Las últimas computadoras portátiles de Dell están infectadas con eDellRoot

Oh querido. Dell está en un poco de agua caliente. El tercer fabricante de computadoras más grande del mundo ha sido sorprendido enviando certificados raíz fraudulentos en todas sus computadoras, y en el proceso presenta un riesgo de seguridad enorme para todos sus clientes.

Si eso suena extrañamente familiar, es porque lo es. El año pasado, se sorprendió a Lenovo haciendo prácticamente lo mismo con su malware SuperFish Cuidado con los propietarios de computadoras portátiles de Lenovo Cuidado: su dispositivo puede tener malware preinstalado Cuidado con los propietarios de computadoras portátiles de Lenovo con cuidado: su dispositivo puede tener software malicioso preinstalado A finales de 2014 había malware preinstalado. Lea más, en un movimiento que causó furia en el consumidor, y que el fabricante chino fue censurado por el Departamento de Seguridad Nacional de EE. UU..

¿Entonces que esta pasando? Y si te preocupa?

Conoce eDellRoot

Independientemente de quién fabricó su computadora, vino con una colección de certificados seguros y de confianza ¿Qué es un certificado de seguridad de un sitio web y por qué debería importarle? ¿Qué es un certificado de seguridad de un sitio web y por qué debería importarte? Lea más sobre algunos servidores de confianza operados por compañías como Verisign y Thawte. Piense en estos como contraseñas o firmas.

Estos certificados son esenciales para que el cifrado funcione. Le permiten acceder de forma segura a páginas web cifradas, descargar actualizaciones del sistema y consultar los certificados de otras páginas web. Como resultado, es importante que estos certificados se manejen adecuadamente.

A primera hora de la mañana del lunes, un usuario de Reddit con el nombre de RotorCowboy (nombre real Kevin Hicks) envió una publicación de texto al Technology subreddit, advirtiendo a una Autoridad de Certificación (CA) autofirmada que encontró instalada en su nuevo Dell Portátil XPS, llamado eDellRoot.

El certificado enviado con una clave privada, que fue marcado como “no exportable”. Pero al usar una herramienta producida por el Grupo NCC llamada Jailbreak, pudo extraerla. Después de algunas investigaciones, Hicks descubrió que eDellRoot se enviaba en cada nueva laptop Dell con el exactamente el mismo certificado y clave privada.

Esto presenta una significativo Riesgo de seguridad para los usuarios. Pero por qué?

Los riesgos publicado por eDellRoot

Hay una razón por la cual los sitios de comercio electrónico, las aplicaciones bancarias en línea y las redes sociales cifran su tráfico. ¿Qué es HTTPS y cómo habilitar conexiones seguras por defecto? ¿Qué es HTTPS y cómo habilitar conexiones seguras por defecto? Las preocupaciones de seguridad se están extendiendo por todas partes. Han llegado a la vanguardia de la mente de todos. Los términos como antivirus o firewall ya no son un vocabulario extraño y no solo se entienden, sino que también se usan en ... Leer más. Sin él, cualquiera podría interceptar los mensajes enviados desde sus servidores a sus usuarios y, a su vez, obtener acceso a su información privada e incluso a las credenciales de inicio de sesión..

Si puede precargar un certificado falso o duplicado, entonces es posible interceptarlo todos Comunicaciones seguras enviadas por ese usuario, sin que el usuario se dé cuenta. Este tipo de ataque se llama “hombre en el medio” ataque ¿Qué es un ataque del hombre en el medio? Explicación de la jerga de seguridad ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques "intermediarios" pero no está seguro de lo que eso significa, este es el artículo para usted. Lee mas .

Si alguien copiara el certificado raíz de la computadora portátil Dell y pretendiera ser el sitio web de HSBC Bank, el usuario todavía vería el candado verde en la barra de direcciones y podría interactuar con el sitio como lo haría normalmente. No habría pantalla roja. Sin advertencia.

Pero aquí es donde se pone realmente interesante. Dell envió el mismo certificado y clave con cada computadora portátil Dell. Si ha comprado una computadora portátil Dell durante el último año, es muy probable que esté en riesgo..

Otro efecto secundario aterrador de esto es que también significa que un atacante podría firmar malware con un certificado de raíz legítimo, lo que lo haría parecer un poco más legítimo, e incluso ofuscar los orígenes del software..

Es algo desagradable. En este punto, se le podría perdonar por rascarse la cabeza y preguntarse por qué Dell elegiría hacer tal cosa, especialmente después de las consecuencias de SuperFish..

¿Qué demonios estaba pensando Dell??

Todos sabemos por qué Lenovo quería enviar su propia CA raíz con sus computadoras. Les permitió inyectar anuncios en cada página web. Incluso los cifrados..

Las computadoras, particularmente aquellas en el extremo más barato, son un negocio de bajo margen. Los minoristas no ganan mucho dinero con ellos, por lo que constantemente están vendiendo servicios y productos adicionales cada vez que compra una máquina nueva. Pero los fabricantes tampoco ganan mucho dinero con ellos. Tratan de compensar eso instalando de forma rutinaria montañas de software de prueba y software malintencionado Cómo eliminar Bloatware y evitarlo en nuevas computadoras portátiles Cómo eliminar Bloatware y evitarlo en nuevas computadoras portátiles ¿Cansado del software que nunca quiso consumir los recursos de su computadora portátil? Su computadora no es espacio publicitario libre. Aquí es cómo deshacerse de bloatware. Lea más sobre todas las máquinas nuevas.

Pero muchas de las computadoras que han sido identificadas como infectadas con eDellRoot no son máquinas de gama baja. El Dell XPS más barato, por ejemplo, cuesta $ 799.

Nadie sabe realmente cuáles fueron las motivaciones de Dell. No hay nada que sugiera que intentaran inyectar sus propios anuncios o secuestrar el tráfico web.

Hasta ahora, todo apunta a que hay un gran lapso de juicio en Dell. Especialmente dado que eDellRoot CA se creó seis meses después del fiasco de SuperFish..

Nota: Dell creó su certificado #eDellRoot seis meses después de que el escándalo de los Superfish de Lenovo llegara a las noticias. No se aprendieron lecciones.

- Mikko Hypponen (@mikko) 23 de noviembre de 2015

Cómo deshacerse de eDellRoot

Deshacerse de eDellRoot es simple. Primero, abra el menú Inicio, y buscar para “certmgr.msc“. Esta es la herramienta estándar de Windows utilizada para administrar, modificar, eliminar y solicitar certificados. Para usarlo, debe iniciar sesión en una cuenta con privilegios de administrador.

Luego haga clic en Autoridades de certificados raíz de confianza> Certificados. Esto lista cada CA raíz instalada en su máquina. Búsqueda de eDellRoot. Debe tener un aspecto como este.

Dell XPS 15 con el certificado eDellRoot instalado pic.twitter.com/X5UFZKFoU7

- Adam (@_xpn_) 23 de noviembre de 2015

Si está allí, tienes instalado el certificado dudoso. Para borrarlo, haga clic derecho en el certificado, y haga clic en Borrar.

También puede averiguar si está afectado con una sola línea de código de PowerShell..

Pruebe su Dell con #PowerShell: if (ls cert: -re |? $ _. Thumbprint -eq "98A04E4163357790C4A79E6D713FF0AF51FE6927") "eDellRoot found"

- Mathias Jessen (@IISResetMe) 23 de noviembre de 2015

Un desastre de relaciones públicas de proporciones épicas

Dado el tamaño de Dell, la gran cantidad de máquinas afectadas y la propensión a que las empresas usen las máquinas de Dell, les garantizo que este episodio tendrá algunas consecuencias importantes. Las disculpas se emitirán desde lo alto, y las personas perderán sus empleos. Los consumidores expertos en tecnología pensarán dos veces antes en comprar una computadora portátil Dell. Pero qué hay de ti?

¿Te afectó? ¿Comprarás un Dell alguna vez? Cuéntamelo en los comentarios a continuación..

Créditos de las fotos: Dell Keyboard (David Precious)

Obtenga más información acerca de: Seguridad informática, cifrado, seguridad en línea.