Quello di eDellRoot rischia di diventare un esempio emblematico dei pericoli che corriamo quotidianamente senza fare nulla per provocarli. Siamo ormai abituati alla scoperta continua di vulnerabilità nei sistemi operativi, ma l’inaffidabilità dei certificati di root preinstallati dai vendor è una sgradevole novità, seppur prevedibile. L’idea che proprio l’anello di partenza della catena della sicurezza, che ci fa fidare ad esempio dei siti Https, possa essere facilmente usato da malintenzionati, mette in discussione le ultime certezze. La prima a cadere in fallo è stata Lenovo, con l’adware maligno Superfish, preinstallato nelle macchine del vendor cinese e scoperto a febbraio. Oggi tocca a Dell, con un componente essenziale dei Dell Foundation Services che fanno parte della dotazione iniziale di ogni Pc del colosso texano.

La vicenda è venuta fuori solo da un paio di settimane, ma risale ad agosto, quando l’ultima versione di eDellRoot viene distribuita senza che risponda ai necessari requisiti di inviolabilità.
Il certificato in questione serve a Dell per accedere alle macchine identificandole con certezza e veicolando servizi di supporto. Secondo l’azienda non è un adware e non è pensato per raccogliere dati personali senza il consenso dell’utente. Si tratta però di un elemento in grado di bypassare le difese del sistema operativo, che per un errore è stato rilasciato con la sua chiave privata facilmente ottenibile da malintenzionati. Prendendo così possesso dell’eDellRoot e usandolo come CA, è possibile generare certificati firmati e riconosciuti come affidabili dal sistema, attraverso i quali un malintenzionato può impersonare siti https come banche e altri servizi, decriptare traffico sulla rete, garantire l’esecuzione di software e email malevoli e carpire ogni sorta di dati dell’utente.
Praticamente usare un Dell con l’eDellRoot installato è come lasciare le chiavi nella toppa fuori dalla porta di casa, e Symantec ha già individuato la circolazione di malware capaci di sfruttare la falla.

Dopo la scoperta della falla sui portatili XPS 15, sulle workstation M4800 e su altri desktop e notebook della serie Inspiron, il vendor si è affrettato a fornire le informazioni necessarie alla rimozione manuale del certificato, per poi procedere con un aggiornamento software che, a fine novembre, dovrebbe aver eliminato il problema su tutte le macchine colpite. La stessa Dell intanto ha dichiarato che eDellRoot non sarà più presente sui suoi sistemi da ora in poi.

usare un Dell con l’eDellRoot installato è come lasciare le chiavi nella toppa fuori dalla porta di casa

Contemporaneamente anche Microsoft, dopo aver messo a disposizione un tool di rimozione, ne ha bandito l’utilizzo sui sistemi basati su Windows, revocandone il supporto in modo da consentire agli anticorpi del sistema di identificarlo come oggetto indesiderato. Per cui anche chi ha una macchina Dell e non ha proceduto agli aggiornamenti, dovrebbe essere avvisato del pericolo che corre. Ovvero di ritrovarsi per Natale vittima di un attacco di tipo man-in-the-middle molto difficile da individuare.

Le due vicende, quella di Dell e quella di Lenovo, ripropongono comunque l’annosa questione della sicurezza del software preinstallato sulle macchine mainstream, che affligge i PC da una parte e alcuni smartphone e tablet, specie quelli brandizzati dagli operatori telefonici, dall’altra.
Si tratta di applicazioni e certificati realizzati spesso con meno cura e integrazione del software che costituisce parte integrante del sistema operativo, con scopi non del tutto chiari e che, in diversi casi, consuma inutilmente risorse del sistema. Forse è il momento di decidersi a farne a meno.