Dell compromette la sicurezza dei suoi stessi portatili

A causa di un certificato di sicurezza rilasciato con troppa disinvoltura, alcuni modelli di notebook Dell sono aperti a malware e al rischio di attacchi man in the middle.

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Ieri il ricercatore di sicurezza Joe Nord ha rilevato la presenza di un certificato di root auto firmato su dei notebook Dell. Questo certificato, chiamato eDellRoot, è valido fino al 2039, contiene al suo interno la chiave privata della criptazione ed è dichiarato valido per "tutti" gli utilizzi.

"Sono rimasto molto sorpreso" – ha dichiarato Nord – "nel trovare un tale certificato di sicurezza nel mio Dell appena comprato e non sono proprio riuscito a capire perché dovrebbe trovarsi lì".

mmc
La lista dei certificati presenti nel computer è sempre molto istruttiva, ma in un PC nuovo non ci si aspetta cose come questa.

Ma il meglio doveva ancora venire. Aprendo il certificato, si scopre che sul computer è presente la sua chiave privata, abilitandolo a creare certificati validi per i peggiori scopi (oltre che per quelli leciti).

Sfruttando quel certificato, chiunque può generare certificati di sicurezza validi per qualsiasi sito e qualsiasi applicazione, eludendo tutti i controlli di sicurezza del sistema e dei principali browser (Firefox a parte, che usa solo i propri certificati per valutare la legittimità dei siti a cui si connette).

certgeneral
Un errore molto grave, secondo gli esperti di sicurezza, quello di includere su di un PC un certificato di root autofirmato...

Dell ha riconosciuto il problema e si è scusata pubblicamente per l'accaduto, dichiarando che tutto è stato fatto con le migliori intenzioni anche se il risultato finale è stato tremendo.

"Quel certificato" – si legge in una nota della società – "non fa parte di un malware o di un adware. È un componente usato per comunicare il modello del computer al servizio di assistenza online, in modo da rendere più agevole il servizio per i clienti. Il certificato non raccoglie dati personali e non si reinstalla una volta rimosso seguendo la procedura da noi consigliata".

Per sapere se il computer che state usando contiene il certificato in questione, basta collegarsi a questo sito. Se si apre senza errori, avete un problema.

Per risolverlo, basta scaricare dal sito di Dell questo programmino che si occuperà di rimuovere il certificato per voi.

Ma come può una falla di questa gravità passare inosservata ai controlli che Dell dice di operare prima di autorizzare l'installazione di un programma sulle proprie macchine?

"In realtà," – dice David Jacoby, Security Evangelist di Kaspersky Lab a cui abbiamo chiesto un parere – "se qualcuno implementa una funzione per un motivo e qualcun altro la sfrutta, anche in modo malevolo, per altro può passare molto tempo prima che qualcuno se ne accorga."

"È prassi" – continua – "evitare di usare certificati di Root autofirmati, soprattutto fuori da ambiti controllati, perché sono molto pericolosi. Ma non è solo colpa di Dell.  Questa non è una vulnerabilità di sicurezza, ma un errore nella logica con cui si devono fare le cose e sono problemi che accadono di continuo."

"Si parla sempre" – conclude – "di vulnerabilità zero-day, bug e attacchi ad alta tecnologia, ma troppo spesso ci si dimentica delle basi della sicurezza, che pongono minacce altrettanto gravi."

Aggiornamento:

Di avviso simile è Ralf Benzmueller, direttore dei G DATA Security Labs: "Questa falla ricorda molto da vicino quella del caso Lenovo Superfish, in cui il produttore cinese di computer aveva usato un certificato simile per inserire pubblicità nei browser degli utenti (anche se le finalità di Dell sono molto diverse e non hanno niente a che vedere con pratiche di questo tipo - ndR), e da allora è chiaro che non è una buona idea installare certificati root sui computer degli utenti."

"Scovare questa falla non è difficile" - continua la nota di Benzmueller - " ma nessuno controlla i certificati nelle loro procedure standard, neanche gli antivirus. Gli antivirus, però, contrellerebbero l'operato di eventuale malware che andasse a usare tale certificato e lo identificherebbe anche se è firmato."