Comments | klark973: PhoenixBIOS+OEM Windows=руткит в подарок!

klark973

PhoenixBIOS+OEM Windows=руткит в подарок!

Sep 22, 2009 19:01

Вашим ноутбоком можно управлять, все ваши данные можно уничтожить или перегнать в тихую на другой конец земного шара, если у вас ноутбук производства HP, Dell, Lenovo, Toshiba, Gateway, Asus или Panasonic с BIOS-ом производства Phoenix. Не все модели, но многие, имеют такую забавную фичу, выдаваемую за технологию защиты от кражи, основанную на ( Read more... )

asus, безопасность, gateway, bios, panasonic, phoenix, руткит, toshiba, dell, satellite l300, троян, windows, computrace, oem, hp, lenovo

Comments 23

(The comment has been removed)

klark973 September 22 2009, 16:20:59 UTC

Из перечисленных в списке есть только Lenovo T61. Вероятность, что не все модификации - слишком мала. Нужно смотреть внимательней. Как вариант, отключено в самом BIOS'е. Пост обновил, теперь есть и другие подробности.

klark973 September 22 2009, 16:29:51 UTC

http://yandex.ru/yandsearch?rpt=rad&text=rpcnet.exe

klark973 September 22 2009, 16:42:44 UTC

http://forums.mydigitallife.info/archive/index.php/t-659-p-2.html

moose_kazan September 22 2009, 16:15:44 UTC

Я тебя уважаю, но сейчас ты немного не прав. Понимаешь, например на серверах очень популярны системы iLo (от HP) и RSA (от IBM). удалённый доступ к BIOS и много чего ещё. Она даже не требуют наличия операционной системы на компьютеры. Правда требуют авторизацию, но это частности.

Так вот с помощью этих систем я с удовольствием обслуживаю сервера, которые никогда в жизни не видел. Другое дело что в неумелых руках эта штука становится опасной, но как говориться "подобен ситаре нефритовый стержень в руках самурая". Вообще дыры можно найти в чём угодно, не надо паниковать при обнаружении любой дыры. Надо попытаться понять откуда она и почему:)

klark973 September 22 2009, 16:27:34 UTC

У меня небольшой опыт удалённого обслуживания серверов HP. iLO вырубаю, и обхожусь без него. Для ребута мне хватает одного звонка. :) И вроде сам iLO может авторизоваться на LDAP'е, а не наоборот?

Здесь же совсем о другом речь. Есть технология, предназначенная для одной цели, а как выясняется, она может использоваться совершенно для другого. Вот я не юзаю iLO, так даже кабели туда не сую и вырубаю в BIOS'е ентот интерфейс. А попробуй так сделать в жэтом случае на ноуте, будучи простой домохозяюшкой! =)))

moose_kazan September 22 2009, 17:08:00 UTC

ну домохозяйка и iLo не отрубит:)

просто мне кажется что не надо строго судить, возможно кому-то из админов эта же фича покажется очень полезной.

это как отключение Ctrl+Alt+BackSpace в последней убунте. Спорное улучшение:)

klark973 September 22 2009, 17:41:31 UTC

Всё верно, iLO не для домохозек, а для спецов. И если "спец" не понимает, что с ним делать, он его не юзает, т.к. понимает, чем это грозит.

А вот домохозяйке, купившей ноут, об этой фиче вообще ничего неизвестно. Шум в инете из-за rpcnet(p).exe поднимают лишь те, кто действительно хоть что-то в этом понимает.

И получается, что людям продуют железо с недокументированным функционалом, причём в России -- под видом "АПК". Одно из важных свойств этого "АПК" уже при продаже, как выясняется, предоставление несанкционированного удалённого доступа к данным. Но такие вещи должны изначально оговариваться согласно нашим законам.

Thread 6

kirill_lunjov September 22 2009, 17:07:04 UTC

Ну, реально - уж, извините, но мне как инженеру в такие страсти с трудом верится))) - вот смотрите - у меня стоит хард 160Гб ( ... )

klark973 September 22 2009, 17:35:09 UTC

Да ладно, гарантируют восстановление данных до 2Гб, пол DVD болванки на современном широкополосном доступе можно скачать за пол суток или даже быстрее. Но на практике такого большого объёма не требуется.

О том, что это НЕ миф - я выше привёл ссылки. Если по ним пройдётесь, удивитесь, что даже Kasperskiy находит и знает его как LoJack (другой вопрос в полном вычищении). Я пару раз сталкивался у знакомых с трояном, когда после себя человек очищал целиком весь диск или все диски. Так что это точно не миф.

И кто вообще говорит, что тут речь идёт о продвижении СПО? :) Как раз этот факт подтверждает один из важнейших тезисов необходимости стремления к информационной независимости и безопасности. В случае подобных аппаратных закладок, вопрос установленной ОС как правило вторичен (не в этом случае, правда).

kirill_lunjov September 22 2009, 18:08:01 UTC

Антивирус Каперского не люблю - он много "фиксирует" лишнего - это к слову, оттого им и не пользуюсь - реально с этим сталкивался ( ... )

(The comment has been removed)

Thread 16

sadko4u September 22 2009, 18:22:54 UTC

Нам, похоже, тоже в универ поставили десктопы с этой дрянью:
http://sadko.xskernel.org/archives/1081

Продублировал у себя. solo_oboroten September 27 2009, 14:07:03 UTC

Продублировал у себя: http://solo-oboroten.livejournal.com/89490.html

Если я правильно понимаю ситуацию, то:

Владелец ноута как правило не может отключить данную штуку: в большинстве BIOS нет соответствующей ручки.
В инструкции на ноут данное средство неописано => владелец о таком функционале приобретённого им оборудования не знает!
Если процесс уничтожения данных запускать не по id’у конкретного ноута, а по попаданию его ip в диапазон используемый противником - неплохое средство киберудара получится, пока противник доступ из своих сетей к управляющим серверам не перекроет... (И одна из причин навязывания OEM win, если привлечь конспирологию, получает логическое объяснение.)

Re: Продублировал у себя. solo_oboroten October 7 2009, 07:39:58 UTC

Вчера принесли ноут с этой дрянью. Переустановка windows естесственно ни к чему не привела :) я думаю единственный выход пользователей таких ноутов это переход на ОС отличную от Майкрософт.