Vor ein paar Tagen schon gab es die Nachricht, dass Dell ein Root-Zertifikat installiert hat, welches Sicherheitslücken aufweist. Zu Anfang wurde dieses Zertifikat mit dem Superfish-„Inferno“ von Lenovo gleichgestellt und man vermutete, dass Dell hier auch über die eDellRoot schnüffeln kann.
Jetzt hat sich Dell dazu öffentlich geäussert und klargestellt, dass es sich bei dem Zertifikat nicht um Adware oder Malware handelt. Damit soll der PC / Laptop nur schnell identifiziert werden können bei Supportanfragen. Kundendaten werden nicht über die eDellRoot gesammelt.
Dell hat nun eine Anleitung bereitgestellt, damit die Sicherheitslücke, die durch das Zertifikat entstehen kann geschlossen wird.
Wer also einen Dell besitzt sollte diese Anleitung einmal durchgehen und prüfen, ob der Rechner auch davon betroffen ist.
[Update] Wie Golem berichtet, gibt es noch eine zweite Sicherheitslücke auf Dell Rechern. Denn nicht nur das eDellRoot Zertifikat ist betroffen, sondern auch das DSDTestProvider Zertifikat, welches im Tool Dell System Detect enthalten ist.
Auch hier lässt sich das Zertifikat und der private Schlüssel extrahieren und jeder kann somit seine eigenen Zertifikate erstellen, die dann im Browser nur akzeptiert werden müssen. Also ein weiteres Sicherheitsproblem. Dafür hat Dell noch keinen Patch oder Anleitung bereitgestellt.
Golem hat den Test aber angepasst, so dass nun beide Lücken im Browser getestet werden können.
Wer einen Schnelltest machen möchte, kann über diesen Link seinen Dell prüfen:
Infos:
▪ https://edell.tlsfun.de/de/
Danke an Gwen für den Link.
Info und Download:
▪ Info: en.community.dell.com
▪ Direktdownload: eDellRootCertRemovalInstructions.docx
Ein als vertrauenswürdig deklariertes Root-Zertifikat, das einfach für Man-in-The-Middle-Angriffe fungieren kann! Jeder kann damit SSL-Verbindungen sniffen und Daten stehlen oder verfälschen.
Wer seinen Dell-PC prüfen will, ob da das Schrott-Zertifikat drauf ist kann dies auf https://edell.tlsfun.de/de/ tun.
Viel Glück!
Dell hat damit sein Vertrauen gänzlich verspielt.
Mal sehen, wann Microsoft bei einem „Sicherheitsupdate“ das unsichere CA-Zertifikat aus Windows entfernt.
Kann ja Wochen dauern.
Bis dahin sind viele Dell-Geräte unter Windows als kompromittierbar zu betrachten.
Tolle Sache für Geräte, die oft auch in Business benutzt werden.
Da kann man schön schnüffeln.
Weitere Informationen zum Dell-Zertifikatsdisaster:
* http://joenord.blogspot.in/2015/11/new-dell-computer-comes-with-edellroot.html
* http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate
* https://www.reddit.com/r/technology/comments/3twmfv/dell_ships_laptops_with_rogue_root_ca_exactly
* https://blog.hboeck.de/archives/876-Superfish-2.0-Dangerous-Certificate-on-Dell-Laptops-breaks-encrypted-HTTPS-Connections.html
* https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0106
Software, die irgendwelche Root-CA-Zertifikate installiert, ist für mich als unsicher zu betrachten.
Dazu gehören auch diverse Virenscanner und Desktop-„Firewalls“, deren Namen ich nicht nennen will.
Kann ja alles über certmgr.msc eingesehen werden, wer da CA-Zertifikate installiert.
Es ist halt ein Grundproblem, dass jeder Root-CA-Zertifikate für jeden Zweck ausstellen kann. Die müssen halt nur irgendwie ins Betriebssystem gelangen und als vertrauenswürdig deklariert werden.
Insofern ist das System von Root-CAs allgemein als kompromittierbar zu betrachten.
Ich seh‘ gerade das Update des Artikel und staune. Verrückt, was deren Support-„Tools“ für Löcher ins System bohren.
Was ist das bei Dell? Schludrigkeit, Zeitschleife, Inkompetenz der Entwicklungsabteilung, Vorauseilender Gehorsam?
Ich hol mir schon mal Popcorn und Chips, das bleibt bestimmt nicht das letzte (Sicherheits)Loch, auf dem arme Dell-Benutzer pfeifen werden.
Nächste fiktive moderne Fehlermeldung von Windows:
Do you want a secure Windows? Press OK to Dell’ete?
Ich hoffe mal das bis zum 1Q/2016 die Ganzen (noch folgenden ?) Probleme
behoben sind, will mir nämlich einen DELL-Laptop kaufen.
Neue komplette Installation wird so wieso gemacht, wegen CrapWare/BloodWare
müsste eigentlich reichen, stimmt’s!?
Solange das BIOS sauber ist, nichts online holt, und nicht irgendwelche versteckten Boot-Partitions auf der Platte sind, sollte es klappen.
Aber ich bin da bislang weiter misstrauisch.
Von den im UEFI-BIOS „hinterlegten“ Sachen hab ich schon gehört.
Im Fall von DELL bin ich mir sicher das es Unachtsamkeiten waren,
irgendwas absichtlich platzieren ist ausgeschlossen,
wenn so was rauskommt ist der Laden zu.
bin gerade über den Direktdownload, da kam die Anzeige, Issue not found. Was heißt dass denn nun?
Das alles in Ordnung ist.
Oh, wirklich? Mein Laptop ist von Dell.