El fabricante de equipos portátiles Dell ha tenido una semana bastante agitada en materias de seguridad, en un caso muy parecido a lo sucedido con Lenovo, que preinstalaba programas maliciosos en sus equipos, ahora Dell se trae entre manos algo muy gordo. Se trata del certificado eDellRoot, debido a un problema de seguridad cualquier persona podría crear sitios web fraudulentos de apariencia totalmente parecida a los originales, inclusive espiar datos donde el certificado se encuentre instalado. Como si fuera poco, la firma Duo Security encontró otro certificado no tan peligroso, pero que pone en tela de juicio la seguridad de los equipos.
La firma Dell lleva vendiendo los equipos con este problema desde agosto, dentro viene preinstalado un certificado digital root que cuenta con las facultades de espiar el tráfico de cualquier sitio web seguro. El certificado tiene un rango de certificado de autoridad y viene con una clave privada, lo que hace la situación mucho más compleja, señalan los expertos en seguridad. Dicha clave está disponible públicamente y cualquier persona está al alcance de generar un certificado para cualquier sitio seguro en el que los navegadores confíen, por ejemplo Internet Explorer o Google Chrome, que utilizan el almacén de certificados de Windows en los equipos afectados con el problema. El certificado es instalado automáticamente por una aplicación que despliega un conjunto de funciones de soporte llamada Dell Foundation Services.
Los expertos en seguridad por su parte, ya se pusieron a crear certificados para intentar hacer pasar un sitio fraudulento como legítimo, y los resultados fueron satisfactorios para los sitios de Google y Bank of America. En otras palabras, cualquier persona con conocimientos podría crear sus certificados digitales para hacer sitios web fraudulentos iguales a los originales.
Dell explicó en un anuncio que lo que pretendía incluyendo eDellRoot era mejorar el servicio al consumidor en línea. “Cuando un equipo se relaciona con la asistencia en línea de Dell, el certificado proporciona la etiqueta de servicio del sistema que permite el apoyo en línea de la empresa para identificar de inmediato el modelo del equipo, los conductores, sistema operativo, disco duro, etc. De esta manera, el servicio es más fácil y rápido”, explicaba la firma.
El otro certificado más débil pero igual de peligroso se estaba haciendo más complicado, según la empresa Duo Security, en un comunicado expresaba que las consecuencias de este error de Dell se estaban ampliando.
Más investigadores y firmas de seguridad daban su opinión al respecto de este fallo de seguridad: “Si fuese a utilizar de forma maliciosa este root iría inmediatamente al aeropuerto más cercano y espiaría las comunicaciones cifradas de los pasajeros de primera clase. Si pueden pagar miles de dólares por un boleto de avión, algo interesante tendrán en sus equipos”, comentaba Robert Graham, CEO de Errata Security.
Dell no pudo esperar más y se pusieron a trabajar en una actualización de carácter crítico que saldrá en los próximos días, pero antes de que se pusieran a pensar en cómo iban a solucionar el tema, aparecía otro problema, se descubría otro nuevo root que afectaba a sus equipos.
La nueva amenaza que aquejaba la seguridad de los equipos era un certificado inseguro llamado DSDTestProvider, se instala mediante la aplicación Dell System Detect, esta herramienta es instalada cuando los usuarios ingresan al sitio web de soporte de Dell y hacen click en “Detect Product” (Detectar Producto), botón que ayuda al usuario a identificar el modelo de su equipo en caso que no lo sepa a la hora de descargar alguna utilidad o driver.
Tanto eDellRoot como DSDTestProvider están instalados en el almacén root de Windows para generar certificaciones de autorización conjuntamente con claves privadas. Los certificados peligrosos pueden ser utilizados para generar ficheros de malware que pueden servir para saltarse ciertas restricciones de seguridad.
Un investigador de seguridad ya había hecho un descubrimiento hace un tiempo, e involucra otra vez a la herramienta Dell System Detect que tuvo una vulnerabilidad, la cual permitía a los atacantes acceder de forma remota e instalar malware en un equipo que estuviera trabajando con la aplicación Dell System Detect.
Haciendo un orden cronológico de la evolución de la amenaza, se pudo saber a fines de esta semana que los usuarios de laptops Dell basados en Windows, así como equipos de mesa, tablets y otros dispositivos que fueran sido comprados antes de agosto de 2015, deberán comprobar si sus sistemas tienen el certificado eDellRoot.
Al parecer si los equipos anteriores a agosto de 2015 tienen la opción para recibir actualizaciones automáticas por parte de Dell Foundation Services, podrían tener instalados los certificados en cuestión. Se encontró este problema en una Dell Venue 11 con Windows convertible en Tablet, que fue comprada en abril de 2015.
“Para los usuarios que utilizan Dell Foundation Services y optaron por realizar actualizaciones, informarles que el certificado eDellRoot formaba parte de las versiones 2.2/2.3 que se iniciaron en agosto”, explicaba un portavoz de la firma.
Por su parte, Dell ha publicado en su sitio web una serie de pasos y herramientas para aquellos que tengan los certificados alojados en su equipo y quieran quitarlos cuanto antes. Si estás dentro de los afectados, te interesará leer este artículo:
http://www.dell.com/support/article/hn/es/hndhs1/SLN300321/es