Dell blundert met oplossing besmette moederborden
Gisteren werd duidelijk dat in sommige moederborden van Dell malware verstopt zit, maar de reactie van de computerfabrikant schiet ernstig te kort, aldus beveiligingsexpert Richard Bejtlich. Volgens hem heeft Dell duidelijk een Product Security Incident Response Team (PSIRT) nodig. "Hun reactie op de malware in vervangende R410 moederborden is niet wat ik graag zie van een bedrijf van hun omvang en statuur."
Bejtlich wijst naar het Dell-forum waar een werknemer tegen een gebruiker bevestigt dat er malware op zijn moederbord zit. "Het is bijna komisch", merkt de expert op. Dell informeerde klanten via de telefoon, maar één klant dacht dat hij werd opgelicht en plaatste een bericht op het Dell-forum. Vervolgens reageert een Dell-medewerker met de naam "DELL-Matt M" dat het een legitiem telefoontje betrof.
Forum
Het blijft echter onduidelijk waarom Dell de informatie niet op een website plaatst. Dell verergert de situatie door de opmerking dat als er meer informatie beschikbaar wordt, dit in het forum wordt geplaatst. "Dit verhaal komt in het nieuws en Dell waarschuwt klanten via een forum thread?!?", aldus een verbaasde Bejtlich.
Een andere klant vraagt zich af of DELL-Matt M wel voor Dell werkt. In een reactie zegt hij van wel, maar wederom geen link naar een officiële verklaring van de computerfabrikant. Ook het zoeken naar "Dell PSIRT" of "Dell security" levert geen resultaten over de veiligheid van Dell producten op. "De reactie van Dell moet veel beter. Ze leveren producten met malware aan klanten en het 'behandelt' het probleem via een support forum."
Firmware
Dell laat wederom via het forum weten, dat de malware niet in de firmware verstopt zat, maar in het Flash-geheugen van het moederbord. De malware in kwestie is de W32.Spybot worm. Maximaal één procent van de klanten die een PowerEdge R310, PowerEdge R410, PowerEdge R510 en PowerEdge T410 moederbord lieten vervangen lopen risico, aldus de fabrikant.
Volgens Dell zouden alle moderne virusscanners de malware detecteren en lopen systemen alleen gevaar als gebruikers een update voor de Unified Server Configurator (USC) of 32-bit Diagnostics draaien.
Ieder bedrijf heeft wel eens wat. Zo ook HP in 2008
http://news.cnet.com/HP-ships-USB-sticks-with-malware/2100-7349_3-6236976.html
Het is maar net hoe het nieuws gebracht wordt naar buiten door de media.
Maw .. dell verwacht dat je op elke server antivirus draait of wat ?
Pijnlijke zaak, maar kan voorkomen, alleen de afhandeling van heel het probleem laat wat te wensen over.
Velen die vermoeden dat het telefoontje van de dell support officer een hoax / social engineering is en dus even de site van dell gaan bezoeken, niets te vinden.
Ik heb vernomen dat je ergens ver in de support fora moet gaan zoeken, en dat er daar ergens een threadje over is ...
Goede support service zou ik zeggen ... not !
Dat een klant vervolgens op een support forum verder gaat vragen daar kan Dell niets aan doen lijkt mij ... (behalve dat ze de juiste ingang blijkbaar niet duidelijk genoeg communiceren).
Dat een klant vervolgens op een support forum verder gaat vragen daar kan Dell niets aan doen lijkt mij ... (behalve dat ze de juiste ingang blijkbaar niet duidelijk genoeg communiceren).
Iedereen kan zich voordeel als Dell per telefoon of brief. Dat doet Dell hier fout. (dit is overigens ook de strekking van het artikel, heb je wel gelezen?)
Dat komt geloofwaardiger/betrouwbaarder over.
Lees het vorige artikel, het zit niet in het OS dat je op de server installeert maar in de remote management console :)
Flash geheugen, dan valt het nog redelijk mee.
Fimware zou HELL zijn om te vervangen.
Dell is een prima bedrijf, alleen verloopt de communicatie niet altijd even soepel.
Afgelopen maandag bestelling geplaatst (telefonisch, want ik kon nergens vinden hoe je online als bedrijf kan bestellen).
Ik hoorde eerst een rot herrie, toen kreeg ik iemand aan de lijn (met een heleboel herrie op de achtergrond).
Oké offerte aangevraagd, krijg ik de offerte (adres klopt niet). Mail terug gestuurd met verbeterd adres, niets op terug gehoord. Volgende dag bellen, is die persoon niet bereikbaar. Dus naar gewone nummer gebeld (na door het telefoon menu te hebben geworsteld) iemand aan de lijn gekregen die verbond mij door met accountmanager van mijn offerte (ik had aangeven dat hij niet bereikbaar is), doorverbonden (weer die voicemail!).
Later heeft iemand anders het voor mij nog probeert, word direct verbonden (weer de voicemail..), toen nog een laatste keer gebeld. "Wegens een ontruiming kunnen wij u niet te woord te staan." :| WAT?!
Later nog twee boze e-mails gestuurd, niets meer op terug gehoord.
Ging gelukkig om een simpel ding (een harddisk), en uiteindelijk ergens anders besteld.
Ik heb vroeger zonder problemen online een server besteld (als particulier), en nergens problemen mee.
Maar telefonisch? DAT NOOIT MEER!!
Lees het vorige artikel, het zit niet in het OS dat je op de server installeert maar in de remote management console :)
Als jij de diagnotics hebt draaien op je server ....
Overigens zijn mijn ervaringen met dell support niets minder als perfect, kapotte spullen zijn altijd de dag erna vervangen, problemen word je vlot bij geholpen. De website kan wel wat onoverzichtelijk zijn, je vind er zeker niet alles op terug kwa opties, maar via offerte ben je snel genoeg goed geholpen, en ze pingen er best nog wel wat van af wanneer mogelijk.
Overigens is het niet plaatsen van iets op de homepage hier nogal vreemd, iets ofwat officieel bericht had wel mooi geweest, het is zelfs vrij mooi van mensen meteen na telefoontje de fora te zien spammen voor bevestiging over dat telefoontje.
Beware of Social Engineering !
Dat een klant vervolgens op een support forum verder gaat vragen daar kan Dell niets aan doen lijkt mij ... (behalve dat ze de juiste ingang blijkbaar niet duidelijk genoeg communiceren).
Iedereen kan zich voordeel als Dell per telefoon of brief. Dat doet Dell hier fout. (dit is overigens ook de strekking van het artikel, heb je wel gelezen?)
Natuurlijk kan iedereen een brief van Dell faken of aan de telefoon doen alsof ze van Dell zijn. Ik vermoed echter dat omdat Dell zelfs specifiek weet welke klanten mogelijk getroffen zijn, vermoed ik ook dat een telefoontje van Dell iets anders gaat dan "Hoi ik ben van Dell, je servers zijn mogelijk besmet", als Dell die heeft zullen daar accountmanagers aan te pas komen (vertrouwensrelatie) en zullen er specifieke serie nummers genoemd worden. Dat weet een willekeurig persoon niet (hoogstens een insider die het nummer van de apparatuur kan lezen).
Het artikel gaat volgens mij voornamelijk om wat Dell via het forum doet, en ja het kan beter, maar naar mijn mening kan je Dell nog steeds niet de schuld geven dat klanten hun forum gaan gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
