Угроза из BIOS

0

1

https://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS

/*Современный EFI BIOS может содержать до нескольких сотен специальных EFI-драйверов, EFI-приложений и других модулей, упакованных в некого рода файловую систему. Мы обнаружили, что один из таких модулей являлся EFI-приложением или дополнительным ROM с Computrace агентом внутри.*/

Интересно, а под linux у них модуль соответствующий имеется? Мало ли понадобится в сетку какой-нибудь нелояльной страны влезть, а там Мюнхен.

Ссылка

←	Вымпелком игнорирует проблему, что делать?

Вот принес посмотреть ШГ из kde5

→

я в музее видел окаменевшие клочки этого бояна

registrant
(15.05.14 09:40:24 MSK)

Ссылка

А вот не чего брать EFI. Юзайте калькуляторы, как я.

Deleted
(15.05.14 09:41:49 MSK)

EFI не нужен.

Lincor
(15.05.14 10:06:41 MSK)

Ссылка

Computrace

Computrace это программа для поиска украденных ЭВМ? В EFI? А где вы ожидали её увидеть?

Camel ☕☕☕
(15.05.14 10:12:01 MSK)

Ответ на: Computrace от Camel 15.05.14 10:12:01 MSK

Но она ведь не спасёт если у вора Линукс, так?

Adonai
(15.05.14 10:22:51 MSK)

Вот делают сейчас открытые прошивки для роутеров. Ставим и всякие длинковские бэкдоры идут лесом. http://habrahabr.ru/post/197314/

А вот для биос-а открытыми прошивками никто не заморачивается?

Dfg
(15.05.14 10:58:43 MSK) автор топика

Ответ на: комментарий от Adonai 15.05.14 10:22:51 MSK

Дело в воре, не в Linux'е

Но она ведь не спасёт если у вора Линукс, так?

Она не спасёт если вор знает что делает, с чем имеет дело. При чём здесь Linux не могу понять.

Camel ☕☕☕
(15.05.14 10:59:14 MSK)

Страница 26 https://cc.absolute.com/Documents/GuidesAndTips/AgentInstallGuide.en.pdf

XVilka
(15.05.14 10:59:36 MSK)

Ссылка

Ответ на: комментарий от Dfg 15.05.14 10:58:43 MSK

http://coreboot.org

XVilka
(15.05.14 11:00:31 MSK)

Ссылка

Ответ на: комментарий от Dfg 15.05.14 10:58:43 MSK

Coreboot

А вот для биос-а открытыми прошивками никто не заморачивается?

Coreboot. Достигнут некоторый весьма ограниченный успех, до охвата оборудования и возможностей как у OpenWRT vs Original Firmware как до луны.

Camel ☕☕☕
(15.05.14 11:01:19 MSK)

Ответ на: комментарий от Dfg 15.05.14 10:58:43 MSK

А вот для биос-а открытыми прошивками никто не заморачивается?

Совсем недавно даже тут ржали «Ха-ха, Столлман боится использовать закрытый биос»

goingUp 😊😊😊😊😊
(15.05.14 11:34:59 MSK)

Ссылка

Ответ на: Coreboot от Camel 15.05.14 11:01:19 MSK

А много ли там нужно? Посмотреть базовую инфу датчиков/железа? Выставить порядок загрузки?

Coreboot'чики молодцы. А сейчас почти каждую неделю рапортуют о добавлении поддержки очередного железа. Если взлетит, буду очень рад.

Adonai
(15.05.14 14:47:55 MSK)

Ответ на: Дело в воре, не в Linux'е от Camel 15.05.14 10:59:14 MSK

Софт от Absolute Software только под Windows. Теоретически, даже если вор не знает, с чем имеет дело, но любит Линукс, то не спасёт.

Adonai
(15.05.14 14:50:33 MSK)

http://www.computerra.ru/87091/badbios/
Вообще страшная вещь. Распространяется с помощью звука, заражает биос.

naszar
(15.05.14 15:04:12 MSK)
Последнее исправление: naszar 15.05.14 15:05:12 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от Adonai 15.05.14 14:50:33 MSK

Absolute zashkwar

Софт от Absolute Software только под Windows. Теоретически, даже если вор не знает, с чем имеет дело, но любит Линукс, то не спасёт.

Поясните как это работает. Вор включает ноутбук, загружается ШINDOШS, Computrace от Absolute Software достукивается до интернетов, ищет себя в списках пропавших, если находит, то сообщает свой IP (ну и прочие координаты, какие найдёт). Так?

Я думал Computrace достукивается до интернетов без участия ОС.

Camel ☕☕☕
(15.05.14 15:05:35 MSK)

Ответ на: Absolute zashkwar от Camel 15.05.14 15:05:35 MSK

Да, так. По ссылке автора темы tl;dr, но в конце описан сам процесс.

Поясните как это работает. Вор включает ноутбук, загружается ШINDOШS

Вместе с загрузкой винды загружается также модуль из UEFI, который подкладывает ядру свой exe в виде службы. То есть простое стирание софта не поможет - он регенерирует себя при каждой загрузке.

Но да, если вор действительно знает, с чем имеет дело, он может поставить свой пустой exe, заменяя службу Computrace, и выставить ему атрибут «read-only», таким образом модуль из UEFI не сможет её перезаписать.

Adonai
(15.05.14 15:20:40 MSK)

Ответ на: Absolute zashkwar от Camel 15.05.14 15:05:35 MSK

Сдаётся мне, товарищ выше не ведает, что несёт.

Тот же Intel Anti-Theft работает полностью на аппаратном уровне.

А Computrace на рынке не один десяток лет.

Lighting
(15.05.14 18:36:03 MSK)

Ссылка

Ответ на: комментарий от Adonai 15.05.14 14:47:55 MSK

Только вот до сих по ни на что актуальное ты его не прошьёшь.

Lighting
(15.05.14 18:36:41 MSK)

Ссылка

про кольца защиты почитай - теоретически - все что угодно можно.

swwwfactory
(15.05.14 18:39:56 MSK)

Ссылка

Ответ на: комментарий от Adonai 15.05.14 15:20:40 MSK

таким образом модуль из UEFI не сможет её перезаписать.

«модуль из UEFI» работает с файлами не через API венды, а через собственный драйвер, поэтому он вполне себе может положить болт и на атрибуты, и на ACL, и таки перезаписать.

INFOMAN
(15.05.14 19:15:13 MSK)

Ответ на: комментарий от INFOMAN 15.05.14 19:15:13 MSK

К сожалению, модуль rpcnetp.exe не имеет ни цифровой подписи, ни какой-либо иной информации, дающей возможность пользователю или системному администратору распознать в нем легитимное приложение, равно как и проверить его целостность. Мы считаем это довольно серьезным упущением в текущей реализации агента. Более того, атакующему достаточно установить атрибут «только для чтения» на модифицированном файле агента, чтобы при следующем запуске системы он не был перезаписан настоящей копией из BIOS.

Adonai
(15.05.14 20:19:48 MSK)