El año de las emisiones trucadas... esta vez electrónicas y al exterior del PC.

Pues yo no le veo el problema, debo ser el único.

#1 No termino de entender qué significan esos certificados root y qué problema hay en que en lugar de uno haya dos. ¿Alguien puede aclararlo? El artículo parece estar escrito para los que ya manejan esto.

Que me expliquen para qué quiere Dell esos certificados, ¿qué uso le iba a dar?.

#5 el principal problema es que en una máquina con ese certificado, cualquiera se puede interponer entre tu banco y tu (por poner un ejemplo) y no te saltaria ninguna alerta.

#7 Vaya. Gracias por la aclaración

Pues después de leer este artículo veo el mismo problema que antes, ninguno. No aclara ni explica nada más que meter miedo injustificado, nadie se queja de los certificados raíz que vienen con windows por ejemplo...

#5 Yo lo entendí bastante mejor con la noticia de Hispasec: unaaldia.hispasec.com/2015/11/portatiles-dell-con-certificado-raiz.htm

Viene siendo como si tú escondes la llave de tu casa debajo de la alfombra de la puerta, no pasa nada hasta que alguien se entera y lo hace público, lo peor es que tú no tienes otro sitio dónde esconder la llave ni puedes quitarla de ahí.

#9 Los certificados raíz que vienen con Windows están certificados por una empresa certificadora. Estos otros no...

#5 Las comunicaciones seguras no solo cifran los datos, se aseguran que las webs son quien dicen ser, eso se hace para evitar que nadie se haga pasar por otra web y por ejemplo se haga con tu contraseña.

Para ello se establecen unas autoridades que certifican las identidades, como internet es descentralizado, no existe una única autoridad, lo que hacen los navegadores es incluir los certificados raiz de una lista muy selecta de autoridades de confianza ya que cualquier autorización firmada por ellos se da por válida.

Lo que hace Dell es incluir su propio certificado como autoridad lo que le permite indicar que lugares son de confianza o no y suplantar identidades, por ejemplo podría dar por bueno una web que suplantara a google.

#7 y ofrecer drivers "firmados por dell"

#5 Explicacion muy muy sencilla y no del todo exacta para los menos entendidos:

En el supermercado hay taquillas donde dejar los bolsos y mochilas antes de entrar. Las taquillas tienen unas llaves que metes 1€ y te la puedes llevar y dejas tus cosas dentro y las recoges mas tarde y recoges el euro.

Ahora bien, un ladron ha conseguido sin que el supermercado se de cuenta cambiar los candados de las taquillas por los suyos propios, con unas llaves que aparentemente son seguras, pero que son genericas de los chinos y que existen todas las copias de esas llaves que quieras, en vez de las del supermercado que eran diseñadas para cada taquilla.

Con esto el ladron, o cualquiera que tenga una llave de los chinos puede abrir las taquillas de tal forma que puede ver y robar todo lo que pasen por ellas.

Con bienes materiales es bastante dificil de explicar, pero con bienes virtuales alguien podría copiar informacion sin que te des cuenta y acceder a tus contraseñas y datos sensibles en paginas supuestamente seguras (con el icono del candadito) pero que en realidad son paginas web falsas con un candado aparentemente seguro que es falso, diseñadas como las webs originales, pero que te roban los datos.


Insisto, no es una explicacion muy real con lo que exactamente se cuece con un root certificate, pero espero que la gente no entendida pueda hacerse mas o menos una idea.

Esto me recuerdo a aquel puto Superfish de Lenovo.

Comunicado oficial de Dell. Incluye el motivo por el que se incluyeron. Y las instrucciones para eliminar ambos certificados. Además de agradecimientos al descubridor de la vulnerabilidad.
en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/201

Que cada uno saque sus conclusiones.

#10 Ahí lo explica bien La llave más que escondida estaba a la vista pero había que fijarse, estaba en el almacén de certificados del sistema operativo, y constaba que la clave privada también estaba ahí.

Como dice el autor de uno de los post que hicieron que Dell tuviera que actuar, esto no tiene mucho sentido que sea con fines de espionaje gubernamental o de Dell, es una chapuza de Dell y muy gorda, porque incluir la clave privada para que todo el mundo pueda firmar con ella y hacer ataques MITM no tiene sentido:

twitter.com/hanno/status/669627280117866497

- "Lo sentimos, nos hemos equivocado, no volverá a suceder"

entre bastidores:

- "Manolo, mételes otro más a estos gilipollas, que asuman que aquí se hace lo que nos sale de los COOOJJJJJ..."

Que un particular no coja y formatee el PC Dell, lenovo, hp se cargue toda la mierda de fábrica y haga una instalación limpia es perdonable, pero que una empresa no lo haga y no tenga preparada una imagen segura testeada donde ejecutar sus aplicaciones que requieran máxima seguridad, eso si es motivo de despido.
Y Dell que se meta en el culo esas herramientas tan inseguras que para notificarte de una actualización de BIOS o drivers comprometen la seguridad de tu PC.

#5 Los certificados sirven para, entre otras cosas, validar que un sitio web es realmente quien dice ser. Si esta validación no se produce, el sitio web se considera "no seguro" o "no confiable" y por tanto no recomendable para operaciones delicadas. Por ejemplo, la web de tu banco, y todos los sitios de tipo https://...

Los certificados constan de dos "ficheros llave". El público que permite leer y verificar la validez de un sitio/documento/lo que sea. Y el privado, que permite añadir o acreditar (firmar) nuevos sitios que serán considerados como seguros.

La validación de estos certificados se realiza mediante entidades certificadoras (certificados root), que son sitios de refutada confianza a quienes se consulta si un certificado es o no válido, y por tanto seguro.

Dell incluye en sus equipos una entidad certificadora que no es tal, sino de su propia creación, de tal modo que tu equipo podrá dar por válidos aquellos sitios web que la entidad certificadora de Dell así lo confirme.

Pero hay más, porque Dell incluye no solo el certificado público, sino también el privado, con lo cual tu equipo Dell podrá añadir a la lista un sitio web como seguro cuando no lo es. Por ejemplo, podría hacer que una web falsa de tu banco fuese añadida como sitio seguro y confiable, y tú podrías acceder a ella pensando que es tu banco, cuando es una suplantación para conseguir tus datos de acceso (phising). Y este es el verdadero peligro y cagada por parte de Dell, al suponer un severo riesgo de seguridad en sus equipos.

Sí, es mucho más grande de lo que se pensaba, por concretar un poco es justo el doble de lo que se pensaba.

jiijij que bien...os escribo desde un XPS de esos

#22 sí, sí, verás tú qué risas

No acaban ahí las risas. Si te compas un dell de esos podrás firmar programas y crear sitios que los demás dell tragarán sin rechistar, parece que la clave privada viene en el equipo...

#23 he leido que si me votas positivo en el botoncito verde puedes controlar mi ratón ¿es sierto esa hinformasion?

#25 ¿Y si no quiero controlar tu ratón tengo que pulsar en el rojo?

Es que cuando uno se compra un portátil es para instalarle Linux nada más sacarlo de la caja

Si Lenovo la cagó, estos ya se salieron del tiesto... No solo crean certificados root y se toman la libertad de incluirlos, sino que regalan la clave privada a todo atacante que desee atacar un poquito a los cientos de miles de equipos Dell que hay distribuidos por el mundo...

#19 Mucha seguridad quieres tu conseguir basado en hadware y software privado. Para empezar ni siquiera sabe nadie al 100% si el sistema que uses no tiene alguna puerta trasera. Ni que la tenga la BIOS, el procesador, etc. En modo paranoico, deberías meter tu Dell en una caverna sin electricidad ni internet (y ponerte un gorrito de papel de plata ) y ya sería la máxima seguridad.

Otra cosa es que me digas que un banco no haga todas esas pruebas de seguridad, pero ¿una oficina normal y corriente? Lo que menos va a pensar nadie es que escondidos entre el montón de certificados root haya un certificado malicioso firmado por la misma marca del equipo. El que lo ha encontrado, lo ha hecho por pura casualidad.

#7 cualquiera que conozca la clave privada de ese certificado root. Lo que no veo en ningún sitio es que esta clave privada esté disponible.

Edit: Ya veo gracias a #17 que la llave esta por ahí tambien. Genius.

Con estas políticas empresariales va terminar volviéndo a salir a cuenta montarse nuestros PCs con piezas sueltas y distribuciones GNU/LINUX.
_{www.xataka.com/makers/la-raspberry-pi-zero-es-un-alucinante-y-diminuto
www.meneame.net/story/raspberry-pi-zero-diminuto-minipc-5-dolares}

#2 No deberiais de tener problemas: si el responsable de IT de tu empresa está haciendo las cosas bien, lo normal es siempre sustituir el SO del fabricante con una plataforma propia con las aplicaciones de la empresa y los últimos parches de seguridad.

Aunque si trabajas en una PYME española, las posibilidades de que se haga así son muy remotas, me temo

#33

Windows defender ya detecta esos certificados como software potencialmente peligroso y te los elimina (te ofrece eliminarlos).

#9 El problema no es tanto que instalen certificados raiz, es que tambien estan las claves privadas de esos certificados raiz... asi que cualquiera podria usarlas y hacerse pasar por una web de ese certificado raiz.