戴尔电脑集体中招:秒变黑客“肉鸡” (转载)# Hardware - 计算机硬件s*s2015-11-24 08:111 楼女友离开我的住处一会儿后我给她打电话,看她到家了没结果听到她的电话铃声--原来她把电话落在我这啦我拿过她的电话一看,上面赫然写着SB3!!!!!!内牛满面中好吧,SB我认了还3!!!!!!!!!!
y*z2015-11-24 08:112 楼【 以下文字转载自 Military 讨论区 】发信人: yjz (隐君子), 信区: Military标 题: 戴尔电脑集体中招:秒变黑客“肉鸡”发信站: BBS 未名空间站 (Tue Nov 24 02:33:50 2015, 美东)http://news.mydrivers.com/1/458/458159.htm按照戴尔CEO Michael Dell的说法,作为世界第三大PC厂商,他们一年的销量是3亿台。如此多消费者因为信赖而选购,如果电脑本身有什么“通病”,影响之广无疑是很大的。据Reddit网友爆料,大量戴尔电脑在出厂时都预装了该公司自签名的数字安全认证(CA),而该认证文件在每一台电脑中都“完全一样”,即使新出的XPS 15也未能幸免。这样有什么坏处呢?网友解释,黑客如果拿到认证文件的私有密钥(Private Key)源码(实际上非常容易做到),那么其他同样在使用着这个认证文件的戴尔电脑,将可以不费吹灰之力就被攻破。换言之,这些海量的戴尔电脑将在瞬间变为“肉鸡”。不过,戴尔的反应倒是很迅速。他们强调,用户隐私和安全保护是该公司首要职责。目前,戴尔工程师已开始对问题严重性进行评估。预计最有可能的解决方案将是通过系统更新更改或作废预装在电脑中的认证文件。
y*z2015-11-24 08:114 楼http://www.ithome.com/html/soft/190628.htmIT之家讯 戴尔近日曝出了eDellRoot安全证书漏洞问题,被业界看做是戴尔版的“超级鱼”事件。此前联想由于在海外发布的电脑中预装了“饱含”漏洞的“超级鱼”软件而备受质疑。如今戴尔被用户发现在Win10笔记本 Inspiron 5000 和 XPS 15 中植入了自签名的安全证书 eDellRoot,而该证书存在安全漏洞,攻击者可通过该漏洞轻易的对含有证书的电脑发起攻击。目前戴尔官方已经承认了该问题,并紧急发布了证书删除程序,受影响的用户应该及时下载并执行该程序,以免继续受到该问题的威胁。戴尔eDellRoot安全证书删除程序官方下载:https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe【在 a*f 的大作中提到】: "实际上非常容易做到"-实际上VeriSign的私码也很容拿到
a*f2015-11-24 08:115 楼最精彩的是这个:It was discovered this weekend that new Dell computers, as well as old oneswith updates, come with a CA certificate ("eDellRoot") that includes theprivate key.【在 y*z 的大作中提到】: http://www.ithome.com/html/soft/190628.htm: IT之家讯 戴尔近日曝出了eDellRoot安全证书漏洞问题,被业界看做是戴尔版的“超级: 鱼”事件。此前联想由于在海外发布的电脑中预装了“饱含”漏洞的“超级鱼”软件而: 备受质疑。如今戴尔被用户发现在Win10笔记本 Inspiron 5000 和 XPS 15 中植入了自: 签名的安全证书 eDellRoot,而该证书存在安全漏洞,攻击者可通过该漏洞轻易的对含: 有证书的电脑发起攻击。: 目前戴尔官方已经承认了该问题,并紧急发布了证书删除程序,受影响的用户应该及时: 下载并执行该程序,以免继续受到该问题的威胁。: 戴尔eDellRoot安全证书删除程序官方下载:: https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe
a*f2015-11-24 08:118 楼组装的中文系统经常看见截屏上一堆安全卫士360,PPLive,百度杀毒软件。。。【在 i***l 的大作中提到】: 看出我等组装电脑爱好者的优势来了。对笔记本来说,第一件事就是硬盘格式化,重装: 系统。OEM垃圾太多,干净系统又快又省地方。
i*l2015-11-24 08:119 楼哈哈,这些东西都是毒品原,碰不得。我搞了个能用到2020年的Avira Pro的license,安装在所有电脑上。还安装了MBAM,不过现在Prolicense不好搞了,只好先用这个的free版。【在 a*f 的大作中提到】: 组装的中文系统经常看见截屏上一堆安全卫士360,PPLive,百度杀毒软件。。。
y*z2015-11-24 08:1110 楼国内的很多国产软件都是流氓。一旦装上了流氓,就只能找一个比他更流氓的杀他,如此,无止无休了。【在 i***l 的大作中提到】: 哈哈,这些东西都是毒品原,碰不得。: 我搞了个能用到2020年的Avira Pro的license,安装在所有电脑上。还安装了MBAM,不: 过现在Prolicense不好搞了,只好先用这个的free版。
P*H2015-11-24 08:1112 楼多次强调,安全卫士360这些是软软的官方合作伙伴。网页上都有写的。【在 a*f 的大作中提到】: 组装的中文系统经常看见截屏上一堆安全卫士360,PPLive,百度杀毒软件。。。
t*t2015-11-24 08:1113 楼应该就是多了个根证书的意思吧. 证书最简单的用处就是告诉你谁家的网站可以信任.但是这个基于一个前提就是这个证书的私钥没别人知道. 但是dell的这个私钥被传出去了, 所以这个证书就变成漏洞了, 因为坏人就可以伪装可以信任的网站.【在 P**H 的大作中提到】: 这个漏洞是windows里面还是bois里面的?clean install有没有问题?
P*H2015-11-24 08:1114 楼那也就是dell预装系统的问题。如果之后是重装就没这个问题了。.【在 t****t 的大作中提到】: 应该就是多了个根证书的意思吧. 证书最简单的用处就是告诉你谁家的网站可以信任.: 但是这个基于一个前提就是这个证书的私钥没别人知道. 但是dell的这个私钥被传出去: 了, 所以这个证书就变成漏洞了, 因为坏人就可以伪装可以信任的网站.
t*t2015-11-24 08:1115 楼对. 其实根本问题就是私钥流出去了, 本来不该发生的. 预装个根证书本身没什么大问题.【在 P**H 的大作中提到】: 那也就是dell预装系统的问题。如果之后是重装就没这个问题了。: : .
t*z2015-11-24 08:1116 楼这也是我喜欢组装机而少用品牌机的原因之一。只有我自己装的系统才最干净。【在 i***l 的大作中提到】: 看出我等组装电脑爱好者的优势来了。对笔记本来说,第一件事就是硬盘格式化,重装: 系统。OEM垃圾太多,干净系统又快又省地方。
h*22015-11-24 08:1117 楼在美国装啥盗版中文系统给笔记本重新全新安装OS的目的就是pure Windows装好后,没有天朝来的软件的半寸立足之地PPLive现在不需要电脑,在盒子上pad上看即可,谁还在电脑上看电视【在 a*f 的大作中提到】: 组装的中文系统经常看见截屏上一堆安全卫士360,PPLive,百度杀毒软件。。。