Hace 8 años | Por conversador a hipertextual.com
Publicado hace 8 años por conversador a hipertextual.com

A lo largo del día de ayer saltaba la noticia de que Dell pre-instala certificados root en sus dispositivos, algo que daría por buenas conexiones cifradas sin estar verificadas por una autoridad de forma pública, y por tanto, supone un coladero para todos aquellos que busquen maximizar la seguridad de sus dispositivos. Tras una disculpa por parte de la compañía, hoy se vuelve a repetir la historia y resulta que ahora no solo hay un certificado root, sino dos Un nuevo certificado de Dell pone en peligro la seguridad de sus equipos más recientes.

Comentarios

A_D_F

#1 No termino de entender qué significan esos certificados root y qué problema hay en que en lugar de uno haya dos. ¿Alguien puede aclararlo? El artículo parece estar escrito para los que ya manejan esto.

akas84

#5 el principal problema es que en una máquina con ese certificado, cualquiera se puede interponer entre tu banco y tu (por poner un ejemplo) y no te saltaria ninguna alerta.

A_D_F

#7 Vaya. Gracias por la aclaración

D

#7 y ofrecer drivers "firmados por dell"

D

#7 cualquiera que conozca la clave privada de ese certificado root. Lo que no veo en ningún sitio es que esta clave privada esté disponible.

editado:
Ya veo gracias a #17 que la llave esta por ahí tambien. Genius.

inar

#5 Los certificados sirven para, entre otras cosas, validar que un sitio web es realmente quien dice ser. Si esta validación no se produce, el sitio web se considera "no seguro" o "no confiable" y por tanto no recomendable para operaciones delicadas. Por ejemplo, la web de tu banco, y todos los sitios de tipo https://...

Los certificados constan de dos "ficheros llave". El público que permite leer y verificar la validez de un sitio/documento/lo que sea. Y el privado, que permite añadir o acreditar (firmar) nuevos sitios que serán considerados como seguros.

La validación de estos certificados se realiza mediante entidades certificadoras (certificados root), que son sitios de refutada confianza a quienes se consulta si un certificado es o no válido, y por tanto seguro.

Dell incluye en sus equipos una entidad certificadora que no es tal, sino de su propia creación, de tal modo que tu equipo podrá dar por válidos aquellos sitios web que la entidad certificadora de Dell así lo confirme.

Pero hay más, porque Dell incluye no solo el certificado público, sino también el privado, con lo cual tu equipo Dell podrá añadir a la lista un sitio web como seguro cuando no lo es. Por ejemplo, podría hacer que una web falsa de tu banco fuese añadida como sitio seguro y confiable, y tú podrías acceder a ella pensando que es tu banco, cuando es una suplantación para conseguir tus datos de acceso (phising). Y este es el verdadero peligro y cagada por parte de Dell, al suponer un severo riesgo de seguridad en sus equipos.

D

Pues usamos estos portátiles en el trabajo. Vaya gracia.
Y dell es una marca muy extendida entre profesionales. No me hace gracia lo que se empieza a ver

Wayfarer

#2 No deberiais de tener problemas: si el responsable de IT de tu empresa está haciendo las cosas bien, lo normal es siempre sustituir el SO del fabricante con una plataforma propia con las aplicaciones de la empresa y los últimos parches de seguridad.

Aunque si trabajas en una PYME española, las posibilidades de que se haga así son muy remotas, me temo

D

#32 joder en responsable de it dice! Y ese quien es! Si a mi me dieron el portatil y me dijeron. Ale majo ponte el step7 y así hasta hoy. Que sigo sin correo de empresa

Wayfarer

#33 lol

D

Esto me recuerdo a aquel puto Superfish de Lenovo.

D

- "Lo sentimos, nos hemos equivocado, no volverá a suceder"

entre bastidores:

- "Manolo, mételes otro más a estos gilipollas, que asuman que aquí se hace lo que nos sale de los COOOJJJJJ..."

umbrella

Comunicado oficial de Dell. Incluye el motivo por el que se incluyeron. Y las instrucciones para eliminar ambos certificados. Además de agradecimientos al descubridor de la vulnerabilidad.
http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate

Que cada uno saque sus conclusiones.

D

Pues después de leer este artículo veo el mismo problema que antes, ninguno. No aclara ni explica nada más que meter miedo injustificado, nadie se queja de los certificados raíz que vienen con windows por ejemplo...

D

#9 Los certificados raíz que vienen con Windows están certificados por una empresa certificadora. Estos otros no...

Nildur

#9 El problema no es tanto que instalen certificados raiz, es que tambien estan las claves privadas de esos certificados raiz... asi que cualquiera podria usarlas y hacerse pasar por una web de ese certificado raiz.

Galero

Pues yo no le veo el problema, debo ser el único.

B

Que un particular no coja y formatee el PC Dell, lenovo, hp se cargue toda la mierda de fábrica y haga una instalación limpia es perdonable, pero que una empresa no lo haga y no tenga preparada una imagen segura testeada donde ejecutar sus aplicaciones que requieran máxima seguridad, eso si es motivo de despido.
Y Dell que se meta en el culo esas herramientas tan inseguras que para notificarte de una actualización de BIOS o drivers comprometen la seguridad de tu PC.

D

#19 Mucha seguridad quieres tu conseguir basado en hadware y software privado. Para empezar ni siquiera sabe nadie al 100% si el sistema que uses no tiene alguna puerta trasera. Ni que la tenga la BIOS, el procesador, etc. En modo paranoico, deberías meter tu Dell en una caverna sin electricidad ni internet (y ponerte un gorrito de papel de plata tinfoil ) y ya sería la máxima seguridad.

Otra cosa es que me digas que un banco no haga todas esas pruebas de seguridad, pero ¿una oficina normal y corriente? Lo que menos va a pensar nadie es que escondidos entre el montón de certificados root haya un certificado malicioso firmado por la misma marca del equipo. El que lo ha encontrado, lo ha hecho por pura casualidad.

D

Windows defender ya detecta esos certificados como software potencialmente peligroso y te los elimina (te ofrece eliminarlos).

DeepBlue

El año de las emisiones trucadas... esta vez electrónicas y al exterior del PC.

kapitolkapitol

jiijij que bien...os escribo desde un XPS de esos

M

#22 sí, sí, verás tú qué risas
lol

kapitolkapitol

#23 he leido que si me votas positivo en el botoncito verde puedes controlar mi ratón ¿es sierto esa hinformasion?

M

#25 ¿Y si no quiero controlar tu ratón tengo que pulsar en el rojo?

jfabaf

Es que cuando uno se compra un portátil es para instalarle Linux nada más sacarlo de la caja

frankiegth

Con estas políticas empresariales va terminar volviéndo a salir a cuenta montarse nuestros PCs con piezas sueltas y distribuciones GNU/LINUX.
http://www.xataka.com/makers/la-raspberry-pi-zero-es-un-alucinante-y-diminuto-minipc-de-5-dolares
La Raspberry Pi Zero un diminuto miniPC de 5 dólares

Hace 8 años | Por --418333-- a xataka.com

D

Si Lenovo la cagó, estos ya se salieron del tiesto... No solo crean certificados root y se toman la libertad de incluirlos, sino que regalan la clave privada a todo atacante que desee atacar un poquito a los cientos de miles de equipos Dell que hay distribuidos por el mundo...

c

No acaban ahí las risas. Si te compas un dell de esos podrás firmar programas y crear sitios que los demás dell tragarán sin rechistar, parece que la clave privada viene en el equipo...

M

Sí, es mucho más grande de lo que se pensaba, por concretar un poco es justo el doble de lo que se pensaba.

D

Que me expliquen para qué quiere Dell esos certificados, ¿qué uso le iba a dar?.