Η Dell άφησε σοβαρό κενό ασφαλείας στα PC της – Πώς θα το κλείσετε

Λογισμικό που φέρουν προεγκαταστημένο τα νεότερα μοντέλα υπολογιστών της Dell μπορεί να επιτρέψει, με την Dell ως αξιόπιστη κεντρική αρχή έκδοσης του πιστοποιητικού τρίτου, την αδιόρατη υποκλοπή στοιχείων σε κάθε φαινομενικά ασφαλή σύνδεση του χρήστη στο Διαδίκτυο, θέτοντας σε κίνδυνο login name και password ακόμα και σε υπηρεσίες e-banking. Το «μεγάλο λάθος» που έκανε η Lenovo με το διαβόητο Superfish, επαναλαμβάνεται από έναν ακόμα πολύ μεγάλο κατασκευαστή.

Ο χρήστης του reddit, rotorcowboy ήταν από τους πρώτους που εντόπισαν την ύπαρξη του πιστοποιητικού eDellRoot σε όλα τα νεότερα μοντέλα υπολογιστών της Dell. Δεν πρόκειται για ένα απλό πιστοποιητικό, αλλά για Certificate Authority (CA), τον έμπιστο ενδιάμεσο φορέα που πιστοποιεί ότι διεξάγεται με ασφάλεια η επικοινωνία ανάμεσα στον υπολογιστή του χρήστη και έναν διακομιστή ευαίσθητων υπηρεσιών -για την παροχή των οποίων απαιτούνται προσωπικά στοιχεία, όπως για παράδειγμα στις υπηρεσίες e-banking.

Υπολογιστές της Dell με το υπογεγραμμένο από την Dell CA, δίνουν την πιστοποίησή τους ως έμπιστος τρίτος και το αντίστοιχο κρυφό αυστηρά προσωπικό κλειδί (private key) για να ξεκινήσει μια ασφαλής σύνοδος διαδικτυακής επικοινωνίας. Το πρόβλημα ωστόσο είναι ότι, αυτό το private key μπορεί να υποκλαπεί με διάφορα εργαλεία -o rotorcowboy και άλλοι το έκαναν- και έτσι να χρησιμοποιηθεί από μη εξουσιοδοτημένο τρίτο μέρος που θα υποδύεται πλέον τον έμπιστο τρίτο φορέα πιστοποίησης και θα υπογράφει για την ασφάλεια της επικοινωνίας, ενώ στην πραγματικότητα κάποιος έχει μπει στη μέση (Man In the Middle Attack).

Κάτι ανάλογο είχε συμβεί πρόσφατα με υπαιτιότητα της Lenovo, η οποία διένειμε υπολογιστές με το λογισμικό Superfish. Όπως έγινε αργότερα γνωστό, το Supefish ήταν υπεύθυνο για τις προσεκτικά επιλεγμένες προς προβολή διαφημίσεις στον browser, με βάση πλήθος πληροφοριών από τις διαδικτυακές συνήθειες του χρήστη.

• Ξέρετε… Ποιος σας πετάει διαφημίσεις στον browser;
• Υπόθεση Lenovo Superfish
  

Στην περίπτωση της Dell, δεν ήταν προφανής ο λόγος ύπαρξης του επίμαχου πιστοποιητικού εμπιστοσύνης, δημιουργώντας ακόμα μεγαλύτερη ανασφάλεια στους κατόχους συστημάτων Dell.

H Dell έδωσε εξηγήσεις για το eDellRoot λίγες ώρες αργότερα, αναγνωρίζοντας πως η ύπαρξή του συνιστά απειλή για το απόρρητο των επικοινωνιών των χρηστών. Εξήγησε πως, το eDellRoot και το private key αποτελούν μέρος ενός συστήματος που θα διευκόλυνε την παροχή υπηρεσιών τεχνικής υποστήριξης στους πελάτες της -δίνει στην υπηρεσία διαδικτυακής υποστήριξης της Dell το μοντέλο του συστήματος (system service tag). «Δεν υπήρχε πρόθεση», τονίζει η εταιρεία.

Παράλληλα, η Dell δίνει εκτενείς και λεπτομερείς οδηγίες για την διαγραφή του πιστοποιητικού ως έμπιστη πηγή πιστοποίησης ταυτότητας και από τις 24 Νοεμβρίου 2015 στέλνει ενημέρωση λογισμικού στα συστήματά της που ελέγχει για την ύπαρξη του επίμαχου πιστοποιητικού και το αφαιρεί. Στο εξής, όλα τα συστήματα της Dell δεν θα φέρουν το eDellRoot, βεβαιώνει ο κατασκευαστής.

• Για να δείτε εάν οι οδηγίες της Dell αφορούν το σύστημά σας κάντε το εξής: Από την έναρξη, επιλέξτε εκτέλεση της εντολής certmgr.msc και δείτε στις έμπιστες κεντρικές αρχές έκδοσης πιστοποιητικών τα πιστοποιητικά. Εάν δείτε το «eDellRoot», τότε οι οδηγίες αφαίρεσής του σας αφορούν, αν και η ενημέρωση που στέλνει η Dell θα αναλάβει την διαδικασία.
• Οι οδηγίες για την αφαίρεση του eDellRoot δημοσιεύονται υπό μορφή αρχείου docx στην διεύθυνση https://dellupdater.dell.com/Downloads/APP009/eDellRootCertRemovalInstructions.docx

In.gr Τεχνολογία