Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties

Dell heeft erkend dat het certificaat met privésleutel een beveiligingsrisico voor gebruikers van laptops van de fabrikant oplevert. Ook in Nederland treffen veel kopers het certificaat aan. Het probleem maakt misbruik met malware en man-in-the-middle-aanvallen mogelijk.

Het certificaat was onderdeel van supportfunctionaliteit die een 'betere, snellere en makkelijkere customer support experience moest opleveren', claimt Dell. Volgens beveiligingsbedrijf Duo Security gaat het om een onderdeel van Dell Foundation Services en zorgt het certificaat voor cryptografisch ondertekende versturing van bijvoorbeeld het modelnummer, de servicetag en serienummers. Volgens Dell gaat het hierbij niet om persoonlijke gegevens van klanten.

Het eDellRoot-rootcertificaat kan niet zomaar handmatig verwijderd worden: bij een restart zorgt een plugin met de naam Dell.Foundation.Agent.Plugins.eDell.dll voor herinstallatie. Deze plugin moet dan ook eerst verwijderd worden. Daarna is het eDellRoot-certificaat te verwijderen. Dell heeft zelf instructies in een docx-bestand gepubliceerd om de plugin en het certificaat te verwijderen. Bovendien belooft het bedrijf op 24 november een software-update uit te brengen die scant op de aanwezigheid van de bestanden om deze vervolgens te verwijderen.

Niet bekend is op hoeveel systemen het certificaat met private sleutel terecht is gekomen. Op Gathering of Tweakers geven meerdere gebruikers aan de bestanden aangetroffen te hebben, waaronder op een tablet. Anders dan maandag bericht kunnen de bestanden niet alleen misbruikt worden om malware te ondertekenen, maar ook om man-in-the-middle-aanvallen uit te voeren.

eDellRoot malware poc

Onderzoekers hebben inmiddels proof-of-concepts met het certificaat gemaakt voor .google.com en bankofamerica.com. Gebruikers van een betreffende Dell-computer die verbinding met die https-nepdomeinen maken, krijgen geen waarschuwing van hun browser dat ze geen versleutelde verbinding met het authentieke domein maken. Kwaadwillenden kunnen hiervan misbruik maken door wachtwoorden en bankgegevens te onderscheppen. Het Nederlandse beveiligingsbedrijf Surfright heeft een proof-of-concept software met het certificaat ondertekend. Malwareschrijvers zouden dit bij malware kunnen doen, om beveiliging van Windows te omzeilen.

Het probleem met het certificaat werd afgelopen dagen gemeld door enkele kopers van Dell-computers. De blunder van Dell doet denken aan het SuperFish-debacle van Lenovo, van begin dit jaar.

eDellRoot https-spoof

Moderatie-faq Wijzig weergave

Reacties (45)

Gelukkig reageert Dell wel adequaat en snel in dit geval. Dat ze het gewoon erkennen en gelijk en workaround geven en beloven een update z.s.m. uit te brengen is zeker wel goed en niet wat je altijd ziet in de Tech Industrie zoals een tijdje terug met Lenovo...

Kudo's voor de eerlijkheid van Dell in dit geval! :)
Lees ook even het vorige bericht hierover.
De helpdesk van Dell heeft via Twitter bevestigd dat het om een certificaat van het computerbedrijf gaat, maar ziet de aanwezigheid vooralsnog niet als een beveiligingsrisico.
Kudo's mogen ze hebben als ze zelf het initiatief nemen, nu stonden ze al met de rug tegen de muur voodat het erkent werd.
Ja deze standaard reacties vallen me steeds meer op, natuurlijk is het goed dat ze erkenning geven. Van de andere kant, dacht je nou echt dat Dell hier niet van op de hoogte was? En dat dit allemaal per ongeluk op de computers geïnstalleerd heeft?
Wat dacht je indien niemand dit zou verspreiden op internet? Dat Dell dit uit zichzelf netjes zou vertellen?

Dell heeft in deze de keuze niet, dat ze wachten op dit moment is nog altijd ernstig. Uiteraard is dit beter dan zeggen: ja dat heeft de klant zelf allemaal gedaan, dat doen wij niet hoor. Maar dan nog vind ik dat ze hier echt geen kudo's voor verdienen..
Natuurlijk waren ze hier van op de hoogte, ze hebben het zelf geinstalleerd en ook niet geprobeerd te verbergen.

Ik vermoed dat ze goede bedoelingen hebben gehad (er is tegenwoordig veel meer aandacht voor encryptie en dat zij serienummer en asset tag encrypted wilden versturen is een logisch gevolg) en simpelweg niet stil hebben gestaan bij de specifieke manier waarop het misbruikt zou kunnen worden.
Het hebben van goede bedoelingen neemt niet weg dat je van een wereldbedrijf als dell mag verwachten dat dit gewoon niet kan. als het misbruikt kan worden voor man in the middel zou ook dell dat moeten weten. Juist dat ze er schijnbaar niet bij stilstaan maakt dit juist zo erg.
Bij dell is er dus schijnbaar geen kennis cq. controle aanwezig om dit te voorkomen.

Het enige dat de dell marketing weet te melden is:
Het certificaat was onderdeel van supportfunctionaliteit die een 'betere, snellere en makkelijkere customer support experience moest opleveren',
Een voorbeeld van typische woorden zonder inhoud.

Nee Dell geeft het nu toe, maar de fout is gemaakt en het is een grote blunder.
Ik ben het niet helemaal met je eens. Ja het is een blunder, maar je moet niet verwachten dat dit niet kan. Dat kan in het allerbeste bedrijf gebeuren. Waar mensen werken worden fouten gemaakt. En er zijn zeker wel teams binnen Dell die weten dat dit niet moet, maar niet alle software gaat langs alle teams. Helemaal niet als het software is waar je niet van zou verwachten dat deze certificaten op deze manier gebruikt.
Ik verwacht wel dat intern wat procedures aangepast zullen worden. Maar dan nog steeds maken mensen fouten. Niemand en geen enkel bedrijf kan daar om heen.

Tja, en tekst van marketing is altijd wollig zonder veel inhoud als ze het goed doen.
Waar mensen werken worden idd fouten gemaakt. Bij een bedrijf als dell mag je toch verwachten dat er controle processen zijn waardoor niet iedereen of een team op eigen houtje iets kan gaan doen, zonder controle/toestemming
Je mag verwachten dat ze hun best doen. En er zijn vast procedures en controles. Maar er kan altijd iets door glippen.
Tuurlijk, fouten mogen gemaakt worden. Echter als je een omvang als die van Dell hebt en ook nog is een redelijk goede naam te behouden dan mogen dit soort fouten niet geshipped worden.
Voor goede QA moet je gewoon alle changes duidelijk loggen zodat je QA team alles kan controleren. Zeker als je het hebt over het plaatsen van nieuwe root certificaten in de store. Dat hier geen enorm strenge procedures voor zijn is bizar, dit is trouwens ook niet de eerste keer dat er een vergelijkbaar bericht op tweakers te lezen is.

Nogmaals, het is prima dat er fouten gemaakt worden, maar fouten van deze orde mogen gewoon niet naar de klant verscheept worden.
Ik vermoed dat ze goede bedoelingen hebben gehad (er is tegenwoordig veel meer aandacht voor encryptie en dat zij serienummer en asset tag encrypted wilden versturen is een logisch gevolg) en simpelweg niet stil hebben gestaan bij de specifieke manier waarop het misbruikt zou kunnen worden.
Daarvoor heb je dus public key encryptie. Je hoeft alleen de public key van het private/public-keypair van Dell op de PC's te installeren. Vervolgens encrypt je de gegevens met de public key en stuurt ze naar Dell. Omdat als het goed is alleen Dell en niemand anders de private key heeft, kan alleen Dell het bericht decrypten en zijn de gegevens dus veilig verzonden.

Gewoon een grote misser van Dell dus. Niet goed te praten.

[Reactie gewijzigd door MadEgg op 24 november 2015 11:05]

Klopt, ik begrijp ook niet waarom ze dat niet gewoon gedaan hebben.
Precies dit is gewoon slecht. En na de blunder van Lenovo snap ik niet waarom men niet denkt van "hè jongens, zullen we toch eens even controleren of wij het wel goed hebben".

Ik vraag mij dus nu af of wellicht andere fabrikanten ook deze fout hebben genaakt.
Hoewel je hoogstwaarschijnlijk gelijk zult hebben kan ik me voorstellen dat een certificaat als deze potentieel door meerdere mensen over het hoofd gezien kan worden bij een quality assurance test van de OEM software.
Een certificaat wat automatisch geinstalleerd en vertrouwt wordt, geleverd inclusief private key? Als het QA-team dat over het hoofd ziet mogen ze daar wel eens flink gaan herstructureren 8)7
Aan de andere kant kun je, je ook afvragen hoe het kan dat Dell bijna dezelfde fout maakt als Lenovo meer dan een halfjaar geleden.
Nu reageren ze zo omdat iedereen erover valt.
Eerst was er niets aan de hand namelijk volgens Dell.
ik veronderstel als je een clean install van windows 10 doet (beginde bij het verwijderen van ALLE partities) dit cert niet geinstalleerd zal zijn?
Het komt binnen als onderdeel van wat Dell utilities. Dus als je niet alle utilities installeert heb je kans dat je het certificaat niet hebt. Of misschien ook wel, aangezien ik niet durf te zeggen door welke utility dit precies meegeïnstalleerd word.
Je zou wel dom zijn om dell apps te installeren (of eender welke vendor app). Dit is nou net de reden om een clean install te doen.
Aan de ene kant ben ik het met je eens, maar als je de volledige functionaliteit van je laptop wilt (touchpad, Fn toetsen) dan ontkom je er vaak niet aan.
Ik doe meestal gewoon windows update en die vindt de juiste drivers meestal wel. En tot nu toe heb ik nog geen functionaliteiten gemist (denk ik).
Nah meer dan eens zijn dat standaard divers om een aantal functionaliteiten op te pakken. De echte mogelijkheden unlock je pas als je de manufacturen divers gaat installeren.
Je zult toch in sommige gevallen drivers bij Dell vandaan moeten halen. Kans is groot dat die in een setup zitten met andere meuk. Natuurlijk is daar vaak wel een weg omheen (drivers extracten en handmatig toevoegen), maar wie doet dat nou?
ik heb nog nooit drivers bij dell gehaald en alle hardware werkt.

[Reactie gewijzigd door Nikvdw op 24 november 2015 10:01]

Nu we het toch over utilities van Dell hebben, "Backup and Recovery" is ook een mooie, maakt al je andere Qt5 applicaties (die ergens een file open/save dialog gebruiken) onbruikbaar: http://en.community.dell....ware-os/f/3526/t/19634253
Ik vind dit niet in de buurt komen van het SuperFish-schandaal van Lenovo. Dat was gewoon pure hebzucht van Lenovo, om tegen betaling die rotzooi mee te leveren.

Dit van Dell is gewoon incompetentie. Ik weet niet wat erger is, maar het is wel wat anders.
Incompetentie?
Jij als computer bouwer die een OS voorgeinstalleerd systeem verkoopt moet weten dat dit dom is en dat weten zij echt wel.
Hun hadden echter gehoopt dat niemand er zo snel achter zou komen.
Leuke proof of concept maar er komt natuurlijk meer bij kijken dan alleen het certificaat te misbruiken voor SSL verbindingen (tussen gebruiker en webserver gaan zitten met een proxy en\of dns aanpassen)
Daarnaast moet de hackzor ook maar weten dat dit een dell machine is die kwetsbaar is.

Ja een leuk aanknopingspunt bij gerichte aanvallen. Maar niet interessant voor scriptkiddies gezien de beperkte groep potentiele slachtoffers...
Aangezien het voor een hacker niks kost om het te proberen en mensen verslaafd zijn aan gratis Wifi, zou ik dit risico niet durven te nemen.

Het is een kwestie van tijd voordat de instructies en/of software om dit te doen zeer wijd verbreid zijn en een kind de was kan doen.
In het document staat een downloadlink naar een automatische fix: https://dellupdater.dell....P009/eDellRootCertFix.exe.
Overigens was het certificaat niet aanwezig op mijn XPS 13 uit 2014.
Ik heb niet een lijst kunnen ondekken met Dell model nummers waarbij dit eDellRoot-rootcertificaat is geinstalleerd. Dat zou wel uitermate handig zijn. Nu moet iedereen gaan zoeken of het op zijn/haar computer aanwezig is.

Ik heb het helaas ook aangetroffen op mijn Dell XPS 13 (9350). Met de Dell handleiding kunnen verwijderen. Blunder van Dell. 8)7
Het certificaat was onderdeel van supportfunctionaliteit die een 'betere, snellere en makkelijkere customer support experience moest opleveren',
O dat soort.. eerst QA het hele apparaat testen alles veriferen en dan gaat customer support er mee aan de haal

[Reactie gewijzigd door daft_dutch op 24 november 2015 09:24]

Het wordt eens tijd dat al die bloatware en andere rommel afgestraft wordt! Maar de meeste mensen zijn zich van geen kwaad bewust, zelfs bedrijven niet. Meer nog, als je voorstelt er eens een propere versie van windows op te zetten zijn ze bang dat het niet meer zal werken.
Dat kan, maar dan worden de laptops en systemen allemaal een stukje duurder. Is dat wat je wilt? Een clean install is namelijk zo gedaan en waarschijnlijk goedkoper :)
Geef mensen de optie.
[ ] Laptop met bloatware en Dell root certificate* ¤ 349,-
[ ] Laptop met lege harde schijf ¤ 399,-

* Zeer groot risico op hacks en trage pc. Dell is niet verantwoordelijk.

Ik weet wel wat ik zou kiezen... (ben linux gebruiker).
bloatware meeinstalleren verbieden is onmogelijk zonder prijsverhogingen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True