Brukere av pc-er fra Dell bør se om pc-en har DSDTestProvider-rotsertifikatet installert. I så fall bør det fjernes fra listen over klarerte rotsertifikater. Bildet viser sertifikatet i Windows 10 på en Dell Latitude fra 2014. (Bilde: digi.no)
Det bør brenne litt under føttene på de sikkerhetsansvarlige hos Dell for tiden. (Bilde: Wikimedia Commons. Montasje: digi.no)

Sertifikattrøbbel

Har funnet enda et farlig rotsertifikat fra Dell

Kan brukes til å avlytte kryptert webtrafikk.

<i>Saken er oppdatert med en kommentar fra Dell Norge</i>

For andre gang på få dager har det blitt oppdaget et svært risikabelt rotsertifikat på pc-er fra Dell. Det første, som digi.no omtalte i går, har fulgt med en rekke nyere pc-modeller. Det nye, som tilsynelatende er utgitt av en entitet som kalles for DSDTestProvider, finnes trolig på alle pc-er hvor Dell System Detect-programvaren er installert.

Det ser ut til å være Laptop Mag som først oppdaget at DSDTestProvider-sertifikatet også utså utgjør en stor risiko.

Privat nøkkel

I likhet med det tidligere omtalte eDellRoot-sertifikatet, inkluderer også DSDTestProvider-sertifikatet en privat nøkkel som gjør det mulig å utgi sikkerhetssertifikater som kan brukes av blant annet falske nettsteder til å overbevise nettlesere, og dermed også brukerne, om at det dreier seg om ekte vare.

Men de åpner også for avlytting av trafikken til de virkelige nettstedene.

– Dersom jeg hadde vært en blackhat-hacker, hadde jeg umiddelbart dratt til nærmeste storbyflyplassen og satt meg på utsiden loungene for internasjonal førsteklasse og avlyttet alles krypterte kommunikasjon. Jeg foreslår internasjonal førsteklasse, for dersom de har råd til 10 000 dollar for en billett, har de sannsynligvis noen godbiter på pc-ene sine som er verdt å hacke, skriver sikkerhetsbloggeren Robert Graham i et blogginnlegg.

Graham skrev riktignok dette om eDellRoot-sertifikatet, men DSDTestProvider-sertifikatet tilbyr etter alt å dømme de samme mulighetene. Videoen nedenfor viser hvordan man finner DSDTestProvider-sertifikatet.

 

 

Nesten alle nettlesere for Windows er berørt av disse problemene, siden de benytter det samme sertifikatregisteret, altså det som er inkludert i Windows. Unntaket er Firefox, som har sitt eget sett med sertifikater.

Slik kan de fjernes

Ingen av de to nevnte sertifikatene er kan slettes helt uten videre. Det vil si, man må gjerne forsøke, men på ulike måter kan de bli lagt til igjen.

eDellRoot-sertifikatet kan slettes skikkelig ved å bruke dette verktøyet, som Dell har gitt ut. Men DSDTestProvider-sertifikatet blir, som videoen over viser, reinstallert hver gang Dell System Detect-programvaren kjøres.

Avinstallering av denne programvaren vil nok kunne løse problemet. Men CERT ved Carnegie Mellon University anbefaler at man flytter sertifikatet fra mappen for klarerte rotsertikater til mappen for ikke-klarerte sertifikater i administrasjonsverktøyet for sertifikater i Windows. Dette verktøyet er enklest å finne ved å søke etter «certmgr.msc» på pc-en.

Dette skal forhindre at sertifikatet blir installert og klarert på nytt.

Oppdatering

Digi.no har kontaktet Dell for å få en kommentar til den nye utviklingen i saken. Kenneth de Brucq, Dells markedssjef i Norge, skriver det følgende i en e-post:

Da vi ble oppmerksomme på eDellRoot-saken tidligere denne uken, startet vi umiddelbart en gjennomgang av alle applikasjoner som kommer forhåndsinstallert med Dell-maskiner. Vi kan bekrefte at vi ikke har funnet noen andre rotsertifikater på de fabrikkinstallerte PC-ene. Det vi fant var at Dell System Detect-applikasjonen og dens DSDTestProvider-sertifikat hadde enkelte likhetstrekk med eDellRoot.

Dell System Detect fungerer slik at kunden selv laster ned programvaren for å få bedre interaksjon med Dell Support-siden, slik at vi kan tilby bedre og mer personlig support. Akkurat som med eDellRoot ble dette sertifikatet designet for å gjøre det raskere og enklere for våre kunder å få hjelp.

De eneste som er påvirket av denne saken er kunder som benyttet «detect product»-funksjonaliteten på våre support-sider mellom 20. oktober og 24. november 2015. Applikasjonen ble fjernet fra vår support-side umiddelbart, og en erstatning uten dette sertifikatet er nå gjort tilgjengelig. Vi distribuerer nå programvareoppdateringer proaktivt for å adressere denne saken, og har oppdatert instruksjonene på våre nettsider for å fjerne sertifikatet umiddelbart: http://www.dell.com/support/edellroot.

 

Til toppen