В начале этого года исследователями было найдено шпионское ПО, поставляемое с ноутбуками фирмы Lenovo. Без постов по этой теме на хабре не обошлось. За это Lenovo поплатились атакой на свой сайт.



Жизнь никого не учит

10 часов назад пользователь reddit опубликовал новый отчет. На этот раз виновником оказался Dell. Компания продаёт ноутбуки с предустановленным, самоподписанным корневым сертификатом.

image

Это весьма неприятно. Кроме сертификата был найден и приватный ключ, пароль к которому — «dell».
Это всё ставит безопасность пользователей, обладающих ноутбуками это фирмы под угрозу. Любой желающий, который проводит MitM атаку может перехватывать и модифицировать зашифрованные данные.
Если вы являетесь обладателем ноутбука фирмы Dell, проверьте список доверенных сертификатов и сертификационных центров.

Длинное обсуждение находится здесь.
UPD #1: Официальный ответ представителей Dell

Комментарии (28)


  1. ibKpoxa
    23.11.2015 19:55

    Скоро и в предустановленных линуксах будет такое же г находиться.


    1. nikitasius
      23.11.2015 20:17
      -11

      Какой смысл в предустановленном линуксе?
      Винда — там еще понятно, экономия на лицензии в обмене на анальное рабство. Но линь-то? Угодить блондогигам?


      1. a553
        23.11.2015 20:56
        +2

        Винда — там еще понятно, экономия на лицензии в обмене на анальное рабство.
        Безосновательно-с.

        В случае Lenovo малварь находилась в UEFI, и от неё нельзя было избавиться ни возвратом лицензии Windows, ни даже полным форматированием всех носителей и переустановкой системы.


        1. lola_term
          23.11.2015 21:30

          Уефи у леново апдейтится каждые пару месяцев, врядли пользователи в курсе про такую функцию, думаете на протяжении всех версий малваря жива?)
          еще вариант поставить линух и врядли она пропишется, еще извращенный вариант поставить bios coreboot (если поддерживает ноут) или другой опенсорсный биос, кстати щас вот ищу под свой на нг праздники пока работы не будет буду убивать свой терминатор т440п и пробовать альтернативные варианты ну или на край искать альтернативный ноут кастомных производителей который смогу крутить и апдейтить как захочу правда решение обойдется в 100-150к рублей минимум :((

          А если тот пользователь хочет безопасности то зря он сидит изначально на вин10 и если уж совсем на то пошло в семействе win* %)


        1. nikitasius
          24.11.2015 00:38

          А изменить на legacy вам религия не позволяет?


          1. lola_term
            26.11.2015 15:14

            А доступа и нету, заблокирован под обычным пользователем. А пароль знает наверное только производитель, ибо ноут брался прямо из магазина.
            Сбросить в новом уефи паролей возможности пока нет на сколько знаю.


      1. navion
        23.11.2015 21:02
        -2

        Чтобы компьютером можно было пользоваться вынув из коробки.


        1. nikitasius
          24.11.2015 00:40
          +1

          Я бы поржал в лицо человеку, который покупает ноут с предустановленным линуксом, чтобы сразу начать пользоваться тем, что там предустановили. Кто-то за меня знает какой линукс я хочу иметь на ноуте?
          Диванные теоретики собрались и комментируют.


          1. navion
            24.11.2015 01:12

            FreeDOS по-вашему лучше?


          1. achekalin
            24.11.2015 01:54
            +2

            Честно говоря, когда на буке стоит любая ОСь, где можно мышкой водить по экрану, есть браузер, почтовая программа, офисные программы и которая может печатать на принтере — то масса юзеров (удивитесь даже, насколько большая) даже не будут думать, что это за ОСь, а просто будут использовать ее.

            Пример Убунты, которая, «спасибо» Unity чуть более, чем полностью изменила как-то свой вид, и которую все еще использует огромное число людей (хотя уж у них-то нет аргумента, что «поставил бы другую версию, но с мои буком шла именно эта винда, а платить еще за одну версию не хочется»).

            И, да, уверен, что во многих случаях не дистр определяет эффективность использования железа, а руки и голова юзера. Опять же, ддля малого числа маньяков, которые пользуются только чем-то своим, всегда есть вариант удалить дефолтное и поставить это самое «свое». Главное, что машина юзеру передана не в «условно юзабельном» виде, как в случае с FreeDOS или иными обрезанными линухами, а именно вполне юзабельной.

            Так что, да, «изобразите коня» в лицо кому-нибудь, но такие люди мало того что есть, так их еще и много.


            1. merlin-vrn
              24.11.2015 08:47

              Дистр как раз определяет эффективность через руки. То есть, руки сами выберут тот дистр, который нужен.


            1. nikitasius
              24.11.2015 11:26
              -1

              unity в убунту это не конец света. Если написать в гугле «купи печеньку gnome ubuntu» то гугл подскажет, как поставить gnome-classic в 3, 2, 1, пошел-команду!

              Теперь что лучше, юзабельный или кирпич: Лучше — это когда я вставляю туда болванку с акронисом и затем болванку с «linux».
              Мне абсолютно пофигу что стоит в ноуте, если я за это «что» не плачу.
              Свои последние ноуты я покупал всегда пустыми, только в магазе memtest прогонял и железо сверял.

              Вот кто за меня поставит мне ubuntu и gnome? Или debian server на него lubuntu-desktop? Или ванильный дебиан?

              Предустановленный линукс — это бред. Но, несомненно те люди, у которых руки растут не из того места и которые слышали что «линукс не виснет и после года аптайма» — они, несомненно, побегут покупать такое чудо из магазина, сутки будут писать кипятком, неделю растирать сопли, и в итоге вернутся в магаз, вернут товар или доплатят за установку всевидящего ока мелкософта.


              1. mayorovp
                24.11.2015 16:49
                +1

                Если написать в гугле «купи печеньку gnome ubuntu» то гугл подскажет, как поставить gnome-classic в 3, 2, 1, пошел-команду!

                <irony>
                Что я делаю не так?


                1. Randl
                  25.11.2015 10:40

                  Мало гуглите про gnome и много про еду


                1. nikitasius
                  25.11.2015 11:34

                  Спроси гугл, что ты делаешь не так! Твой Кэп!


          1. Areso
            24.11.2015 06:03

            Это просто другие сценарии использования. Вон люди даже хромобуки покупают — и много покупают, в штатах — а там ничего нет, условно говоря, кроме браузера. Та же Убунту дает предустановленный браузер+LibreOffice+мал-мало других приложений. Добавить туда Chrome, VLC плеер и кодеки «из коробки» — и многим будет пофиг, что это вообще за ОС такая.


      1. mayorovp
        24.11.2015 17:13
        +2

        К примеру, с помощью предустановленного линукса вы можете скачать с инета свой любимый дистрибутив, если вдруг забыли установочный диск в другой стране.

        Или на предустановленном линуксе можно прочитать маны. Или задать на форуме вопрос по настройке линукса. Или вопроса не задавать, но поискать на него ответы.

        На предустановленном линуксе можно поднять tftp-сервер для установки линукса — это пригодится, если в наличии имеется два компьютера с предустановленными линуксами и ноль флешек или компакт-дисков.

        Особо сильный колдун может даже установить другой дистрибутив прямо из предустановленного линукса, без использования флешек, компакт-дисков и tftp.

        Таким образом, предустановленный линукс может пригодиться даже если покупатель собирается сразу после покупки поставить другой дистрибутив. Работающая из коробки система — это всегда хорошо, даже если она лично вам не нужна.


    1. Idot
      23.11.2015 21:57
      -2

      Скоро и в предустановленных линуксах будет такое же г находиться.

      А Андроид, первоначально являвшийся форком от Линукса, за Линукс всё ещё считается?


      1. Eklykti
        24.11.2015 00:36
        -1

        андроид не форк от линукса, это самостоятельная ос с использованием ядра Linux, которое служит прослойкой для железа и запускалкой для жабамашины. С десктопным линуксом там очень мало общего.


  1. navion
    23.11.2015 21:09

    Понять бы систему по которой предустанавливали этот сертификат. В дистрибутиве семёрки от Dell его точно нет.


    1. mudrij
      23.11.2015 21:26

      У меня Dell Alienware ноут, есть только самоподписанный сертификат на текущее имя компьютера и Localhost.

      Может у топикстартера имя компьютера eDellRoot :)


    1. mx2000
      24.11.2015 06:36

      Судя по комментариям в реддите, сертификат появляется после обновлений Dell Updates. http://imgur.com/a/DA6P5


  1. DirectX
    24.11.2015 11:49
    +1

    filippo.io/Badfish в Chrome, Firefox на Ubuntu 12.04 LTS показывает:

    YES, you have a big problem — even if it's not Komodia.
    Apparently no certificates checks are happening. That's BAD. Anyone can intercept the connections you make.
    This might be due to the browser you are using (if it's not a major one) or to software you are running, like PrivDog.

    Это норма? Где можно погуглить поподробнее, что именно они проверяют?


    1. DirectX
      24.11.2015 12:22

      Проверил до кучи Windows 8 (Chrome, IE), Galaxy S4 на Android 5.0.1 (Chrome, дефолтный браузер) — тот же результат — YES.

      И только древний HTC Sensation на 4.0.3 с древним же дефолтным браузером выдал на тестовом сайте уведомление об установке сертификата из сомнительных источников.


    1. Eklykti
      24.11.2015 16:40
      +1

      Да там тест походу багнутый — на одном из доменов стоит валидный комодовский wildcard сертификат, а скрипт на нём выдаёт значение «YES»


    1. mayorovp
      24.11.2015 17:26
      +1

      Они проверяют доступ по вот этим ссылкам:

      san.filippo.io/yes.js
      badfish.filippo.io/yes.js
      untrusted.filippo.io/yes.js

      Первый и третий домены идут с валидными сертификатами от CloudFlare, так что что проверяет скрипт — и правда не понятно.

      Можете попытаться перейти по второй ссылке вручную.


  1. kindacute
    24.11.2015 14:06
    +1

    1. akamajoris
      24.11.2015 14:32

      Спасибо!