Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties
Submitter: ctrlaltdelbe

Enkele kopers van Dell-laptops melden dat op hun systeem een rootlevelcertificaat met de naam eDellRoot aanwezig is dat voor alle toepassingen vertrouwd wordt terwijl ook de private sleutel op het systeem zou staan. Dit zou misbruik mogelijk maken.

Het gaat om een zelf-gesigneerd certificaat waarover Joe Norden zondag berichtte. Hij kocht een nieuwe Dell Inspiron 15 5000-laptop en ontdekte het rootcertificaat met de naam eDellRoot. Ook constateerde hij dat de privésleutel eveneens op zijn systeem aanwezig was. Die sleutel was niet te exporteren maar volgens Reddit-gebruiker Rotorcowboy is de sleutel wel te kopiëren. Ook hij trof hetzelfde certificaat en bijbehorende sleutel aan op zijn net nieuwe Dell XPS 15-pc.

Onduidelijk is waarom Dell het certificaat op de systemen plaatst. Bovendien lijken slechts enkele kopers deze aan te treffen: veel mensen die recent een Dell-pc hebben gekocht melden dat ze eDellRoot niet vinden. De helpdesk van Dell heeft via Twitter bevestigd dat het om een certificaat van het computerbedrijf gaat, maar ziet de aanwezigheid vooralsnog niet als een beveiligingsrisico.

Dat risico is dat malwareschrijvers kwaadaardige software met het certificaat kunnen ondertekenen, waarna bij Windows geen alarmbellen gaan rinkelen. De vergelijking met Superfish van Lenovo gaat deels op: dat ging om malware van een derde partij die met behulp van een certificaat ssl-verkeer van klanten kaapte voor het injecteren van advertenties maar ook te misbruiken was dankzij de aanwezigheid van de privésleutel.

Update, 17.50: Ook een tweaker geeft op Gathering of Tweakers aan het certificaat op zijn XPS 15 te hebben.

Update 2, dinsdag 10.50: Man-in-the-middle-aanvallen blijken wel degelijk mogelijk, zoals meerdere users in de comments aangaven en inmiddels in een proof-of-concept is aangetoond.

Dell eDellRoot

Moderatie-faq Wijzig weergave

Reacties (49)

Als het op beide systemen om EXACT hetzelfde certificaat gaat, bestaat de kans op man in the middle attacks natuurlijk wel. Althans voor Dell eigenaren met dit TRUSTED root certificaat. Want als ik een certifcaat 'mail.google.com' aanmaak op basis van dit root certifcaat, zullen alle computers waarop dit root certificaat is geinstalleerd dat sub certificaat accepteren als 'geldig'.

Bij veel bedrijven worden ook veel self-signed root certificaten gebruikt voor hosting van infratructuur. Een Man in the middle attack zou niet mogelijk zijn als op elke Dell PC een ander (uniek) root certificaat zou worden geinstalleerd. Iets wat je zou kunnen verwachten als de private key po de computer zelf aanwezig is. Omdat certificaten ondertekend met een Dell root certificaat een verkeerde fingerprint zou hebben ten opzichte van op jouw computer geinstalleerde Dell root certificaat zou het certificaat als ongeldig worden beschouwd (fingerpint mismatch).

Wel zijn op deze Dell computers alleen de software onderdelen vatbaar voor dit misbruik als zij gebruik maken van de Windows Certificate Store zoals MSIE en Chrome. Een Browser zoals Firefox of mail client zoals Thunderbird heeft zijn eigen root certificate store en is dus niet 'vatbaar'..
Een dergelijk rootcertificaat zal niet door browsers geaccepteerd worden om domeinen als mail.google.com te certificeren.
Jouw browser accepteert ELK certificaat welke ondertekend is door een op jouw computer TRUSTED CA. Een certificaat is vrijwel altijd onderdeel van een certificate chain. Jouw computer controleert elk certificaat uit die chain op geldigheid (datums, checksums en parent certificate). Dat kan ook niet anders, want anders zou je later nooit kunnen overstappen van Verisign naar Comodo..

En wat Dell hier doet, is niet zo heel erg veel anders dan het let's encrypt programma. Dat initiatief heeft de bekende certificate store beheerders (zoals Microsoft en Mozilla) gevraagd hun root certificaat op te nemen als trusted CA.

Daarbij geloof ik helemaal niets van dat klantenservice verhaal, want dan is enkel een RSA keypair al voldoende waarbij op de Dell computer alleen de public key aanwezig is en de private key op de Dell servers onder het serialnumber wordt opgeslagen. Voor encryptie om met de klantenservice te communiceren gebruikt men dan de public key zodat de informatie *ALLEEN* met de private key ontsleuteld kan worden.. Daarbij hebben we al een zeer goed systeem waarmee browsers veilig met een server kunnen communiceren. Want encryptie met klantenservice gaat vooral om TRANSPORT beveiliging en daarvoor bestaat het SSL/TLS protocol al..
Waarom niet? Als dat cert voor mail.google.com uitgegeven is door een trusted root weet de browser niet beter, ongeacht welke root. Alleen als de browser HTTP Public Key Pinning toepast, waarbij de hash van het verwachte certificaat vergeleken wordt met het werkelijk ontvangen certificaat, én deze root niet daarvan uitsluit wordt dit gedetecteerd.
Er zijn al instructies en een tool voor het verwijderen ervan:

https://dellupdater.dell....tRemovalInstructions.docx
Je meldt de eDellRoot Certificate Removal Instructions. De url naar de tool uit het document is deze: https://dellupdater.dell....P009/eDellRootCertFix.exe
"Misbruik voor man-in-the-middle-aanvallen zou niet mogelijk zijn aangezien het certificaat niet door een officiële certificaatautoriteit is uitgegeven."

Is het echt een rootcertificaat? Hoe kan Dell dan beweren dat het niet geschikt is voor een MITM-aanval? Rootcertificaten zijn juist bij uitstek geschikt voor zo'n anval. De enige beperking is dat deze aanval alleen werkt op Dell-laptops. Als Dell zegt dat het geen probleem is dan zeggen ze dus eigenlijk dat je een laptop van een ander merk moet kopen.
Dat de private key er bij zit wekt alleen maar de suggestie dat ze ook echt iets MITM-achtigs willen doen. Zo'n key kan ook voor een virusscanner zijn maar in dat geval snap ik niet dat Dell dat niet onmiddelijk naar buiten brengt.

[Reactie gewijzigd door CAPSLOCK2000 op 23 november 2015 15:45]

update: Dell gaat beveiligingslek in laptops vandaag nog repareren:
http://www.nu.nl/internet...in-laptops-repareren.html

Slechte beurt voor Dell, wel goede zaak dat ze het zo snel weer terugdraaien.
Ik vond het genoemde certificaat ook op mijn nieuwe Optiplex 9020.
Maar hoe weet ik of ook die privesleutel ook aanwezig is?
ik gebruikte certmgr.msc, en daar stond bij "vertrouwde basiscertificaten" het edellroot certificaat bij.
Het logo'tje voor dit certificaat is ook anders dan de andere, er staat een sleuteltje bij dit logo..
Of is dat de aanwijzing voor die privesleutel?

Is hier iets aan te doen? Ik ben niet zo thuis in certificaten en sleutels...
Alvast bedankt!
Het sleuteltje erbij geeft aan dat je de geheime/privésleutel hebt. Je kan het certificaat verplaatsen naar de untrusted/onvertrouwde store om het als zodanig te markeren. Verwijderen kan ook maar dat kun je niet ongedaan maken, mocht dat om de een of andere reden nodig zijn.
Oké, bedankt voor de snelle reactie! Ik ga dat hier eens melden aan mijn oversten, en zien wat ik er dan mee moet doen.

Is dit trouwens echt een ernstig beveiligingsprobleem?
Raden jullie aan om het te verwijderen/verplaatsen?
Als ik het verplaats, blijft de sleutel toch ook gewoon op mijn pc staan?

Groeten, J.
Dus bij een nieuwe computer, ongeacht van welk merk, alles _zelf_ checken, want de fabrikant heeft misschien een andere definitie van veiligheid.
Dus bij een nieuwe computer de HDD/SSD formateren of een andere SSD inzetten...
En dan maar hopen dat er niets in de BIOS/UEFI zit die dingen met je OS wil doen na installatie :)
Och, anders is het retour naar de fabrikant. Ik doe niets met voorgeinstalleerde software, er zit altijd te veel troep tussen. Waar dit weer een mooi voorbeeld van is.

Als het niet mogelijk is om zelf een OS te installeren dan is het einde verhaal voor het apparaat, en gaat ie gewoon terug. In dat geval is mij namelijk een incompleet apparaat wat niet aan de specificaties voldoet verkocht.
En nu we toch bezig zijn, meteen gewoon wat foute merken überhaupt niet aankopen. Sommige merken KUCHLENOVOKUCH hebben wel al bewezen dat ze niet te vertrouwen zijn en keer op keer malware, spyware of andere crapware op de computers zetten.
Een Tweaker, zet meteen zijn eigen installatie er op. Maar je wel hiervan de kennis hebben. En de meeste gebruikers hebben deze kennis niet.
Een Tweaker, ja. Maar als je regelmatig die dingen zakelijk koopt heb je niet altijd kennis, kunde, tijd en zin om er schoon mee te beginnen. En de leverancier ook niet altijd.
Daarom zou je ook je eigen computer samen moeten stellen. Het is goedkoper, leuker (van mijn mening) en geen bloatware! ;)
als het om privé-toestellen gaat wel, maar als je per week een paar pc's oid moet uitleveren aan je gebruikers, dan ga je geen tijd meer willen besteden aan assemblage en zelf garantie bij fabrikanten te gaan claimen
Of gewoon direct een frisse installatie doen, ben je gelijk van alle bloatware af :)
Juistem, door ook alle "herstel" partities te wissen.
Vooraf wel even je Windows product key veiligstellen,
als die niet al op een sticker staat.
Net even gekeken op mijn Latitude E7440. Geen eDellroot certificaat.

Als je het certificaat aan treft, kan je hem dan verwijderen zonder consequenties?

Verder nooit noemenswaardige mankementen gehad met (zakelijke) Dell machines. Ik beheer er 80 van Laptops, workstations en servers over een periode van meer dan 10 jaar.

[Reactie gewijzigd door Deem op 23 november 2015 15:15]

Heb je de 'Dell Foundation Services' geinstalleerd?
Nee, We gooien de Dell workplace en andere Dell randzaken er standaard af.
Heb mijn E7450 laatst geüpgrade naar Windows 10, net gekeken, geen eDellRoot.
Moet er wel bij zeggen dat ik her en der al wat Dell-bloat gedeïnstalleerd heb.
En daarom is het eerste wat ik doe met zakelijke laptops of systemen ons sysprep image eroverheen. Altijd en steevast. Weg met alle bloatware en backdoors (althans, die van de leverancier :)).

[Reactie gewijzigd door Rataplan_ op 23 november 2015 15:17]

precies.
Stap 1 harddisk leeg
Stap 2 Bios/Eufi nakijken
Stap 3 OS opnieuw installeren/image op zetten

Bij elk merk, elk type......met uitzondering van m'n mobieltje....(want te veel werk blablabla :P )
Inderdaad. Het zal weinig helpen als bedrijven zoals Lenovo rootkits in hun bios hebben


nieuws: Lenovo haalt rootkit weg uit bios meerdere laptopmodellen
Is bij stap 2 de BIOS/UEFI op 'standaardinstellingen' zetten en opslaan voldoende? Of blijven er dan nog steeds dingen zoals Lenovo rootkits in de Bios staan?
Dat is niet voldoende. Een rootkit zal gewoon in de BIOS firmware verwerkt zitten.
De helpdesk van Dell heeft via Twitter bevestigd dat het om een certificaat van het computerbedrijf gaat, maar ziet de aanwezigheid vooralsnog niet als een beveiligingsrisico.

Dat risico is dat malwareschrijvers kwaadaardige software met het certificaat kunnen ondertekenen, waarna bij Windows geen alarmbellen gaan rinkelen
Nee inderdaad, als er malware geinstalleerd kan worden heeft dat niets met een beveiligingsrisico te maken... hoe komen ze er toch bij? |:(
Indien de aanwezigheid van het certificaat een zeldzaamheid is (waarom is het dan aanwezig?) dan is het risico klein omdat slechts een beperkt aantal PCs er dan last van zal hebben.
Het is niet zo heel erg zeldzaam. Hier op kantoor gekeken, twee generaties XPS 15 hebben het, de Dell Precision M2800 hebben het en ook hun voorgangers (verschillende edities Latitude van 2~3 jaar oud) hebben het...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True