tiistai 24. marraskuuta 2015

Jäikö Dell kiinni NSA:n juonesta?

Michael Dell perusti vuonna 1984 Texasissa pc-valmistajan, joka lähti kilpailemaan suurten valmistajien (IBM, Compaq) kanssa. Dellin koneista tuli suosittuja, joten yritys kasvoi nopeasti. Se laajensi tuotevalikoimansa mm. verkon laitteisiin ja näyttöihin. Tänään Dellin palveluksessa on 108 000 henkeä.

Vuonna 2012 yksi heistä oli muuan Edward Snowden. Hänen uransa Dellin palveluksessa on jäänyt vähälle huomiolle, vaikka juuri tuolloin hän alkoi kerätä salaisia dokumentteja NSA:n verkosta ja valmistautui vuotamaan ne julkisuuteen.

Ajatellaanpa tätä hetki. NSA käyttää alihankkijanaan Dellin kaltaista laitevalmistajaa, joka on maailman suurimpia alallaan. Olen itsekin ostanut muutamia Dellin pöytäkoneita, koska olen todennut ne kestäviksi ja hyvin tehdyiksi. NSA on ujuttanut omia miehiään yhtiöön ja pääsee ehkä tätä kautta käsiksi asiakkaille meneviin laitetoimituksiin.

Luultavasti Dell ei ole ainoa. Muutama vuosi sitten paljastui, että belgialaisen teleoperaattorin insinöörin HP-läppärissä oli ylimääräinen radiolähetin, mitä ilmeisimmin NSA:n sinne asentama. Mahdollisesti jo tehtaalla, tai viimeistään kuljetusketjun aikana. Viimeaikaisten uutisten ansiosta ymmärrämme, miksi belgialainen operaattori kiinnosti NSA:ta. Se on avainasemassa terroristien viestiliikenteen seurannassa, eikä maan sekavan tilanteen vuoksi kannata yrittää yhteistyötä paikallisen tiedustelun kanssa. Samasta syystä brittien GCHQ murtautui Belgacomin verkkoon -- temppu, jonka Snowden paljasti, ja jota paheksuttiin ankarasti. Että EU-maa kehtaakin tunkeutua toisen EU-maan verkkoon!

Snowdenin ura Dellillä palasi mieleen, kun näin tämän uutisen. Siinä muuan henkilö kertoi ostaneensa Dell Inspiron 5000 läppärin ja löytäneensä Windowsista epäilyttävän eDellRoot -varmenteen. Aiheesta on virinnyt keskustelua Redditissä, mm. eräs henkilö kertoo varmenteen tulleen Delliinsä vasta päivityksen jälkeen.

Windowsin varmennesäiliö on niin tekninen asia, että harva käyttäjä koskaan edes vilkaisee sinne. Lyhyesti sanoen eDellRoot-varmenteella voi huijata konetta niin, että se ottaa yhteyden väärennettyyn palvelimeen eikä SSL-turvatekniikka huomaa minkään olevan vialla. Mahdollisesti sillä voi vakoilla kaikkea koneesta lähtevää tietoliikennettä. Kuulostaa aivan NSA:n juonilta.

Dellin vastauksen mukaan varmenteen tarkoituksena on "tarjota parempi, nopeampi ja helpompi asiakastukikokemus". Uskokoon ken tahtoo.

Katsotaanpa hieman taaksepäin. PC-koneiden valmistus on ollut pitkään raskaasti tappiollista toimintaa. Myös Dell ajautui vaikeuksiin, minkä seurauksena se ostettiin helmikuussa 2013 pois pörssistä 24 miljardin dollarin summalla. Nyt yhtiö on yksityisessä omistuksessa, joten sen ei tarvitse raportoida toiminnastaan julkisuuteen.

Villi arvaukseni on, että NSA:lla oli sormensa pelissä kaupassa. Se halusi säilyttää Dellin amerikkalaisena pc-valmistajana, kun IBM oli jo vuonna 2005 ehtinyt myydä pc-toimintonsa kiinalaiselle Lenovolle (jonka koneista paljastui keväällä 2015 epäilyttävä Superfish-ohjelma).

Salaliittoteoriani ei pääty vielä tähän. Lokakuussa Dell ilmoitti yhdistyvänsä EMC:n kanssa. Jälkimmäinen on merkittävä tietovarastojen, pilviteknologian ja tietoturvan teknologiatalo. Kauppaa on yleisesti pidetty huonona. Hääriikö NSA jälleen kulisseissa? Haluaako se kaupalla pääsyn myös varmuuskopiointi-, tietovarasto- ja pilvilaitteisiin? Onko vain sattumaa, että tahallaan heikennetty Bsafe-salausohjelma oli RSA:n valmistama? Yhtiö kuuluu EMC-konserniin.

Kaikesta päätellen kulissien takana käydään todella kovaa peliä tulevasta vakoilun herruudesta. Pienen suomalaisen asiakkaan on täysin mahdotonta tietää, mihin tekniikkaan voi enää luottaa. Luultavasti vain itse rakennettuun, eikä aina siihenkään.

10 kommenttia:

Anonyymi kirjoitti...

Uskon silti että kyse on vain Dellin omasta amatöörimäisyydestä.

"Never attribute to malice that which is adequately explained by incompetence."

Petteri Järvinen kirjoitti...

Hyvin mahdollista. Tapaus kuitenkin muistuttaa vanhaa Microsoftin mokaa, jossa yhteen Windows NT service packiin jäi mukaan symbolitaulu ja sieltä löytyi _NSAKEY-niminen muuttuja. Lisätietoja Wikipediasta.

Lisäksi Dellin aiempi NSA-yhteistyö herättää kysymyksiä. Dell ei ole koskaan kommentoinut millään tavalla Edward Snowdenin työtehtäviä yhtiössä.

Anonyymi kirjoitti...

Onko enää vahinko? Dell jäi kiinni toisestakin turva-aukosta
http://www.tivi.fi/Kaikki_uutiset/onko-enaa-vahinko-dell-jai-kiinni-toisestakin-turva-aukosta-6091756
"The Next Web kertoo nyt, että Dellin koneista on löydetty toinenkin vastaava varmenne, jonka nimi on DSDTestProvider".

Ei taida olla vahinko.

Dr Jouni Laurila kirjoitti...

Todella paha.

Taitaa tulla aika kupru maineeseen.

Anonyymi kirjoitti...

Folihattuna on aina kiva olla. Ohessa omasta ADSL-modeemista.

ls -l shadow*
-rw-r--r-- 1 root root 167 Jan 1 2000 shadow
-rw-r--r-- 1 root root 188 Jan 1 2000 shadow-
-rwxr-xr-x 1 root root 1612 Mar 5 2013 shadow.default

grep -i nsa shadow*
shadow.default:NsaRescueAngel:$1$$P1CH4rJL3Pm9AIB5tu21G.:13493:0:99999:7:::

Modeemin käyttäjätunnus admin, jolla on määrittämäni salasana, mutta tälläinenkin löytyy

grep root shadow
root:K/ki/7TTkhbxA:13013:0:99999:7:::

Minäkin osasin selvittää salasanan. Se on modeemin oletussalasana ja kas kummaa..

$ su root -
Password:
#

Toki näyttää, että tuo toimii ainoastaan ssh:lla, mutta johonkin vaan täytyy luottaa kun näitä tietoteknisiä laitteita hankkii. Modeemin valmistaja on käsittääkseni ollut asiasta tietoinen, mutta korjausta ei ole tullut. Minullakin on viimeisin firmware.

Petteri Järvinen kirjoitti...

Taitaa olla Zyxel?

Anonyymi kirjoitti...

Jep

Anonyymi kirjoitti...

Olin tiistaina 24.11.2015 klo 13-14 muutamille yrityksille järjestetyllä kyberturvallisuuden klinikalla. Jotain hyödyllistä infoakin sain. Huomasin, että jotkin keissit joista kerroin olivat ainakin osittain tuntemattomia näille paikalla olleille alan asiantuntijoille.

Sormen päistä eteenpäin meillä taitaa olla seuraavat ongelmatasot:
- käyttöjärjestelmä keräämässä mitä lie tietoja (salasanat, selaushistoria, sisällön indeksointi ja ehkä sisällön muutokset )?
- PC/puhelin laitteisto (kovalevyt, ylimääräiset laitteet, ajurien yms. etäkäyttö/aktivointi)
- ohjelmistot sekä itse asennetut että jostain vain putkahtaneet (esim. Akamai netsession.exe)
- modeemi ( asiantuntijat sanovat minulle että miksi niihin tarvitsee asennella mitään tehtaan ulkopuolelta tulevia ohjelmistoja, kun kerran niihin pääsee ohjelmallisesti käsiksi.)
- verkkotaso.
- pilvitallennustaso.
Ja sama käännetyssä järjestyksessä viestien vastaanottajan kohdalla.

Kysymykseni sitten oli että voinko kirjoitta mitään järkevää PC laittelleni. Hetkeen en ole järkeviä kirjoitellut. Tilanne on ongelmallinen.

Meitzi kirjoitti...

Tässä olet Petteri väärässä.
NSA ei ole mikään amatööri.

Miksi ihmeessä koneen mukana olisi toimitettu privaattiavain jos tätä olisi tarkoitus käyttää murtautumiseen?
Pelkkä root varmenne olisi riittänyt. Ja näitä rootteja koneille asentaa esim monet virustorjuntaohjelmistojen valmistajat ym. Et voi tietää, kuka privaattiavaimen niihin tietää.

En ihan jaksa uskoa, että tekninen osaamisesi ei tähän riittäisi, joten uskon enemmänkin siihen, että halusit tehdä hyvän foliohattu blogin tästä. Ja semmosen sait.

Petteri Järvinen kirjoitti...

NSA ei myöskään ole erehtymätön. Ateenan puhelinkeskuksen takaovi paljastui bugin vuoksi, Stuxnet pääsi leviämään ulos Iranista, Snowden pääsi kopioimaan salaiset dokumentit ym. Virustorjuntaohjelma käyttäisi varmenteessa omaa nimeään, ei Dellin.

Totta on, että tässä vaiheessa voimme vain spekuloida.

Haluaisinpa tietää, mitä NSA-hommia Edward Snowden teki Dellin palveluksessa.

Website Security Test