Proponha uma correção, faça uma sugestão
Computadores Dell com graves problemas de segurança
O passado recente mostrou que as marcas de hardware procuram solucionar os seus problemas com artifícios rápidos e que nem sempre são dos mais seguros.
A mais recente marca a ser envolvida num problema de segurança grave com os seus computadores é a Dell, que tem presente um certificado suspeito.
Depois de termos visto a Lenovo e o seu Superfish surgirem como uma grave falha de segurança, é agora a vez da Dell surgir com uma situação similar que está a afectar os seus novos portáteis.
Um utilizador que adquiriu recentemente um portátil Dell descobriu, durante um processo de despiste de problemas, um certificado estranho, de nome eDellRoot, emitido pela própria Dell.
Depois deste utilizador ter feito esta descoberta outros surgiram com o mesmo nas suas máquinas, revelando que esta é uma prática comum desta marca.
Este certificado, que é auto-assinado, é idêntico em todas as máquinas onde foi descoberto e permite várias situações que podem colocar os utilizadores em situações de falta de segurança.
A Dell foi informada do problema assim que o mesmo foi descoberto, mas a marca apressou-se a retirar qualquer importância a este problema.
@DellCares This is a MAJOR security concern, especially because your customers all have the exact same CA on their machines. (1)
— Kevin Hicks (@rotorcowboy) 22 novembro 2015
A presença deste certificado por levantar problemas graves de segurança caso a chave privada seja obtida, o que não é nada de muito difícil de conseguir.
Facilmente qualquer um pode criar uma ferramenta com um certificado que será usado para dar alguma (falsa) garantia de segurança aos utilizadores, podendo depois ser usado para roubar dados destes.
Por ser um certificado reconhecido no sistema este é imediatamente aceite e caem por terra todas as garantias de segurança que poderiam estar presentes.
Depois deste problema vir a público e tomar dimensões avultadas, a Dell resolveu remover esse certificado de todas as suas máquinas futuras, deixando de o enviar, e irá em breve dar instruções precisas aos utilizadores para explicar como devem remover esse certificado das suas máquinas.
Este é mais um grave problema de segurança que está a afectar a industria e que não se sabe quais as dimensões que poderá ter. Mesmo que indiquem a forma de remover o certificado de Raiz o mais provável é que este se mantenha presente em muitos milhares de máquinas.
Os exemplos recentes deveriam ter servido de exemplo para os restantes, mas aparentemente as marcas preferem usar os seus mecanismos para resolverem os seus problemas, mesmo sabendo que isso deixa os utilizadores vulneráveis.
Este artigo tem mais de um ano
Loading ...
“A presença deste certificado por levantar problemas graves de segurança caso a chave privada seja obtida, o que não é nada de muito difícil de conseguir.”
Ai meu Deus…
Alguém explique ao autor o que é chave pública / chave privada? Ou então como é que se faz? Ganhava o prémio Nobel!
Neste caso, não tem nada a ver com o Superfish! Em todos os Mac’s, exemplo, também temos um CA da Apple, por exemplo, assim como no Windows, aposto que vem com um CA da Microsoft!
Não sei porque razão é que um utilizador não vai confiar num certificado CA da Dell, e pode confiar em entidades tipo GlobalSign, DigiCert, Cisco, Symantec, etc… são tudo empresas…
“Não sei porque razão é que um utilizador não vai confiar num certificado CA da Dell, e pode confiar em entidades tipo GlobalSign, DigiCert, Cisco, Symantec, etc… são tudo empresas…”
Simples, porque os certificados dessas CA’s não estão disponíveis da mesma forma que o da Dell, que pode ser usado para assinar outros e que depois podem ser usados para criar sites que são verificados de forma errada.
É o mesmo tal e qual que o Superfish, com as devidas diferenças!
Hoje em dia chegámos a um ponto em que está tudo ávido à caça de informação. Sobretudo o tratamento dessa informação é poder, é quase uma forma de futurologia. Estamos a assistir a um autêntico concurso para descobrir quem tem mais capacidade e engenho para inventar formas subtis de sacar informação aos utilizadores, quem consegue recolher mais dados pessoais. O caso Snowden já havia abalado qualquer confiança que restasse em tecnológicas, sobretudo dos USA, mas a saga continua e não acaba aqui. Bom, isto está a extravasar de sobremaneira os limites do respeito pelos direitos fundamentais do ser humano.
O problema são aqueles que nem sequer se dignam erguer por si próprios e fazer respeitar os seus direitos fundamentais do ser humano, como é o direito à privacidade. Tudo em troca de conveniência. Afirmam “Podem espiar-me à vontade porque não tenho nada a esconder, não sou importante o suificiente para que me espiem”. Até já se começa a papaguear por aí que os atentados ocorrem porque as comunicações são encriptadas, enfim. Isto é abrir um precedente muitíssimo perigoso. Não vale tudo. As tecnológicas podem passar a vida a inventar as mais diversas formas de explorar a privacidade das pessoas, mas as pessoas não têm o direito de recorrer a tecnologias de protecção da informação pessoal? Passam automaticamente a ser terroristas? E estas tecnológicas são o quê então?
As pessoas até podem achar que não têm nada a esconder, mas se estas tecnológicas todas achassem que a nossa informação não é nada de realmente valioso, não se davam ao trabalho de a obter não é… E como já deu para perceber, estas empresas como a Dell são capazes de ir muito longe, arriscando até a sua própria reputação perante os consumidores, até ao dia em que são apanhadas, para prosseguir estas práticas de espionagem. Vejam lá onde isto já vai.
Epá, Claro que ninguém vai espiar ao pormenor as fotos das férias ou os trabalhos de casa de um utilizador em particular, o que lhes interessa é o big data, a análise holística da informação, quase como que criando um perfil da “consciência colectiva” da população para os interesses mais ou menos legítimos, mas que de qualquer forma estão fora do nosso alcance. Por isso é que é importantíssimo tomar controlo de volta sobre que informação é que queremos partilhar e não deixar isso ao critério dos governos e companhias.
Aqui fica o meu alerta aos assíduos leitores do Pplware, blog noticioso que muito estimo, tomem atenção ao que se anda a passar pois estão em causa liberdades fundamentais pelos quais os nossos familiares, os nossos antepassados lutaram e deram a vida. Isto não se resume a teorias da conspiração, isto é a realidade pela qual estamos a passar e que só irá piorar caso ninguém se oponha. Eu cá pessoalmente nunca mais darei um tostão que seja a qualquer produto da Lenovo e agora da Dell. Informem-se, pesquisem, premeiem e incentivem as empresas que têm respeito pelo consumidor.
Para quem quer garantir segurança e privacidade, a solução passará inevitavelmente por GNU/LInux e software livre. Claro que não vou ser hipócrita ao ponto de dizer que é a uma solução perfeita nem que está à altura das alternativas comerciais em certos aspectos, mas meus caros, isto é como uma alimentação equilibrada… quem quer manter a linha tem de fazer sacrifícios. Sacrificar tudo em nome da conveniência e satisfação momentânea é basicamente abdicar de qualquer poder sobre o que é nosso.
Eu não conseguia escrever melhor!
Parabéns pela consciencialização e pela forma brilhante como foi explanada.
Olá, Eterno.
Faço de suas, as minhas palavras.
Li, compreendo e apoia a sua visão filosófica, além é claro, de compreender o momento que este mundo vive em relação a privacidade online.
Existe um livro muito bom que foi escrito por nada menos que Julian Assange – já dentro da baixada equatoriana na Inglaterra – e mais três de seus colegas que aborda esse tema com bastante clareza. Recomendo a leitura
DELL?! …E(VIL) COPR… (Mr. Robot)
Agora Fora de brincadeiras, cada vez mais iremos assistir a situações deste género por parte das empresas.
As empresas com a DELL, HP, LENOVO, Etc. Estão a tornar-se cada vez mais cloud based e nos consumidores estamos a deixar de nos tornar os clientes e passamos a tornar-nos o producto.
Já verificamos isso com a Microsoft e o “privacy concern” do Windows 10 onde eles de leve animo colocaram um key logger nativo no SO.
Lumber-se que não existe a cloud somente o computador de outro alguém! 😀
https://www.google.pt/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwj61daS0qjJAhUBPxQKHZTYAHQQjRwIBw&url=http%3A%2F%2Fforum.theppk.com%2Fviewtopic.php%3Ff%3D8%26t%3D33942&psig=AFQjCNG7ifLg8Cb6XNgWPbhVAiTucSel0Q&ust=1448440073879179
agora todos: quando se compra um portátil ou computador, arranja-se uma iso limpinha e instala-se o so sem porcarias.
Isso é possível com a licença dos windows?
A chave que vem na máquina não é a chave que ele pede quando instalar uma ISO…
Para além de existir um numero limite de “activações” que podes fazer como uma chave…
Alguém me pode esclarecer esta situação?
PS: Isto sem recorrer a “pirataria”.
Epa, podem mandar vir um para mim, eu nao me importo 🙂 Se formos a ver quase todas as marcas têm X ou Y, e se isso é um problema, é só formatar o SSD/HDD, sacar uma ISO da Microsoft e instalar do zero sem estes certificados. Venha ele…
Lenovo, agora dell, qual é o próximo da lista…?
Tinha em muita boa conta as maquinas dell, pelos vistos devia repensar…
é o que dá o mercado estar dependente dos chineses e americanos…
Vão impondo o que querem…
não te esqueças dos alemães… e da fidelíssima volkswagen…
A Volkswagen não tinha problemas de segurança, tinha era software bem avançado que enganou o pessoal durante todo este tempo.
Bem avancado ahah, eram trafulhas ou vais dizer que o socrates tb era demasiado avancado para o nosso pais?
Não é bem avançado, ninguém previa era que os alemães tão “perfeitos e correctos” fizessem tal coisa, em teoria depois de há 70 anos era de pensar que não se metessem em escândalos, mas como dá para ver continuam capazes de (quase) tudo.
Eu tenho um carro afectado, falei com a VW + VW alemã e eles disseram que vão rever o software, mas que pode ser que em certas situações perca potência face ao comprado, e que mesmo nessa situação, não me vai recompensar de nada, mesmo que o motor de 140 CV passe por exemplo a 130 CV. Categoria …
E o motor dum amigo (1.4 TSI) partiu uma peça do motor mais que conhecida por defeito de fabrico, e a marca não assume a responsabilidade por já ter passado 1 mês da garantia (arranjo ~2500€). E diz o vendedor que os que se queixam na garantia, ainda assim a VW apesar de saber do defeito de fabrico, obriga a dividir os custos. Muito bom …
para 130v não passas, perdes é binário ;-).
o grupo vw é perito nessas coisas.
Mais um para a lista negra.
Venha o próximo.
A pensar assim daqui a nada não tens nenhuma marca para comprar!
Yahh o meu tem isso do “eDellRoot”… esperemos que depois coloquem as instruções de como o retirar de uma forma fácil!
Eu por norma faço um backup da partição de restauro, formato o ssd todo e instalo o Windows 100% Microsoft.
PS (aos entendidos): apesar de fazer backup da partição de restauro com o Windows (via Windows), formatei o ssd, tentei restaurar via UEFI, e a UEFI não me reconhecia o backup.
Alguém sabe como fazer um backup 100% igual do SSD como comprado, que caso eu o apague todo (mesmo todo), a partir da UEFI/Pen arranque, volte a colocar o SSD 100% como era na altura da compra? (Isso seria também interessante caso eu comprasse um SSD novo e depois pudesse na venda do PC colocar o ssd como quando o comprei)
Acronis True Image.
Também já tentei mas não consegui arrancar, a UEFI diz que não reconhece o sistema de arranque do CD/PEN …
Um amigo diz que tentou num sistema 32-bit, arrancou a PEN ou lá o que utilizou, mas depois o sistema restaurado não reiniciava, dava corrupto ou algo assim.
No painel de controlo (ANTES DE APAGAR O DISCO OU FAZER UPDATES!) tens lá a opção de criar um media de recuperação.
http://windows.microsoft.com/pt-PT/windows-8/create-usb-recovery-drive
Depois é só usar a pen quando o quiseres meter novo com bloatware incluído.
Vamos la a ter calma, os certificados não possuem chaves privadas…. Não há aqui nenhuma falha de segurança!
Sendo esse certificado igual em todas as maquinas e estando presente nessas mesmas máquinas é simples a alguém ter acesso a ele usá-lo para criar outros que podem ser usados para criar sites falsos que depois são aceites como válidos.
O próprio fulano que descobriu o problema criou um site que faz isso mesmo. Se isso não é um problema de segurança…
Fazendo clean install resolve?
Nada resolve, nao compres Dell e foge de windows. Macbook pro retina n da problemas é bem melhor..se nao compra o air 13
lol que recomendação mais retardada. sabes lá quais são os requisitos dele
se precisar de algo portatil tem o air, algo produtivo pro retina..jogar? playstation 4 serve. WindowsVirus nunca
Eu sei que raramente usas o teu cérebro, mas pelo menos poderia passar por este a hipótese de ele ter software que apenas corre no Windows. Lá por o Mac servir os teus requisitos e gostos não significa que isto se aplique a todas as pessoas.
NSA Back Door ?
Anota o seriall, que pode ser lido com ferramenta específica no caso do Windows 10, e reinstala a partir de uma ISO que não seja da própria Dell. Daí você se livra dos problemas da Dell e fica só com os da MS, por enquanto. 😉
Wallpaper do OS X? hmmm……
Repara que a apple tornou-se tão mas tão famosa que agora torna-se o seguinte…
Muitos telemóveis são lançados na mesma posição que lançaram os iphones;
Wallpapers da apple no lançamento dos seus produtos;
Skins parecidas ao do IOS;
Maneira como colocam na demonstração do equipamentos, ainda há pouco vi aqui no pplware um produto a ser lançado e a posição de tal produto é exactamente igual ao que o ipad está…;
etc, etc etc… o melhor marketing é quando os outros fazem por nós #:
Fix via majorgeeks.com
http://www.majorgeeks.com/files/details/edellroot_certificate_fix.html
É o problema do bloatware é o consumidor querer os computadores baratinhos. Por exemplo, porque é que o computador saí mais barato ao fabricante se vier com windows em vez de linux ou bsd ou outro sistema?
Porque o antivírus 30 dias, o Office trial, o ‘colocar nome de bloatware’ pagam ao OEM para a tralha vir de fábrica, se o consumidor final comparar o produto ainda recebem mais um troquinho.
Quanto a este tipo de situação acho que outras marcas estarão a fazer o mesmo porém ainda não foram descobertos. A velha história, se é grátis o produto és tu,
Nem todos os Dell tem esse problema, testei com o programa acima diz que não detectou, tenho um Vostro 3360, linha profissional.
Para toda a gente que está a dizer que não tem mal porque é só a chave publica.
Não é. Este certificado INCLUI a chave PRIVADA. Está marcada como “non-exportable” mas isso é fácil de contornar. (ver https://www.reddit.com/r/technology/comments/3twmfv/dell_ships_laptops_with_rogue_root_ca_exactly/ )
Estão portanto em discussão 2 factos:
1. A Dell installar certificados de root sem necessidade.
– Este ponto pode ser discutído: depende do quanto se confiar nas competências da Dell para guardarem as suas chaves privadas e nas suas boas intenções.
2. O certificado de Root incluir a chave privada que pode ser facilmente obtida.
Neste ponto não há discussão possível: é uma falha de segurança inacreditável.
Sendo que este ponto destrói o 1 porque a incompetência da Dell fica demonstrada.
Meu Windows defender hoje: http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Program%3aWin32%2fCompromisedCert.D&threatid=224188&enterprise=0