弗拉基米尔·贝兹马利| 2015 年 11 月 24 日
安全博主兼记者 Hanno Böck 在他的博客中描述了戴尔 Inspiron 5000 系列笔记本电脑上预装的 SSL 根证书。自签名的 eDellRoot 证书将于 2039 年到期。此证书的私钥存储在本地。该证书由名为 Dell Foundation Services 的软件安装。
戴尔对该软件包的描述指出,该软件提供简化客户服务、消息传递和支持功能的核心服务。
但是,任何攻击者都可以使用此根证书为任意网页创建有效的证书。即使 HTTP 公钥固定 (HPKP) 也无法防范此类攻击,因为浏览器开发人员允许本地安装的证书覆盖密钥保护。
该软件漏洞令人想起了曾安装在联想电脑上并引起IT界重大丑闻的Superfish应用程序。
警惕 Wi-Fi
弗拉德·沃龙科夫| 2015 年 11 月 23 日
如今,Wi-Fi 技术已随处可见。无论年龄,人们在公共场 以色列电报数据 所待上至少几分钟后,都会立即尝试将他们的“智能”设备连接到网络。让我们弄清楚一下——是否值得将您的安全信任于公共接入点?
开放无线网络
公共场所的开放式 Wi-Fi 通常不进行任何流量加密。通过开放热点使用互联网就像通过打开的窗户大声喊叫进行交流 - 如果周围的每个人都“听到”了您的数据,请不要感到惊讶。幸运的是,许多网站,特别是大型网站,都使用 HTTPS 加密,这使得攻击者只能得到一堆无法破译的垃圾。然而,也有许多资源仍然使用不受保护的 HTTP 协议,例如,允许 Wi-Fi 热点半径范围内的任何人拦截特定用户访问的网站的密码并下载与他下载相同的文件。
然而,加密的 HTTPS 协议并不是万能的:它为传输的数据提供保护(保密性),但不能隐藏传输信息到或来自的站点(匿名性)。此外,如果黑客转而进行流量替代的主动攻击,他可以强迫用户打开使用不受保护的协议而不是受保护的协议的网站,这对于接受付款的网站尤其重要。请务必注意浏览器地址栏左侧的绿色图标 - 如果没有,请不要在任何情况下输入您的银行卡详细信息。
戴尔表示,预装的根证书造成了“意外的安全漏洞”。该公司表示,该证书不允许重新安装,必须按照戴尔的建议将其删除。
本文作者 是Microsoft MVP,Microsoft Security Trusted Advisor。