18:26
9/8/2013

USA, Wielka Brytania, Australia i Nowa Zelandia zabroniły swoim instytucjom rządowym wykorzystywania komputerów Lenovo do przetwarzania informacji tajnych i ściśle tajnych. Powodem mają być bliżej niesprecyzowane backdoory zostawione na poziomie firmware’u.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

16 komentarzy

Dodaj komentarz
  1. Pamiętajmy jednak, że PC z zachodniego świata (np USA,
    Wielka Brytania) też mają błędy w firmware, część zapewne celowa
    część to przypadkowe błędy programistów. Jeśli to jest firmware
    karty sieciowej (albo urządzenia implementującego Intel AMT na
    płycie głównej), to można zdalnie włamać się do karty sieciowej.
    Karta sieciowa ma własny, niezależny procesor, pamięć ram, pamięć
    stałą na firmware, firmware. Może do systemu operacyjnego
    standardowo wysyłać komunikaty by się wyłączył, zrestartował. Ma
    swobodny, bezpośredni dostęp poprzez DMA do 16 kilobajtów pamięci
    RAM, ale już tej systemowej gdzie jest system operacyjny, programy.
    To okienko może dowolnie przesuwać, gdzie się chce w pamięci RAM
    czyli w praktyce dostęp jest do całej pamięci RAM. Czyli można
    wgrać złośliwy kod do jądra systemu (obojętnie jakiego), obchodząc
    wszelkie softwarowe zabezpieczenia, bez w ogóle możliwości nawet
    jakichkolwiek reakcji na zagrożenie tych zabezpieczeń. W ten sposób
    można unieszkodliwić nawet tak doskonałe softwarowe zabezpieczenia
    jak zestaw łat grsecurity dla jądra Linuksa, czy utwardzony
    toolchain do kompilacji. Tylko sprzętowo, na poziomie chipsetu,
    można się przed tym zabezpieczyć. Obecne zabezpiecznia w chipsetach
    są niewystarczające, a nawet jakby były to zawsze może być błąd w
    ich implementacji. Więcej np. tu:
    http://theinvisiblethings.blogspot.com/2009/03/trusting-hardware.html
    http://theinvisiblethings.blogspot.com/2010/04/remotely-attacking-network-cards-or-why.html
    http://theinvisiblethings.blogspot.com/2010/05/on-formally-verified-microkernels-and.html
    http://invisiblethingslab.com/resources/bh09usa/Ring%20-3%20Rootkits.pdf
    http://www.ssi.gouv.fr/IMG/pdf/csw-trustnetworkcard.pdf Jak dla
    mnie USA chcą przestraszyć klientów z zachodu, podając tą
    informację, by kupowali sprzęt z zachodu, z ich backdorami. Jeśli
    jesteś na terenie, na który ma wpływy USA (EU się do niego
    zalicza), to lepiej według mnie mieć sprzęt z poza terenu wpływów
    USA, czyli z Azji. Poza tym przypominam, że istnieją takie projekty
    jak coreboot, które chcą zaoferować firmware (pierwotnie dla kart
    graficznych, od dłuższego czasu nacisk jest na BIOS) w wersji open
    source. Niestety do dzisiaj ten projekt nie zapewnia wsparcia dla
    większości płyt głównych, pomimo pomocy od Google (używają własnego
    firmware w Chromebookach, by się szybciej uruchamiały). W zasadzie
    open sourcowy firmware do BIOSu i karty sieciowej, zaudytowany i
    zapewniający podstawowe funkcje, powinien zapewnić spore
    bezpieczeństwo.

    • napisałeś ładny, długi i rzeczowy komentarz, ale nikt Ci
      nie odpisał, więc pomyślałem że Ci przykro, toteż komentuję:
      przeczytałem cały i był ciekawy, dzięki

    • +1

    • Swietne linki.

    • Bez przesady. Rozumiem niebezpieczenstwo takiego skomplikowania HW+SW, ale tutaj bym sie wstrzymal z obawami (przynajmniej na dzis dzien). Co z tego, ze dana karta sieciowa ma dostep (przynajmniej teoretycznie) nawet do calego RAM-u ? W dzisiejszych komputerach, zwlaszcza tych wielokorowych/wieloprocesorowych (czyli obecnie wiekszosci) jesli uzytkownik uzywa duzej czesci ich mocy, to pamiec RAM jest swap-owana caly czas. Tylko niewielka czesc danych jest w danym momencie w RAMie. Kazdy kto zna choc troche architekture komputerow np. ia64 od strony jadra OS, to wie jak bardzo jest to wszystko skomplikowane i jak duzo jest punktow swobody, ktore od zlosliwego firmware’u wymagaloby koordynacji (w celu np. wykradniecia jakichs danych). Nawet dla jajoglowego geniusza jest to zadanie nieslychanie trudne (co nie znaczy niemozliwe). Duzo bardziej obawialbym sie jednak (coraz bardziej rozpowszechnionych) plyt glownych Intela, z wiekszoscia podzespolow pochodzacych od nich (a wiec takze firmware). Jesli wszystkie elementy komputera zostana ladnie zsynchronizowane w celu wykradania/filtrowania pewnych danych, to niestety nie ma ratunku. Ten scenariusz jest oczywiscie mozliwy, skoro np. Google dalo sie ‘namowic’ NSA do wspolpracy przy PRISM.

    • Bardzo dobry komentarz, ale nie powiedziałbym, że lenovo to
      firma poza wpływami USA.

  2. fes jorlo

    • co to znaczy to fes jorlo?

  3. ciekawe jak to u by było jeśli ustawiający przetarg zazyczyłby sibie właśnie lenovo

  4. ja ostatnio zauważyłem równie ciekawą rzecz, złapałem pakiet z dest ip 23.37.37.163. Whois pokazuje, że jest to serwis do sprawdzania certyfikatów crl.verisign.com. Przedtem ten IP należał do departamentu obrony USA. Przypadek :P?

    zrzut pakietu:
    File Version:
    File Description: maintenanceservice.exe
    File Path: C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
    Digital Signature:
    Process ID: 0x13f4 (Hexadecimal) 5108 (Decimal)

    Connection origin: local initiated
    Protocol: TCP
    Local Address: 192.168.122.40
    Local Port: 59231
    Remote Name: crl.verisign.com
    Remote Address: 23.37.37.163
    Remote Port: 80 (HTTP – World Wide Web)

    Ethernet packet details:
    Ethernet II (Packet Length: 62)
    Destination: 52-54-00-c0-70-82
    Source: 52-54-00-6d-32-91
    Type: IP (0x0800)
    Internet Protocol
    Version: 4
    Header Length: 20 bytes
    Flags:
    .1.. = Don’t fragment: Set
    ..0. = More fragments: Not set
    Fragment offset:0
    Time to live: 128
    Protocol: 0x6 (TCP – Transmission Control Protocol)
    Header checksum: 0x571 (Correct)
    Source: 192.168.122.40
    Destination: 23.37.37.163
    Transmission Control Protocol (TCP)
    Source port: 59231
    Destination port: 80
    Sequence number: 1694649091
    Acknowledgment number: 0
    Header length: 28
    Flags:
    0… …. = Congestion Window Reduce (CWR): Not set
    .0.. …. = ECN-Echo: Not set
    ..0. …. = Urgent: Not set
    …0 …. = Acknowledgment: Not set
    …. 0… = Push: Not set
    …. .0.. = Reset: Not set
    …. ..1. = Syn: Set
    …. …0 = Fin: Not set
    Checksum: 0x545b (Correct)
    Data (0 Bytes)

    Binary dump of the packet:
    0000: 52 54 00 C0 70 82 52 54 : 00 6D 32 91 08 00 45 00 | RT..p.RT.m2…E.
    0010: 00 30 7D BE 40 00 80 06 : 05 71 C0 A8 7A 28 17 25 | .0}.@….q..z(.%
    0020: 25 A3 E7 5F 00 50 65 02 : 4B 03 00 00 00 00 70 02 | %.._.Pe.K…..p.
    0030: 20 00 54 5B 00 00 02 04 : 05 2A 01 01 04 02 | .T[…..*….

    • Może Snowden sypie… Spodziewaj się jutro oddziału AT
      przed domem.

    • Eee… Powód jest chyba prostszy niż departamenty i szpiegostwo. ;)
      Tam są między innymi sprawdzane certyfikaty zgodności oprogramowania czyli toto ustrojstwo co ci mówi “sterownik nie jest podpisany cyfrowo, bla bla bla… i 2 buttony [install anyway] [cancel]”
      Druga możliwość to taka, że masz soft Nortona / Symanteca (np. antywirus – który też sprawdza certyfikat jakimi podpisano aktualizacje) ;)

    • Strzeż się odkryłeś największą aferę w dziejach Internetu, musisz ukryć się w Rosji.

    • Idźmy na wschód, tam musi być cywilizacja…

      ;p

  5. A może przyczyna jest bardziej prozaiczna, chęć wspierania
    własnych firm zamiast tańszej konkurencji z Chin? ;)

  6. Z tego co pamiętam laptopy Lenovo używane są na Międzynarodowej Stacji Kosmicznej.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.