На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".

То есть, поставив с нуля более-менее адекватную "традиционную" винду, можно хотя бы быть уверенным, что она полностью управляет железом. Вызовы всяких API в BIOS/EC можно не считать, они могут тормозить, но навредить вроде как особо не могут. Intel ME, теоретически, более функционален, но таки не замечен ни в чем предосудительном на уровне самого процессора.

А тут, можно сказать, раздолье.

ЕМ>На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".
А что, до сих пор у кого-то хостовая ось имеет доступ к инету?

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".

ЕМ>То есть, поставив с нуля более-менее адекватную "традиционную" винду, можно хотя бы быть уверенным, что она полностью управляет железом. Вызовы всяких API в BIOS/EC можно не считать, они могут тормозить, но навредить вроде как особо не могут. Intel ME, теоретически, более функционален, но таки не замечен ни в чем предосудительном на уровне самого процессора.

Бэкдор от производителя железа. А линупс, например, насколько помню, легко вскрывается при наличии доступа к железу. А с виндой такое не прокатит

Здравствуйте, Osaka, Вы писали:

O>А что, до сих пор у кого-то хостовая ось имеет доступ к инету?

Да как бы у всех, кто не законченный параноик, подключающийся к инету через USB.

Здравствуйте, Marty, Вы писали:

M>с виндой такое не прокатит

Что именно не прокатит с виндой?

Здравствуйте, Евгений Музыченко, Вы писали:

M>>с виндой такое не прокатит

ЕМ>Что именно не прокатит с виндой?

Войти в систему админом, не зная пароль

Здравствуйте, Marty, Вы писали:

M>Бэкдор от производителя железа. А линупс, например, насколько помню, легко вскрывается при наличии доступа к железу.

В линуксе это тривиально регулируется.

M> А с виндой такое не прокатит

Ну да, она конкурентов не терпит.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".

Это обозвали уязвимостью не потому, что автоматически подтягивает софт, а потому, что этот софт может быть не подписан. Так-то автоматический апдейт сейчас делает каждая первая софтина, что позволяет использовать этот канал для доставки произвольного софта на произвольные машины, от шпионажа за гос. структурами до окирпичивания машин по целевой стране.

Здравствуйте, Marty, Вы писали:

M> M>>с виндой такое не прокатит
M> ЕМ>Что именно не прокатит с виндой?
M> Войти в систему админом, не зная пароль
гугли например
copy cmd.exe Utilman.exe

Здравствуйте, scf, Вы писали:

scf>Это обозвали уязвимостью не потому, что автоматически подтягивает софт, а потому, что этот софт может быть не подписан.

Уязвимость это прежде всего потому, что сторонний софт запускается без ведома и санкции пользователя.

scf>автоматический апдейт сейчас делает каждая первая софтина

В большинстве софтин это управляется. И правильно настроенная винда по умолчанию никого не пускает в сеть, пока не будут выданы разрешения.

Здравствуйте, Marty, Вы писали:

ЕМ>>Что именно не прокатит с виндой?

M>Войти в систему админом, не зная пароль

При наличии доступа к железу никакие пароли не нужны. Загружается сторонняя винда с другого носителя, в ней делается все, что нужно.

Здравствуйте, Marty, Вы писали:

M>Войти в систему админом, не зная пароль

https://ru.wikipedia.org/wiki/Chntpw

Здравствуйте, Евгений Музыченко, Вы писали:

scf>>Это обозвали уязвимостью не потому, что автоматически подтягивает софт, а потому, что этот софт может быть не подписан.

ЕМ>Уязвимость это прежде всего потому, что сторонний софт запускается без ведома и санкции пользователя.

Смешно. Как будто проблема запустить сторонний софт проблема запустить с ведома и санкции пользователя


scf>>автоматический апдейт сейчас делает каждая первая софтина

ЕМ>В большинстве софтин это управляется. И правильно настроенная винда по умолчанию никого не пускает в сеть, пока не будут выданы разрешения.

Это винда параноика. Но настоящий параноик сидит на компе без выхода в сеть, а в инет выходит с другого, и данные между ними переносит на флешке

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>А тут, можно сказать, раздолье.

Это эволюция, как она есть. Только социальная.
На мой взгляд, просматриваются прямые параллели с биологической.

Ну я давно ещё ставил 10, она качает драйверы, и с драйверами какие-то управляющие панели и прочий хлам. В общем-то никто не мешает в эти управляющие панели засунуть бэкдор.

Да и в драйверы по-большому счёту не мешает. Хоть в Win 10, хоть в Win 98. Их же не MS пишет. Ну не качала винда раньше драйверы сама, ставили с дисков или с сайта качали. Какая разница. Не будешь же без драйверов сидеть.

Линукс в этом плане лучше. Там есть возможность собрать систему для работы без проприетарщины.

Макось тоже адекватная. Там всё от эппла. Доверие не размывается.

Я всё больше убеждаюсь, что единственный адекватный компьютер для винды это Surface. Полагаю, что там все драйверы от MS. Ну или что-то вроде Intel NUC. Хотя я только предполагаю.

Здравствуйте, Marty, Вы писали:

M>Это винда параноика. Но настоящий параноик сидит на компе без выхода в сеть, а в инет выходит с другого, и данные между ними переносит на флешке

Если меня замучает паранойя, я поставлю на хост линукс без графики, в минимальной установке. А в нём через qemu буду запускать нужную ОС, хоть полновесный линукс, хоть винду. Видеокарта прокидывается и по производительности проседания нет. Из плюсов — полностью контролируется сеть, можно весь траффик завернуть в впн, можно дамп смотреть, будучи уверен, что в дамп попадает каждый исходящий из виртуальной машины байт. Также из плюсов — снапшоты, при большом желании можно ставить что попало и потом анализировать разницу.

А флешка это не безопасно. На флешке свой процессор, своя прошивка. Никто не мешает вирусу прошить флешку своей прошивкой. USB на винде вроде бы ещё опасен, ничего не мешает вирусной флешке представиться клавиатурой и вбить что-то нехорошее, пока тебя нет. Макось, кстати, с недавнего времени начала спрашивать юзера обо всех новых вставленных устройствах и без разрешения устройство не подключается, видимо они что-то знают.

Если и переносить, то на CD.

Здравствуйте, vsb, Вы писали:

vsb>А флешка это не безопасно. На флешке свой процессор, своя прошивка. Никто не мешает вирусу прошить флешку своей прошивкой. USB на винде вроде бы ещё опасен, ничего не мешает вирусной флешке представиться клавиатурой и вбить что-то нехорошее, пока тебя нет. Макось, кстати, с недавнего времени начала спрашивать юзера обо всех новых вставленных устройствах и без разрешения устройство не подключается, видимо они что-то знают.

vsb>Если и переносить, то на CD.

А то, что на CD есть служебные области и туда можно записать что-то, что ты не подумаешь контролировать — ты учитываешь?

Кажется, в стиле некоторых коллег надо на такие посты отвечать одной фразой — "Тюлилихум ааухум".

Здравствуйте, netch80, Вы писали:

vsb>>А флешка это не безопасно. На флешке свой процессор, своя прошивка. Никто не мешает вирусу прошить флешку своей прошивкой. USB на винде вроде бы ещё опасен, ничего не мешает вирусной флешке представиться клавиатурой и вбить что-то нехорошее, пока тебя нет. Макось, кстати, с недавнего времени начала спрашивать юзера обо всех новых вставленных устройствах и без разрешения устройство не подключается, видимо они что-то знают.

vsb>>Если и переносить, то на CD.

N>А то, что на CD есть служебные области и туда можно записать что-то, что ты не подумаешь контролировать — ты учитываешь?

CD это CD. Пиши что хочешь куда хочешь. Он сетевой картой не притворится. Всё общение с CD приводом идёт по стандартному протоколу обычным драйвером.

Здравствуйте, vsb, Вы писали:

vsb>давно ещё ставил 10, она качает драйверы, и с драйверами какие-то управляющие панели и прочий хлам. В общем-то никто не мешает в эти управляющие панели засунуть бэкдор.

Как никто не мешает не дать винде возможности все это качать. А чтоб не дать ей возможности запускать софт через UEFI, придется хакерствовать.

vsb>Да и в драйверы по-большому счёту не мешает. Хоть в Win 10, хоть в Win 98. Их же не MS пишет.

Те драйверы, что MS распространяет от своего имени, хоть как-то проверяются, плюс договоры MS с вендорами устанавливают их ответственность.

vsb>Ну не качала винда раньше драйверы сама, ставили с дисков или с сайта качали. Какая разница. Не будешь же без драйверов сидеть.

Ну вот у меня в одном из десктопов был порт IEEE1394, для которого у тамошней XP не было драйвера. Я этот порт не использовал, потому и драйверов для него не ставил. А еще многие качают "драйверы от производителя" просто потому, что им так сказали, хотя встроенные ничем не хуже. В любом случае, это вопрос осознанного выбора.

vsb>Линукс в этом плане лучше. Там есть возможность собрать систему для работы без проприетарщины.

Откуда возьмутся драйверы в линуксе, если существуют только проприетарные? Ну и наивная вера в то, что в открытых исходниках не может быть бэкдоров, тоже умиляет.

Здравствуйте, Евгений Музыченко, Вы писали:

vsb>>Линукс в этом плане лучше. Там есть возможность собрать систему для работы без проприетарщины.

ЕМ>Откуда возьмутся драйверы в линуксе, если существуют только проприетарные?

Почему только проприетарные? Проприетарные драйверы для линукса найти — постараться надо. Из популярного железа я только про nvidia знаю.

EM>Ну и наивная вера в то, что в открытых исходниках не может быть бэкдоров, тоже умиляет.

Может быть всё на свете, но шансов ощутимо меньше, т.к. в линуксе весь код проходит через нескольких людей.