A Dellt is elérte, amibe korábban a Lenovo belefutott: súlyos biztonsági réssel szállították a notebookjaikat.
Hirdetés
 

Akasztják a hóhért: amikor kiderült, hogy a Lenovo némelyik konzumer notebookján egy gyárilag telepített program, a Superfish olyan közbeékelődő belső tanúsítványt telepít az eszközökre, amely a titkosított SSL/TLS kapcsolatok manipulálását is elősegítheti, a Dell store-jában egyes gépeknél megjelent egy kitétel arról, hogy a Dell esetében nem kell aggódni a Superfis-hez hasonló incidensek miatt, mert nála nem fordulhat elő (a megjegyzés egyébként még mindig megtalálható). Hát most előfordult.

Ráadásul itt is egy tanúsítvánnyal van gond, és a kockázat is hasonló.

Mindenhol ugyanaz a privát kulcs

A Lenovo gépeket érintő problémát úgy fedezték fel, hogy bizonyos gépeken olyan szponzorált találatok jelentek meg az internetes kereséseknél, amelyek adware jelenlétére utaltak. A Dellnél azonban kicsit más a helyzet: adware jellegű tevékenység ugyanis nincs.

Egyes Dell gépeken van egy gyárilag telepített tanúsítvány, az eDellRoot. Ez a gyártó szándéka szerint csupán azt szolgálná, hogy a szervizszolgáltatás biztonságosan azonosíthassa a gépmodellt. A Dell hangsúlyozta is, hogy nem használták személyes ügyfél-információk gyűjtésére. Erre utal egyébként az is, hogy a Dell privát kulcsot telepített a rendszerre.

A problémát az okozta, hogy a tanúsítványhoz tartozó privát kulccsal simán hitelesíteni lehetett hamis HTTPS weboldalakat, és így azokat a böngészők nem is jelezték veszélyesnek. Azaz a támadók az eDellRoottal érvényes tanúsítványt hozhattak létre. Ez azért veszélyes, mert böngészők többsége lehetővé teszi, hogy helyileg telepített tanúsítványok figyelmen kívül hagyják az ún. Public Key Pinning védelmet (ez egy HTTP kiegészítés, amely az ún. man-in-the-middle, azaz közbeékelődéses támadások kivédésére szolgál).

Az Internet Explorer, az Edge és a Chrome esetében ez működik is. A Firefox azonban szerencsére jelzi a buherált weboldalakat, ugyanis saját tanúsítványtárolót használ.

A Duo Security kiderítette, hogy az eDellRoot még az ipari környezetben használt SCADA (Supervisory Control And Data Acquisition) rendszerek esetében is okozott problémát. Igaz, ezt Steve Manzuik, a Duo kutatási igazgatója, az érintett rendszer hibás konfigurálására vezette vissza, tekintve, hogy a SCADA rendszereket jellemzően kritikus feladatokra alkalmazzák, ezért nem is nyitottak az internet felé.

Elnézést, kedves felhasználó!

A Dell azonnal reagált: elnézést kért a felhasználóktól, és még tegnap kiadott egy javítást. Az internetes közösség is gyorsan lépett: elérhető egy webes eszköz, amelyen lehet ellenőrizni azt, hogy az adott gépet érinti-e a probléma, de aki nem akar bíbelődni ezzel, a Dell oldaláról letöltheti a javítást.

A cég egyébként kiadott egy részletes, képernyőmentésekkel illusztrált útmutatót is, hogy kézzel hogyan kell eltávolítani az eDellRootot. A lényeg röviden: le kell állítani a Dell Foundation Services szolgáltatást, és törölni kell a Windows tanúsítványmenedzserében az eDellRoot tanúsítványt a megbízható legfelső szintű hitelesítésszolgáltatók közül.

Biztonság

Felszaporodtak a kiberbűnesetek

A kiberalvilág is szeret a zavarosban halászni, és most halászik is rendesen.
 
A legfejlettebb szoftvereszközökkel egyszerűsíthető az adatbázisok összetettsége, csökkenthető az információkezeléssel kapcsolatos kockázat és költség, valamint javítható a teljesítmény. Nézzük, mit tehetünk az adatainkban rejlő lehetőségek maximális kiaknázásáért!

a melléklet támogatója a Balasys

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.