DellのPCに不審なルート証明書がプリインストールされていた? 36
ストーリー by hylom
今度はDELLですか 部門より
今度はDELLですか 部門より
あるAnonymous Coward 曰く、
DellのPCに不審なルート証明書がインストールされていたという話が出ている。秘密鍵もセットでインストールされているようで、多数のユーザーが同一のルート証明書と秘密鍵を所有しているという事態になっているようだ(ITmedia)。
この証明書を悪用することでHTTPSによる暗号化通信が第三者に傍受される可能性もある。先日、Lenovoが中間者攻撃的な挙動をするアドウェアをプリインストールしていたことが明らかにという話題があったが、これと同種の問題があるのではないかと指摘されている。
Microsoft が Common Name を限定したルート証明書に対応すべき (スコア:3)
当然ながら、SSL/TLS の ルート認証局(以下ルートCA)であれば、自身の証明書の秘密鍵を所持しており、内部の秘密鍵にアクセスできる人物が不正行為を行うことが可能です。
勿論、ルートCAは秘密鍵の漏えいを防ぐために多額の資金を費やしており、秘密鍵にアクセスできる人物を最小限にしていますが、大手ルートCAであっても、過去に秘密鍵を漏らしてしまったり不正な証明書を発行してしまったりしたところも存在します。
他社(ルートCA)が秘密鍵を漏らしてしまったことが原因で、アップデータが改ざんされてマルウェアがインストールされてしまったら困るという理由で、既存のルートCAを信頼せずに自社で自社専用の認証局を開設して独自のルート証明書をインストールするというのは、思想としては悪くはないと思います。プレインストールというインターネットを経由しない安全な経路でインストールできているのですから、所謂「オレオレ証明書」とは違います。
ただ、Windows の証明書ストア(やそれを利用している IE や Chrome)では、Common Name を限定したルート証明書というのを保存することができません。そのため、Dell が自社のルート証明書をインストールした場合、Dell の秘密鍵を知っている人が、銀行やGmailといった他社の通信を傍受・改竄できてしまうという大きな問題があります。
Microsoft は証明書ストアの使用を変更して、Common Name を限定したルート証明書(そのルート証明書からチェーンしたすべての証明書が、特定のドメインのみに有効とする)を保存できるようにすべきだと思います。それならば、「dell.com」「dell.co.jp」などのドメインのみに限定したルート証明書をプレインストールできるようになり、Dell の内部犯が他社との通信を傍受・改善することができなくなります。
ちなみに、厳密には Common Name を限定したルート証明書とは異なりますが、Firefox は OSに依存しない独自の証明書ストアを持っており、特定のドメイン名のみに対して有効な証明書を証明書ストアにインストールすることが可能です。自分専用のオレオレ証明書が安全に利用できる(フィンガープリントを確認して保存できる)というのも Firefox の魅力の一つだと思います。
Re:Microsoft が Common Name を限定したルート証明書に対応すべき (スコア:2, 参考になる)
いやいや、今回の問題は、その秘密鍵 (秘密鍵です。公開鍵ではありません。) がPCに搭載されていたことにあります。秘密鍵が漏れちゃってます。ヤバいです。
Re: (スコア:0)
今回のはどうしょうもないけど、それはおいといて。もうちょっとマイルドなトラブルの際の被害をもうちょっと減らせるよう、IEをこう改善したら良いのに、という便乗雑談だと思う。
Re: (スコア:0)
今回、Dell.Foundation.Agent.Plugins.eDell.dllに、.pfxが2個、平文で格納されています
ファイルバージョン1.0.0.5 x86で確認、(DLLに)Dellの署名がしてあります。ちなSHA1.
一応(.pfxが)難読化されたパスワードで保護されているようですが、すでに漏れており、破るよりぐぐる方がはやい状況です
Re: (スコア:2)
Dellが 秘密鍵もセットでパソコンに保存して出荷したことは擁護のしようがない馬鹿げた行為なので、既に他の人が叩いているだろうと思ってスルーした上で、比較的安全に独自のルート証明書をインストールできるよう Windows の証明書ストアの改善を求める書き込みをしたつもりでした。
しかし、自分で書いたコメントを見返してみると、ご指摘いただいたとおり Dell が独自のルート証明書(公開鍵を含む)のみをプレインストールしていたと誤解しているかのような文章になっていました。お恥ずかしい限りです。
貴重な検証データをありがとうございます。
バックドアとして使うとしても「秘密鍵」を一般公開する必要は全くないので、悪意がある人物がやったのではなく、単なるミスだと思いますが、かなりひどい状況ですね。
どうしてこのような事態が発生したのか、想像もできません。ひょっとして、テスト用のデータが入ったまま出荷されてしまったとか?
だから証明書はオレオレに限ると (スコア:1)
でなきゃ、SSLも平文での通信同様全部ダダ漏れと思ってればいい。
Re: (スコア:0)
オレオレだから安全ということにはなりません。SSHのようなサーバ公開鍵のフィンガープリントの検証が重要ということでしょう。HTTPSならばHPKP [wikipedia.org]で出来ます。
Re: (スコア:0)
オレオレだから安全じゃなくて、
オレオレでない限り安全ではありえない、
だと思う。
そのHPKPってのだって結局どこの馬の骨か
わからん他人に依存してるようだし。
まぁあんまりそんなこと言ってたら、
OSは信用できるの? とかなるからあれだけど。
Re: (スコア:0)
違います。>オレオレでない限り安全ではありえない
違います。>HPKP[...]他人に依存
Preload HPKPなら、ブラウザが信用できる限りは安全です。
>OSは信用できるの?
今回のケースはOSが細工されてて、OS (正確にはOSの証明書関連API) が信用ならないということなのですが…。
Re: (スコア:0)
じゃあブラウザを信用できるかといえば…
Re: (スコア:0)
SSL(TLS)に、チェックサム程度の保護しかないと割り切ることです
FAXとかわらない
中間者攻撃だけではなく (スコア:0)
コードサイ二ングにも使えますよね
Re: (スコア:0)
そう、証明書に使途が明記されてなかった。実際には、テスト証明書云々を有効にしないといけませんが。
今回の証明書は、それでテレメトリ鯖にクライアント証明したかったぽいので、実はこっちの問題もある。
使途が限定されていれば、秘密鍵が添付されているのは(使途によっては)理解できる。
(ただしシステムワイドに導入される必要があるかというとそれはまた疑問)
Re: (スコア:0)
EV証明書なら皆がハッピーに!!
増長すると碌なことない (スコア:0, おもしろおかしい)
デル釘は打たれる
Re:増長すると碌なことない (スコア:2, おもしろおかしい)
釘か、ぬかったな。
Re:増長すると碌なことない (スコア:1)
その手にはのれん。
Re: (スコア:0)
暖簾を守って50年
豆腐の春日屋
Re:増長すると碌なことない (スコア:1)
もしかして: 出る杭は打たれる
元ACは「釘」って覚えてるのか?
それとも何か別のオチがあるのか?
Re:増長すると碌なことない(オフトピ) (スコア:0)
出る釘宮はかわいい
……いや、なんでもありません
Re:増長すると碌なことない(オフトピ) (スコア:1)
くぎゅは(出るトコ)出てないと思うが。
Re: (スコア:0)
[フレームだけ: -A]
Re: (スコア:0)
鬼がDELLか蛇がDELLか
Re: (スコア:0)
叩けば埃が出る とも言いますしなぁ
Re:増長すると碌なことない (スコア:2, おもしろおかしい)
DELLとこ出て決着かな?
#外にDELLと碌なことがない
Re: (スコア:0)
あー間違えたぁぁぁぁぁぁ
Re: (スコア:0)
ひょっとして:優&魅衣
つばぜり合い (スコア:0)
中国がLenovoに仕込ませたバックドアをアメリカが暴露した
報復でアメリカがDELLに仕込ませたバックドアを中国が暴露した、とかそんな程度でしょ
こんなもん
DELLもAppleも、LenovoもXiomiもなんも変わらんよ
Re:つばぜり合い (スコア:1)
ハンロンの剃刀でバッサリ一刀両断。
// 浜の真砂は尽くるとも、世に陰謀論の種は尽くまじ
Re: (スコア:0)
実際はn匹目のドジョウを探した連中が居るだけでしょ。
Re: (スコア:0)
> 陰謀論厨丸出し
そうですね、NSAなんて組織は存在しませんよね、はいはいよかったですね
Re: (スコア:0)
実際やってたわけだけど、スノーデンGJだな、もっともこの期に及んでやってないと信じるだけで全く教訓が生かせてない国もあるわけだが
どーせ (スコア:0)
中身(ベンダ)一緒だろ
Re:製造はやっぱり中国? (スコア:2, 参考になる)
そんなに面白い話ではなく、プリインストールされてる「楽々○○お助けツール」みたいな、なんかしらのアプリが、
設計がタコで、実質的にバックドアがあると言っても過言ではなかったです、というような話。
で、それがバックドアとして利用できる仕組みがちょっとややこしいから、Lenovoの時と同じく話題になってるんじゃない?
うっかり実装を間違ってバックドアを作り込んでしまったというよくあるバグの類なら、単なるミスだけど。
例えば、インストール時に、インストール先のPC独自の秘密鍵・公開鍵を自動生成するので安全、という設計だったのに、
乱数の読み込みを忘れていて、どのPCに対しても同じ秘密鍵が生成されてしまっていた、とか。
もしかして、その設計じゃダメだと理解出来てない連中が「この設計なら大丈夫」と確信を持って設計し、きっちり実装したという、
仕様上の問題なんだったとしたら、その開発チーム全体の致命的な勉強不足を意味するので、より一層、ヤバいんじゃね? と。
Re:製造はやっぱり中国? (スコア:1)
Dellが自社でインストールしていることを認めて、
削除ツールを公開してるよ。
中国のせいにできなくて、残念だったね!