Un usuario de Reddit informa haber encontrado un certificado root pre-instalado llamado 'eDellRoot' que daría por buenas conexiones cifradas sin estar verificadas por una autoridad de forma pública. ¿Para qué instala Dell este certificado? Aún no está claro, y de momento solo hay dos casos confirmados, pero parece ser que está instalados en la gama de portátiles XPS recientes. Relacionada: http://www.xataka.com/ordenadores/potencial-malware-en-los-nuevos-dell-xps-15-similar-al-escandalo-superfish-de-lenovo
#5:
#4 Por el momento lo que se ha descubierto no es "tan grave" como lo de Lenovo al no haber un proxy configurado por defecto para que todo el tráfico pase por ahí, pero sí podría ser igualmente usado por un atacante mediante MITM si este puede acceder a la clave privada (por lo que dicen en Twitter la misma clave privada está en varios de los equipos afectados), que parece ser que se almacena en los portátiles estos al igual que en los que llevaban el Superfish.
Sea como sea, meter un certificado raíz para ahorrarte los 12€ al año que cuesta un certificado por dominio es bastante cutre para una empresa del tamaño de Dell, que no es una CA, y más si no guarda a buen recaudo la clave privada (para eso casi mejor que no use cifrado).
#16 Un autofirmado por si solo siempre daría un warning en los navegadores actuales, es mucho más peligroso un certificado raíz. Mira los enlaces de agradecimiento que hay en el post de Dell que he enlazado en #9, que describen muy bien el problema.
Esto no tiene por qué ser malo. Los fabricantes eligen qué autoridades de certificación incluyen en sus productos; normalmente los escoge el desarrollador del SO (Microsoft...), el del navegador web, el de la máquina virtual de java... ellos incluyen los que consideran "confiables".
En este caso el fabricante de PCs también ha añadido uno. No tiene por qué ser malo, o al menos no es peor que cuando nos fiamos de los que incluye Windows por defecto. Supongo que será por algún servicio suyo que han instalado en el PC que usa certificados propios para autenticar las conexiones.
Si se demostrara que lo han incluido con alguna intención sibilina su credibilidad quedaría a la altura del betún...
#4 Por el momento lo que se ha descubierto no es "tan grave" como lo de Lenovo al no haber un proxy configurado por defecto para que todo el tráfico pase por ahí, pero sí podría ser igualmente usado por un atacante mediante MITM si este puede acceder a la clave privada (por lo que dicen en Twitter la misma clave privada está en varios de los equipos afectados), que parece ser que se almacena en los portátiles estos al igual que en los que llevaban el Superfish.
Sea como sea, meter un certificado raíz para ahorrarte los 12€ al año que cuesta un certificado por dominio es bastante cutre para una empresa del tamaño de Dell, que no es una CA, y más si no guarda a buen recaudo la clave privada (para eso casi mejor que no use cifrado).
#4 Y aunque sea un servicio suyo. Es más importante nuestra privacidad, que no nos instalen cosas ocultas, que un supuesto servicio que luego, ni es tan beneficioso, ni funcionará, ni dará asistencia.
Mi privacidad vale mucho más que una asistencia que no he solicitado.
Luego querrán que no pirateemos y no nos hagamos hackers.
Si ellos son los que nos piratean, roban y violan nuestra privacidad, nuestros datos y nuetros derechos.
Comentarios
"¿Para qué instala Dell este certificado?"
Por chapuza, o con malas intenciones, eso está claro.
#3 Mas bien sera por chapuza, si fuera con malas instalaciones intentarian colar un autofirmado de DELL a ver si colaba...
#16 Un autofirmado por si solo siempre daría un warning en los navegadores actuales, es mucho más peligroso un certificado raíz. Mira los enlaces de agradecimiento que hay en el post de Dell que he enlazado en #9, que describen muy bien el problema.
#3 «Nunca atribuyas a la maldad lo que puede ser explicado por la estupidez» -- Principio de Hanlon
https://es.wikipedia.org/wiki/Principio_de_Hanlon
Esto no tiene por qué ser malo. Los fabricantes eligen qué autoridades de certificación incluyen en sus productos; normalmente los escoge el desarrollador del SO (Microsoft...), el del navegador web, el de la máquina virtual de java... ellos incluyen los que consideran "confiables".
En este caso el fabricante de PCs también ha añadido uno. No tiene por qué ser malo, o al menos no es peor que cuando nos fiamos de los que incluye Windows por defecto. Supongo que será por algún servicio suyo que han instalado en el PC que usa certificados propios para autenticar las conexiones.
Si se demostrara que lo han incluido con alguna intención sibilina su credibilidad quedaría a la altura del betún...
#4 Por el momento lo que se ha descubierto no es "tan grave" como lo de Lenovo al no haber un proxy configurado por defecto para que todo el tráfico pase por ahí, pero sí podría ser igualmente usado por un atacante mediante MITM si este puede acceder a la clave privada (por lo que dicen en Twitter la misma clave privada está en varios de los equipos afectados), que parece ser que se almacena en los portátiles estos al igual que en los que llevaban el Superfish.
Sea como sea, meter un certificado raíz para ahorrarte los 12€ al año que cuesta un certificado por dominio es bastante cutre para una empresa del tamaño de Dell, que no es una CA, y más si no guarda a buen recaudo la clave privada (para eso casi mejor que no use cifrado).
http://joenord.blogspot.com.es/2015/11/new-dell-computer-comes-with-edellroot.html
#4 Como dice #5 el problema es que la clave privada tambien esta en el portatil. Ya hay gente firmando ejecutables con ella:
Por cierto, parece ser que tambien pasa con laptops que Dell distribuye con Ubuntu.
#4 #5 Información adicional... Parece que no es tan bueno.
http://hipertextual.com/2015/11/dell-certificados-de-seguridad
#23 Parece que es otro certificado más, no el eDellRoot que Dell ya reconoció como fallo. Este otro se llama DSDTestProvider.
#24 Aps, gracias por la aclaración.
#4 Y aunque sea un servicio suyo. Es más importante nuestra privacidad, que no nos instalen cosas ocultas, que un supuesto servicio que luego, ni es tan beneficioso, ni funcionará, ni dará asistencia.
Mi privacidad vale mucho más que una asistencia que no he solicitado.
Relacionada: http://www.xataka.com/ordenadores/potencial-malware-en-los-nuevos-dell-xps-15-similar-al-escandalo-superfish-de-lenovo
Parece que por el efecto Reddit, Dell ha confirmado el problema (después de un mes de que apareciera en Twitter):
http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate
tu quoque, fili mi!
#1 "La frase completa puede que fuese tu quoque, fili mi! (‘¡tú también, hijo mío!’)"
https://es.wikipedia.org/wiki/Tu_quoque
Si el certificado se llamara EldeGroot yo sospecharía de Stan Lee y Marvel.
Es como la chapuza de Telefónica para dar asistencia remota, aunque luego las contraseñas las conoce todo el mundo.
Desde esta página se puede hacer un test para comprobar si tu ordenador es vulnerable: https://edell.tlsfun.de
Mi Dell XPS 13 de principios de año está limpio, pero seguramente por la instalación de Windows 10 que hice.
Dell se disculpa y proporciona una aplicación para eliminar el certificado
http://arstechnica.com/security/2015/11/dell-apologizes-for-https-certificate-fiasco-provides-removal-tool/
Et tu, Dell?
Que todo el mundo haga como yo; El SO de fábrica a /dev/null...
#13devnull estará encantado
#15 jajaja exacto. Vosotros mandadme todos vuestros SO
Recordad chicos, Apple es mala, hay que comprarse un Dell o Lenovo.
Luego querrán que no pirateemos y no nos hagamos hackers.
Si ellos son los que nos piratean, roban y violan nuestra privacidad, nuestros datos y nuetros derechos.