Угроза из BIOS

0

1

https://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS

/*Современный EFI BIOS может содержать до нескольких сотен специальных EFI-драйверов, EFI-приложений и других модулей, упакованных в некого рода файловую систему. Мы обнаружили, что один из таких модулей являлся EFI-приложением или дополнительным ROM с Computrace агентом внутри.*/

Интересно, а под linux у них модуль соответствующий имеется? Мало ли понадобится в сетку какой-нибудь нелояльной страны влезть, а там Мюнхен.

Ссылка

←	Вымпелком игнорирует проблему, что делать?

Вот принес посмотреть ШГ из kde5

→

я в музее видел окаменевшие клочки этого бояна

registrant ★★★★★
(15.05.14 09:40:24 MSK)

Ссылка

А вот не чего брать EFI. Юзайте калькуляторы, как я.

Deleted
(15.05.14 09:41:49 MSK)

EFI не нужен.

Lincor ☆
(15.05.14 10:06:41 MSK)

Ссылка

Computrace

Computrace это программа для поиска украденных ЭВМ? В EFI? А где вы ожидали её увидеть?

Camel ★★★★★
(15.05.14 10:12:01 MSK)

Ответ на: Computrace от Camel 15.05.14 10:12:01 MSK

Но она ведь не спасёт если у вора Линукс, так?

Adonai ★★★
(15.05.14 10:22:51 MSK)

Вот делают сейчас открытые прошивки для роутеров. Ставим и всякие длинковские бэкдоры идут лесом. http://habrahabr.ru/post/197314/

А вот для биос-а открытыми прошивками никто не заморачивается?

Dfg
(15.05.14 10:58:43 MSK) автор топика

Ответ на: комментарий от Adonai 15.05.14 10:22:51 MSK

Дело в воре, не в Linux'е

Но она ведь не спасёт если у вора Линукс, так?

Она не спасёт если вор знает что делает, с чем имеет дело. При чём здесь Linux не могу понять.

Camel ★★★★★
(15.05.14 10:59:14 MSK)

Страница 26 https://cc.absolute.com/Documents/GuidesAndTips/AgentInstallGuide.en.pdf

XVilka ★★★★★
(15.05.14 10:59:36 MSK)

Ссылка

Ответ на: комментарий от Dfg 15.05.14 10:58:43 MSK

http://coreboot.org

XVilka ★★★★★
(15.05.14 11:00:31 MSK)

Ссылка

Ответ на: комментарий от Dfg 15.05.14 10:58:43 MSK

Coreboot

А вот для биос-а открытыми прошивками никто не заморачивается?

Coreboot. Достигнут некоторый весьма ограниченный успех, до охвата оборудования и возможностей как у OpenWRT vs Original Firmware как до луны.

Camel ★★★★★
(15.05.14 11:01:19 MSK)

Ответ на: комментарий от Dfg 15.05.14 10:58:43 MSK

А вот для биос-а открытыми прошивками никто не заморачивается?

Совсем недавно даже тут ржали «Ха-ха, Столлман боится использовать закрытый биос»

goingUp ★★★★★
(15.05.14 11:34:59 MSK)

Ссылка

Ответ на: Coreboot от Camel 15.05.14 11:01:19 MSK

А много ли там нужно? Посмотреть базовую инфу датчиков/железа? Выставить порядок загрузки?

Coreboot'чики молодцы. А сейчас почти каждую неделю рапортуют о добавлении поддержки очередного железа. Если взлетит, буду очень рад.

Adonai ★★★
(15.05.14 14:47:55 MSK)

Ответ на: Дело в воре, не в Linux'е от Camel 15.05.14 10:59:14 MSK

Софт от Absolute Software только под Windows. Теоретически, даже если вор не знает, с чем имеет дело, но любит Линукс, то не спасёт.

Adonai ★★★
(15.05.14 14:50:33 MSK)

http://www.computerra.ru/87091/badbios/
Вообще страшная вещь. Распространяется с помощью звука, заражает биос.

naszar ★
(15.05.14 15:04:12 MSK)
Последнее исправление: naszar 15.05.14 15:05:12 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от Adonai 15.05.14 14:50:33 MSK

Absolute zashkwar

Софт от Absolute Software только под Windows. Теоретически, даже если вор не знает, с чем имеет дело, но любит Линукс, то не спасёт.

Поясните как это работает. Вор включает ноутбук, загружается ШINDOШS, Computrace от Absolute Software достукивается до интернетов, ищет себя в списках пропавших, если находит, то сообщает свой IP (ну и прочие координаты, какие найдёт). Так?

Я думал Computrace достукивается до интернетов без участия ОС.

Camel ★★★★★
(15.05.14 15:05:35 MSK)

Ответ на: Absolute zashkwar от Camel 15.05.14 15:05:35 MSK

Да, так. По ссылке автора темы tl;dr, но в конце описан сам процесс.

Поясните как это работает. Вор включает ноутбук, загружается ШINDOШS

Вместе с загрузкой винды загружается также модуль из UEFI, который подкладывает ядру свой exe в виде службы. То есть простое стирание софта не поможет - он регенерирует себя при каждой загрузке.

Но да, если вор действительно знает, с чем имеет дело, он может поставить свой пустой exe, заменяя службу Computrace, и выставить ему атрибут «read-only», таким образом модуль из UEFI не сможет её перезаписать.

Adonai ★★★
(15.05.14 15:20:40 MSK)

Ответ на: Absolute zashkwar от Camel 15.05.14 15:05:35 MSK

Сдаётся мне, товарищ выше не ведает, что несёт.

Тот же Intel Anti-Theft работает полностью на аппаратном уровне.

А Computrace на рынке не один десяток лет.

Lighting ★★★★★
(15.05.14 18:36:03 MSK)

Ссылка

Ответ на: комментарий от Adonai 15.05.14 14:47:55 MSK

Только вот до сих по ни на что актуальное ты его не прошьёшь.

Lighting ★★★★★
(15.05.14 18:36:41 MSK)

Ссылка

про кольца защиты почитай - теоретически - все что угодно можно.

swwwfactory ★★
(15.05.14 18:39:56 MSK)

Ссылка

Ответ на: комментарий от Adonai 15.05.14 15:20:40 MSK

таким образом модуль из UEFI не сможет её перезаписать.

«модуль из UEFI» работает с файлами не через API венды, а через собственный драйвер, поэтому он вполне себе может положить болт и на атрибуты, и на ACL, и таки перезаписать.

INFOMAN ★★★★★
(15.05.14 19:15:13 MSK)

Ответ на: комментарий от INFOMAN 15.05.14 19:15:13 MSK

К сожалению, модуль rpcnetp.exe не имеет ни цифровой подписи, ни какой-либо иной информации, дающей возможность пользователю или системному администратору распознать в нем легитимное приложение, равно как и проверить его целостность. Мы считаем это довольно серьезным упущением в текущей реализации агента. Более того, атакующему достаточно установить атрибут «только для чтения» на модифицированном файле агента, чтобы при следующем запуске системы он не был перезаписан настоящей копией из BIOS.

Adonai ★★★
(15.05.14 20:19:48 MSK)