Dell levererar datorer med Superfish-liknande självsignerade certifikat

Inte med "relativt små medel", då du både behöver access till den angripnes dator, styra om DNS förfrågningar, ha en webbserver som är rätt konfigurerad, och lyckas få allt att funka.

Så nej det är inte något som är "relativt enkelt" direkt.

Nej det är det inte.

Det är ganska enkelt att bege sig till närmsta flygplats, järnvägsstation eller hotell-lobby och sätta upp ett trådlöst nät. Man behöver ingen speciell access till datorerna man vill angripa. Med ett väl valt SSID kommer säkert några självmant att koppla upp sig i tron att de ansluter till det officiella, gratis wifi-nätet för platsen i fråga.

Tänk också på att det går att göra fler attacker än man in the middle på webbsurf och liknande. Certifikatet med tillhörande privat nyckel kan exempelvis användas till att signera alla möjliga typer malware.

Men alltså jobbar du på Dell eller vad? Hur kan du sitta här och förminska att ett företag lagt in en säkerhetslucka i sina kunders datorer, och dessutom inte ens vill tala om vilka modeller det handlar om? Du de flesta har inte kunskaper att utnyttja säkerhetsluckor så säkerhetspatchar är bara slöseri med tid, eller?

Det fattar du väl att det här är väldigt allvarligt då det kan vara så att fel person får tillgång till datorn ändå?

Som du resonerar så kan alla sluta låsa dörrarna hemma.. De flesta människor är snälla och trevliga och har vett nog att inte klampa in i folks hus utan lov så det är onödigt att låsa dörren om sig.

IDG är för övrigt en tidning med hög kvalitet och bra tänk.

Nu håller jag med att Dell ryckt upp sig något kopiöst sedan man avnoterades på börsen, man är absolut en av aspiranterna på att tillverka de absolut bästa laptops som går att köpa för tillfället.

Men detta är ett enormt allvarligt hål som gör drabbade maskiner mindre säkra än Win95 maskiner

Vad man lyckats gjort är

• utfärda ett certifikat som var tänkt för SSL, men man har utfärdat certifikatet så det har precis alla tänkbara användingsområden (kolla in sidan 10 här)

• totalt hål i huvudet är det sedan när man skickar med den privata nyckeln med varje system

Resultatet av detta är att det redan cirkulerar gamla virus som nu kommer igenom de flesta anti-virusprogram då de släpper igenom program som har en giltig signatur för kod (varför utfärdade man certifikatet så det får används för kodsignering???)

Än värre är att sättet certifikatet är utfärdat gör det full möjligt att signera kod som stoppas in i OS-kärnan, detta är orsaken till att drabbade system har säkerhetsnivå motsvarande DOS eller Win3.1...

Jo, det är det.

Det var en kort kommentar du skrev, om du vill bli tagen på allvar bör du motivera din kommentar. Dell kan via certifikatet o sin mjukvara ta kontroll över din dator om de vill. Det innebär att de har hackat dig.

Har redan motiverat det, och det är inte att hacka en kunds dator att ha ett hjälpmedel installerat.

Lika väl som det inte är att hacka att Microsoft kör Windows Store, Microsoft konto mm i Windows8/Windows 10, eller samlar in allt du skriver, dina WiFi lösenord mm, det är inte att "hacka", utan det är att avlyssna/spionera/påtvinga olika funktioner som ska vara valfria för användaren om de vill ha eller inte egentligen, så nej det Dell har gjort är inte att hacka.

Varför skulle jag ha glömt "efter Apple"?

Det kräver relativt grundläggande kunskaper för att utnyttja. Problemet är att certifikatet är utfärdat utan "basic constraints" alt. med detta fast med allt påslaget (syftet med nyckeln verkar vara liknande den i Superfish, men sättet detta certifikat är utfärdat gör att den som har den privata nyckeln även kan signera binärer, inte bara autentisera kommunikationskanaler) samt att den privata nyckeln finns tillgänglig i alla drabbade system. Den privata nyckeln finns numera postad på Internet, så alla har i praktiken tillgång till något som gör det möjligt att signera valfri körbar kod på ett sätt som kommer accepteras på alla drabbade system. En signerade binär tar sig normalt sett förbi alla former av virusskydd och liknande.

Hur kan det inte vara ett allvarligt problem?

Hör med försäkringsbolagen och se om du får ut något om du får inbrott och det visar sig att du inte låst dörren..

Men men.. Jag tror inte du och jag kommer längre i diskussionen. Du anser ju att det Dell gjort är att "hjälpa" sina kunder... Frågan är ju varför de "fegar ur" nu då och inte försvarar och förklarar hur "hjälpsamma" de är för dumma kunder som inte begriper bättre?

Jag rekomenderar dig att läsa på om Certifikat och hur de faktiskt fungerar, så inser du förhoppningsvis vilken katastrof det är att låta den privata nykeln ligga öppet på varje dator.

Jag kommer aldrig någonsin mer att köpa Dell, och jag kommer rekommendera alla som funderar på det att avstå. Sådan här fumlighet får helt enkelt inte förekomma. Det är helt jävla galet vad klantigt det är, och skadan det kan orsaka är stor.

Jo det är ett sätt att hacka en dator. Mycket simpelt sådant sätt. Du har möjliggjort övertagande av datorn.

DNS sätts via DHCP när offret ansluter till hackarens trådlösa nät. Någon annan åtkomst till offrets dator behövs inte. Offrets dator frågar ju DHCP-servern: "Vilken DNS ska jag använda?"

Kopior av webbsidor behöver inte skapas. Hackarens trådlösa nät har en proxy-server som bryter krypterade anslutningar till webbtjänster som använder TLS/SSL. Därmed blir all trafik tillgänglig i klartext i för hackaren. Proxy-servern krypterar trafiken på nytt med Dells klant-certifikat med tillhörande klant-hanterade privata nyckel i https-sessionen mellan proxy-servern och offrets dator. Alla datorer med Dells klant-certifikat litar på TLS/SSL-sessionen.

Har du ingen koll på tekniken du diskuterar?

Detta är precis lika idiotiskt tänk som internetleverantören som lade in bakdörrar "för att kunna fixa kundernas problem". Så det är total irrelevant varför den finns, vad den skulle användas till eller varför de ansåg den nödvändig, då den absolut under ingen omständighet ska eller får finnas. Om du inte inser det så bör du hålla dig långt ifrån säkerhet i en PC, och allt vad heter internet.
Det verkar nästan som det skulle behövas en större stämning, där någon blir hackad, får alla sina privata filer och bilder "stulna" och då tex Dell får hållas fullt ansvariga, med skadestånd och allt, så kanske företagen förstår att säkerhet är inget man kan ta lätt på.
Finns ju ingen poäng ens att ha säkerhet i en dator om du medvetet gör enkla* vägar runt det. Här sitter folk och tycker det är kanon att Windows trycker in uppdateringar och säkerhets patcher snabbt in i folks datorer, trots att det skapar problem och förbannade användare som störs mitt i spelandet, och där OSet anser det nödvändigt att "skydda folk" från sig själva, samtidigt som OEM företag tar sig friheten att förstöra hela säkerhetstänket genom denna lösning. Är bokstavligt talat lika dumt som att lägga nyckeln till dörren under dörrmattan.
*Enkla, därför att det krävs en enda person som hackar det på en planet med några miljarder invånare, som sen sprider denna info via nätet, sen är det enkelt även för mindre kunnig att skaffa verktyg till att använda det. Detta bla eftersom alla datorer har exakt samma nyckel...

Det hjälper inte för alla användare som sitter hemma, eller använder VPN.
Så din teori faller platt, då det ä nästintill overkligt scenario att en som skulle utföra sådan attack dels finns på samma plats, dels har med sig WiFi AP/router, och dels det är någon där som ska surfa och har en drabbad enhet.

Och ska de få ut någon information, även om de går via proxyservrn så måste de generera webbserverns certifikat gång på gång med rätt domännamn, vilket gör att de inte hinner generera certifikat, lägga in det i webbservern/proxyn, starta om denna och få ut någon information.

Och det hjälper inte heller mot de som kör VPN, eller med fasta DNS servrar. Och det hjälper inte att bara byta ut DNS servrarna med om DNS svaret blir fel och inte är DNSSEC verifierat.

Så ja, det hela har blåsts upp till orimliga proportioner för ett så här litet icke problem egentligen som det är.

Jag har koll på tekniken, frågan är om DU har det själv?

Hur kan man försvara såna här dumheter, om man inte har någon egen vinning på det ?

Det finns mycket "shit" när det gäller IT-(o)säkerhet med otroligt många system och applikationer, men att försvara ytterligare dålig design är bara trams. Tillverkarna / mjukvaruleverantörerna borde lära sig att bli BÄTTRE på säkerhet, inte att utstuderat implementera SÄMRE säkerhet.

Enda anledningarna för att sådana här lösningar införs i SMYG är att företagen på något vis kan tjäna pengar på det ELLER helt enkelt gör dåliga skitlösningar och hoppas att ingen märker det.

En bra lösning behövs inte SMYGAS in, utan kan levereras öppet till kund.

Om inget annat så kanske det blir vanligare nu när möjligheten finns? Någon som vill komma åt företagshemligheter eller liknande, inte alls otroligt.

Eller om vi kör på din diskussionsteknik:
Det hände en jag känner precis, så ditt motargument faller platt. Jag har rätt, du fel, jag vinner *stoppar fingrarna i öronen* lalalalala

Med tanke på vilka galna lösningar och hur mycket tid som läggs ner av "hackers" för att knäcka system och hitta säkerhetsbrister så är det som att få sina drömmar serverade på silverfat och kantat med räkmackor och rysk kaviar när företagen själva hittar på så här dumma saker

Men det är klart, tror man att en scriptkiddie (som spelar spel och "hackar" folk med färdiga små program man laddar ner) är en hacker, så är man väl inte rädd för såna här garagedörrar in i sin dator

Öh? Varför skulle jag behöva bry mig om DNS-servers för att utnyttja detta? Läste du att man lyckats totalt dabba sig när man skapade certifikatet så nyckeln är godkänd för att signera kod, du inser vad det betyder va? Sedan Vista vägrar Windows ladda kod in i kärnan utan giltig signatur, detta öppnar upp för t.ex. e-post eller någon klatschig download på någon sida innehåller signerad kod.

Då koden är signerad med en nyckel som har "direct trust" på systemet kommer man i många fall rakt igenom anti-virus. Då koden har en giltig signatur av en nyckel vars certifikat tillåter signering av "drivers" så kan jag ladda in saker i kärnan.

När jag väl kan köra saker i kärnan är vi tillbaka på DOS-nivå vad det gäller säkerhet från externa hot, hur länge tror du en DOS-maskin kopplad till Internet överlever idag?

Detta är inte samma sak som att ISPer kan styra din utrustning på distans, din ISP har inte lagt den privata nyckel i de enheter du har hemma och de har också utfärdat ett certifikat som endast är giltigt för att autentisera kommunikation, kan t.ex. inte använda en sådan nyckel för att ändra programvara (om nu dessa enheter kräver signerad firmware).

Misstaget man gjorde här är att certifikatet borde endast a tillåtit nyckelutbyte (RFC5280 4.2.1.3. "keyAgreement"), det räcker för skapa en man-in-the-middle för SSL/TLS och då stoppa in reklam även i "säkra" förbindelser. Idiotisk i sig själv då det var precis detta som Lenovo fick skit för, men nu lyckades Dell som sagt utfärda ett certifikat som tillåter alla former av användning för denna nyckel. För att vara säker på att det verkligen var korkat lade man även in den motsvarande privata nyckel på varje system. Gissar att det finns minst en vakant plats runt säkerhetsfrågor hos Dell

Och angående din antydning om jag kanske har bias för Apple och mot Dell. Skriver detta på min privata Dell XPS15, kör med Dell Latitude på jobbet. Är väldigt nöjd med båda dessa maskiner (och har som tur inte detta problem).

Jag tror att vi pratar förbi varandra. Den som bara sitter hemma och aldrig ansluter till publika trådlösa nätverk löper såklart ingen risk att råka ut för den man-in-the-middle-attack jag beskrivit ovan.

Men se det så här: om en angripare sätter upp ett sådant trådlöst nät på en väl trafikerad plats är sannolikheten ganska stor att någon drabbad Dell-dator ansluter. Det finns ju ett antal miljoner.

Ett icke-TLS-baserat VPN kan som du säger inte avlyssnas. Men "fasta DNS-servrar", vem kör det? De flesta datorer är konfigurerade att använda DHCP både för IP-adress, default gateway och DNS resolver. Och vadå DNSSEC? Jag pratar inte om att sätta upp en falsk authoritative DNS för någons domän i syfte att kapa domänen. Det är helt onödigt för en sådan man-in-the-middle-attack som jag beskriver. Den är inte DNS-baserad, utan baseras på principen att en proxy bryter upp TLS-sessionen med hjälp av ett certifikat som offrets dator litar på. DNS har ingenting med det här att göra, så det kan vi sluta diskutera. Alla surffilter, till exempel Websense och Microsofts tidigare produkt Forefront TMG, som används internt på företag som värnar om säkerhet funkar på samma sätt. De är också exakt den här typen av man-in-the-middle-attacker, dock godartade sådana.

Ska de bryta upp en session så måste ju de generera nytt certifikat för varje hemsida som besöks, då webbläsare jämför webbadressen, med certifikatets information, inkl ex DNSSEC eller andra funktioner för stärkt säkerhet.

Websense och Microsofts motsvarande program ska man undvika, de är som pesten.

Enligt vad jag läst, titta t.ex. på första sidan i rapporten jag länkade ovan, i sektionen som är märkt "Summary", så är eDellRoot installerat som "Trusted Root Certificate" i Windows med giltighet till år 2039.

Du ser alltså inte något större problem med system som har självsignerat x509 certifikat installerade som "Trusted Root Certificate", där privatnyckeln är på vift och där privatnyckeln får används för kodsignering? Och hur är detta certifikat inte betrott av Windows om det är självsignerat och ligger i "Trusted Root Certificate store"?

En hackare kör troligtvis en proxy som automatiskt genererar certifikat för varje webbsida, som exempelvis Websense. Offret, en vanlig användare med en Dell XPS eller annan modell som påverkas av den här säkerhetsbristen, som kör en vanlig webläsare kommer troligtvis inte märka att de surfar via en hackares proxy. DNSSEC verifieras inte av Internet Explorer, Firefox eller Chrome (utan specialtillägg som endast säkerhetsnördar bryr sig om).

Vad du tycker om Websense och andra web proxies är inte relevant för den här diskussionen. Hackern i man-in-the-middle-attacken gillar dem.

DNSSEC verifieras löpande vid varje förfrågan.
Och det märks enkelt om man surfar via en förfalskad sida eller inte, kolla ex i webbläsaren på den gröna baren där det står butikens namn, eller företagets namn.
Ex för komplett.se så står det "Komplett AS (NO) https://www.komplett.se/
Ex för www.inet.se så står det "Inet AB" https://www.inet.se/
Ex för dustin.se / dustinhome.se så står det "Dustin Sverige AB" ´https://www.dustin.se / https://www.dustinhome.se/

Så ja, det syns rätt väl om det är rätt sida eller inte.

Nej, det är ett relativt ickeproblem, då det är isolerat till ett mindre antal enheter totalt sett, de kan enkelt skicka ut en uppdatering som blockerar/raderar certifikatet.
Så ja, jag anser inte att det är ett problem då det finns relativt enkla lösningar på det.
Testa att ladda ner certifikatet så kommer du manuellt få installera det i "Trusted Root Certificate Store" i Windows.
Och då det är isolerat till en tillverkare, och räknar man ut antalet potentiellt berörda så landar det på ca: 23887116 (23,8 Miljoner enheter) om man räknar alla sålda i år än så länge, och sedan exkluderar man de modellerna som inte de skickat med certifikatet i, och de som såldes före de började skicka med det så är det nere på något 10 talet Miljoner enheter, och i sammanhanget på över 217 Miljoner sålda datorer i år så är det en relativt liten del som drabbats (ca 6% om man räknar på 50% av Dells marknadsandel).
Och det går relativt lätt att få bort certifikatet.
Så ja, det hela är grovt överdrivet.

OK, så DNSSEC verifieras av vissa webbläsare.

Men på vilket sätt är det relevant för en man-in-the-midde-attack bestående av en proxy? Dina exempel handlar som du skriver om vad som händer när man surfar på en falsk respektive äkta webbsajt. Man-in-the-middle-attacken handlar inte om falska webbsidor. Det handlar om äkta webbsidor som passerar genom en proxy som avlyssnar innehållet i trafiken för att exempelvis komma åt kondfidentiell information eller sniffa lösenord, och som möjliggörs genom det idiot-certifikat Dell installerat på miljontals datorer.

Dina bedömningar av vad som är ett ickeproblem avviker ganska kraftigt från vad de flesta andra i den här diskussionstråden tycker, och troligtvis också vad de som drabbas tycker.

Någon tycker att det är eländigt om några få personer drabbas av något. Andra tycker inte att det gör något om några miljoner drabbas, eftersom det bor flera miljarder på jordklotet. Med den logiken behöver vi ju inte bekämpa extrem kriminalitet eller sällsynta sjukdomar heller, eftersom endast en liten del av jordens befolkning drabbas.

Jag tror inte vi kommer längre i den diskussionen.

För att står det i webbläsaren att certifikatet är utgivet av "eDellRoot" och man surfar på ex sin bank, Komplett eller annan sida så drar man ju ögonen åt sig. Så därför är det relevant att kolla vad webbläsaren säger om sidan.

Nej, för det finns inget som tyder på att någon drabbats utav det hela än, eller att det skett några "läckor" genom att certifikatet finns tillgängligt, bara att det har uppmärksammats och att det bedöms som en säkerhetsrisk, vilket är att överdriva det väldigt mycket egentligen.
Då det dels är enkelt att få bort det hela, dels så krävs det rätt mycket av en användare för att komma åt något då det är ett fåtal av alla datorer som sålts som har certifikatet, vilket gör att en ex avlyssning på en flygplats/kafé eller liknande gör attdet samlas in kanske 10000 personers uppgifter, och dessa ska sedan gås igenom för att komma ner till just de som kör Dell maskiner med detta certifikatet, det är en väldigt stor och tidskrävande process att genomföra.

Och det är rätt komiskt att många är så emot att Dell har en (mindre) säkerhetsbrist inlagd, mot Microsoft som samlar in allt som skrivs på tangentbordet, delar dina WiFi lösenord, påtvingar uppdateringar och desto fler säkerhetsbrister / övervakning, och det är folket mer "äh whatever, jag har inget att dölja" inställning mot.