18:26
9/8/2013
9/8/2013
USA, Wielka Brytania, Australia i Nowa Zelandia zabroniły swoim instytucjom rządowym wykorzystywania komputerów Lenovo do przetwarzania informacji tajnych i ściśle tajnych. Powodem mają być bliżej niesprecyzowane backdoory zostawione na poziomie firmware’u.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Pamiętajmy jednak, że PC z zachodniego świata (np USA,
Wielka Brytania) też mają błędy w firmware, część zapewne celowa
część to przypadkowe błędy programistów. Jeśli to jest firmware
karty sieciowej (albo urządzenia implementującego Intel AMT na
płycie głównej), to można zdalnie włamać się do karty sieciowej.
Karta sieciowa ma własny, niezależny procesor, pamięć ram, pamięć
stałą na firmware, firmware. Może do systemu operacyjnego
standardowo wysyłać komunikaty by się wyłączył, zrestartował. Ma
swobodny, bezpośredni dostęp poprzez DMA do 16 kilobajtów pamięci
RAM, ale już tej systemowej gdzie jest system operacyjny, programy.
To okienko może dowolnie przesuwać, gdzie się chce w pamięci RAM
czyli w praktyce dostęp jest do całej pamięci RAM. Czyli można
wgrać złośliwy kod do jądra systemu (obojętnie jakiego), obchodząc
wszelkie softwarowe zabezpieczenia, bez w ogóle możliwości nawet
jakichkolwiek reakcji na zagrożenie tych zabezpieczeń. W ten sposób
można unieszkodliwić nawet tak doskonałe softwarowe zabezpieczenia
jak zestaw łat grsecurity dla jądra Linuksa, czy utwardzony
toolchain do kompilacji. Tylko sprzętowo, na poziomie chipsetu,
można się przed tym zabezpieczyć. Obecne zabezpiecznia w chipsetach
są niewystarczające, a nawet jakby były to zawsze może być błąd w
ich implementacji. Więcej np. tu:
http://theinvisiblethings.blogspot.com/2009/03/trusting-hardware.html
http://theinvisiblethings.blogspot.com/2010/04/remotely-attacking-network-cards-or-why.html
http://theinvisiblethings.blogspot.com/2010/05/on-formally-verified-microkernels-and.html
http://invisiblethingslab.com/resources/bh09usa/Ring%20-3%20Rootkits.pdf
http://www.ssi.gouv.fr/IMG/pdf/csw-trustnetworkcard.pdf Jak dla
mnie USA chcą przestraszyć klientów z zachodu, podając tą
informację, by kupowali sprzęt z zachodu, z ich backdorami. Jeśli
jesteś na terenie, na który ma wpływy USA (EU się do niego
zalicza), to lepiej według mnie mieć sprzęt z poza terenu wpływów
USA, czyli z Azji. Poza tym przypominam, że istnieją takie projekty
jak coreboot, które chcą zaoferować firmware (pierwotnie dla kart
graficznych, od dłuższego czasu nacisk jest na BIOS) w wersji open
source. Niestety do dzisiaj ten projekt nie zapewnia wsparcia dla
większości płyt głównych, pomimo pomocy od Google (używają własnego
firmware w Chromebookach, by się szybciej uruchamiały). W zasadzie
open sourcowy firmware do BIOSu i karty sieciowej, zaudytowany i
zapewniający podstawowe funkcje, powinien zapewnić spore
bezpieczeństwo.
napisałeś ładny, długi i rzeczowy komentarz, ale nikt Ci
nie odpisał, więc pomyślałem że Ci przykro, toteż komentuję:
przeczytałem cały i był ciekawy, dzięki
+1
Swietne linki.
Bez przesady. Rozumiem niebezpieczenstwo takiego skomplikowania HW+SW, ale tutaj bym sie wstrzymal z obawami (przynajmniej na dzis dzien). Co z tego, ze dana karta sieciowa ma dostep (przynajmniej teoretycznie) nawet do calego RAM-u ? W dzisiejszych komputerach, zwlaszcza tych wielokorowych/wieloprocesorowych (czyli obecnie wiekszosci) jesli uzytkownik uzywa duzej czesci ich mocy, to pamiec RAM jest swap-owana caly czas. Tylko niewielka czesc danych jest w danym momencie w RAMie. Kazdy kto zna choc troche architekture komputerow np. ia64 od strony jadra OS, to wie jak bardzo jest to wszystko skomplikowane i jak duzo jest punktow swobody, ktore od zlosliwego firmware’u wymagaloby koordynacji (w celu np. wykradniecia jakichs danych). Nawet dla jajoglowego geniusza jest to zadanie nieslychanie trudne (co nie znaczy niemozliwe). Duzo bardziej obawialbym sie jednak (coraz bardziej rozpowszechnionych) plyt glownych Intela, z wiekszoscia podzespolow pochodzacych od nich (a wiec takze firmware). Jesli wszystkie elementy komputera zostana ladnie zsynchronizowane w celu wykradania/filtrowania pewnych danych, to niestety nie ma ratunku. Ten scenariusz jest oczywiscie mozliwy, skoro np. Google dalo sie ‘namowic’ NSA do wspolpracy przy PRISM.
Bardzo dobry komentarz, ale nie powiedziałbym, że lenovo to
firma poza wpływami USA.
fes jorlo
co to znaczy to fes jorlo?
ciekawe jak to u by było jeśli ustawiający przetarg zazyczyłby sibie właśnie lenovo
ja ostatnio zauważyłem równie ciekawą rzecz, złapałem pakiet z dest ip 23.37.37.163. Whois pokazuje, że jest to serwis do sprawdzania certyfikatów crl.verisign.com. Przedtem ten IP należał do departamentu obrony USA. Przypadek :P?
zrzut pakietu:
File Version:
File Description: maintenanceservice.exe
File Path: C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
Digital Signature:
Process ID: 0x13f4 (Hexadecimal) 5108 (Decimal)
Connection origin: local initiated
Protocol: TCP
Local Address: 192.168.122.40
Local Port: 59231
Remote Name: crl.verisign.com
Remote Address: 23.37.37.163
Remote Port: 80 (HTTP – World Wide Web)
Ethernet packet details:
Ethernet II (Packet Length: 62)
Destination: 52-54-00-c0-70-82
Source: 52-54-00-6d-32-91
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don’t fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x6 (TCP – Transmission Control Protocol)
Header checksum: 0x571 (Correct)
Source: 192.168.122.40
Destination: 23.37.37.163
Transmission Control Protocol (TCP)
Source port: 59231
Destination port: 80
Sequence number: 1694649091
Acknowledgment number: 0
Header length: 28
Flags:
0… …. = Congestion Window Reduce (CWR): Not set
.0.. …. = ECN-Echo: Not set
..0. …. = Urgent: Not set
…0 …. = Acknowledgment: Not set
…. 0… = Push: Not set
…. .0.. = Reset: Not set
…. ..1. = Syn: Set
…. …0 = Fin: Not set
Checksum: 0x545b (Correct)
Data (0 Bytes)
Binary dump of the packet:
0000: 52 54 00 C0 70 82 52 54 : 00 6D 32 91 08 00 45 00 | RT..p.RT.m2…E.
0010: 00 30 7D BE 40 00 80 06 : 05 71 C0 A8 7A 28 17 25 | .0}.@….q..z(.%
0020: 25 A3 E7 5F 00 50 65 02 : 4B 03 00 00 00 00 70 02 | %.._.Pe.K…..p.
0030: 20 00 54 5B 00 00 02 04 : 05 2A 01 01 04 02 | .T[…..*….
Może Snowden sypie… Spodziewaj się jutro oddziału AT
przed domem.
Eee… Powód jest chyba prostszy niż departamenty i szpiegostwo. ;)
Tam są między innymi sprawdzane certyfikaty zgodności oprogramowania czyli toto ustrojstwo co ci mówi “sterownik nie jest podpisany cyfrowo, bla bla bla… i 2 buttony [install anyway] [cancel]”
Druga możliwość to taka, że masz soft Nortona / Symanteca (np. antywirus – który też sprawdza certyfikat jakimi podpisano aktualizacje) ;)
Strzeż się odkryłeś największą aferę w dziejach Internetu, musisz ukryć się w Rosji.
Idźmy na wschód, tam musi być cywilizacja…
;p
A może przyczyna jest bardziej prozaiczna, chęć wspierania
własnych firm zamiast tańszej konkurencji z Chin? ;)
Z tego co pamiętam laptopy Lenovo używane są na Międzynarodowej Stacji Kosmicznej.