image

Dell gaat gevaarlijk certificaat van computers verwijderen

dinsdag 24 november 2015, 10:06 door Redactie, 7 reacties
Laatst bijgewerkt: 24-11-2015, 10:53

Computerfabrikant Dell gaat vandaag beginnen met het verwijderen van een certificaat waardoor gebruikers kunnen worden aangevallen, zo heeft het bedrijf bekendgemaakt. Sinds augustus van dit jaar worden laptops en desktops van Dell met een certificaat geleverd dat ook de privésleutel bevat.

Aanvallers kunnen deze sleutel gebruiken om bijvoorbeeld malware te signeren, zodat het lijkt alsof die van Dell afkomstig is, en zijn ook man-in-the-middle-aanvallen op HTTPS-sites mogelijk. Volgens Dell is het certificaat geen malware of adware. Het zou opzettelijk op systemen zijn geplaatst om klanten te helpen. Via het certificaat kan de helpdesk van Dell de servicetag van het systeem achterhalen en zo sneller het computermodel, besturingssysteem en andere onderdelen identificeren.

De computerfabrikant stelt in een blogposting dat het certificaat onbedoeld een kwetsbaarheid introduceert. Iets waar Dell excuses voor maakt. Het bedrijf heeft nu instructies (docx) online gezet hoe het certificaat in kwestie kan worden verwijderd en zal vanaf vandaag ook een update uitbrengen om het certificaat te verwijderen. Tevens zullen alle nieuwe systemen zonder certificaat worden geleverd. In de blogposting bedankt Dell ook onderzoekers Hanno Böck, Joe Nord en Kevin Hicks die over het beveiligingsprobleem publiceerden. Dell-klanten die willen weten of ze kwetsbaar zijn kunnen dit via deze website testen.

Update

"De veiligheid en privacy van onze klanten zijn van het grootste belang voor Dell. De recente situatie heeft betrekking tot een “on-the-box” support-certificaat dat bedoeld is om klanten een betere, snellere en eenvoudigere supportervaring te leveren. Tot Dells spijt brengt het certificaat een onbedoelde beveiligingskwetsbaarheid met zich mee. Om dit probleem op te lossen gaan wij onze klanten van instructies voorzien om dit certificaat permanent van hun systemen te verwijderen", zo laat Dell in een reactie aan Security.NL weten.

"Wij gaan de instructies via e-mail, op onze support website en via onze technische support communiceren. Wij gaan het certificaat ook van alle Dell-systemen verwijderen die nog geleverd moeten worden. Let op: voor zakelijke klanten die een image van hun eigen systemen beheren heeft deze kwestie geen gevolgen. Dell installeert geen adware of malware. Het certificaat zal zichzelf niet herinstalleren als het goed is verwijderd volgens het door Dell geadviseerde proces."

Tevens heeft het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit een waarschuwing voor het certificaat afgegeven. Daarin wordt ook aangeraden het certificaat te verwijderen.

Reacties (7)
24-11-2015, 14:19 door Anoniem
DELL ik zou maar oppassen niet nog eens een dergelijke fout te maken.
Want anders gaan jullie zeker LENOVO achterna (= wordt niet meer gekocht).
24-11-2015, 14:22 door Anoniem
Toch fijn dat ze zo aan hun klanten denken.
Je zou ze bijna geloven.
24-11-2015, 16:16 door mcb
Via het certificaat kan de helpdesk van Dell de servicetag van het systeem achterhalen
Dat is natuurlijk overbodig omdat de servicetag op een stickertje zit onderop en is ook via de bios uit te lezen.
Dell heeft ook een exe die de tag kan uitlezen.
24-11-2015, 18:14 door Anoniem
Hoe kun je nagaan of alle certificates in certmgr.msc de juiste zijn?

Ik kom in de lijst op mijn computer "DSDTestProvider" SHA1 tegen als root - geen idee waar die voor bedoeld is.
24-11-2015, 20:43 door Anoniem
Door Anoniem: DELL ik zou maar oppassen niet nog eens een dergelijke fout te maken.
Want anders gaan jullie zeker LENOVO achterna (= wordt niet meer gekocht).
Ook oudere Dell computers,en zowel notebooks als desktops worden door dit probleem getroffen.Na eerst het probleem met de Dell analyse program
en nu dit issue weet ik 1 ding zeker: IK ZAL NOOIT MEER EEN DELL COMPUTER AANSCHAFFEN,ECHT NOOIT MEER! Als dit soort dingen gebeuren bij een low budget,zoals Medion,Acer is het nog tot daaraan toe,maar van een oud,gerenommeerd kwaliteits merk als Dell verwacht je dit soort dingen niet en terecht,dit mag zo'n gerenommeerd merk gewoon niet laten gebeuren.Nee,ik koop nog liever een Acer of Medion computer dan een Dell computer.
24-11-2015, 22:52 door Anoniem
Door Anoniem: Toch fijn dat ze zo aan hun klanten denken. Je zou ze bijna geloven.
'aan de klant denken' wat is dat precies? Is dat een product leveren waar de klant geen risico loopt? Of is dat een product leveren waarbij de klant volledige support en zelf zo weinig mogelijk hoeft na te denken? Of is dat een afgewogen combinatie van product en diensten dat met iedere klant tot op de kleinste lettertjes afzonderlijk is afgestemt? Aan de klant denken komt er op neer dat er op veel vlakken consessies kunnen worden gedaan en op andere vlakken strikte regels bestaan. De strikte regels gaan vaak over mensen uit direct levensgevaarlijke situaties houden. Het andere deel is de vrijheid om keuzes te maken in het product, maar ook in het kiezen van een product.

Aan de klant denken is voor veel productontwikkelaars vooral kijken naar gemakken, de kosten laag houden en de winst acceptabel. Het onderkennen van risico's valt geregeld buiten de scope, omdat de productontwikkelaars die mindset niet hebben. In de mind set van de productontwikkelaars kan bij Dell dus met de beste bedoelingen deze oplossing gekozen zijn zonder te bedenken dat er een security officer naar had moeten kijken. Of er heeft bijvoorbeeld een incapabele security officer naar gekeken. Of de security officer was niet sterk genoeg om een beslissing tegen te houden op basis van de risico's die hij/zij voor de klanten en Dell zag.

Aan de klant denken is voor veel klanten voor een dubbeltje op de eerste rang willen zitten, zonder zelf veel moeite te hoeven doen om te weten wat je koopt. Er zijn waarschijnlijk tienduizenden, zo niet honderdduizenden, systeem over de toonbank gegaan waarbij 99,99% het een niet genoeg kon schelen te weten welke risico's het zou kunnen lopen. Zelfs niet nadat bekend was wat er bij Lenovo speelde. Het is daarnaast ook nog eens pas aan het licht gekomen doordat iemand die zich meer verwonderde over het bestaan van het certificaat dan dat die er zelf direct een security risico in zag.

Er is tot nu toe bewijs geleverd dat Dell een certificaat heeft geimplementeerd dat een groot aantal risico's met zich meebrengt voor de klanten. Er is niet aangetoond dat het gebruikt werd voor doeleinden die een andere bedoeling hadden dan klanten een betere support te voorzien op het moment dat een klant daarom verzocht. Zet hier tegenover Lenovo waar een dergelijk certificaat met risico's ook werkelijk werd gebruikt om bewust het principe van vertrouwen werd geschonden in het voordeel van een advertentieaanbieder. Het risico voor de klant is er niet minder om, maar ik vind het toch wel een verschil. Zowel producenten als klanten hebben nog veel te leren over 'aan de klant denken'.
25-11-2015, 00:06 door Anoniem
IK ZAL NOOIT MEER EEN DELL COMPUTER AANSCHAFFEN,ECHT NOOIT MEER! Als dit soort dingen gebeuren bij een low budget,zoals Medion,Acer is het nog tot daaraan toe,maar van een oud,gerenommeerd kwaliteits merk als Dell verwacht je dit soort dingen niet
Ehr, eens zien of hier het rationeel of emoties de overhand hebben. Eerst schreeuwend in capslock, een bevestiging van een afwijzing van een merk, gevolgd door een herhaling van die afwijzing in de trend van een 'ik meen het'. Vervolgens een poging tot onderbouwing middels aangezette worden. Oud, Acer is opgericht in 1976, Dell in 1984, Medion 1984. Gerenomeerd, dat is in de vrije markt relatief. Feit is dat de bedrijven al decennia lang bestaan doordat klanten de producten kopen en de aandeelhouders vinden dat er genoeg winst is. Kwaliteitsmerk, de mate waaraan een product of dienst van een merk voldoet aan de wensen en eisen. Wonder boven wonder vervallen er bij sommige kopers vooraf al wensen en eisen zodra er over een merk een bepaald denkbeeld is opwekt. Riekt sterk naar emotioneel handelen.

Ik weet even niet wat ik eerder wil doen; een potje janken omdat de door klanten ondergewaardeerde security officers van Acer of Medion niet bij Dell werken, of bepaalde potentiele klanten tegen beter weten in proberen te overtuigen dat gevoel niet de beste raadgever is bij het afwegen van risico's.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.