Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties
Submitter: basst85

Kort na de vondst van een rootcertificaat met de naam eDellRoot, is er nog een certificaat met privésleutel op Dell-systemen gevonden. Dit certificaat draagt de naam DSDTestProvider. Het wordt geďnstalleerd door Dell System Detect in de Windows Certificate Store.

Dell 9550Het bestaan van het eerste beveiligingslek met eDellRoot werd afgelopen zondag kenbaar gemaakt door Joe Norden. De aanwezigheid en potentiële gevaar van het rootcertificaat werd daarna snel door veel anderen, waaronder Dell zelf, bevestigd. De fabrikant kwam met instructies om het certificaat te verwijderen, maar er blijkt nog een rootcertificaat met privésleutel te bestaan: DSDTestProvider. Hiermee kunnen net als bij eDellRoot trucs uitgehaald worden om een man-in-the-middle-aanval uit te voeren, door een certificaat te genereren dat gebruik maakt van de privésleutel van DSDTestProvider.

Het beveiligingsblog van de Carnegie Mellon University legt uit hoe het werkt: DSD staat voor Dell System Detect en is een applicatie die draait op een pc met Windows, om met de Dell ondersteuningswebsite te communiceren. DSD installeert het vertrouwde certificaat DSDTestprovider samen met de privésleutel. DSD is op sommige systemen voorgeïnstalleerd. Systemen die geen gebruik maken van een Dell-image of om andere redenen Dell System Detect niet geïnstalleerd hebben, zijn niet kwetsbaar zegt het instituut.

Doordat elk certificaat dat door DSDTestProvider CA ondertekend is wordt vertrouwd door het systeem, kan een kwaadwillende die een certificaat heeft gemaakt en ondertekent zich voordoen als een veilige website of andere service die een rootcertificaat vereist. De kwaadwillende kan een certificaat fabriceren omdat de privésleutel ook 'meegeleverd' wordt bij het certificaat dat zich op de computer bevindt.

Om van het certificaat af te komen kunnen gebruikers het uit de vertrouwde certificatenlijst halen in Windows Certifcate Manager. In de certificatenmanager kan het certificaat van de Trusted Root Certificate Store naar de Untrusted Certificates verplaatst worden. Door het certificaat als onbetrouwbaar te bestempelen, wordt voorkomen dat bij gebruik van DSD het certificaat weer als 'vertrouwd' geïnstalleerd wordt. Het certificaat werd ontdekt door de site LaptopMag op een recent aangeschafte Dell XPS 13.

Moderatie-faq Wijzig weergave

Reacties (54)

Heb beide certificaten verwijderd van mijn Dell Inspiron 15 - 7548, gekocht begin 2015, zoals hier eerder aanbevolen. Maar toch snap ik nog niet helemaal hoe de werking van de certificaten in elkaar zit in Windows 10. Wie bezorgd mij een heldere duidelijke uitleg ?
Ik denk dat je dan even dit wil lezen:
https://en.wikipedia.org/wiki/Public_key_infrastructure
Het verwijderen van het certificaat is goed, maar niet de beste optie btw, het naar de untrusted container verplaatsen is beter, aangezien als je dan nog ooit per ongeluk (bijv. via DSD) het root certificate installeert onder de trusted, de untrusted in windows boven de trusted gaat...tenminste dat zou in lijn zijn met hoe MS normaal gesproken werkt of het zou iig een niet veel voorkomende waarschuwing genereren.
Wat iedereen hier vergeet is dat de methode werkt voor de current user, niet globaal!
https://technet.microsoft.com/en-us/library/bb687365.aspx
Dank DaaNMageDDoN ! Ik ga het meteen bestuderen..... :P
Gaat daar lekker met Dell... Nog meer foute publiciteit voor hun kiezen.

btw, sommige systemen klinkt lekker vaag. Zijn dit nieuwe systemen met een factory image van dell, of juist oude, of...?
De enige laptop waar LaptopMag over spreekt, is een recente XPS 13. Het bericht op de site van Carnegie Mellon bericht over 'pc's en tablets' zonder daar verder dieper op in te gaan.

Al wordt hieronder het antwoord mogelijk al gegeven vv

[Reactie gewijzigd door letatcest op 25 november 2015 11:43]

Dell System Detect staat naar mijn weten nooit standaard geinstalleerd. Het wordt pas geinstalleerd als je naar de Dell Support site gaat en daar kiest voor Systeem detectie ipv zelf serienummer invoeren.
Het is toch gewoon superslecht dat een tooltje dat daar helemaal niet voor bedoeld is zo'n root-certificate installeert?

Dat is gewoon je deuren wagenwijd openzetten.
Dat certificaat is nog niet zo erg. Dat de private key er bij staat wel...
Het certificaat werd ontdekt door de site LaptopMag op een recent aangeschafte Dell XPS 13.
Recente systemen lijkt het ;)
Alleen even wachten op meer Dell bezitters om dit te bevestigen.
Ik heb een Dell laptop, en onlangs Dell System Detect geďnstalleerd op een schone Windows Installatie. Hoe kun je checken of het certificaat is geďnstalleerd?
Start eerst de Windows Certifcate Manager: > start > run > certmgr.msc

In de WCM kies je > Action > Find Certificates > plak daar: DSDTestProvider > klik Find Now.

Als je toch bezig bent zoek dan nog een keer maar nu op eDellRoot voor het probleem dat enkele dagen geleden werd gemeld: http://tweakers.net/nieuw...t-certificaat-op-pcs.html

Op de meeste systemen staan natuurlijk meerdere certificates van meerdere fabrikanten, zoek maar eens op Microsoft of op Intel. Dit is geen reden voor ongerustheid zolang de privésleutel niet openbaar is. Dell heeft nu dus twee maal wel deze privésleutel meegeleverd.
Dit certificaat staat er inderdaad op. Ik heb vorige week een schone installatie gedaan op mijn Dell Latitude E5530 en voor de laatste drivers Dell System Detect geďnstalleerd. Daarbij is dit certificaat dus meegeďnstalleerd.

Versie: V3
Serienummer: ‎a4 4c 38 47 f8 ee 71 80 43 4d b1 80 b9 a7 e9 62
Verlener: CN = DSDTestProvider, O = DSDTestProvider, OU = DSDTestProvider
Geldig van: ‎woensdag ‎27 ‎mei ‎2015 14:36:18
Geldig tot: ‎zondag ‎1 ‎januari ‎2040 00:59:59

Ook na het verwijderen van Dell System Detect blijft het certificaat staan.
Je verwijdert daarmee alleen een programma, niet het certificaat.

Zoals het artikel al aangeeft kun je het certicicaat het beste niet verwijderen,maar verplaatsen naar de map 'Untrusted Certificates'. Sleep het certificaat daar simpelweg heen met je muis.

Het certificaat kan hierdoor niet zomaar weer op je computer actief worden. Als je het delete zou het opnieuw op je computer kunnen komen zolang Dell dit blijft pushen bij gebruik van Dell System Detect.
Krijg je geen popup als een programma een certificaat wil installeren?
Heb ik wel eens gezien.
Of sneakt Dell hier langs?
Voor het installeren van Dell System Detect komt (indien niet uitgezet) uac om toestemming vragen.
Het root certificaat in de untrusted container slepen is een goede methode, maar ik vroeg me af of de private key niet ook aanwezig is. Het publiekelijk verspreiden van de root key is de wortel van het probleem.
Volgens mij kun je bij het openen van de root certificate (nu als het goed is in de untrusted certificates container) zien dat je een private key hebt die bij het certificaat hoort indien aanwezig.

Wat trouwens ook interessant is om naar te kijken is of het niet alleen voor de current user, maar ook voor de current computer is geinstalleerd:
https://technet.microsoft.com/en-us/library/bb687365.aspx

[Reactie gewijzigd door DaaNMageDDoN op 25 november 2015 19:16]

Op mijn (zeer recente) Alienware staat hij in elk geval niet. eDellRoot stond er wel op.
Ach ja, sarcasme hier, welke dell heeft dan ook verstand van zaken als het gaat om interessante certificaten. Wie rijmt er mee🍅
Om deze reden vertrouw ik al jaren OEM laptops niet. Het eerste wat ik direct doe is het systeem wissen en een vers OS er op zetten.

De Windows van laptops zit altijd zó vol met bloatware, dat wil je gewoon niet hebben.
Voor de grote groep mensen die laptops zakelijk gebruikt is dit geen optie. De laptops bevatten alleen maar recovery images waardoor het issue niet opgelost wordt. Deze certificaten lijken zich trouwens te beperken tot de nieuwe modellen, op mijn XPS uit 2014 staan ze allebei niet.
Met de download tool van MS kan je zo een bootable USB stick maken met een vers OS. Dus dat is tegenwoordig geen probleem meer..
Bij een persoonlijke laptop vind ik dit geen probleem (al vraag ik me af of het werkt, zie de reactie van Yngwie) maar bij een zakelijke laptop heb ik hier geen behoefte aan. Daarnaast zullen de meeste zakelijke gebruikers niet de rechten of de knowhow hebben om dit tot een goed einde te brengen, denk hierbij aan exchange instellingen of verplichte virusscanners.
Dan lijkt me die taak weggelegd voor systeembeheer die de laptops uitdeelt. Ik heb bij verschillende werkgevers eigenlijk maar weinig gezien dat er geen compleet nieuwe image er over heen ging als er weer een partij nieuwe laptops binnenkwam..
In het bedrijfsleven wordt vaak (in ieder geval bij de grote bedrijven) een volume licentie aangeschaft die op meerdere laptops gebruikt kan worden. Door middel van een standaard image op de server worden de laptops voorzien van een schone Windows installatie waarop de wensen van het bedrijf al zijn doorgevoerd.
Voor kleine bedrijven houdt men het inderdaad vaak bij de geleverde OEM image.
Maar die werkt in de meeste gevallen niet met de OEM branded licentiekey die op de laptop/PC zit.
Als je de correcte ISO download wel. De enige editie van window 8 waar dat niet bij kon waren de "met Bing" versies.
Als je 'm upgrade naar Windows 10 kun je daarna desgewenst W10 schoon installeren.
jawel, je moet alleen de correcte versie van windows op de USB zetten met minimaal windows 8 omdat de key anders niet in de moederbord wordt gezet. I kahd dit gedaan toen ik een nieuwe laptop van asus had gekocht, die had windows 8 en ik had direct een w10 upgrade gedaan en daarna een schone installatie (w10 sleutel moest op w10 geactiveerd worden).
Dell System Detect staat niet standaard geinstalleerd. Het wordt pas geinstalleerd als je naar de Dell support site gaat en daar ervoor kiest om je systeemconfiguratie te detecteren ipv serienummer invoeren.

Het is trouwens niet de eerste keer dat er veiligheidsproblemen zijn met DSD gezien ze afgelopen tijd een behoorlijke hoeveelheid aan incidenten hebben plaatsgevonden.

[Reactie gewijzigd door Deem op 25 november 2015 11:53]

So what.

Dell installerend daarmee software waarmee anderen leuke dingen op jou systeem kunnen doen. 3x raden of Dell je hiervoor waarschuwt, ik denk het niet.

Het begint er nu op te lijken dat men bij Dell niet erg nadenkt over veiligheid als er op sommige laptops/pc's nu al 2 certificaten met private key staan. Je kan dan spreken over structureel lak aan veiligheid. Voor een groot merk als Dell is dit toch wel triest te noemen.
Waarschuwen hebben ze in het verleden wel netjes gedaan.
Tevens hebben ze mensen die de Dell site bezochten, gewezen (met behulp van een infobalk aan bovenkant site) dat er een probleem was met DSD en dat een update dat zou verhelpen.

[Reactie gewijzigd door Deem op 25 november 2015 11:57]

Dan nog is er een achterdeurtje in Windows waardoor het BIOS/UEFI een programma kan plaatsen dat bij het opstarten wordt uitgevoerd. De automatische bestandssysteem controle (autochk.exe) is niet ondertekend (wordt niet gecontroleerd) en kan daardoor worden vervangen.

https://securelist.com/an...ute-computrace-revisited/

Lijkt mij dat bitlocker of andere schijf encryptie hier afdoende tegen werkt. Maar weet niet of je dat eenvoudig kan activeren nog voor de eerste keer opstarten, met de standaard installatie media. Dan is het kwaad natuurlijk al geschied.
Precies, daar maakte Lenovo dit jaar nog een grote blunder mee: nieuws: Lenovo haalt rootkit weg uit bios meerdere laptopmodellen
Opnieuw installeren van een OS is leuk hoor.
Maar zodra je op de driver pagina van Dell komt is een van de eerste dingen die je gevraagd wordt om Dell System Detect te installeren. Want ja, zo hoef je zelf niet op zoek naar de drivers die je nodig hebt. Dus uiteindelijk zal dat wel iets zijn dat veel gebruikers installeren.
Heb ik ook een keer gedaan, en netjes dezelfde key gebruikt. En wat dacht je? Dan is Windows opeens niet legitiem :(

Ze halen schijnbaar hele smerige truukjes uit.

Ohja, en denk maar niet dat ze je een werkende code geven. Je mag een restore doen, zodat je alle bloat weer terug krijgt.

[Reactie gewijzigd door _Thanatos_ op 25 november 2015 11:37]

De key op de sticker kan je niet ingeven in een retail Windows. Wat je nodig hebt is een OEM windows installatie en deze zal sinds heel wat jaren zijn activatie doen aan de hand van een key die zit opgeslagen in het BIOS/EFI van de computer.
In dit geval zat er geen key in het bios. Tooltje gebruikt om dat te checken, en nee.

Het ging trouwens om Windows 7, en bij mijn weten kan die niet eens omgaan met keys in het bios.
Windows7 heeft een oem cd nodig voor zijn installatie met de key op de sticker.
Complete onzin, als je een schone installatie wil kan je of van de microsoft site zo de image downloaden, of je kan een telefoontje doen naar de Dell helpdesk en ze sturen je gratis een Windows installatie DVD OEM.
Je license key staat trouwens tegenwoordig der middel van OEM 3.0 in je moederbord voorgeprogrameerd en hoef je niet eens in te geven.
In dit geval ging het om Lenovo. Die zijn schijnbaar iets klantonvriendelijker.
En die OEM dvd met de Dell Image bevat hoogstwaarschijnlijk het certificaat en misschien ook wel DSD, juist dat waar je vanaf wilde komen.
Daarom: BTO Laptops (bto.eu)

Waarbij je je hardware kan samenstellen en handmatig vervangen nog ook ipv wegwerptroep bij de meeste OEMs.
Bovenstaande is 1 van de vele redenen waarom ik een nieuwe pc altijd een clean install geef.

(Bloatware, adware, trial antivirus, en self signed root certificaten)
Malware/security leaks zitten tegenwoordig steeds vaker (ook) in firmware, zoals UEFI en drivers.
Net zoals de secure boot, gaat UEFI boot meteen uit (indien mogelijk) .
Mogelijk kan er dan nog malware in de firmware zitten.. maar gelukkig kunnen ze hier geen rootcertificaten in proppen ;-)
Net zoals de secure boot, gaat UEFI boot meteen uit (indien mogelijk).
Ik weet niet meer waarom, maar bij mijn moederbord lukte me dat niet (of was 't gewoon niet meer mogelijk.)
Dat ze trouwens geen rootcertificaten in firmware kunnen stoppen, dat betwijfel ik. Het is toch gewoon software?
Firmware is inderdaad software, software die het mogelijk maakt de hardware aan te sturen. (Ik heb het dan uiteraard over firmware in een pc bijvoorbeeld van je HD of DVDspeler)
In firmware kunnen wel certificate 'hashes' in zitten, die in theorie later aangesproken zou kunnen worden door software (op bijvoorbeeld Windows).
Wat al een hoop helpt is Firefox gebruiken, omdat die niet gebruik maakt van de standaard Windows certificate store maar een eigen certificate store heeft.
Dat is slechts schijnveiligheid, deze machines zijn heel simpel te infecteren met een stukje malware wat gesigned is met deze keys...

En zo zijn er nog vele andere vormen om dit uit te buiten...
Zal HP hier ook last van hebben? Die kan je ook online laten checken welk systeem je in huis heb.
Is het ook niet gewoon regel 1 dat private keys ook private blijven? En dus niet maar overal naartoe gedistribueerd worden...
En dit laat maar weer eens zien waarom nooit een fabrieksinstallatie gebruiken.

In de grotere omgevingen SCCM uitrol met eigen image, drivers en software.
Had wel de e-root, maar deze niet.
M17 R3.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True