На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".

То есть, поставив с нуля более-менее адекватную "традиционную" винду, можно хотя бы быть уверенным, что она полностью управляет железом. Вызовы всяких API в BIOS/EC можно не считать, они могут тормозить, но навредить вроде как особо не могут. Intel ME, теоретически, более функционален, но таки не замечен ни в чем предосудительном на уровне самого процессора.

А тут, можно сказать, раздолье.

ЕМ>На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".
А что, до сих пор у кого-то хостовая ось имеет доступ к инету?

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".

ЕМ>То есть, поставив с нуля более-менее адекватную "традиционную" винду, можно хотя бы быть уверенным, что она полностью управляет железом. Вызовы всяких API в BIOS/EC можно не считать, они могут тормозить, но навредить вроде как особо не могут. Intel ME, теоретически, более функционален, но таки не замечен ни в чем предосудительном на уровне самого процессора.

Бэкдор от производителя железа. А линупс, например, насколько помню, легко вскрывается при наличии доступа к железу. А с виндой такое не прокатит

Здравствуйте, Osaka, Вы писали:

O>А что, до сих пор у кого-то хостовая ось имеет доступ к инету?

Да как бы у всех, кто не законченный параноик, подключающийся к инету через USB.

Здравствуйте, Marty, Вы писали:

M>с виндой такое не прокатит

Что именно не прокатит с виндой?

Здравствуйте, Евгений Музыченко, Вы писали:

M>>с виндой такое не прокатит

ЕМ>Что именно не прокатит с виндой?

Войти в систему админом, не зная пароль

Здравствуйте, Marty, Вы писали:

M>Бэкдор от производителя железа. А линупс, например, насколько помню, легко вскрывается при наличии доступа к железу.

В линуксе это тривиально регулируется.

M> А с виндой такое не прокатит

Ну да, она конкурентов не терпит.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".

Это обозвали уязвимостью не потому, что автоматически подтягивает софт, а потому, что этот софт может быть не подписан. Так-то автоматический апдейт сейчас делает каждая первая софтина, что позволяет использовать этот канал для доставки произвольного софта на произвольные машины, от шпионажа за гос. структурами до окирпичивания машин по целевой стране.

Здравствуйте, Marty, Вы писали:

M> M>>с виндой такое не прокатит
M> ЕМ>Что именно не прокатит с виндой?
M> Войти в систему админом, не зная пароль
гугли например
copy cmd.exe Utilman.exe

Здравствуйте, scf, Вы писали:

scf>Это обозвали уязвимостью не потому, что автоматически подтягивает софт, а потому, что этот софт может быть не подписан.

Уязвимость это прежде всего потому, что сторонний софт запускается без ведома и санкции пользователя.

scf>автоматический апдейт сейчас делает каждая первая софтина

В большинстве софтин это управляется. И правильно настроенная винда по умолчанию никого не пускает в сеть, пока не будут выданы разрешения.

Здравствуйте, Marty, Вы писали:

ЕМ>>Что именно не прокатит с виндой?

M>Войти в систему админом, не зная пароль

При наличии доступа к железу никакие пароли не нужны. Загружается сторонняя винда с другого носителя, в ней делается все, что нужно.

Здравствуйте, Marty, Вы писали:

M>Войти в систему админом, не зная пароль

https://ru.wikipedia.org/wiki/Chntpw

Здравствуйте, Евгений Музыченко, Вы писали:

scf>>Это обозвали уязвимостью не потому, что автоматически подтягивает софт, а потому, что этот софт может быть не подписан.

ЕМ>Уязвимость это прежде всего потому, что сторонний софт запускается без ведома и санкции пользователя.

Смешно. Как будто проблема запустить сторонний софт проблема запустить с ведома и санкции пользователя


scf>>автоматический апдейт сейчас делает каждая первая софтина

ЕМ>В большинстве софтин это управляется. И правильно настроенная винда по умолчанию никого не пускает в сеть, пока не будут выданы разрешения.

Это винда параноика. Но настоящий параноик сидит на компе без выхода в сеть, а в инет выходит с другого, и данные между ними переносит на флешке

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>А тут, можно сказать, раздолье.

Это эволюция, как она есть. Только социальная.
На мой взгляд, просматриваются прямые параллели с биологической.

Ну я давно ещё ставил 10, она качает драйверы, и с драйверами какие-то управляющие панели и прочий хлам. В общем-то никто не мешает в эти управляющие панели засунуть бэкдор.

Да и в драйверы по-большому счёту не мешает. Хоть в Win 10, хоть в Win 98. Их же не MS пишет. Ну не качала винда раньше драйверы сама, ставили с дисков или с сайта качали. Какая разница. Не будешь же без драйверов сидеть.

Линукс в этом плане лучше. Там есть возможность собрать систему для работы без проприетарщины.

Макось тоже адекватная. Там всё от эппла. Доверие не размывается.

Я всё больше убеждаюсь, что единственный адекватный компьютер для винды это Surface. Полагаю, что там все драйверы от MS. Ну или что-то вроде Intel NUC. Хотя я только предполагаю.

Здравствуйте, Marty, Вы писали:

M>Это винда параноика. Но настоящий параноик сидит на компе без выхода в сеть, а в инет выходит с другого, и данные между ними переносит на флешке

Если меня замучает паранойя, я поставлю на хост линукс без графики, в минимальной установке. А в нём через qemu буду запускать нужную ОС, хоть полновесный линукс, хоть винду. Видеокарта прокидывается и по производительности проседания нет. Из плюсов — полностью контролируется сеть, можно весь траффик завернуть в впн, можно дамп смотреть, будучи уверен, что в дамп попадает каждый исходящий из виртуальной машины байт. Также из плюсов — снапшоты, при большом желании можно ставить что попало и потом анализировать разницу.

А флешка это не безопасно. На флешке свой процессор, своя прошивка. Никто не мешает вирусу прошить флешку своей прошивкой. USB на винде вроде бы ещё опасен, ничего не мешает вирусной флешке представиться клавиатурой и вбить что-то нехорошее, пока тебя нет. Макось, кстати, с недавнего времени начала спрашивать юзера обо всех новых вставленных устройствах и без разрешения устройство не подключается, видимо они что-то знают.

Если и переносить, то на CD.

Здравствуйте, vsb, Вы писали:

vsb>А флешка это не безопасно. На флешке свой процессор, своя прошивка. Никто не мешает вирусу прошить флешку своей прошивкой. USB на винде вроде бы ещё опасен, ничего не мешает вирусной флешке представиться клавиатурой и вбить что-то нехорошее, пока тебя нет. Макось, кстати, с недавнего времени начала спрашивать юзера обо всех новых вставленных устройствах и без разрешения устройство не подключается, видимо они что-то знают.

vsb>Если и переносить, то на CD.

А то, что на CD есть служебные области и туда можно записать что-то, что ты не подумаешь контролировать — ты учитываешь?

Кажется, в стиле некоторых коллег надо на такие посты отвечать одной фразой — "Тюлилихум ааухум".

Здравствуйте, netch80, Вы писали:

vsb>>А флешка это не безопасно. На флешке свой процессор, своя прошивка. Никто не мешает вирусу прошить флешку своей прошивкой. USB на винде вроде бы ещё опасен, ничего не мешает вирусной флешке представиться клавиатурой и вбить что-то нехорошее, пока тебя нет. Макось, кстати, с недавнего времени начала спрашивать юзера обо всех новых вставленных устройствах и без разрешения устройство не подключается, видимо они что-то знают.

vsb>>Если и переносить, то на CD.

N>А то, что на CD есть служебные области и туда можно записать что-то, что ты не подумаешь контролировать — ты учитываешь?

CD это CD. Пиши что хочешь куда хочешь. Он сетевой картой не притворится. Всё общение с CD приводом идёт по стандартному протоколу обычным драйвером.

Здравствуйте, vsb, Вы писали:

vsb>давно ещё ставил 10, она качает драйверы, и с драйверами какие-то управляющие панели и прочий хлам. В общем-то никто не мешает в эти управляющие панели засунуть бэкдор.

Как никто не мешает не дать винде возможности все это качать. А чтоб не дать ей возможности запускать софт через UEFI, придется хакерствовать.

vsb>Да и в драйверы по-большому счёту не мешает. Хоть в Win 10, хоть в Win 98. Их же не MS пишет.

Те драйверы, что MS распространяет от своего имени, хоть как-то проверяются, плюс договоры MS с вендорами устанавливают их ответственность.

vsb>Ну не качала винда раньше драйверы сама, ставили с дисков или с сайта качали. Какая разница. Не будешь же без драйверов сидеть.

Ну вот у меня в одном из десктопов был порт IEEE1394, для которого у тамошней XP не было драйвера. Я этот порт не использовал, потому и драйверов для него не ставил. А еще многие качают "драйверы от производителя" просто потому, что им так сказали, хотя встроенные ничем не хуже. В любом случае, это вопрос осознанного выбора.

vsb>Линукс в этом плане лучше. Там есть возможность собрать систему для работы без проприетарщины.

Откуда возьмутся драйверы в линуксе, если существуют только проприетарные? Ну и наивная вера в то, что в открытых исходниках не может быть бэкдоров, тоже умиляет.

Здравствуйте, Евгений Музыченко, Вы писали:

vsb>>Линукс в этом плане лучше. Там есть возможность собрать систему для работы без проприетарщины.

ЕМ>Откуда возьмутся драйверы в линуксе, если существуют только проприетарные?

Почему только проприетарные? Проприетарные драйверы для линукса найти — постараться надо. Из популярного железа я только про nvidia знаю.

EM>Ну и наивная вера в то, что в открытых исходниках не может быть бэкдоров, тоже умиляет.

Может быть всё на свете, но шансов ощутимо меньше, т.к. в линуксе весь код проходит через нескольких людей.

Здравствуйте, vsb, Вы писали:

vsb>Проприетарные драйверы для линукса найти — постараться надо.

Кто из нас линуксоид? Я у многих производителей давно вижу драйверы под линукс. Навскидку: Intel, IBM, Realtek, Broadcom, D-Link, Xilinx, SafeNet, STMicroelectronics, FTDI, WCH.

vsb>в линуксе весь код проходит через нескольких людей.

Чтобы пройти через тех людей, код должен как-то к ним попасть. Если я опубликую софтину для линукса на гитхабе — через сколько лет она пройдет через них?

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".

Фишка, как я понял, в том, что насосавшись оттуда софта оно, особо никак не проверяя насосаннуе, его автоматически и применяет. Т.е., подменив те сайты, с которых сосется софт, можно подсунуть туда что-нибудь более интересное, чем скучный и унылый апдейт биоса.

Здравствуйте, Евгений Музыченко, Вы писали:

vsb>>Проприетарные драйверы для линукса найти — постараться надо.

ЕМ>Кто из нас линуксоид? Я у многих производителей давно вижу драйверы под линукс. Навскидку: Intel, IBM, Realtek, Broadcom, D-Link, Xilinx, SafeNet, STMicroelectronics, FTDI, WCH.

Я не знаю, о чём речь. Сколько я линуксом пользовался, я драйверы ставил только на nvidia. Ну вру, ещё на HP один раз ставил проприетарные драйверы для ихнего рейда, но там такое, от кривого железа больше.

vsb>>в линуксе весь код проходит через нескольких людей.

ЕМ>Чтобы пройти через тех людей, код должен как-то к ним попасть. Если я опубликую софтину для линукса на гитхабе — через сколько лет она пройдет через них?

Если ты опубликуешь софтину на гитхабе, то на мой компьюютер она вероятно не попадёт никогда, по крайней мере в ядро. Чтобы она попала на мой компьютер, твою софтину должны опакетить в дебиане, это уже как минимум мейнтейнер, конечно вряд ли он будет код ревьюить особо, но всё же лучше, чем ничего. По крайней мере убедится, что исходники есть. Но всё же речь о ядре, а не о софтинах. В ядро попасть сложней.

Как уже отметили предыдущие комментаторы, отсутствие прямого выхода в WWW это вполне нормальная практика.
Для этого достаточно пограничного роутера с http-прокси. Для каждого приложения, использующего ресурсы WWW, своя учетка к прокси с белым списком адресов.
Технически пограничный роутер можно организовать и в виде VM, запускаемой прямо на защищаемой системе. Это менее надежно, но уже лучше, чем ничего.

Здравствуйте, vsb, Вы писали:

vsb>>>Проприетарные драйверы для линукса найти — постараться надо.

ЕМ>>Кто из нас линуксоид? Я у многих производителей давно вижу драйверы под линукс. Навскидку: Intel, IBM, Realtek, Broadcom, D-Link, Xilinx, SafeNet, STMicroelectronics, FTDI, WCH.

vsb>Я не знаю, о чём речь. Сколько я линуксом пользовался, я драйверы ставил только на nvidia. Ну вру, ещё на HP один раз ставил проприетарные драйверы для ихнего рейда, но там такое, от кривого железа больше.

А не надо смотреть, что _ты_ ставишь. Смотри, что система сама тянет. dpkg-query -L linux-firmware на свежей убунте 20.04 показывает 3023(!) файла. Из них до чёрта, например, прошивок WiFi карт (Atheros, Broadcom), проводных сетевух, видео (даже Intel)...

(Да, я понимаю разницу между прошивкой в карте и драйвером в ядре. Но для данного обсуждения их однозначно лучше рассматривать вместе — неизвестная блобня, без которой работать не будет.)

Здравствуйте, vsb, Вы писали:

vsb>>>А флешка это не безопасно. На флешке свой процессор, своя прошивка. Никто не мешает вирусу прошить флешку своей прошивкой. USB на винде вроде бы ещё опасен, ничего не мешает вирусной флешке представиться клавиатурой и вбить что-то нехорошее, пока тебя нет. Макось, кстати, с недавнего времени начала спрашивать юзера обо всех новых вставленных устройствах и без разрешения устройство не подключается, видимо они что-то знают.

vsb>>>Если и переносить, то на CD.

N>>А то, что на CD есть служебные области и туда можно записать что-то, что ты не подумаешь контролировать — ты учитываешь?

vsb>CD это CD. Пиши что хочешь куда хочешь. Он сетевой картой не притворится. Всё общение с CD приводом идёт по стандартному протоколу обычным драйвером.

1. Ты, наверно, думаешь про IDE/SATA приводы. Сейчас такие ещё поискать надо, и куда и как подключать... на рынке в разы больше USB, чем таких. Возвращаемся к твоему примеру с флэшкой.

2. Даже если SATA: Что заложил туда автор прошивки привода — ты не определишь. И это может быть даже легче скрыть, чем если флэшка объявит себя клавиатурой — что можно увидеть в диспетчере устройств. Подменит данные — и поехали.
А на IDE оно ещё и само частично контролирует DMA.

Здравствуйте, vsb, Вы писали:

vsb>Я не знаю, о чём речь.

О драйверах железа, которые производители оного выпускают для линукса.

vsb>Сколько я линуксом пользовался, я драйверы ставил только на nvidia.

Значит, у Вас никогда не было мало-мальски нетипичной периферии, под которую в линуксах нет собственных или одобренных сторонних драйверов.

vsb>Если ты опубликуешь софтину на гитхабе, то на мой компьюютер она вероятно не попадёт никогда, по крайней мере в ядро.

Как "на мой компьютер" соотносится с "в линуксе весь код проходит через нескольких людей"?

Здравствуйте, netch80, Вы писали:

vsb>>>>Проприетарные драйверы для линукса найти — постараться надо.

ЕМ>>>Кто из нас линуксоид? Я у многих производителей давно вижу драйверы под линукс. Навскидку: Intel, IBM, Realtek, Broadcom, D-Link, Xilinx, SafeNet, STMicroelectronics, FTDI, WCH.

vsb>>Я не знаю, о чём речь. Сколько я линуксом пользовался, я драйверы ставил только на nvidia. Ну вру, ещё на HP один раз ставил проприетарные драйверы для ихнего рейда, но там такое, от кривого железа больше.

N>А не надо смотреть, что _ты_ ставишь. Смотри, что система сама тянет. dpkg-query -L linux-firmware на свежей убунте 20.04 показывает 3023(!) файла. Из них до чёрта, например, прошивок WiFi карт (Atheros, Broadcom), проводных сетевух, видео (даже Intel)...

N>(Да, я понимаю разницу между прошивкой в карте и драйвером в ядре. Но для данного обсуждения их однозначно лучше рассматривать вместе — неизвестная блобня, без которой работать не будет.)

Если ты понимаешь, то я тогда тебя не понимаю. У меня в компьютере куча железа со своими прошивками. И даже если я не буду скачивать для них новые версии прошивок, они будут работать на старых и я с этим ничего не могу сделать, только не пользоваться компьютером. Поэтому дискуссию о прошивках я вести смысла вообще не вижу, с ними ничего не сделать никак. Можно только со стороны ОС пытаться контролировать, чтобы процессор веб-камеры не имел доступа к сети и всё плохое поведение оставалось внутри него. А если в прошивке сетевой карты дырка, то я тут просто бессилен, т.к. открытого железа можно сказать не существует.

В общем между драйверами и прошивками разница принципиальная, я считаю, и смешивать их некорректно. За чистоту первых можно и нужно бороться. А вторые — ну это просто блобы, это отражение проприетарной сущности железа. До открытых ОС мы дожили, до открытого железа не дожили.

Здравствуйте, netch80, Вы писали:

vsb>>CD это CD. Пиши что хочешь куда хочешь. Он сетевой картой не притворится. Всё общение с CD приводом идёт по стандартному протоколу обычным драйвером.

N>1. Ты, наверно, думаешь про IDE/SATA приводы. Сейчас такие ещё поискать надо, и куда и как подключать... на рынке в разы больше USB, чем таких. Возвращаемся к твоему примеру с флэшкой.

N>2. Даже если SATA: Что заложил туда автор прошивки привода — ты не определишь. И это может быть даже легче скрыть, чем если флэшка объявит себя клавиатурой — что можно увидеть в диспетчере устройств. Подменит данные — и поехали.
N>А на IDE оно ещё и само частично контролирует DMA.

Я не предлагаю переставлять приводы между компьютерами. Я показываю путь зловреда: от заражённого компьютера в прошивку флешки через уязвимость и через прошивку флешки во вторую систему. Да, путь несколько параноидальный и, наверное, такого в природе не происходило, но в теории возможный. Представить, что зловред запишет CD так, что это вызовет некий RCE в прошивке привода мне сложней. Хотя, конечно, можно и такое представить.

У меня, кстати, как раз для таких случаев была идея — делать перенос информации между устройствами через QR-коды. На одном устройстве дисплей, на другом камера. И быстро меняющиеся QR-коды передают нужную информацию.

ЕМ>На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".

Эта фича с самого начала выглядела очень подозрительно, так что я первым делом ее отключил:

рекомендуется отключить функцию «Загрузка и установка APP Center» в прошивке.

Здравствуйте, SkyDance, Вы писали:

SD>Эта фича с самого начала выглядела очень подозрительно, так что я первым делом ее отключил

Так уязвимость-то не в прошивке, а в винде. А там это, если и отключается, то лишь через Shift-F10 в процессе установки, или через загрузку автономной системы до первой загрузки установленной.

vsb> Из плюсов — полностью контролируется сеть, можно весь траффик завернуть в впн, можно дамп смотреть, будучи уверен, что в дамп попадает каждый исходящий из виртуальной машины байт.

Приложения могут маскировать трафик. Тут целый DPI нужен.

vsb>А флешка это не безопасно. На флешке свой процессор, своя прошивка. Никто не мешает вирусу прошить флешку своей прошивкой. USB на винде вроде бы ещё опасен, ничего не мешает вирусной флешке представиться клавиатурой и вбить что-то нехорошее, пока тебя нет. Макось, кстати, с недавнего времени начала спрашивать юзера обо всех новых вставленных устройствах и без разрешения устройство не подключается, видимо они что-то знают.

Появились ли аппаратные решения для защиты от BadUSB?
После загрузки ОС защита относительна понятна, например средствами USBGuard.
Но что делать до загрузки ОС?