A lo largo del día de ayer saltaba la noticia de que Dell pre-instala certificados root en sus dispositivos, algo que daría por buenas conexiones cifradas sin estar verificadas por una autoridad de forma pública, y por tanto, supone un coladero para todos aquellos que busquen maximizar la seguridad de sus dispositivos. Tras una disculpa por parte de la compañía, hoy se vuelve a repetir la historia y resulta que ahora no solo hay un certificado root, sino dos Un nuevo certificado de Dell pone en peligro la seguridad de sus equipos más recientes.
|
etiquetas: dell , certificatos preinstalados , xps
Viene siendo como si tú escondes la llave de tu casa debajo de la alfombra de la puerta, no pasa nada hasta que alguien se entera y lo hace público, lo peor es que tú no tienes otro sitio dónde esconder la llave ni puedes quitarla de ahí.
Para ello se establecen unas autoridades que certifican las identidades, como internet es descentralizado, no existe una única autoridad, lo que hacen los navegadores es incluir los certificados raiz de una lista muy selecta de autoridades de confianza ya que cualquier autorización firmada por ellos se da por válida.
Lo que hace Dell es incluir su propio certificado como autoridad lo que le permite indicar que lugares son de confianza o no y suplantar identidades, por ejemplo podría dar por bueno una web que suplantara a google.
En el supermercado hay taquillas donde dejar los bolsos y mochilas antes de entrar. Las taquillas tienen unas llaves que metes 1€ y te la puedes llevar y dejas tus cosas dentro y las recoges mas tarde y recoges el euro.
Ahora bien, un ladron ha conseguido sin que el supermercado se de cuenta cambiar los candados de las taquillas por los suyos propios, con unas llaves que aparentemente son seguras, pero que son genericas de los chinos y que existen todas las copias de esas llaves que quieras, en vez de las del supermercado que eran diseñadas para cada taquilla.
Con esto el ladron, o cualquiera que tenga una llave de los chinos puede abrir las taquillas de tal forma que puede ver y robar todo lo que pasen por ellas.
Con bienes materiales es bastante dificil de explicar, pero con bienes virtuales alguien podría copiar informacion sin que te des cuenta y acceder a tus contraseñas y datos sensibles en paginas supuestamente seguras (con el icono del candadito) pero que en realidad son paginas web falsas con un candado aparentemente seguro que es falso, diseñadas como las webs originales, pero que te roban los datos.
Insisto, no es una explicacion muy real con lo que exactamente se cuece con un root certificate, pero espero que la gente no entendida pueda hacerse mas o menos una idea.
en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/201
Que cada uno saque sus conclusiones.
Como dice el autor de uno de los post que hicieron que Dell tuviera que actuar, esto no tiene mucho sentido que sea con fines de espionaje gubernamental o de Dell, es una chapuza de Dell y muy gorda, porque incluir la clave privada para que todo el mundo pueda firmar con ella y hacer ataques MITM no tiene sentido:
twitter.com/hanno/status/669627280117866497
entre bastidores:
- "Manolo, mételes otro más a estos gilipollas, que asuman que aquí se hace lo que nos sale de los COOOJJJJJ..."
Y Dell que se meta en el culo esas herramientas tan inseguras que para notificarte de una actualización de BIOS o drivers comprometen la seguridad de tu PC.
Los certificados constan de dos "ficheros llave". El público que permite leer y verificar la validez de un sitio/documento/lo que sea. Y el privado, que permite añadir o acreditar (firmar) nuevos sitios que serán considerados como seguros.
La validación de estos certificados se realiza mediante entidades certificadoras (certificados root), que son sitios de refutada confianza a quienes se consulta si un certificado es o no válido, y por tanto seguro.
Dell incluye en sus equipos una entidad certificadora que no es tal, sino de su propia creación, de tal modo que tu equipo podrá dar por válidos aquellos sitios web que la entidad certificadora de Dell así lo confirme.
Pero hay más, porque Dell incluye no solo el certificado público, sino también el privado, con lo cual tu equipo Dell podrá añadir a la lista un sitio web como seguro cuando no lo es. Por ejemplo, podría hacer que una web falsa de tu banco fuese añadida como sitio seguro y confiable, y tú podrías acceder a ella pensando que es tu banco, cuando es una suplantación para conseguir tus datos de acceso (phising). Y este es el verdadero peligro y cagada por parte de Dell, al suponer un severo riesgo de seguridad en sus equipos.
Otra cosa es que me digas que un banco no haga todas esas pruebas de seguridad, pero ¿una oficina normal y corriente? Lo que menos va a pensar nadie es que escondidos entre el montón de certificados root haya un certificado malicioso firmado por la misma marca del equipo. El que lo ha encontrado, lo ha hecho por pura casualidad.
Edit: Ya veo gracias a #17 que la llave esta por ahí tambien. Genius.
www.xataka.com/makers/la-raspberry-pi-zero-es-un-alucinante-y-diminuto
www.meneame.net/story/raspberry-pi-zero-diminuto-minipc-5-dolares
Aunque si trabajas en una PYME española, las posibilidades de que se haga así son muy remotas, me temo