Dell hat eingeräumt, Computer mit einem selbst signierten Root-Zertifikat auszuliefern. Es stellt nach Angaben des Unternehmens, das damit Berichte mehrerer Blogger bestätigt, ein „unbeabsichtigtes Sicherheitsleck“ dar. Großkunden, die eigene System-Images einspielten, seien nicht betroffen. Dell habe außerdem weder Adware noch Malware vorinstalliert.
Ein selbst signiertes Root-Zertifikat könnte Dell beispielsweise benutzen, um mit HTTPS verschlüsselten Traffic zu entschlüsseln. Zu diesem Zweck hatte Lenovo bis Anfang des Jahres einige seiner Produkte mit einem solchen Zertifikat ausgestattet, allerdings im Zusammenspiel mit einer Adware namens Superfish Visual Discovery, die Inserate in Websites einschmuggelte.
„Sicherheit und Privatsphäre unserer Kunden hat bei Dell Priorität“, sagte eine Sprecherin des Computerherstellers. „Wir entfernen das Zertifikat ab sofort von allen Dell Systemen.“
Einer Analyse des deutschen Bloggers Hanno Böck zufolge hat Dell sein Root-Zertifikat mit dem Namen „eDellRoot“ dem Certificate Store seiner Systeme hinzugefügt. Es werde durch die Software Dell Foundation Services installiert, die Dell weiterhin auf seiner Website zum Download anbiete. Dells Beschreibung zufolge liefert die Software Funktionen für den Kundensupport.
„Jeder Angreifer kann das Root-Zertifikat benutzen, um gültige Zertifikate für beliebige Websites zu erstellen“, erläutert Böck. „Selbst HTTP Public Key Pinning (HPKP) schützt nicht vor solchen Angriffen, weil Browseranbieter lokal installierte Zertifikate erlauben, um den Key-Pinning-Schutz zu überschreiben. Das ist ein Kompromiss bei der Implementierung, der den Betrieb sogenannter TLS-Abfang-Proxies erlaubt.“
Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Ähnlich kritisch äußerte sich der Citrix-Mitarbeiter Joe Nord in seinem Blog. Das eDellRoot-Zertifikat sei bis 2039 gültig und für „alle Zwecke“ zugelassen. Es sei damit „mächtiger“ als ein ebenfalls installiertes legitimes Root-Zertifikat von DigiCert. Zudem befinde sich auf den Dell-Rechnern auch noch ein „privater Schlüssel, der zu dem Zertifikat gehört“. „Der Computer eines Endnutzers sollte niemals einen privaten Schlüssel haben, der zu einem Root-Zertifikat passt. Nur der Computer, der das Zertifikat ausgestellt hat, sollte einen privaten Schlüssel haben – und sehr gut geschützt sein.“
Zusammen mit dem Nutzer Kevin Hicks konnte Nord zudem bestätigen, dass Dell für jeden mit dem Root-Zertifikat ausgestatteten Computer denselben privaten Schlüssel vergeben hat, der sich Hicks zufolge mit öffentlich verfügbaren Tools auslesen lässt. „Jeder, der den privaten Schlüssel auf meinem Computer kennt, kann Zertifikate für jede Website und für jeden Zweck ausstellen und der Computer wird automatisch und fälschlicherweise annehmen, dass das ausgestellte Zertifikat gültig ist“, so Nord weiter.
[Update 12.21 Uhr]
Dell zu den Vorwürfen folgende Stellungnahme veröffentlicht: “Das vorinstallierte Root-Zertifikat dient eigentlich nur dazu, Kunden besseren, schnelleren und einfacheren Support zu liefern. Unglücklicherweise führt es jedoch zu einer ungewollten Sicherheitslücke. Um das Problem zu adressieren, bieten wir unseren Kunden Anleitungen (eDellRootCertRemovalInstructions.docx), wie sie das Zertifikat dauerhaft von ihrem System entfernen können. Diese erhalten sie entweder direkt per E-Mail, über die zugehörige Support-Seite oder über den Technischen Support. Darüber hinaus werden wir das Root-Zertifikat auch von allen künftig ausgelieferten PCs entfernen. Wurde das Zertifikat einmal ordnungsgemäß von einem Rechner gelöscht, wird es sich auch nicht von selbst erneut installieren.”
[Update 12.34 Uhr]
Inzwischen gibt es für das von Dell ausgegebene Root-Zertifikat eine offizielle Vulnerability-Note (87061) des Computer Emergency Response Team (CERT) an der Carnegie Mellon University.
[mit Material von Asha Barbaschow, ZDNet.com]
Neueste Kommentare
1 Kommentar zu Superfish 2.0: Dell liefert Computer mit vorinstalliertem Root-Zertifikat aus
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Das mit dem „Superfish 2.0“ dürfte wohl der größte Blödsinn sein, der seit langem berichtet wurde. Superfish unterbricht ALLE legitimen SSL-Verbindungen, überwacht die Benutzeraktivität und lädt diese an einen Internetserver hoch.
NICHTS von alledem wird von DELL gemacht oder kann mit dem selbst signierten root-Zertifikat gemacht werden.
Nichtsdestotrotz ist das, was DELL da gemacht hat falsch.