LINUX.ORG.RU
ФорумTalks

Угроза из BIOS


0

1

https://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS

/*Современный EFI BIOS может содержать до нескольких сотен специальных EFI-драйверов, EFI-приложений и других модулей, упакованных в некого рода файловую систему. Мы обнаружили, что один из таких модулей являлся EFI-приложением или дополнительным ROM с Computrace агентом внутри.*/

Интересно, а под linux у них модуль соответствующий имеется? Мало ли понадобится в сетку какой-нибудь нелояльной страны влезть, а там Мюнхен.


я в музее видел окаменевшие клочки этого бояна

registrant ★★★★★ ()

А вот не чего брать EFI. Юзайте калькуляторы, как я.

Deleted ()

Computrace

Computrace это программа для поиска украденных ЭВМ? В EFI? А где вы ожидали её увидеть?

Camel ★★★★★ ()
Ответ на: Computrace от Camel

Но она ведь не спасёт если у вора Линукс, так?

Adonai ★★★ ()

Вот делают сейчас открытые прошивки для роутеров. Ставим и всякие длинковские бэкдоры идут лесом. http://habrahabr.ru/post/197314/

А вот для биос-а открытыми прошивками никто не заморачивается?

Dfg ()
Ответ на: комментарий от Adonai

Дело в воре, не в Linux'е

Но она ведь не спасёт если у вора Линукс, так?

Она не спасёт если вор знает что делает, с чем имеет дело. При чём здесь Linux не могу понять.

Camel ★★★★★ ()
Ответ на: комментарий от Dfg

Coreboot

А вот для биос-а открытыми прошивками никто не заморачивается?

Coreboot. Достигнут некоторый весьма ограниченный успех, до охвата оборудования и возможностей как у OpenWRT vs Original Firmware как до луны.

Camel ★★★★★ ()
Ответ на: комментарий от Dfg

А вот для биос-а открытыми прошивками никто не заморачивается?

Совсем недавно даже тут ржали «Ха-ха, Столлман боится использовать закрытый биос»

goingUp ★★★★★ ()
Ответ на: Coreboot от Camel

А много ли там нужно? Посмотреть базовую инфу датчиков/железа? Выставить порядок загрузки?

Coreboot'чики молодцы. А сейчас почти каждую неделю рапортуют о добавлении поддержки очередного железа. Если взлетит, буду очень рад.

Adonai ★★★ ()
Ответ на: Дело в воре, не в Linux'е от Camel

Софт от Absolute Software только под Windows. Теоретически, даже если вор не знает, с чем имеет дело, но любит Линукс, то не спасёт.

Adonai ★★★ ()
Ответ на: комментарий от Adonai

Absolute zashkwar

Софт от Absolute Software только под Windows. Теоретически, даже если вор не знает, с чем имеет дело, но любит Линукс, то не спасёт.

Поясните как это работает. Вор включает ноутбук, загружается ШINDOШS, Computrace от Absolute Software достукивается до интернетов, ищет себя в списках пропавших, если находит, то сообщает свой IP (ну и прочие координаты, какие найдёт). Так?

Я думал Computrace достукивается до интернетов без участия ОС.

Camel ★★★★★ ()
Ответ на: Absolute zashkwar от Camel

Да, так. По ссылке автора темы tl;dr, но в конце описан сам процесс.

Поясните как это работает. Вор включает ноутбук, загружается ШINDOШS

Вместе с загрузкой винды загружается также модуль из UEFI, который подкладывает ядру свой exe в виде службы. То есть простое стирание софта не поможет - он регенерирует себя при каждой загрузке.

Но да, если вор действительно знает, с чем имеет дело, он может поставить свой пустой exe, заменяя службу Computrace, и выставить ему атрибут «read-only», таким образом модуль из UEFI не сможет её перезаписать.

Adonai ★★★ ()
Ответ на: Absolute zashkwar от Camel

Re: Absolute zashkwar

Сдаётся мне, товарищ выше не ведает, что несёт.

Тот же Intel Anti-Theft работает полностью на аппаратном уровне.

А Computrace на рынке не один десяток лет.

Lighting ★★★★★ ()
Ответ на: комментарий от Adonai

Только вот до сих по ни на что актуальное ты его не прошьёшь.

Lighting ★★★★★ ()

про кольца защиты почитай - теоретически - все что угодно можно.

swwwfactory ★★ ()
Ответ на: комментарий от Adonai

таким образом модуль из UEFI не сможет её перезаписать.

«модуль из UEFI» работает с файлами не через API венды, а через собственный драйвер, поэтому он вполне себе может положить болт и на атрибуты, и на ACL, и таки перезаписать.

INFOMAN ★★★★★ ()
Ответ на: комментарий от INFOMAN

К сожалению, модуль rpcnetp.exe не имеет ни цифровой подписи, ни какой-либо иной информации, дающей возможность пользователю или системному администратору распознать в нем легитимное приложение, равно как и проверить его целостность. Мы считаем это довольно серьезным упущением в текущей реализации агента. Более того, атакующему достаточно установить атрибут «только для чтения» на модифицированном файле агента, чтобы при следующем запуске системы он не был перезаписан настоящей копией из BIOS.

Adonai ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.