9:38
22/9/2011

Nadchodzi zdalne hackowanie BIOS-ów?

Intel zaprezentował serwer VNC wbudowany w BIOS. Rozwiązanie pozwala na zmianę ustawień BIOS-u przez internet. Wygodne.

VNC do BIOS

Osoby, które administrują instalacjami typu “kiosk” na pewno szaleją teraz z radości. Ciekawe kiedy w tej implementacji VNC pojawi się pierwszy bug i z radości oszaleją także osoby mające “złe zamiary”? Pomyślcie tylko, dostęp do wyłączonych komputerów, kontrola komputerów z wyłączonymi kartami sieciowymi, a nawet złośliwe przeinstalowanie komuś systemu z Windows na Linuksa ;)

Coś mi się wydaje, że aktualizacja BIOS-u może być coraz częściej wykonywanym zdaniem…

Przeczytaj także:



40 komentarzy

Dodaj komentarz
  1. Dupy w sumie nie urywa przecież interfejsy IPMI (i ich odpowiedniki u różnych vendorów) wraz z różniastymi formami przekierowania konsoli (RFB, SOL itd.) są dostępne od przeszło 10 lat w sprzętach serwerowych i pewnie też posiadają swoje podatności. Wystarczyło je przenieść do pecetów… :)

  2. chwila chwila…. o czym wy piszecie?
    Zdalny dostęp do ustawien BIOSa w kompie ktory ma wyłączoną karte sieciową?
    Co to za czary mary? Przez co ten dostęp?
    Chcecie powiedzieć, że istnieje dualizm Ethernetowy i jako fala jest on w stanie sie przenosić przez powietrze?

    • film obejrzales? nieaktywna z puktu widzenia OS sieciowka jest aktywna. przypuszczam ze dziala to podobnie do wake on lan.

    • fakt. nie obejrzalem – uroki firmowego firewalla ^^

      Choc i tak moim zdaniem niescisłość sie pojawiła bo jako wyłączona karte rozumiem ze nie ma na niej napięcia, a skoro nie ma napiecia to nie przetworzy pakietu.
      Czuwajaca sieciowka – to juz inna dyskusja.

    • aaa tak, bo ty na swojej sieciówce masz przycisk power off ;)

  3. jak widac na obrazku, biosy teraz smigaja na win7.

  4. Przepraszam, że tak zapytam, ale PO CO JEST TO VNC KOMUŚ POTRZEBNE w domowym PC. Generalnie gdyby odciąć użytkowników od samego BIOS, to i tak z 90% nigdy by go nie potrzebowało i nie zauważyłoby jego braku;) A tu zmiany mają przebiegać przez net. Kolejny (nie)zbędny ficzer za grube $$$.

  5. “nawet złośliwe przeinstalowanie komuś systemu z Windows na Linuksa ;)”
    złośliwie to byłoby raczej odwrotnie (o:

    • Odwrotnie to już było by narażenie się na znaczny uszczerbek na zdrowiu po spotkaniu z właścicielem “zaatakowanego” komputera. Swoją drogą jedyna używana obecnie funkcja BIOS-u to kolejność startu czyli czy uruchamiamy system z twardego dysku czy też instalakę systemu z plyty/usb.

    • @sig – do tego to już nawet BIOSu nie trzeba odpalać, bo większość sprzętu ma teraz osobne menu, dostępne podczas uruchamiania. Masz do wyboru: Boot Menu albo BIOS ;)

    • @sig Chodzi Ci o to ścierwo, OS linux`a, czy o coś innego z tą nazwą. Update Menager wywala wywala błąd, ponieważ zaistniał błąd, WTF? Chrome`a nie da się ustawić na główną przeglądarkę. Co to ma być, średniowiecze? NIE! Ice Age z pingwinem w roli głównej, ot co! Folderu root nie da się uruchomić. Ja, Administrator nie mam praw? Jakiś marny pingwin mi zabroni? Wpisałem su find . chmod 777 // czy jakoś tak, aby nadać wszystkim plikom i folderom prawa maxymalne i zresetowałem kompa. Nie mogłem się zalogować na swoje konto, bo brak uprawnień. A nie zmienię konta, bo… brak uprawnień do polecenia su ani sudo. Już o pojawiających się co kilka minut jakichś dziwnych informacji typu kernel panic nie wspomnę. Ścierwo jak nic. Nigdy więcej takich zabaw a raczej udręk na potęgę.

    • @Paweł
      Na głupotę niestety nie wynaleźli jeszcze lekarstwa.

    • to ze cos przerasta twoje umiejetnosci, a raczej ich brak, nie znaczy ze jest beznadziejne…

  6. Uwaga:
    “a nawet złośliwe przeinstalowanie komuś systemu z Windows na Linuksa” – dlaczego “złośliwie”? Przecież to największe miłosierdzie jakie można uczynić bliźniemu.

    Hmm, jak dotąd upgradeuje BIOS przed każdą reinstalacją systemu :) – czyli zmieni się tylko następstwo – ktos mi przeinstaluje system a ja potem zupgraduje BIOS :).

  7. Gadżet. Pytanie brzmi: czemu ma służyć zdalna modyfikacja ustawień BIOS? W kioskach? A co, timingi RAMu będą zmieniać albo sekwencję boot? Zdalny dostęp do plików via BIOS? Przydać się może w bardzo szczególnych przypadkach, a w 99,999% reszty albo wymagana jest i tak fizyczny dostęp (wymiana dysku, kabli) albo da się to zrobić w bardziej cywilizowany sposób (ssh/teamviewer).

    Reasumując: jak rzekła młodziutka Cerro do króla Vridanka na ich pierwszej schadzce: “Niebrzydka rzecz, ale czy ma jakieś zastosowanie praktyczne?”

    • Na przykład zbootowanie systemu ze zdalnego obrazu iso celem diagnostyki – bardzo przydatne!

    • takie kombinacje alpejskie w przypadku ZDALNYCH systemów? Bawić się bootowanie ISO to można w warunkach laboratoryjnych, a nie pracującego hen-daleko bankomatu lub kiosku. Dużo taniej i bezpieczniej posłać pana Zenka by zmienił konfigurację osobiście, niż kombinować z VPN w BIOSie czy edytować firmware klawiatury. Jak z zabijaniem komarów – można takiego wbić na widelec, ukręcić łeb, postraszyć komornikiem, przez trzy dni głodzić a potem rzucić ptaszyskom na pożarcie. A można też zwyczajnie, kapciem.

  8. Panowie przecież to jest rozwiązanie dla administratorów. Wyobraźcie sobie że wygodnie siedzicie na tyłku i pani Kazi konfigurujecie BIOS, instalujecie system etc. , a to wszystko z własnego fotela z tajskim masażem.

  9. Hura, niech żyje UEFI i DRM w BIOS-ie…

  10. Praktyczne zastosowania – bardzo daleko idące. Można włączać/wyłączać wifi. Można skonfigurować system do startu z zabezpieczonym hasłem dyskiem i żądać okupu za ujawnienie hasła. Można pewnie zdalnie podmienić biosa. Można zdalnie sprawdzać serial numbery itp. na co pewnie pojawią się za niedługo aplikacje. Można wyłączać obsługę jakichś urządzeń celem wymuszenia na użytkowniku jakiegoś postępowania ( np. wyłączyć mu smartcard reader w celu wymuszenia zalogowania się użytkownikiem i hasłem).
    Wszystkie te zastosowania a także wiele wiele innych moga mieć znaczenie praktyczne dla helpdesku i serwisu, ale także dla włamywaczy.

  11. Też mi nowość, Intel AMT już od dobrych kilku lat istnieje i jest implementowane w nowszych laptopach. Miałem okazję się tym pobawić – fajna rzecz dla tech supportu.

  12. Nie za bardzo wiem “w czym ta podnieta”, przecież to już od dawna jest wbudowane i nazywa sie iAMTv6

  13. Nie podoba mi sie ten pomysl Intelowski oj nie podoba…

    Swoja droga w ostatnim zdaniu macie buga ;). Slowo zadaniem zjadlo literke a :).

    Pozdrawiam.

    Andrzej

  14. “a nawet złośliwe przeinstalowanie komuś systemu z Windows na Linuksa ;)” – jak to jest Intela to sądzę ,że można by pójść dalej – myślę ,że w najbliższym czasie Apple wprowadzi to (lub już to zrobił) jako “nowa turbo mega nigdzie indziej nie spotkana funkcjonalność” a złośliwe przeinstalowanie Mac OSX na Windowsa byłoby o wiele zabawniejsze.

    Tak czy siak będzie to mega przydatne dla servicedesku – teraz na prawdę nie trzeba będzie biegać do użytkownika a rozmowa “- internet mi nie działa” “- nie wiem w czym problem bo mi działa” nabiera nowego znaczenia.

  15. Zupełny nonsens. Rozumiem, dać jakieś użyteczne API do tego BIOSu. Jakiś system dystrybucji configów. Ale po jaką cholerę komu dostęp przez VNC? Nawet się tego oskryptować nie da. Poza tym, znając życie, będzie to VNC wydajne tak jak w QEMU/KVM – 2 sekundy na refresh ekranu (nie żebym miał coś przeciwko qemu-kvm ogólnie, ale mają naprawdę złą implementację VNC). Zrobiliby w końcu porządny format configu do BIOSa i popracowali z AMI/Phoenix nad wprowadzeniem tego, to może byłoby tak wygodne jak np. jednolite configi z Cisco IOS. Nie jest idealne, ale są do tego różne differy, można programami to parsować i modyfikować itp. Ale nie, bo trzeba zostać przy kilkudziesięcioletniej technologii, która nakazuje człowiekowi wciskać strzałki na ekranie brzydszym niż ncurses…

  16. @Torwald BIOS to nie to niebieskie, BIOS jest pierwszym programem uruchamianym przez komputer po starcie. Logo producenta i te duzo literek na poczatku wyświetla BIOS. To, że po naciśnięciu przycisku wyświetla Ci się okienko wyboru napędu do bootowania w kolorze innym niż niebieski to też funkcja BIOSu.

    • hmmm… “Reply” nie zadziałał, to miało być wyżej.

  17. Niestety IAMT i VPRO mają bugi, fakt niewidoczne dla zwykłego użytkownika jednak dla serwisu są dość uciążliwe. Możliwości tych rozwiązań nie kończą się na zdalnym bootowaniu, te technologie mogą działać pod systemem operacyjnym, niewidoczne dla użytkownika. Zaimplementowanie ich w procesorach, płytach głównych i kartach sieciowych daje administratorowi pełną kontrolę nad sprzętem, systemem operacyjnym i oprogramowaniem, a użytkownik (właściciel sprzętu) nie ma nad tym kontroli |: Coraz bliżej nam do Orwellowskiego 1984

  18. “a nawet złośliwe przeinstalowanie komuś systemu z Windows na Linuksa ;)”

    Nie nazwałbym tego “złośliwym”.

  19. Sprawdzi się w kioskach. Ale bezpieczne komputery będą musiały tego unikać. Kolejna komplikacja do zabezpieczenia.
    Nie trzeba łamać TPM i podmieniać bootloadera , wystarczy jako zła pokojówka BIOS przestawić i czekać na zalogowanie użytkownika do sieci.

  20. Przecież to jest najzwyczajniejszy Lights Out Manager czyli hardwareowy system zdalnego dostępu i zarzadzania komputerem. W komputerach klasy serwerowej to jest obecne od lat. Używam tego na co dzień w pracy przeinstalowując np. serwery znajdujące się w serwerowni 2 piętra niżej, ale równie dobrze w innym kraju :) Teraz po prostu wprowadzili ta technologie do zwykłych pecetów. Nie rozumiem ani czym tu sie jest podniecać, ani czego sie bać jak niektorzy tutaj w komentarzach… Podoba mi się w tym wszystkim tylko to że to działa przez VNC, bo dostepne do tej pory w serwerach rozwiązania miały applet Javy odpalany z przeglądarki WWW, co było zdecydowanie mniej wygodnym rozwiązaniem…

    • “Nie rozumiem ani czym tu sie jest podniecać, ani czego sie bać jak niektorzy tutaj w komentarzach… ”
      Jeśli nie wiem kto może administrować moim własnym komputerem, to chyba jednak jest powód do obaw. Producent sprzętu nie daje mi możliwości wyłączenia tej funkcjonalności z poziomu systemu, ani BIOSu … to też rodzi obawy. Sposobem na uchronienie się od tego jest użycie programu , który nie jest dostępny dla zwykłych użytkowników i można go ściągnąć jedynie z nielegalnych źródeł. Drugim sposobem jest kupno sprzętu przeznaczonego na rynek rosyjski lub chiński, ale tu również jest haczyk, bo sprzęt oprócz TPM, IAMT traci i inne funkcjonalności :|

  21. W takim razie nie jest to już BIOS, tenże jest basic serwer vnc basic nie jest… Jest za to extensible, dlatego nazywa się uefi .

  22. Od kilku lat działają serwisy, które oferują zmodyfikowane biosy do laptopów umożliwiające wyśledzenie komputera po ewentualnej kradzieży. Na serwer firmy wysyłana jest informacja o IP sieci z jakiej łączy się skradziona maszyna i inne informacje. Co ciekawe są dostępne biosy do nawet bardzo starych jak na obecny czas komputerów, np. IBM T43. Nie testowałem. Kosztuje to około 200 dolarów na 3 lata.

  23. Piekne i straszne zarazem…., niedlugo ktos i zabezpieczenia kodem obejdzie. Drzyjcie gimbusy i dzieci neo…

  24. Dlaczego linux?
    Nie chce wywoływać wojny ponieważ wiem że to drażliwy temat(dlatego prosiłbym by osoby korzystające z innych systemów nie wypowiadali się), a i miejsce pewnie nie odpowiednie ale pytam tu bo uważam że wypowiadają się ty ludzie dość obeznani. Może uda mi się przeczytać jakieś konkretne argumenty.

    • Bo ma potrzebną mi funkcjonalność (np wirtualne pulpity), aczkolwiek jako 2-gi system mam też Windowsa (ze względu na wymagania części softu). System jak i komputer to narzędzia, dorabianie do tego ideologii przypomina dyskusje o wyższości świat bożego narodzenia nad Wielkanocą u chrześcijan.

  25. U kolegi na HP EliteBook jak połączę się z serwerem VNC wbudowanym w UEFI, to dookoła obrazu na ekranie wyświetlana jest czerwona ramka. Całkowicie poza kontrolą OS’a. Wiem, bo widziałem ją w instalatorze Debiana :)
    Rozwiązanie naprawdę fajne z ramką. VNC samo w sobie kiepskie, ale implementacja niezła z punktu widzenia bezpieczeństwa.

    Co do instalacji GNU/Linuksa, polecam, ale na UEFI obecnie nie jest to zadanie dla mięczaków. Trzeba się sporo namęczyć, a Gugiel (tudzież DuckDuckGo) niewiele pomagają, bo temat jest jak na razie hermetyczny i trzeba kombinować. Po może 2 godzinach udało mi się w końcu zbootować kernel za pomocą grub-efi (doszedłem do tego metodą voodoo; hint: mnt /dev/partycja-z-efi /boot/grub), tyle, że… dalej nic się nie działo – najwyraźniej kernele 2.6 niezbyt dobrze to obsługują. Jeśli ktoś ma ochotę sprawdzić na 3.1-rc5, śmiało – to lepsze niż jazda deskorolką po torach do rollercoastera :)
    Póki co, tryb kompatybilności z BIOSem ratuje… no, wiecie co.

  26. No ale chwila… to jest przecież zwykły IP KVM, Intel vPro ma to chyba drugą wersje z rzędu… albo coś przeoczyłem albo brakuje tutaj kilkou bardzo ważnych informacji: – by default użytkownik musi wyrazić kontrole na podgląd ekranu i nawet podać PIN który jest jednorazowo generowany dla każdego połączenia(ok, można to wyłączyć) – kiedy ekran jest podglądany użytkownik jest o tym wyraźnie informowany – np u Lenovo jest to czerwona, mrugająca ramka dookoła ekranu (AFAIK tego już nie usuniesz) – każdy system z vPro przychodzi zdeaktywowany – musisz się dość dużo namęczyć, żeby wgrać odpowiednie certyfikaty i zaczęło to wszystko działać. Istnieje tez opcja call home – wyobraźmy sobie, że użytkownikowi nie ładuje się OS, wtedy naciska magiczną kombinacje klawiszy i system dzwoni do zdefiniowanego serwera supportu (konfiguracja sieci, nawet wifi jest przekazywana w dół z Windy przez sterownik intela) gdzie konsultant może zobaczyć dokładnie co się dzieje (logi, dostęp do dysku, KVM) Ogólnie, bardzo fajna rzecz, szczególnie jak masz mase desktopów (możesz np uruchomić je o 3 w nocy, wykonać skrypt aktualizacji i potem pozamykać, to jest realna oszczędność czasu pracowników). google intel AMT vPro – tam wszystko jest opisane.

    • google intel AMT vPro – tam wszystko jest opisane – właśnie, jest tylko to co oficjalnie udostępniono, możliwości są dużo większe niż ułatwienia dla administratorów. Możliwe jest połączenie bez pinu i wiedzy właściciela sprzętu. Możliwe jest zdalne zablokowanie włączenia komputera. Wystarczy znać jedynie UUID lub MAC.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: