23.11.2015 | 10:25

Adam Haertle

Dell instaluje na laptopach certyfikat umożliwiający ataki MiTM

Na laptopach Della odnaleziono zaufany certyfikat głównego urzędu certyfikacji o nazwie eDellRoot umożliwiający niezauważalne podszywanie się pod dowolną szyfrowaną usługę w sieci. Co gorsza, towarzyszy mu klucz prywatny.

Użytkownicy, wyczuleni po ostatnich aferach Lenovo, zidentyfikowali kolejne podejrzane praktyki producentów komputerów mogące wystawiać ich posiadaczy na poważne ryzyko. Tym razem problemy zauważono na niektórych laptopach Della.

Certyfikat dla wszystkich

Trzy tygodnie temu niejaki Joe Nord znalazł na swoim komputerze Dell Inspiron 5000 dziwny certyfikat.

Wśród certyfikatów zaufanych głównych urzędów certyfikacji widniała pozycja, której nie widział wcześniej, pod nazwą eDellRoot. Certyfikaty te są podstawą systemu zaufania do szyfrowania serwisów internetowych, głównie stron WWW dostępnych przez protokół HTTPS. Główny urząd certyfikacji, którego certyfikat znajduje się na Waszym komputerze, może wystawić certyfikat dowolnej witrynie i Wasza przeglądarka uzna go za zaufany (wyświetli „zieloną kłódeczkę”). Oznacza to, że posiadacz klucza prywatnego dla certyfikatu eDellRoot może, podsłuchując ruch internetowy, podstawić stronę banku, Facebooka czy Gmaila i nie będziecie w stanie ich odróżnić od prawdziwych.

Powyższy opis zawiera pewne uproszczenie – nie każda przeglądarka korzysta z magazynu certyfikatów Windows (np. Firefox ma swój własny), również niektóre przeglądarki nie dadzą się tak prosto oszukać, ponieważ mają na stałe zapisany podpis prawdziwych certyfikatów – np. Chrome nie wpuści do fałszywego Gmaila. Możliwość ataku za pomocą takiego certyfikatu, choć ograniczona, dalej istnieje i wystawia użytkowników na niepotrzebne ryzyko. Czy jednak należy obawiać się ataków ze strony Della, który posiada zapewne klucz prywatny?

Klucz prywatny dla wszystkich!

Z niewiadomego nam powodu certyfikat eDellRoot znajdujący się na komputerach Della został tam umieszczony wraz ze swoim kluczem prywatnym.

Feralny certyfikat

Feralny certyfikat

Jest to absolutnie niespotykana praktyka – w przypadku certyfikatów głównych urzędów certyfikacji ich klucze prywatne są przechowywane w sposób porównywalny z amerykańskimi rezerwami federalnymi, w sejfach, z niezwykle skomplikowanymi procedurami dostępu. Co prawda klucz ma atrybut „eksport niemożliwy”, jednak istnieją narzędzia, które ten atrybut ignorują i umożliwiają jego pozyskanie, a sam klucz został już wydobyty i opublikowany w sieci. Oznacza to, że użyć go może każdy, kto ma dostęp do ruchu internetowego posiadacza feralnego egzemplarza Della – niestety każdy klucz jest identyczny.

Jak sprawdzić czy mam ten certyfikat

Na razie wiemy o co najmniej dwóch modelach zawierających feralny certyfikat, kupionych poza granicami Polski i są to XPS 15 oraz Inspiron 5000. Dodatkowe informacje wskazują, że może chodzić o komputery z systemem operacyjnym Windows 10 – na pewno musi on być preinstalowany przez Della. Możecie też sami sprawdzić swoje komputery. Wystarczy uruchomić polecenie certmgr.msc i następnie wejść do „Zaufane główne urzędy certyfikacji” oraz „Certyfikaty” i poszukać na liście pozycji eDellRoot. Jeśli znajdziecie – podajcie model i datę zakupu w komentarzach. Certyfikat powinien mieć odcisk palca o wartości

98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27

oraz numer seryjny

6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6

Czy certyfikat można bezpiecznie usunąć? Tego jeszcze nie wiemy. Na razie nie słyszeliśmy o atakach z jego użyciem, więc nie jest to konieczne. Czekamy na wyjaśnienia Della. Przy okazji przejrzyjcie także pozostałe certyfikaty – może znajdziecie inne niespodzianki.

Powrót

Komentarze

  • 2015.11.23 10:32 osclbn

    Mam Dell Vostro 3558, kupionyy w sierpniu w polskiej sieci dystrybucyjnej z Win7Pro, teraz podniesiony do Win10Pro i mam eDellRoot – postaram się sprawdzić czy na innych lapkach z tego okresu na Win7Pro znajdę eDellRoot.

    Odpowiedz
    • 2015.11.23 10:45 osclbn

      Sprawdzone lapki z Win7Pro – tam nie ma eDellRoot. Czyli występuje on w Win10, nie ważne czy preinstalowany system czy upgrade.

      Odpowiedz
      • 2015.11.23 11:29 p

        Potwierdzam, Dell z Win7 Pro chyba bezpieczne.

        Odpowiedz
        • 2015.11.23 15:10 chris

          Niestety, win7pro preinstalowany przez Della jest skażony certem.
          Upgrade do wersji 10 … cert pozostał
          Latitude 7450, XI 2015

          Odpowiedz
      • 2015.11.23 12:43 Whydack

        Nie do końca – mam precisiona M6800, na którym zaraz po zakupie zrobiłem format (dla przyzwoitości – wszystkich partycji łącznie z recovery) do win 8 PRO, następnie upgrade do 8.1 i ostatecznie do 10. I nie mam tego.

        Co ciekawe, format robiłem z użyciem fabrycznej DVD DELL z win8.

        Więc problem może dotyczyć tylko sprzętu z preinstalowanym fabrycznie systemem

        Odpowiedz
        • 2015.11.23 14:47 MrMgr

          Ja też mam DELL’a M6800 :). Instalowany z czystego W10 2 dni temu. Wszystkie sterowniki bezpośrednio od MS + Sterownik do FirePro M6100 ze strony ATI. Od Della mam tylko Dell System Detect. Certyfikatu brak. To wskazuje, że certyfikat jest w obrazie W10 sprzedawanym razem z laptopem lub w którymś ze sterowników/softów do laptopa.

          Odpowiedz
      • 2015.11.25 06:33 Mikelos

        Dell Precision Tower 5810 z Win7 PRO posiada eDellRoot

        Odpowiedz
    • 2015.11.23 18:01 Paweł Nyczaj

      Rozwiązaniem jest czysta instalacja Win 10 po zrobieniu upgrade. Robiąc upgrade z Win 7 lub Win 8 trzeba sobie zapisać Windows na płytę lub pendrive (opcja nagrania ściąganego upgrade na nośnik w postaci pliku ISO lub bootowalnego pendrive) oraz oczywiście zbackupować dane i potem na czysto instalować już bez śmieci od Della. Oczywiście potem ze strony Della trzeba będzie pobrać te sterowniki i narzędzia, które są potrzebne do funkcjonowania komputera. Przy okazji wyjdzie, czy ten dziwny cert nie jest instalowany przez jakieś narzędzie lub sterownik Della.

      Odpowiedz
      • 2015.11.23 18:03 Paweł Nyczaj

        Mówiąc potrzebne sterowniki miałem na myśli te, których Microsoft nie jest w stanie pobrać z WU (tak bywa z wbudowanymi kamerami).

        Odpowiedz
        • 2015.11.25 06:36 Mikelos

          Twoje nauki to może nadają się na stronę komputerswiat.pl, na prawdę nie obraź się ale daruj sobie takie nauki na tym portalu bo żal się robi.

          Odpowiedz
          • 2015.11.26 08:53 Kacper

            Nie strofuj go, poczułem się młodszy o około 20 lat i miałem wrażenie, że Windows 3.1 pierwszy raz instaluję. Dzięki za instrukcję, jak się dorobię Della na pewno skorzystam… -_-

      • 2015.11.27 00:10 atari

        Co za roznica, czy masz trefny cert od della, czy masz win10?
        Odbezpieczony granat, czy to w lewej kieszeni, czy w prawej, zaskutjue tym samym.

        Odpowiedz
      • 2015.11.27 00:30 kias

        cosik pokreciles – po co kumu upgrade jesli zaraz potem bedzie instalowac czystego windowsa?

        Odpowiedz
    • 2015.12.03 20:20 Dg

      Na moim vostro 3560 z win7Pro, nie ma tego certyfikatu

      Odpowiedz
  • 2015.11.23 10:58 Korfanty

    Dell Inspiron 13″ 7348 kupiony w Polsce w sierpniu 2015 posiada także ten certyfikat (w standardzie Win 8.1 uaktualniony do Win 10)

    Odpowiedz
    • 2015.11.23 11:53 eS.

      W moim przypadku na takim samym sprzecie nie mam tego certyfikatu, tez przechodzilem sciezke aktualizacji. Czerwiec/Lipiec 2015

      Odpowiedz
  • 2015.11.23 11:13 John Smith

    XPS13 tez to ma. wydany w kwietniu tego roku.

    Odpowiedz
  • 2015.11.23 11:37 Michał

    Na moim Latitude E5540 z win10 upgrade z win 7 nie ma. Na innym takim samym na win 10 jest. Na żadnym E5540 na win7pro nie ma.

    Odpowiedz
    • 2015.11.23 14:21 Michał

      Mam Latitude E5540 z win7pro i mam ten certyfikat.

      Odpowiedz
  • 2015.11.23 11:52 wojtek

    na latitude e5430 z win10 nie ma

    Odpowiedz
  • 2015.11.23 11:52 SWilk

    Kilka miesięcy temu podczas logowania do mBanku z przerażeniem zauważyłem, że obok „kłódki” nie ma nazwy banku na zielono, czyli, że certyfikat nie jest typu „Extended Validation”.

    Chwila sprawdzenia i okazało się, że to świeżo zainstalowany Avast wrzucił mi do systemu root CA i podsłuchujeskanuje cały ruch. Jakoś mnie to nie przekonuje. Wyłączyłem tę „funkcję”, wyrzuciłem certyfikat i niby jest OK, ale kto wie kiedy znów sam się zainstaluje.

    Obawiam się, że coraz więcej firm będzie wpadać na ten wspaniały pomysł.

    Odpowiedz
    • 2015.11.23 15:22 vicurry

      akurat tu się mylisz ponieważ avast oferuje (a nie wymusza) swoje bezpieczne dns-y i ten certyfikat jest dla nich. To Ty klikałeś jak szalony „dalej” a wystarczyło kliknąć „zaawansowane” przy instalacji :D

      Odpowiedz
    • 2015.11.26 09:39 zdziś

      kto się loguje do banku nie sprawdzając fingerprinta… masakra a niby portal ludzi związanych z bezpieczeństwem

      Odpowiedz
      • 2015.12.05 14:43 Sebastian

        No masakra, bo ktoś sprawdza fingerprint certyfikatu nie zdając sobie sprawy, że ktoś kto może zainstalować certyfikat może zmodyfikować kod oprogramowania. :)

        Poza tym, kto do cholery pamięta fingerprinty? To już chyba podchodzi pod paranoję. Zresztą wypadałoby też te fingerprinty od czasu do czasu sprawdzić choćby w siedzibie firmy, na którą certyfikat został wydany…

        Odpowiedz
  • 2015.11.23 12:13 Dell

    Dell inspiron 7537 z lutego 2015 wraz z Ubuntu i przeinstalowany z 8.1 pro na win10 pro nie posiada eDellRoot

    Odpowiedz
  • 2015.11.23 12:43 Wlodarmic

    Mam Dell’a Inspiron 15-5548, z polskiej dystrybucji kupiony MediaM w sierpniu tego roku z WIN 8 upgrade do WIN 10 Certyfikat mam zgodny z Odciskiem.

    Odpowiedz
  • 2015.11.23 13:26 M.

    Na DELL LATITUDE e7440 WIN10 PRO nie mam takiego certyfikatu.

    Odpowiedz
  • 2015.11.23 13:41 precission

    Dell Precision m4800 z tergo roku, win7pro, posiada eDellRoot

    Odpowiedz
  • 2015.11.23 14:12 Mateusz

    Dell Inspiron 5737 z Windows 8.1 certyfikatu brak. Komputer firmowy, ale podejrzewam, że kupiony jakieś półtora roku temu.

    Odpowiedz
  • 2015.11.23 14:58 spirk

    Czysty (własna instalacja ale sterowniki Della) Windows 8.1@Dell Latitude 2120 – certyfikatu brak.

    Odpowiedz
  • 2015.11.23 16:04 vrs

    sprawdźcie jeśli macie ten cert czy wchodzi Wam ładnie: https://testmydell.com/ ?
    z góry thx.

    Odpowiedz
    • 2015.11.23 22:41 dolb

      Toć pod CA masz, że podpisał to eDellRoot z odpowiednim numerem seryjnym – siedząc na linux i nie mając della można stwierdzić, że dla wybrańców połączenie będzie zaufane :D

      Odpowiedz
      • 2015.11.24 10:06 vrs

        no właśnie ciekaw jestem czy laptopy z tym certyfikatem widzą ładnie pod przeglądarkami że strona zaufana.
        Jeśli tak, to jest to najprostszy sposób na weryfikację dla przeciętnego Kowalskiego czy ma ten certyfikat czy nie.

        Odpowiedz
        • 2015.11.25 06:41 Mikelos

          IE krzyczy że strona jest nie zaufana, cert eDellRoot posiadam.

          Odpowiedz
  • 2015.11.23 18:54 Maciek

    Dell 7537 (Late 2013) z czystym Windows 10 Pro – brak certyfikatu.

    Odpowiedz
  • 2015.11.23 19:57 zzz

    Latitude E6540 Win7 64 Pro, kupiony niecały rok temu, certyfikat mam. Instalacja fabryczna Della

    Odpowiedz
  • 2015.11.23 20:42 Michael

    Dell XPS L502x, standardowo miał W7HP, jednakże mam dostęp do dreamsparka i teraz mam na czysto zainstalowaną 8.1. Laptop kupiony 4 lata temu. Nie mam eDellRoota, a po komentarzach innych odnoszę wrażenie, że niestety, ale Windows przerobiony przez Della może mieć ten certyfikat.

    Odpowiedz
  • 2015.11.24 07:21 Krzysiek

    Latitude E6540 kupiony w lipcu win7 pro ma e DellRoot

    Odpowiedz
  • 2015.11.24 09:37 Michal

    Optiplex 9020 z polskiej dystrybucji z preinstalowanym Win7 x64 – certyfikat jest
    Latitude E5250 i E7250 z polskiej dystrybucji z preinstalowanym Win7 x64 – certyfikatu nie ma

    Wszystkie z końca paźdizernika

    Odpowiedz
  • 2015.11.24 13:58 error

    Dell przyznaje się do „błędu” przeprasza i udostępnia narzędzie usuwające ten certyfikat. W artykule linki do deinstalatora, instrukcji jak ręcznie usunąć certyfikat oraz do strony gdzie można sprawdzić czy jest się „podatnym”:

    http://arstechnica.com/security/2015/11/dell-apologizes-for-https-certificate-fiasco-provides-removal-tool/

    Odpowiedz
  • 2015.11.24 14:14 Janek

    Latitude e6540 z win7pro – też mam ten cert, swoją drogą znalazłem go w piątek zeszły i nie mogłem wyjść ze zdziwienia, że takie coś istnieje.

    Odpowiedz
  • 2015.11.24 14:43 Ted

    Dell przeprasza i podaje instrukcje jak pozbyć się certyfikatu (same jego usunięcie nie wystarcza):
    http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate

    Odpowiedz
  • 2015.11.24 16:01 Anna

    Dell Inspiron 15 5547, kupiony w kwietniu,w Polsce, wyprodukowany w listopadzie 2014 na szczęście brak tego syfu.

    Kupiony bez systemu, obecnie zainstalowany Windows 10.

    Odpowiedz
  • 2015.11.24 18:01 draft

    Sprawdźcie program SmartSource.MediaManager. Jest to dodatek do IE, pozwalający na pobieranie od della kopii oprogramowania instalowanego fabrycznie czyli PowerDVD, McAfee itd.

    Odpowiedz
  • 2015.11.24 19:58 error

    Kolejne dwa zaufane certyfikaty znalezione na lapku Dell-a, tym razem potencjalnie mniej groźne:

    https://threatpost.com/additional-self-signed-certs-private-keys-found-on-dell-machines/115467/

    Odpowiedz
  • 2015.11.24 21:33 pngnlvr

    Precision m6600 – sformatowałem wszystkie partycje, zainstalowałem pingwina i serdecznie pozdrawiam wszystkich windziarzy :D

    Odpowiedz
  • 2015.11.26 11:18 Hawu

    Dell latitude E5550 win 7 – nie ma certyfikatu.

    Odpowiedz
  • 2015.11.28 21:02 marek

    Problem dotyczy tylko systemu Windows?

    Odpowiedz
  • 2015.12.01 10:54 mrtako

    Znalazłem kilka lewych certów na starszych laptopach Dell (bez zainstalowanej usługi DFS!). Dziwne, bo podobno dotyczyło to tylko nowych komputerów Dell z presinstalowanym systemem…
    Na szczęście Microsoft wykrywa i usuwa te certyfikaty:
    http://www.scmagazineuk.com/win32compromisedcertd-is-now-certifiably-dell-stroyed/article/456392/

    Odpowiedz
  • 2015.12.05 10:45 z3

    Dell Latitude E6530 – brak.

    Odpowiedz
  • 2015.12.21 11:12 Łuki

    Dell Vostro 3500 – 2007 r. czysty Windows 10 – brak certyfikatu

    Odpowiedz

Zostaw odpowiedź do Tomek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Dell instaluje na laptopach certyfikat umożliwiający ataki MiTM

Komentarze