В начале этого года исследователями было найдено шпионское ПО, поставляемое с ноутбуками фирмы Lenovo. Без постов по этой теме на хабре не обошлось. За это Lenovo поплатились атакой на свой сайт.
10 часов назад пользователь reddit опубликовал новый отчет. На этот раз виновником оказался Dell. Компания продаёт ноутбуки с предустановленным, самоподписанным корневым сертификатом.
Это весьма неприятно. Кроме сертификата был найден и приватный ключ, пароль к которому — «dell».
Это всё ставит безопасность пользователей, обладающих ноутбуками это фирмы под угрозу. Любой желающий, который проводит MitM атаку может перехватывать и модифицировать зашифрованные данные.
Если вы являетесь обладателем ноутбука фирмы Dell, проверьте список доверенных сертификатов и сертификационных центров.
Длинное обсуждение находится здесь.
UPD #1: Официальный ответ представителей Dell
Жизнь никого не учит
10 часов назад пользователь reddit опубликовал новый отчет. На этот раз виновником оказался Dell. Компания продаёт ноутбуки с предустановленным, самоподписанным корневым сертификатом.
Это весьма неприятно. Кроме сертификата был найден и приватный ключ, пароль к которому — «dell».
Это всё ставит безопасность пользователей, обладающих ноутбуками это фирмы под угрозу. Любой желающий, который проводит MitM атаку может перехватывать и модифицировать зашифрованные данные.
Если вы являетесь обладателем ноутбука фирмы Dell, проверьте список доверенных сертификатов и сертификационных центров.
Длинное обсуждение находится здесь.
UPD #1: Официальный ответ представителей Dell
ibKpoxa
Скоро и в предустановленных линуксах будет такое же г находиться.
nikitasius
Какой смысл в предустановленном линуксе?
Винда — там еще понятно, экономия на лицензии в обмене на анальное рабство. Но линь-то? Угодить блондогигам?
a553
В случае Lenovo малварь находилась в UEFI, и от неё нельзя было избавиться ни возвратом лицензии Windows, ни даже полным форматированием всех носителей и переустановкой системы.
lola_term
Уефи у леново апдейтится каждые пару месяцев, врядли пользователи в курсе про такую функцию, думаете на протяжении всех версий малваря жива?)
еще вариант поставить линух и врядли она пропишется, еще извращенный вариант поставить bios coreboot (если поддерживает ноут) или другой опенсорсный биос, кстати щас вот ищу под свой на нг праздники пока работы не будет буду убивать свой терминатор т440п и пробовать альтернативные варианты ну или на край искать альтернативный ноут кастомных производителей который смогу крутить и апдейтить как захочу правда решение обойдется в 100-150к рублей минимум :((
А если тот пользователь хочет безопасности то зря он сидит изначально на вин10 и если уж совсем на то пошло в семействе win* %)
nikitasius
А изменить на legacy вам религия не позволяет?
lola_term
А доступа и нету, заблокирован под обычным пользователем. А пароль знает наверное только производитель, ибо ноут брался прямо из магазина.
Сбросить в новом уефи паролей возможности пока нет на сколько знаю.
navion
Чтобы компьютером можно было пользоваться вынув из коробки.
nikitasius
Я бы поржал в лицо человеку, который покупает ноут с предустановленным линуксом, чтобы сразу начать пользоваться тем, что там предустановили. Кто-то за меня знает какой линукс я хочу иметь на ноуте?
Диванные теоретики собрались и комментируют.
navion
FreeDOS по-вашему лучше?
achekalin
Честно говоря, когда на буке стоит любая ОСь, где можно мышкой водить по экрану, есть браузер, почтовая программа, офисные программы и которая может печатать на принтере — то масса юзеров (удивитесь даже, насколько большая) даже не будут думать, что это за ОСь, а просто будут использовать ее.
Пример Убунты, которая, «спасибо» Unity чуть более, чем полностью изменила как-то свой вид, и которую все еще использует огромное число людей (хотя уж у них-то нет аргумента, что «поставил бы другую версию, но с мои буком шла именно эта винда, а платить еще за одну версию не хочется»).
И, да, уверен, что во многих случаях не дистр определяет эффективность использования железа, а руки и голова юзера. Опять же, ддля малого числа маньяков, которые пользуются только чем-то своим, всегда есть вариант удалить дефолтное и поставить это самое «свое». Главное, что машина юзеру передана не в «условно юзабельном» виде, как в случае с FreeDOS или иными обрезанными линухами, а именно вполне юзабельной.
Так что, да, «изобразите коня» в лицо кому-нибудь, но такие люди мало того что есть, так их еще и много.
merlin-vrn
Дистр как раз определяет эффективность через руки. То есть, руки сами выберут тот дистр, который нужен.
nikitasius
unity в убунту это не конец света. Если написать в гугле «купи печеньку gnome ubuntu» то гугл подскажет, как поставить gnome-classic в 3, 2, 1, пошел-команду!
Теперь что лучше, юзабельный или кирпич: Лучше — это когда я вставляю туда болванку с акронисом и затем болванку с «linux».
Мне абсолютно пофигу что стоит в ноуте, если я за это «что» не плачу.
Свои последние ноуты я покупал всегда пустыми, только в магазе memtest прогонял и железо сверял.
Вот кто за меня поставит мне ubuntu и gnome? Или debian server на него lubuntu-desktop? Или ванильный дебиан?
Предустановленный линукс — это бред. Но, несомненно те люди, у которых руки растут не из того места и которые слышали что «линукс не виснет и после года аптайма» — они, несомненно, побегут покупать такое чудо из магазина, сутки будут писать кипятком, неделю растирать сопли, и в итоге вернутся в магаз, вернут товар или доплатят за установку всевидящего ока мелкософта.
mayorovp
<irony>
Randl
Мало гуглите про gnome и много про еду
nikitasius
Спроси гугл, что ты делаешь не так! Твой Кэп!
Areso
Это просто другие сценарии использования. Вон люди даже хромобуки покупают — и много покупают, в штатах — а там ничего нет, условно говоря, кроме браузера. Та же Убунту дает предустановленный браузер+LibreOffice+мал-мало других приложений. Добавить туда Chrome, VLC плеер и кодеки «из коробки» — и многим будет пофиг, что это вообще за ОС такая.
mayorovp
К примеру, с помощью предустановленного линукса вы можете скачать с инета свой любимый дистрибутив, если вдруг забыли установочный диск в другой стране.
Или на предустановленном линуксе можно прочитать маны. Или задать на форуме вопрос по настройке линукса. Или вопроса не задавать, но поискать на него ответы.
На предустановленном линуксе можно поднять tftp-сервер для установки линукса — это пригодится, если в наличии имеется два компьютера с предустановленными линуксами и ноль флешек или компакт-дисков.
Особо сильный колдун может даже установить другой дистрибутив прямо из предустановленного линукса, без использования флешек, компакт-дисков и tftp.
Таким образом, предустановленный линукс может пригодиться даже если покупатель собирается сразу после покупки поставить другой дистрибутив. Работающая из коробки система — это всегда хорошо, даже если она лично вам не нужна.
Idot
А Андроид, первоначально являвшийся форком от Линукса, за Линукс всё ещё считается?
Eklykti
андроид не форк от линукса, это самостоятельная ос с использованием ядра Linux, которое служит прослойкой для железа и запускалкой для жабамашины. С десктопным линуксом там очень мало общего.
navion
Понять бы систему по которой предустанавливали этот сертификат. В дистрибутиве семёрки от Dell его точно нет.
mudrij
У меня Dell Alienware ноут, есть только самоподписанный сертификат на текущее имя компьютера и Localhost.
Может у топикстартера имя компьютера eDellRoot :)
mx2000
Судя по комментариям в реддите, сертификат появляется после обновлений Dell Updates. http://imgur.com/a/DA6P5
DirectX
filippo.io/Badfish в Chrome, Firefox на Ubuntu 12.04 LTS показывает:
YES, you have a big problem — even if it's not Komodia.
Apparently no certificates checks are happening. That's BAD. Anyone can intercept the connections you make.
This might be due to the browser you are using (if it's not a major one) or to software you are running, like PrivDog.
Это норма? Где можно погуглить поподробнее, что именно они проверяют?
DirectX
Проверил до кучи Windows 8 (Chrome, IE), Galaxy S4 на Android 5.0.1 (Chrome, дефолтный браузер) — тот же результат — YES.
И только древний HTC Sensation на 4.0.3 с древним же дефолтным браузером выдал на тестовом сайте уведомление об установке сертификата из сомнительных источников.
Eklykti
Да там тест походу багнутый — на одном из доменов стоит валидный комодовский wildcard сертификат, а скрипт на нём выдаёт значение «YES»
mayorovp
Они проверяют доступ по вот этим ссылкам:
san.filippo.io/yes.js
badfish.filippo.io/yes.js
untrusted.filippo.io/yes.js
Первый и третий домены идут с валидными сертификатами от CloudFlare, так что что проверяет скрипт — и правда не понятно.
Можете попытаться перейти по второй ссылке вручную.
kindacute
Официальный ответ: en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate
Добавьте в статью
akamajoris
Спасибо!