Комментарии 17
Многие пользователи сети и журналисты сравнили текущую ситуацию с тем, в которую зимой прошлого года попала компания Lenovo.
А что у них общего?
Злонамеренное распространение вирусятины и косяк на уровне безопасности — очень разные уровни…
Косяк? «Ой, а мы и не знали, что делать доверенным доверенный сертификат и распространять его вместе с закрытым ключом — дырища в безопасности» что ли?
Это вроде «чтобы иметь возможность прибираться во всех квартирах, мы все дверные замки и ключи делаем одинаковыми. Мы и не подумали, что это может привести к квартирным кражам». Только в случае с квартирами населению сразу понятно, что это бред, а в случае с сертификатами — непонятно вследствие тотального ламерства. И это не косяк, а попытка эксплуатировать это ламерство.
Это вроде «чтобы иметь возможность прибираться во всех квартирах, мы все дверные замки и ключи делаем одинаковыми. Мы и не подумали, что это может привести к квартирным кражам». Только в случае с квартирами населению сразу понятно, что это бред, а в случае с сертификатами — непонятно вследствие тотального ламерства. И это не косяк, а попытка эксплуатировать это ламерство.
Рабочие бывают самой разной квалификации.
Я, конечно, в Dell не работал. Но работал в самых разных компаниях России, от совсем мелких до международных. Везде есть криворукие специалисты.
Брешь в безопасности — далеко не всегда злой умысел. Скорее, даже, почти никогда это не злой умысел, а низкая квалификация или безалаберность.
Я, конечно, в Dell не работал. Но работал в самых разных компаниях России, от совсем мелких до международных. Везде есть криворукие специалисты.
Брешь в безопасности — далеко не всегда злой умысел. Скорее, даже, почти никогда это не злой умысел, а низкая квалификация или безалаберность.
Так вроде новости уже не один день, и на GT (где ей и место) уже даже пара заметок была — http://geektimes.ru/post/266262/ и http://geektimes.ru/post/266306/?
Во второй из них есть даже ссылка на антинстаннер — https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe. Им можно воспользоваться, если, конечно, мы до сих пор верим Dell, а то объяснение, что им нужен был всего-то доступ на машину для саппорта, и для этого они прописали свой _корневой_ сертификат, выглядит не очень честным, на фоне того, что компаний они ИТ-ная, и заливают тоже ИТ-никам.
Не говоря уже, что в их извинении есть фраза о том, что сертификат не переустанавливается, если его удалить, а по факту имеем пресловутую Dell.Foundation.Agent.Plugins.eDell.dll, которая как раз этим и занимается.
Все же интересно: покупаешь себе комп вроде как с Виндой. Посмотрел внимательно — а она мало что «кастомизирована» под нужды производителя компа, так еще и содержит левые добавки, влияющие на безопасности, и комплект ПО, следящий за тем, чтобы дыру не заткнули. Это как, все еще «винда» (о чем в рекламе компа и говорится), или просто портативный набор «у меня нет секретов», только внешне на винду похожий? Можно ли считать такую добавку к ОС «вредоносным ПО», и подпадает ли она под действие соответствующих законов?
Во второй из них есть даже ссылка на антинстаннер — https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe. Им можно воспользоваться, если, конечно, мы до сих пор верим Dell, а то объяснение, что им нужен был всего-то доступ на машину для саппорта, и для этого они прописали свой _корневой_ сертификат, выглядит не очень честным, на фоне того, что компаний они ИТ-ная, и заливают тоже ИТ-никам.
Не говоря уже, что в их извинении есть фраза о том, что сертификат не переустанавливается, если его удалить, а по факту имеем пресловутую Dell.Foundation.Agent.Plugins.eDell.dll, которая как раз этим и занимается.
Все же интересно: покупаешь себе комп вроде как с Виндой. Посмотрел внимательно — а она мало что «кастомизирована» под нужды производителя компа, так еще и содержит левые добавки, влияющие на безопасности, и комплект ПО, следящий за тем, чтобы дыру не заткнули. Это как, все еще «винда» (о чем в рекламе компа и говорится), или просто портативный набор «у меня нет секретов», только внешне на винду похожий? Можно ли считать такую добавку к ОС «вредоносным ПО», и подпадает ли она под действие соответствующих законов?
НЛО прилетело и опубликовало эту надпись здесь
Это Inspiron 7537
Тот неловкий момент, когда твой компьютер жутко уязвим.
Я вот чего не понял:
Для каждого ноута свой закрытый ключ — или один на всех?
Для каждого ноута свой закрытый ключ — или один на всех?
Мало им одного сертификата. Нашли второй. DSDTestProvider
хотела иметь возможность быстро идентифицировать модель устройства при обращении его владельца в службу поддержкиОбъясните, пожалуйста, как сертификат может в этом помочь?
Да это просто отмазка. Не парьтесь.
Для быстрой идентификации устройства используется служба, работающая как прозрачный HTTP-прокси и добавляющая в запросы некоторый идентификатор (это уже следующая новость про Dell).
Чтобы поступать так с HTTPS — нужно проводить MITM-атаку, а для этого нужен корневой сертификат.
Чтобы поступать так с HTTPS — нужно проводить MITM-атаку, а для этого нужен корневой сертификат.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Критическая уязвимость в компьютерах Dell позволяет хакерам получать доступ практически к любым данным: Как защититься