Dell instaluje na laptopach certyfikat umożliwiający ataki MiTM

dodał 23 listopada 2015 o 10:25 w kategorii Wpadki  z tagami:
Dell instaluje na laptopach certyfikat umożliwiający ataki MiTM

Na laptopach Della odnaleziono zaufany certyfikat głównego urzędu certyfikacji o nazwie eDellRoot umożliwiający niezauważalne podszywanie się pod dowolną szyfrowaną usługę w sieci. Co gorsza, towarzyszy mu klucz prywatny.

Użytkownicy, wyczuleni po ostatnich aferach Lenovo, zidentyfikowali kolejne podejrzane praktyki producentów komputerów mogące wystawiać ich posiadaczy na poważne ryzyko. Tym razem problemy zauważono na niektórych laptopach Della.

Certyfikat dla wszystkich

Trzy tygodnie temu niejaki Joe Nord znalazł na swoim komputerze Dell Inspiron 5000 dziwny certyfikat.

Wśród certyfikatów zaufanych głównych urzędów certyfikacji widniała pozycja, której nie widział wcześniej, pod nazwą eDellRoot. Certyfikaty te są podstawą systemu zaufania do szyfrowania serwisów internetowych, głównie stron WWW dostępnych przez protokół HTTPS. Główny urząd certyfikacji, którego certyfikat znajduje się na Waszym komputerze, może wystawić certyfikat dowolnej witrynie i Wasza przeglądarka uzna go za zaufany (wyświetli „zieloną kłódeczkę”). Oznacza to, że posiadacz klucza prywatnego dla certyfikatu eDellRoot może, podsłuchując ruch internetowy, podstawić stronę banku, Facebooka czy Gmaila i nie będziecie w stanie ich odróżnić od prawdziwych.

Powyższy opis zawiera pewne uproszczenie – nie każda przeglądarka korzysta z magazynu certyfikatów Windows (np. Firefox ma swój własny), również niektóre przeglądarki nie dadzą się tak prosto oszukać, ponieważ mają na stałe zapisany podpis prawdziwych certyfikatów – np. Chrome nie wpuści do fałszywego Gmaila. Możliwość ataku za pomocą takiego certyfikatu, choć ograniczona, dalej istnieje i wystawia użytkowników na niepotrzebne ryzyko. Czy jednak należy obawiać się ataków ze strony Della, który posiada zapewne klucz prywatny?

Klucz prywatny dla wszystkich!

Z niewiadomego nam powodu certyfikat eDellRoot znajdujący się na komputerach Della został tam umieszczony wraz ze swoim kluczem prywatnym.

Feralny certyfikat

Feralny certyfikat

Jest to absolutnie niespotykana praktyka – w przypadku certyfikatów głównych urzędów certyfikacji ich klucze prywatne są przechowywane w sposób porównywalny z amerykańskimi rezerwami federalnymi, w sejfach, z niezwykle skomplikowanymi procedurami dostępu. Co prawda klucz ma atrybut „eksport niemożliwy”, jednak istnieją narzędzia, które ten atrybut ignorują i umożliwiają jego pozyskanie, a sam klucz został już wydobyty i opublikowany w sieci. Oznacza to, że użyć go może każdy, kto ma dostęp do ruchu internetowego posiadacza feralnego egzemplarza Della – niestety każdy klucz jest identyczny.

Jak sprawdzić czy mam ten certyfikat

Na razie wiemy o co najmniej dwóch modelach zawierających feralny certyfikat, kupionych poza granicami Polski i są to XPS 15 oraz Inspiron 5000. Dodatkowe informacje wskazują, że może chodzić o komputery z systemem operacyjnym Windows 10 – na pewno musi on być preinstalowany przez Della. Możecie też sami sprawdzić swoje komputery. Wystarczy uruchomić polecenie certmgr.msc i następnie wejść do „Zaufane główne urzędy certyfikacji” oraz „Certyfikaty” i poszukać na liście pozycji eDellRoot. Jeśli znajdziecie – podajcie model i datę zakupu w komentarzach. Certyfikat powinien mieć odcisk palca o wartości

oraz numer seryjny

Czy certyfikat można bezpiecznie usunąć? Tego jeszcze nie wiemy. Na razie nie słyszeliśmy o atakach z jego użyciem, więc nie jest to konieczne. Czekamy na wyjaśnienia Della. Przy okazji przejrzyjcie także pozostałe certyfikaty – może znajdziecie inne niespodzianki.