Жук в ноутбуках?
Наткнулся на страшную страшилку[link1] или что-то в этом есть?
... Теперь постараюсь буквально коротко ответить всем трукрептистам – не поможет. И вот по каким соображениям.
1. Ещё несколько лет назад в некоторых лаптопах были обнаружены средства протоколирования всего, что вы вводите с клавиатуры. Например, читайте здесь и здесь. Потенциально – это большие возможности. Но это – короткая история, начавшаяся в 2000 году и получившая продолжение в 2005 и продолжающаяся сейчс.
2. Сегодня практически на всех лапторах (и не только) в биос встраивается computrace. Перечень лаптов с предустановленным computrace – здесь или здесь. Нашли свой лаптоп в списке?!
Смысл простой – когда вы загружаете ОС – то в момент загрузки (!!!) в неё внедряется программа, которая при подключении к сети вашего лаптопа вне зависимости от вашего желания может передавать данные на удалённый сервер. Это – реальность ...
Ссылки
[link1] http://live.cnews.ru/forum/index.php?showtopic=52743&st=275&p=856834&#entry856834
[link2] http://www.techspot.com/vb/all/windows/t-68882-Rpcnetexe--explained-and-work-around.html
[link3] http://www.freakyacres.com/remove_computrace_lojack
[link4] http://www.absolute.com/laptop-security-solutions.asp
[link5] http://www3.intel.com/cd/corporate/pressroom/emea/rus/archive/2008/410740.htm
[link6] http://www.absolute.com/products-bios-enabled-computers.asp
[link7] http://www.absolute.com/products-core-technology.asp
[link8] http://www.google.com/search?hl=ru&q=+Intel+vPro
[link9] http://newsdesk.pcmag.ru/node/13228
[link10] http://en.wikipedia.org/wiki/Intel_vPro
[link11] http://en.wikipedia.org/wiki/Intel_Active_Management_Technology
[link12] http://note.mnovosti.ru/news/23428.html
[link13] http://en.wikipedia.org/wiki/X86_virtualization#Intel_Virtualization_Technology_for_x86_.28Intel_VT-x.29
[link14] http://en.wikipedia.org/wiki/Trusted_Execution_Technology
[link15] http://www.rom.by/article/Birus-y_Chast_vtoraja
[link16] http://www.rom.by/article/Birus-y_Chast_pervaja
[link17] http://www.xakep.ru/post/47622/default.asp?print=true
[link18] http://www.xakep.ru/post/47673/default.asp?print=true
[link19] http://www.xakep.ru/post/44663/default.asp?print=true
[link20] http://en.wikipedia.org/wiki/Joanna_Rutkowska
[link21] http://ru.wikipedia.org/wiki/NTP
[link22] http://www.google.com/search?ie=windows-1251&oe=windows-1251&q=anti%2Brootkit%2Bbios
[link23] http://theinvisiblethings.blogspot.com/2006/08/blue-pill-detection.html
[link24] http://www.antirootkit.com/blog/2006/11/19/rootkits-on-your-soundcard-could-be/
[link25] http://www.xakep.ru/post/46650/default.asp?print=true
[link26] http://www.xakep.ru/post/46783/default.asp?print=true
[link27] http://www.xakep.ru/post/48137/default.asp?print=true
[link28] http://www.xakep.ru/post/48253/default.asp?print=true
[link29] http://www.insidepro.com/kk/046/046r.shtml
[link30] http://www.xakep.ru/post/45578/default.asp?print=true
[link31] http://www.rom.by/article/Birus-y_Chast_tretja
[link32] http://www.openbios.org
[link33] http://www.coreboot.org
[link34] http://www.coresecurity.com/content/Deactivate-the-Rootkit
[link35] http://manpages.ubuntu.com/manpages/karmic/man1/phnxdeco.1.html
[link36] http://www.amdclub.ru/content/view/19420/91/
[link37] http://forum.ru-board.com/topic.cgi?forum=81&topic=3537&start=2740#5
[link38] http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/install-steps.html
[link39] http://efix.su/about-efix
[link40] http://www.pgpru.com/comment31223
здесь[link2] есть инфа некотрая
и тут[link3]
По поводу первого пункта – сходите по ссылкам и прочитайте. Первая (2005й год) – рассказ о том, как человек нашёл у себя в ноутбуке апаратный кейлоггер и что это связано с государством. Второе "здесь" – просто обзор аппаратных кейлоггеров. Никто их ни в какие ноутбуки на заводе не прятал – просто в магазине продаются. Человека попросили, он взял, посмотрел, написал обзор (2000й год). Там же есть пометка, сделанная позже – "кто-то взял кусок моего обзора с фотографиями и слепил из него страшилку про кейлоггеры в ноутбуках". И, правильно, ссылка на первый материал. Фотографии одинаковые, тексты почти одинаковые.
Про второе интереснее – некая computrace существует[link4], выпускается компанией Absolute Software. С ней действительно сотрудничают производители ноутбуков[link5]. Надеюсь, кто-то расскажет про это подробнее. Пользуясь случаем, передаю привет счастливым пользователям Linux, каковым и сам являюсь
Чушь.
Это в основном производители ноутов бизнес-класса и используемых в армии. Со списком[link6] можно ознакомиться на сайте компании.
В списке почти все доступные модели :(
А эта хрень работает только из под винды или она кроссплатформенная? Может ли она самостоятельно передавать к примеру MAC после подачи питания?
Моего ноута там нет. :-)
Systems Supported[link7]
Computrace is supported on 32-bit versions of Windows 2000, XP, Windows Server 2003 and all 32 and 64 bit editions of Windows Vista. Computrace is also supported on the following Apple platforms; Mac OSX 10.3, 10.4 and 10.5.
На самом деле довольно много моделей ноутбуков...
Есть ещё такая штука как Intel vPro[link8]. Пока в корпоративном секторе.
©[link9] типа долго винду не юзал, потом загрузил и бац – ноут намертво залочен :-)
Вообще, пишут, что по умолчанию Computrace задизейблен (так ли это на самом деле в продаваемых ноутбуках – не совсем ясно):
©[link6]. И ещё, якобы он в принципе может работать на процессорах не старее чем core2 либо centrino.
Про vPro есть в вики[link10]. Конкретнее, "фича" называется AMT[link11]:
Если что, даже AMT можно отключить:
А насчёт того, насколько ноуты с vPro "бизнес", судите сами – вот пример[link12]. Имхо, банально-обычные типовые ноуты следующего поколения, будут в активном обиходе через несколько лет. Здесь важно то, что сама технология уже существует, является, как пишут, OS independent, и может работать на современных архитектурах: как на ноутах, так и на обычных PCюках.
Ну а потом на бюджентых моделях "в целях удешевления" (джампер ведь тоже денег стоит) и "упрощения сервисного обслуживания" возможность отключить отключат. А народу ведь главное, чтобы было подешевле.
Какое-то время с этим можно будет бороться прошивкой LinuxBIOSa/OpenBIOSa. Правда с поддержкой ноутов там не очень.
А эту Computrace можно залочить? И еще не могу понрять: "когда вы загружаете ОС – то в момент загрузки (!!!) в неё внедряется программа, которая при подключении к сети вашего лаптопа". Как это нечто может внедриться в Linux, например?
О виртуализации слышали?
Ну почему только она. АМТ позволяет производить удалённый доступ к выключенному компьютеру в отсутствии владельца. А дополнительно в vPro есть ещё Intel Virtualization Technology (Intel VT)[link13], которая позволит через гипервизор вести скрытое наблюдение и даже вмешательство непосредственно в прцессе работы (например отказ в запуске запрещённой программы), а Trusted Execution Technology (TET or TXT)[link14], тоже входящая в Intel vPro, не позволит вам подменить гипервизор и даже разобраться в его работе, поскольку код его будет зашифрован.
Вместе с тенденцией переноса вычислений в интернет (предоставление программ в виде сервисов), так что без подключения к сети ничего содержательного сделать будет нельзя, вырисовывается весёленькая перспектива.
Ещё сюда можно добавить обязательную биометрическую аутентификацию и носители информации с чем-нибудь типа HDCP, обязательно сохраняющие идентификационные данные, а также аналогичный формат сетевого пакета.
В общем, учите Эзопов язык, господа.
Можно ссылочку про виртуализацию?
http://ru.wikipedia.org/wiki/Виртуализация
А вот этот[link15] северный лис потолще будет. Вирусы в BIOS – "бирусы[link16]".
Современные материнские платы не имеют физических переключателей (перемычек), запрещающих запись в BIOS, , свободного места в современных биосах – несколько мегобайт, да и
Особенно не повезло владельцем процессоров INTEL От этого не спасает даже виртуализация
Также см. Атака на Intel Trusted Execution Technology №1[link17] и №2[link18]
Пояснение: "Режим системного управления (System Management Mode, SMM) – самый привилегированный режим выполнения на процессорах архитектуры x86/x86_64, даже более привилегированный, чем режим "ring 0" и аппаратный гипервизор (VT/AMD-v), известный также, как "ring -1".
Позволяет осуществлять доступ ко всей системной памяти, включая ядро и память гипервизора. Стандартные механизмы защиты памяти операционной системы (Page Tables), равно как и средства виртуализации памяти гипервизора (Shadow Paging, Nested Paging/EPT, IOMMU/VT-d) не срабатывают против кода SMM.
Кроме того, на процессорах Intel код SMM может "перехватывать" даже гипервизор VT-xсякий раз, когда поступает запрос на SMI-прерывание. Для гипервизора же существует способ установить специальный логический объект (назваемый выше SMM-handler), позволяющий перехватывать SMI-прерывания"
О SMM можно почитать тут[link19]
Можно, как минимум двумя способами. Прямым – с помощью чтения BIOS на программаторе, или косвенным – путем обнаружения изменений производимых вражеским кодом.
Не читайте по утрам советских газет, читайте мануалы Intel. Если кто-то называет гипервизор уровнем r1, то это безграмотный идиот, который ассемблера в глаза не видел. r0-r3 – это уровни привилегий задачи (CPL), которые определяют доступ к дескрипторам в IDT и GDT, доступ к памяти в PTE и к портам ввода-вывода (IOPL). Также некоторые команды могут быть выполнены только при CPL=0.
Операционные системы из этих четырех уровней используют только два, r0 и r3, так как оказалось что больше нафиг не нужно.
Вы бы постыдились давать ссылку на, мягко говоря, не самый компетентный ресурс.
И много ли народу склонно этим заниматься? А вот просто скачать и запустить антивирус (и даже антируткит) не получится. Это уже совсем не для средних умов. На диске ведь может и не быть никаких изменений, а в работе процесс с наивысшим приоритетом может изменения маскировать.
Вы не обратили внимание на чёрточку перед 1. Это минус. -1. И вопрос не в названии
титула, а у кого привилегий больше.Так там, внутри статьи, есть ссылки на более компетентнные ресурсы. А этот сайт – популяризирующий.
Кстати ссылка выше "Атака на Intel Trusted Execution Technology" на тот же самый "не самый компетентный ресурс" – переводная статья Рутковсткой и Ко, переврод, на мой взгляд, хороший.
зы
"Из Назарета может ли быть что доброе?"
– действия, направленные на унижение достоинства материала по признаку происхождения, совершенные публично.
Был бы это не текст, а человек – подпали бы под статью 282 :)
Joanna Rutkowska[link20], Rafal Wojtczuk. Attacking Intel® Trusted Execution Technology.
http://invisiblethingslab.com/resources/bh09dc/Attacking%20Intel%20TXT%20-%20paper.pdf
Есть ли программные средства детектирования(блокирования) таких штучек?
На уровне ОС их по определению быть не может.
Саттва, и что даже делать тупым или не очень продвинутым пользователям, а также очень продвинутым программерам, когда у них нет под рукой программатора?
Я таких терминов не знаю и знать не хочу. Для всего, что касается архитектуры x86 для меня один авторитет – Intel, а вы что-то называете не так, как оно называется в официальных мануалах, то не удивляйтесь, что вас могут не понять.
Получится. Есть косвенные способы обнаружения конкретных действий, которые должен выполнять гипервизор. Например гипервизор для AMD-V должен перехватывать чтение MSR_EFER, чтобы скрыть себя, а значит время выполнения rdmsr увеличивается как минимум на порядок. Конечно гипервизор может скрыть задержку перехватывая все таймеры в системе, но это не поможет против человека с секундомером в руках, или против измерения времени на стороне доверенного сервера.
Т.е. алгоритм обнаружения гипервизора такой: посылаем UDP пакет на сервер, вызываем rdmsr стотыщмильёнов раз, посылаем второй UDP пакет на сервер. Сервер меряет разницу времени прихода пакетов, пересчитывает производительность rdmsr относительно частоты процессора исследуемой системы, и делает вывод о наличии/отсутствии гипервизора.
Тоже самое можно сделать локально, с помощью оператора с секундомером в руках.
Может, ещё как может. Даже безошибочно написанный гипервизор может быть обнаружен путем использования неподконтрольного ему измерителя времени. Таким источником может быть что угодно, от прерываний всякого разного железа, которое гипервизор не может контролировать ввиду его большого разнообразия, и заканчивая оператором с часами.
Если же гипервизор содержит ошибки, то его можно обнаружить по изменению поведения процессора относительно эталона. Мерять можно всё: поведение TLB, кэша, искать сброс конвеера на прерывании гипервизора, и много чего ещё. Написать гипервизор не поддающийся обнаружению по таким признакам – это уже мегазадача.
Спасибо за развёрнутый ответ.
И очень скоро все они будут выдавать true на любом новом железе. ;)
Вот бы руки у кого дошли отписать такой софт....
Похоже я только, судя по описанной симптоматике, поймал бируса через VirtualBox 3 от Sun: первые два раза после попытки запустить винду под ней (записанную на виртуальный диск под virtualnbox-ose 1.6, правда, может в этом дело?) – "зависала" и виртуалка, и физическая машина (под линуксом), пришлось пару раз выключать через выключение питания, некорректно.
А в третий раз ваще сама выключилась (физ. машина) и перегрузилась...
Что же мне теперь делать, о ужос?!
Люди, не надо опять фантазировать. Какие UDP-пакеты? Не проще ли сделать так, как делали наши деды: взять правильный BIOS, загрузиться с него, взять CD с правильной ОС, загрузиться с него. Зачем вам вообще обнаруживать вирусы, вы в лаборатории Касперского работаете?
В режиме SMM не надо ничего перехватывать, его и так не видно. :) Да, таймер останавливается, но чем меньше этот простой, тем труднее его обнаружить.
Производительность ведь зависит не только от частоты процессора, но также от характеристик памяти и её контроллера, а также и многих других микросхем в компьютере. Трудно будет заранее вычислить эталонные характеристики разнообразных их сочетаний, особенно учитывая асинхронные варианты. Нестабильность задержек передаваемых по сети UDP пакетов окончательно сведут усилия в этом направлении на нет. А если для проверки времени на месте нужно будет специальное высокоточное оборудование, уж тогда лучше обычный программатор.
И речь ведь идёт не об обнаружении гипервизора, а об обнаружени модификации поведения БИОСА. Причём отличие времени от эталонного поведения может быть как угодно мало, например несколько дополнительных команд для выявления "ключевой ситуации" (и, например, установление системных привилегий создавшему такую ситуацию). И даже вообще 0, если удастся оптимизировать по времени исходный вариант.
Более того, То есть вся эта нетривиальная проверка биоса должна проводится регулярно.
Это термины Джоанны Рутковской со товарищами (нашедших более 40 уязвимостей в обработчике SMM). Они (термины) как-бы намекают на то, что есть более высокоприоритетные режимы, чем ring 0.
(Цитаты по ссылке выше[link15] )
Ровно до тех пор, пока нам не понадобится сделать оттуда осмысленное действие, например перехватить какое-либо прерывание. Правда дело осложняется тем, что SMM любят использовать в ноутбуках для управления питанием и для эмуляции legacy устройств, но это всё можно вырезать пропатчив BIOS.
Производительность конкретных команд (rdmsr/wrmsr) зависит от частоты и модели процессора, и ни от чего более, они к памяти не обращаются и с внешними устройствами не работают. И разница в их производительности под гипервизором и без него будет на порядки, перепутать трудно.
Какого порядка эта нестабильность? Секундная точность – хорошо. У вас пинг больше секунды – тогда увеличим время теста, и нам хватит внешнего таймера с любой точностью. С каждой новой итерацией теста вносимые гипервизором задержки накапливаются, а требования к точности измерения понижаются.
Всё, дальше можно не читать. Рутковская с сотоварищами мне по барабану, и знать их термины я не должен.
Протокол NTP[link21] даёт точность до 10 миллисекунд.
Возможно, имеет смысл создавать в интернете базу "профилей задержек", в которую можно было бы внести профиль своего компьютера после покупки и затем периодически сравнивать в прцессе эксплуатации.
Теоретически гипервизор может подделывать NTP пакеты перехватывая прерывание сетевой карты. ИМХО для надежности нужен протокол с аутентификацией. И ещё гипервизор может пропатчить код антируткита таким образом, чтобы он выводил отрицательный результат независимо от результата измерений. Тут, к сожалению, поможет лишь засекречивание кода антируткита и его ограниченное распространение.
Ну что вы к гипервизору привязались,
Чтение скан-кодов нажатых клавиш из контроллера клавиатуры – осмысленное действие? Много времени займёт? Много следов оставит? А долгие и заментые осмысленные действия не надо производить всё время, а лишь при соблюдении условий, проверка которых коротка и незаметна.
Почему вы с ней так сурово?
Кто/что определяет ваш долг? Разве не вы сами? Но почему вы думаете, что и другие должны то же, что и вы?
http://en.wikipedia.org/wiki/System_Management_Mode
http://www.gmer.net/ тулза антируткит
DDRTL а этот антируткит BIOSовские вирусы обнаружит?!
А что-нибудь подобное для Linux есть?
http://www.antirootkit.com/software/index.htm
http://rootkits.su/app/
google:anti+rootkit+bios[link22]
Внимание! Иногда под видом антивирусов распространяют вирусы!
К сожалению нет, но от прочих да...
http://www.rom.by/article/Birus-y_Chast_pervaja
http://ru.wikipedia.org/wiki/Rootkit
Да так, к слову пришлось.
Да, SMM кейлоггер выйдет вполне незаметным, и в принципе он может записывать данные в флеш. А вот незаметно отправить по сети уже не выйдет. Впрочем, как уже было ранее сказано, мучает паранойя – юзайте программатор. Не хватает денег купить – соберите.
Да немного напрягает поднятый ей шум насчет её "необнаружимого" BluePill, большую часть кода которого не она писала, и который необнаружим только в строгих рамках поставленных ею же условий.
http://theinvisiblethings.blog.....-pill-detection.html[link23]
А вот мы думаем про материнки, а про модемы, звуковые карты, видеокарты, сетевые карты забываем между прочим, а ведь они тоже могут стучать о_0
Забавно: когда наушники в ушах, звуковая ловит помехи и слышу все перемешения изображения на экране (LCD)...
386DX? Правильный хакер паяет компьютер из транзисторов!
LCD тут ни при чём, это через материнскую плату наводки – электролит в конденсаторах фильтров сохнет...
Без собственного производства микросхем о суверенитете страны можно забыть. Совсем не обязательно Core Duo делать, хватило бы просто чего-нибудь для текстового редактора с шифрованием...
Rootkits on your Soundcard? Could be![link24]
В контекте изложенного про бирусы, опасна ли технология VT (и аналогичная amdшная технология, не помню как называется)?
В смысле можно ли модифицируя БИОС обойти VT?
Некоторые технические детали:
Проникновение в BIOS ROM №1[link25] и №2[link26], то же для SPI Flash №1[link27] и №2[link28]
BIOS-моддинг[link29]
Программно-аппаратные угрозы[link30]
Birus-ы. Часть третья.[link31]
К сожалению, эти механизмы защиты реально не используется разработчиками BIOS и материнских плат. ссылка[link25] выше.
У меня сегодня в выводе dmesg появилось такое:
Это не оно самое, не бирус?!
Computrace – распространённый вирусный троян, есть в 80% новых лаптопов, является клиентской частью сервиса по возврату компьютеров, при загрузке новой-чистой системы скачивает и устанавливает свою полную версию, на данный момент поддерживает все ОС (в т.ч. MAC OS), кроме Linux.
Absolute Software – динозавр этого сервиса, первые версии выпускала больше десяти лет назад, они тогда ещё по диалапу сами звонили... Где-то годов пять назад выпустили новую версию, которая в замен предыдущей, ныкающейся в MBR – перебралась в BIOS. После подписания соглашения с Phoenix, AMI и другими вендорами по изначальному включению их агента в новые биосы новых лаптопов (хотя можно и добавить в старые) – можно смело считать, что эта зараза имеется у большинства счастливых обладателей современных лаптопов.
Именно так – подменяется scandisk на свою версию.
Это почему?
Одно(дву) значно – да!
В NT никогда небыло scandisk, есть chkdsk и autochk. К тому-же нихрена он не подменит, если диск зашифрован.
Потому что несанкционированную передачу данных можно гарантированно обнаружить на маршрутизаторе. Я таким образом проверял на вшивость виндовые сборки, вел полный лог пакетов и смотрел нет ли там чего лишнего.
А если у лаптопа отсоединить батарею – ещё более точно никто ничего никуда не передаст. :)
Предполагалось, что разговор идёт не о "препарации экспериментальных экземпляров в условиях лаборатории", а об обычном домашнем компьютере обычного отдельно взятого юзера, не вооруженного маршрутизаторами, паяльниками и программаторами...
А как бороться с этим злом?
Обычный юзер ни за что не найдет обычного шпионского трояна, который написан достаточно хорошо, чтобы не обнаруживаться антивирусами. Поэтому я отталкиваюсь от возможностей грамотного параноика, готового потратить некоторое количество времени и денег на обеспечение своей безопасности.
cbrom, modbin + BIOS флешер от производителя мамки. Хотя обычному юзеру лучше в BIOS руками не лезть, ибо запорет.
Для этого нужно знать, как выглядят все "санкционированные" передачи всех установленных на компьютере программ, и то не факт, поскольку (б/в) ирус может подделать свою передачу под что-нибудь разрешённое, особенно если оно шифрованное. Типа стеганография ;)
После перепрошивки откусить у FLASH-чипа ножку разрешения записи.
Ну так не зря исследование проводится в контролируемой обстановке и только с специальным софтом, который генерирует строго определенный трафик по множеству стандартных протоколов.
А если вирус неглуп, то обнаружив, что находится "в контролируемой обстановке и только с специальным софтом", он может и помолчать.
Вернее даже так: "говорить" он будет только при запуске того софта, чей "голос" он может подделать.
Используемый для исследования софт он не сможет обнаружить, потому что это приват, который пишется для узкого круга пользователей, и никому больше не даётся. Ограниченное распространение – единственный способ защитить антируткит от целевых атак.
Это слишком сложно, чтобы было надежным. Мы проверяем на наличие массовых троянов, а не на бекдор написанный специально для вас и под используемый вами софт. Если вы опасаетесь высокобюджетных и направленных лично лично на вас атак, то следует отталкиваться от сбора системы из заведомо безопасных компонентов. Т.е. юзаем железо и софт, проверенные вашей службой безопасности, и юзаем всё это только в специально оборудованных помещениях и под надежной охраной, а то, знаете ли, данные можно получить без всяких шпионских штучек, путем взлома пользователя грубой силой.
Для массовости достаточно уметь эмулировать часть torrent-протокола (в нем есть опция шифрования). Можно ещё добавить skype. Ну и среди браузеров, думаю, можно замаскироваться.
Учтите, что четырёхбуквенные компании копирастов объективно заинтересованны в создании таких вирусов.
А хотя, вряд-ли. Практика показывает, что Угроза спида сокращает промискуитет весьма незначительно, а вот претензии предъявлять будет сложнее.
Что необходимо произвести, в какой последовательности, каким образом определить шпионский модуль если таковой присутствует?
Конечно – речь шла о замене AUTOCHK. EXE. Второй добавляемый файл – rpcnet.exe.
Особенно интересна процедура проверки такой службой железа... ;)
Если речь о Computrace – просто ищем в прошивке строку "CompuTrace", правда получится, лишь ежели модуль не упакован. Ежели упакован – ищем модули типа "user", "another" и т.п., распаковываем и смотрит.
Если речь о SMM-обработчике и его дополнений – ищем и распаковываем модули, связананные с SMM, PMM и т.п. В частности, в случае упомянутого выше Award BIOS для просмотра кода SMI-handler-а это будет:
cbrom bios.bin /ygroup extract
Благодарю. А как быть с phoenixbios, тот же инструмент и методы? Насколько тривиальна распаковка?
Может вам лучше попробовать это[link32] или это[link33]. И поделиться своими изысканиями с открытыми проектами.
Лучше потерпеть немного глюков такого БИОСа и отсутствие фирменных фич от производителя.
Бывают мертворождённые проекты. Однако эти, вообще – мёртвозадуманные... :D
Это почему? Имхо, очень полезный и ценные проекты.
Если речь о повышения общего уровня грамотности разработчиков – однозначно полезны (для них). Если речь о практическом (читай – коммерческом) использовании – именно мётвозадуманные. Одноразовые пиар-акции единичных фирм и их отдельновзятых единичных систем, где сие, действительно, может вполне успешно работать – не в счёт.
п.с. Читаем новости с последней ссылки на главной странице:
Помните, были такие системы 10(!) лет назад? :)))
Ну 10 лет назад о "практическом (читай – коммерческом) использовании" Linux'а было смешно говорить :-) А ничё ведь, да? Я имел в виду полезность в том смысле, что озабоченные параноики могли бы их себе установить, когда поддержка плат будет достаточно широкой. А там, может, и какие-то фирмы начнут поддерживать, как и с Linux'ом было.
Совершенно верно, а я ж о чём? :) Ждём лет десять и тогда уж будем обсуждать – перешла ли стадия "энтузазизма" в "практическую плоскость" применимости... ;)
С такими темпами. Если только ждать и ничего не делать, а то и вовсе говорить (с высоты своего авторитета) об изначальной невыполнимости :
Лет через десять "жука" будем искать уже в собственной черепной коробке, да только поздно будет.
Дело не в разработчиках, они, как говорилось, от этого только в плюсах и для свои отдельных материнок всё могут сделать. Речь о крупных игроках, которые как и в случае линукса должны поддержать такие проекты – и деньгами и последующим постоянным продвижением. Иначе, опять же, получится "как всегда" – их постигнет удел "психов-одиночек". :)
К сожалению, сфера BIOS – не линукс, слишком серьёзна "железная составляющая". Intel уже сделал ставку – на EFI. У Phoenix, AMI сотоварищи желания поддерживать такие биосные проекты – явно не появится. :) Кто другой сможет захотеть планомерно (глобально) поддержать подобные проекты, не побоявшись испортить отношения с биосписательными мажор-брэндами – сложно сказать. У китайцев есть своё, у индийцев – есть AMI, а кто ещё? :) Все зависят. Так что, опять же, всё же – "мёртвозадуманные". :)
Проект открытого БИОСа основан и первоначально финансировался национальной Лос-Аламосской лабораторией и департаментом энергетики США — двумя организациями, непосредственно участвующими в разработке и поддержании арсенала ядерного оружия в том числе. Видимо им стыдно стало заниматься такими важными вещами на потенциально протрояненных китайских БИОСах, а новые компьютеры, нужные им для работы в основном с документацией, не так принципиально необходимы.
Кто-нибудь юзал открытый БИОС, какие результаты?
Возвращаясь к изначальной теме, вот работа с BlackHat-2009:
http://www.coresecurity.com/co.....activate-the-Rootkit[link34]
А что такое китайский BIOS? ПО? Микросхема? Не верю, что американцы уже разучились ПО писать.
Нашёл, здесь[link35]:
Окромя "бирусов" есть и прочая подобная:
О противодействии руткиту Computrace
Собственно, отредактировать двоичный образ можно любым HEX-редактором.
Что касается технологии vPro, то для неё помимо микропроцессора ещё нужна поддержка на чипсете.
Которая стоит дополнительных денег. Так что её вставляют даже далеко не на все бизнес-десктопы.
Что касается бирусов, нашел такое применительно ко фре:
http://www.freebsd.org/doc/ru_.....k/install-steps.html[link38]
FreeBSD не использует BIOS, и не знает о логическом отображении дисков в BIOS.
Бирусы фре не страшны?!
Оригинально. Да будет вам известно, что это так почти для любой ОС. Чтобы "бирус" работал, поддержка ОС не нужна (чти коменты к топику).
EFI-X[link39] – аппаратный загрузчик, он не вредим вирусами и другими вредоносными программами.
Угу, оттуда же с сайта: Проприетарный rootkit мне же и за мой счёт? За что? Уберите ссылку на этот маркетоидный бред.
Да вообще-то эта штука употребляется для превращения компьютера в Apple-совместимый.
Ну по-настоящему защиенным ноут с такой дырой как биос быть не может. Вот http://www.coreboot.org это достаточно удобная замена для него + пароль может требовать на загрузку и шифровать вообще все – от инициализации железа до полного шифрования прошивок других микросхем (сетевая карта, и прочее) и диска конечно. Единственная проблема – он не поддерживает ноутбуки ввиду использования в них дополнительных микросхем EC (Embedded Controller). Поэтому если хотите такую штуку и у себя на ноуте – помогите проекту. http://www.coreboot.org/Laptop
Сам использую на домашнем компе ASUS A8N-E. А сейчас работаю над добавлением поддержки Dell Vostro V13. Когда сказали что линуксу в биосе не место – это правильно. Только вот незадача – coreboot не содержит кода Linux. Он просто может загружать ядро сразу без всякого лишнего. Но не одним линуксом он живет. Да и размер его получается около 250 Кб, при обычно доступных микросхемах на 2МБ. Проект шевелиться, в этом году участвует в программе Google Summer of Code.
Если уж хотите помочь проекту – то лучше не говорить что он "мертворожденный". Скорее EFI – ненужная вещь, избыточная по сути.
Помощь может быть такой – Посмотрите какое железо используется в ноуте – чипсет + Super I/O чип + EC чип (может быть встроен в Super I/O) + флеш-микросхема. Сделайте дампы (все утилиты желательно брать с свн):
lscpi -nnvvvxxxx
lspnp
dmesg
dmidecode
biosdecode
superiotool
ectool
inteltool
flashrom -V
Надеюсь на отклик :-)
P. S. Будет конечно очень хорошо если при этом еще и даташиты на super i/o и ec найдете.
Если кто будет делать – можете дампы слать в рассылку coreboot@coreboot.org или (что более предпочтительно) на мою вики http://wiki.xvilka.org/index.php?title=Main_Page – добавите страничку вниз со своим ноутом и по образу и подобию напишете про свой.
[moderator]
XVilka, убедительная просьба не кросс-постить сообщения в разные темы. Если так уж сильно надо, запостите сообщение в одну тему, а в других дайте ссылки на него.
[/moderator]
Хорошо, извиняюсь, больше не буду...
кошмар
The Computrace anti-theft system also has the capability to read Bit-
locked file systems on Windows
тут нахожу свой асер http://www.absolute.com/products/bios-compatibility
получается что моя 7 + битлокер уязвима на все 100
только вот не пойму каким образом жук стучит на сервер? Постоянно раз в месяц или как?
Шпионский функционал, бэкдоры и уязвимости в проприетарных крптографических программах – не исключение, а самое основное присущее свойство. Доверие проприетарному closed source продукту от коммерческой компании равносильно отсутствию защиты, тем более если это MS. Наверное, с той же частотой, как если бы битлокера и не было :)
немного непонятно как компутрейс читает битлокер файл систем
при уже включённом компьютере или из биоса?
На включенном, надо полагать, через резидентного агента.
Граждане, не особо разбираюсь в технической стороне разговора, но знаю что эта дрянь живет у меня на ноуте Asus в виде rpcnetp.exe! Неужели никак не убить это втрожение??!!! Само осознание что мой лаптоп, кем-то еще контролируется вызывает очень неприятные ощущения!
А смысл? На этой стадии:
все, что бы вы не предприняли, уже не поможет и не даст вам ощущения душевного покоя, это уже не излечимо. Выход может быть только один – unix-like.
И даже более того – ОpenBIOS-like!
Товарищи, я написал в "Абсолют Корпорэйшн" письмо о об устранении своего шпиона.
Вот что они мне накалякали:
"Hello Renat,
Can you please provide me with the serial number of the laptop and receipt of the laptop."
Им нужен мой серийник и ... receipt of the laptop – вот это что? ПОлучение ноутбука. Что это значит, подскажите, кто знает. Спасибо.
Понял, это чек о покупке, конечно же он у меня не сохранился))
Палитесь =)
Получатель лаптопа, т.е. покупатель.
Да и соберите себе уже ядро без поддержки TXT и прочего бэкдора.
Это receiver of the laptop :) А receipt это именно что чек/квитанция.
а скажите пожалуйста, что делаеться с потоком такой инфы? ведь это сколько ноут используеться в мире? и все это куда? до лучших времен? а вдруг пригодиться? а анализ всего это кто и когда будет делать?
на что расчет? что злоумышленик0террорист будет писать открытым текстом про свои планы(называя все своими именами) и передавать все это через инет открытым видом.. или планы о наркотраффике.. как то все это..
Да заеб..ли они уже этот Абсолют йо..ный!
Собираемся купить нетбук моей жене. Я вот думаю какой фирмы взять, чтобы этот Абсолюта там не было.
И вообще, что интересно, в поисковике очень мало инфы про то что в ноуты внедряют шпиона от Computrace. Все об этом знают и ничего не предпринимается. Как в СССР секса не было, а все им занимались))))
На форуме Асуса есть пару постов и очень сырых на эту тему, тожы как-будто нет нечо. Нет слов вообщем.
НАдо брать ноут видимо той фирмы, с которой у Абсолюта нет партнерства.
КО как бы намекает, что 95% не знает, что в их ноутах есть операционная система.
"Да и соберите себе уже ядро без поддержки TXT и прочего бэкдора." – вот это на каком языке сказано?))
Буквы вроде русские...
Имелось ввиду
Intel Trusted Execution Technology
/comment31223[link40]
dj taner, как успехи?
Гость, них.. никаких успехов. Предоставил некоторые сканы док-в (от безысходности: диски драйверов, руководство пользователя, серийник) на ноут, без чека. Попросил убрать контрольные программы. 4 дня прошло – тишина и таск менеджер уже не видел эти процессы, обрадовалсо, думал окатили свое дерьмо. Не тут-то было.
Пасатрел вручную C:\Windows\System32 – вот они родные деся..((((
Черти йоб..е чо щас делать. Я щас должен перед кем-то отчитываться за ноут, купленный за свои кровные.
МОжыт в asus отписать, хотя видел пост в сети, чувак с такой же проблемой отправил письмо в асус. Они: "мы не в курсе что у вас, мы ни с кем договора не заключали о контроле наших продуктов". ЗАмкнутый крух...
В абсолюте – синим по белому Asus
Вы, главное, не молчите. Чем больше народу об этом узнает, тем с этим легче будет бороться!
И чего только не придумают люди, чтобы не ставить себе Linux...
Товарищи, знатоки! Linux решит проблему обсуждаемую на 8 страницах?
Пренепременнейше.
Только нужно уточнить у тов.unknown о ядре в целом и наличии CONFIG_INTEL_TXT в ядре выбранного вами дистра.
в принципе, если подумать, конторка отдаст ваши данные только пентагону или фбр
может это не такая большая проблема?
На
8ми9ти страницах, если их прочитать, указывалось, что бяка работает только под виндой — раз, та бяка, что работает везде, есть только в бизнес-ноутах. Так что обсуждение как раз и закончили на том, что перспективы не радуют, но пока бояться сидящим на opensource-системах нечего. Я что-то не так понял?А чо бл..ть лаптоп Asus K59IJ, обладателем которого я являюсь – бизнес ноут!??
Вы окончательно спалились =)
BrainSlug,в чем спалилсо то))) Я не вор, законов не нарушал))))
asus k50ij – я имел ввиду
Фбр закроет в гуантаномо, но это ерунда по сравнению с тем на что способен Пентагон.