszukać, ponieważ mają na stałe zapisany podpis prawdziwych certyfikatów – np. Chrome nie wpuści do fałszywego Gmaila. Możliwość ataku za pomocą takiego certyfikatu, choć ograniczona, dalej istnieje i wystawia użytkowników na niepotrzebne ryzyko. Czy jednak należy obawiać się ataków ze strony Della, który posiada zapewne klucz prywatny?
Klucz prywatny dla wszystkich!
Z niewiadomego nam powodu certyfikat eDellRoot znajdujący się na komputerach Della został tam umieszczony wraz ze swoim kluczem prywatnym.
Feralny certyfikat
Jest to absolutnie niespotykana praktyka – w przypadku certyfikatów głównych urzędów certyfikacji ich klucze prywatne są przechowywane w sposób porównywalny z amerykańskimi rezerwami federalnymi, w sejfach, z niezwykle skomplikowanymi procedurami dostępu. Co prawda klucz ma atrybut „eksport niemożliwy”, jednak istnieją narzędzia, które ten atrybut ignorują i umożliwiają jego pozyskanie, a sam klucz został już wydobyty i opublikowany w sieci. Oznacza to, że użyć go może każdy, kto ma dostęp do ruchu internetowego posiadacza feralnego egzemplarza Della – niestety każdy klucz jest identyczny.
Jak sprawdzić czy mam ten certyfikat
Na razie wiemy o co najmniej dwóch modelach zawierających feralny certyfikat, kupionych poza granicami Polski i są to XPS 15 oraz Inspiron 5000. Dodatkowe informacje wskazują, że może chodzić o komputery z systemem operacyjnym Windows 10 – na pewno musi on być preinstalowany przez Della. Możecie też sami sprawdzić swoje komputery. Wystarczy uruchomić polecenie certmgr.msc i następnie wejść do „Zaufane główne urzędy certyfikacji” oraz „Certyfikaty” i poszukać na liście pozycji eDellRoot. Jeśli znajdziecie – podajcie model i datę zakupu w komentarzach. Certyfikat powinien mieć odcisk palca o wartości
98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27
oraz numer seryjny
6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6
Czy certyfikat można bezpiecznie usunąć? Tego jeszcze nie wiemy. Na razie nie słyszeliśmy o atakach z jego użyciem, więc nie jest to konieczne. Czekamy na wyjaśnienia Della. Przy okazji przejrzyjcie także pozostałe certyfikaty – może znajdziecie inne niespodzianki.
Komentarze
Mam Dell Vostro 3558, kupionyy w sierpniu w polskiej sieci dystrybucyjnej z Win7Pro, teraz podniesiony do Win10Pro i mam eDellRoot – postaram się sprawdzić czy na innych lapkach z tego okresu na Win7Pro znajdę eDellRoot.
Sprawdzone lapki z Win7Pro – tam nie ma eDellRoot. Czyli występuje on w Win10, nie ważne czy preinstalowany system czy upgrade.
Potwierdzam, Dell z Win7 Pro chyba bezpieczne.
Niestety, win7pro preinstalowany przez Della jest skażony certem.
Upgrade do wersji 10 … cert pozostał
Latitude 7450, XI 2015
Nie do końca – mam precisiona M6800, na którym zaraz po zakupie zrobiłem format (dla przyzwoitości – wszystkich partycji łącznie z recovery) do win 8 PRO, następnie upgrade do 8.1 i ostatecznie do 10. I nie mam tego.
Co ciekawe, format robiłem z użyciem fabrycznej DVD DELL z win8.
Więc problem może dotyczyć tylko sprzętu z preinstalowanym fabrycznie systemem
Ja też mam DELL’a M6800 :). Instalowany z czystego W10 2 dni temu. Wszystkie sterowniki bezpośrednio od MS + Sterownik do FirePro M6100 ze strony ATI. Od Della mam tylko Dell System Detect. Certyfikatu brak. To wskazuje, że certyfikat jest w obrazie W10 sprzedawanym razem z laptopem lub w którymś ze sterowników/softów do laptopa.
http://blog.cyberis.co.uk/2015/11/dell-certificate-blunder-not-limited-to.html
Windows Defener kasuje już ten klucz, mimo iż wydawało mi się że go niema, został wykryty i usunięty.
02C2D931062D7B1DC2A5C7F5F0685064081FB221
Dell Precision Tower 5810 z Win7 PRO posiada eDellRoot
Rozwiązaniem jest czysta instalacja Win 10 po zrobieniu upgrade. Robiąc upgrade z Win 7 lub Win 8 trzeba sobie zapisać Windows na płytę lub pendrive (opcja nagrania ściąganego upgrade na nośnik w postaci pliku ISO lub bootowalnego pendrive) oraz oczywiście zbackupować dane i potem na czysto instalować już bez śmieci od Della. Oczywiście potem ze strony Della trzeba będzie pobrać te sterowniki i narzędzia, które są potrzebne do funkcjonowania komputera. Przy okazji wyjdzie, czy ten dziwny cert nie jest instalowany przez jakieś narzędzie lub sterownik Della.
Mówiąc potrzebne sterowniki miałem na myśli te, których Microsoft nie jest w stanie pobrać z WU (tak bywa z wbudowanymi kamerami).
Twoje nauki to może nadają się na stronę komputerswiat.pl, na prawdę nie obraź się ale daruj sobie takie nauki na tym portalu bo żal się robi.
Nie strofuj go, poczułem się młodszy o około 20 lat i miałem wrażenie, że Windows 3.1 pierwszy raz instaluję. Dzięki za instrukcję, jak się dorobię Della na pewno skorzystam… -_-
Co za roznica, czy masz trefny cert od della, czy masz win10?
Odbezpieczony granat, czy to w lewej kieszeni, czy w prawej, zaskutjue tym samym.
cosik pokreciles – po co kumu upgrade jesli zaraz potem bedzie instalowac czystego windowsa?
Na moim vostro 3560 z win7Pro, nie ma tego certyfikatu
Dell Inspiron 13″ 7348 kupiony w Polsce w sierpniu 2015 posiada także ten certyfikat (w standardzie Win 8.1 uaktualniony do Win 10)
W moim przypadku na takim samym sprzecie nie mam tego certyfikatu, tez przechodzilem sciezke aktualizacji. Czerwiec/Lipiec 2015
XPS13 tez to ma. wydany w kwietniu tego roku.
Na moim Latitude E5540 z win10 upgrade z win 7 nie ma. Na innym takim samym na win 10 jest. Na żadnym E5540 na win7pro nie ma.
Mam Latitude E5540 z win7pro i mam ten certyfikat.
na latitude e5430 z win10 nie ma
Kilka miesięcy temu podczas logowania do mBanku z przerażeniem zauważyłem, że obok „kłódki” nie ma nazwy banku na zielono, czyli, że certyfikat nie jest typu „Extended Validation”.
Chwila sprawdzenia i okazało się, że to świeżo zainstalowany Avast wrzucił mi do systemu root CA i
podsłuchujeskanuje cały ruch. Jakoś mnie to nie przekonuje. Wyłączyłem tę „funkcję”, wyrzuciłem certyfikat i niby jest OK, ale kto wie kiedy znów sam się zainstaluje.Obawiam się, że coraz więcej firm będzie wpadać na ten wspaniały pomysł.
akurat tu się mylisz ponieważ avast oferuje (a nie wymusza) swoje bezpieczne dns-y i ten certyfikat jest dla nich. To Ty klikałeś jak szalony „dalej” a wystarczyło kliknąć „zaawansowane” przy instalacji :D
kto się loguje do banku nie sprawdzając fingerprinta… masakra a niby portal ludzi związanych z bezpieczeństwem
No masakra, bo ktoś sprawdza fingerprint certyfikatu nie zdając sobie sprawy, że ktoś kto może zainstalować certyfikat może zmodyfikować kod oprogramowania. :)
Poza tym, kto do cholery pamięta fingerprinty? To już chyba podchodzi pod paranoję. Zresztą wypadałoby też te fingerprinty od czasu do czasu sprawdzić choćby w siedzibie firmy, na którą certyfikat został wydany…
Dell inspiron 7537 z lutego 2015 wraz z Ubuntu i przeinstalowany z 8.1 pro na win10 pro nie posiada eDellRoot
Mam Dell’a Inspiron 15-5548, z polskiej dystrybucji kupiony MediaM w sierpniu tego roku z WIN 8 upgrade do WIN 10 Certyfikat mam zgodny z Odciskiem.
Na DELL LATITUDE e7440 WIN10 PRO nie mam takiego certyfikatu.
Dell Precision m4800 z tergo roku, win7pro, posiada eDellRoot
Dell Inspiron 5737 z Windows 8.1 certyfikatu brak. Komputer firmowy, ale podejrzewam, że kupiony jakieś półtora roku temu.
Czysty (własna instalacja ale sterowniki Della) Windows 8.1@Dell Latitude 2120 – certyfikatu brak.
sprawdźcie jeśli macie ten cert czy wchodzi Wam ładnie: https://testmydell.com/ ?
z góry thx.
Toć pod CA masz, że podpisał to eDellRoot z odpowiednim numerem seryjnym – siedząc na linux i nie mając della można stwierdzić, że dla wybrańców połączenie będzie zaufane :D
no właśnie ciekaw jestem czy laptopy z tym certyfikatem widzą ładnie pod przeglądarkami że strona zaufana.
Jeśli tak, to jest to najprostszy sposób na weryfikację dla przeciętnego Kowalskiego czy ma ten certyfikat czy nie.
IE krzyczy że strona jest nie zaufana, cert eDellRoot posiadam.
Dell 7537 (Late 2013) z czystym Windows 10 Pro – brak certyfikatu.
Latitude E6540 Win7 64 Pro, kupiony niecały rok temu, certyfikat mam. Instalacja fabryczna Della
Dell XPS L502x, standardowo miał W7HP, jednakże mam dostęp do dreamsparka i teraz mam na czysto zainstalowaną 8.1. Laptop kupiony 4 lata temu. Nie mam eDellRoota, a po komentarzach innych odnoszę wrażenie, że niestety, ale Windows przerobiony przez Della może mieć ten certyfikat.
Latitude E6540 kupiony w lipcu win7 pro ma e DellRoot
Optiplex 9020 z polskiej dystrybucji z preinstalowanym Win7 x64 – certyfikat jest
Latitude E5250 i E7250 z polskiej dystrybucji z preinstalowanym Win7 x64 – certyfikatu nie ma
Wszystkie z końca paźdizernika
Dell przyznaje się do „błędu” przeprasza i udostępnia narzędzie usuwające ten certyfikat. W artykule linki do deinstalatora, instrukcji jak ręcznie usunąć certyfikat oraz do strony gdzie można sprawdzić czy jest się „podatnym”:
http://arstechnica.com/security/2015/11/dell-apologizes-for-https-certificate-fiasco-provides-removal-tool/
http://www.dell.com/support/article/us/en/19/SLN300321
Latitude e6540 z win7pro – też mam ten cert, swoją drogą znalazłem go w piątek zeszły i nie mogłem wyjść ze zdziwienia, że takie coś istnieje.
Dell przeprasza i podaje instrukcje jak pozbyć się certyfikatu (same jego usunięcie nie wystarcza):
http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate
Dell Inspiron 15 5547, kupiony w kwietniu,w Polsce, wyprodukowany w listopadzie 2014 na szczęście brak tego syfu.
Kupiony bez systemu, obecnie zainstalowany Windows 10.
Sprawdźcie program SmartSource.MediaManager. Jest to dodatek do IE, pozwalający na pobieranie od della kopii oprogramowania instalowanego fabrycznie czyli PowerDVD, McAfee itd.
Kolejne dwa zaufane certyfikaty znalezione na lapku Dell-a, tym razem potencjalnie mniej groźne:
https://threatpost.com/additional-self-signed-certs-private-keys-found-on-dell-machines/115467/
Precision m6600 – sformatowałem wszystkie partycje, zainstalowałem pingwina i serdecznie pozdrawiam wszystkich windziarzy :D
@Update
http://www.extremetech.com/computing/218544-dell-apologizes-for-superfish-like-scandal-offers-edellroot-removal-instructions
Kolejna wtopa:
http://arstechnica.com/security/2015/11/pcs-running-dell-support-app-can-be-uniquely-idd-by-snoops-and-scammers/
Dell latitude E5550 win 7 – nie ma certyfikatu.
Problem dotyczy tylko systemu Windows?
Znalazłem kilka lewych certów na starszych laptopach Dell (bez zainstalowanej usługi DFS!). Dziwne, bo podobno dotyczyło to tylko nowych komputerów Dell z presinstalowanym systemem…
Na szczęście Microsoft wykrywa i usuwa te certyfikaty:
http://www.scmagazineuk.com/win32compromisedcertd-is-now-certifiably-dell-stroyed/article/456392/
Dell Latitude E6530 – brak.
Dell Vostro 3500 – 2007 r. czysty Windows 10 – brak certyfikatu