Dotaz: bezpecnost pouzitych strojov

Zdravicko,

tak som sa zamyslel nad bezpecnostou repasovanych (resp. refurbished) masin (pozor, chcem diskutovat o bezpecnosti ako takej, nejedna sa mi o spolahlivost). Tiez sa nechcem zaoberat ani otazkou bezpecnosti novych masin - skratka fakty, ze aj v novych masinach su rozne spehovacie vymozenosti na ucely diskusie zanedbajme, dobre? (Aj ked sa mi tato predstava bridi rovnako ako Vam.)

Predstavujem si situaciu asi takto. Dakde na ministerstve pouzivaju nejake drahe laptopy, kde moze napriklad nejaky vychytraly Janko Mrkvicka povedzme pozmenit firmware dacoho (sietova karta, HDD a pod.). Tento notebook sa potom repasuje a dalej preda.

Otazka cislo jedna (viac menej recnicka) znie, ci Janko Mrkvicka vobec moze pozmenit FW dacoho (v zmysle, ci sa to da). Nie som odbornik, bo som sa s tymito vecami zatial nehral, ale IMHO to mozne je (min. niektore komponenty urcite).

Druha otazka znie, ci sa riesi pri procese renovacie masiny aj preflashovanie FW kadecoho? Je mi jasne, ze to urcite zavisi aj od toho, kto repasuje masinu. Zaujimali by ma vsak Vase nazory. (Super by bolo, keby tu bol aj niekto z fachu, ochotny sa podelit o skusenosti.)

Je jasne, ze kazdy si preinstaluje OS v kupenom repase, ale BIOS uz napriklad riesi menej ludi a trebars FW HDD uz len malokto... (teda aspon myslim ). Je to podla Vas chyba?

Dakde na ministerstve

Proč zrovna na ministerstvu? Může to udělat kdokoli s běžně dostupnou technologií. Minimálně česká ministerstva mě zatím nepřesvědčila, že by měla nějaké pokročilejší odborníky a lepší schopnosti/techniku než lidi okolo .

v zmysle, ci sa to da

Ano, dá. BIOS nahradí Corebootem, do kterého se dá s trochou snahy narvat dokonce kompletní Linux a pak jsou možnosti škodění neomezené. Bude si muset napsat emulátor originálního textového rozhraní BIOSu, aby to nebylo podezřelé. Na HDD jde totéž. Člověk si pak může představit FW, který při prvním bootu podstrčí alternativní boot partition, na které bude opět třeba malý Linux, který projde obsah disku a nainstaluje tam backdoory. Síťovky zase mají PXE Boot ROM, která se také sama spouští (v některých BIOSech to jde zakázat).

Druha otazka znie, ci sa riesi pri procese renovacie masiny aj preflashovanie FW kadecoho?

Často je problém najít i originální FW BIOSu, o discích, síťovkách… nemluvě. Navíc ne vždy je to samostatní flashka, někdy se to musí odpájet (budiž), nebo je to součástí něčeho a je na to potřeba JTAG a divný software.

Pak je ještě platform controller/keyboard controller a management engine u novějších strojů. Třeba na EEE 1005 je platform controller normální 8051 a firmware se mi podařilo triviálně vyčíst (nezkoušel jsem si tam ale zapsat vlastní). Řídí to klávesnici, takže to může keylogovat, a větráček, přičemž větráček se dá spínat tak, aby bylo rušení z něj slyšet v rádiu. Takže se dá takhle udělat keylogger a klávesy z něj se dají přijímat na dálku.

Smazat pevny disk podle me staci, resp. pokud ti to nestaci tak pak muzes mit problem pouzivat i nove stroje, mozna i vetsi problem nez repasovane protoze se tim dostanes ke konspiracnim teoriim o celosvetovem dosahu NSA a dalsich organizaci.
Me staci mit svuj system do urcite miry pod kontrolou (samozrejme nekompiluji vesker software a neznam kazdy radek kodu, proto do urcite miry) a k tomu pro jistotu sifrovat nektera data. Myslim ze jsem na tom lip nez vetsina beznych uzivatelu windows.