The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В устройствах Dell выявлен корневой сертификат, позволяющий перехватывать HTTPS

24.11.2015 11:52

Компания Dell уличена в действиях, позволяющих организовать незаметный перехват и модификацию соединений с сайтами по HTTPS, повторив историю с вмешательством компании Lenovo в частную жизнь. На выставляемых в продажу с августа ноутбуках и персональных компьютерах Dell, среди которых модели Inspiron, XPS, Precision и Latitude, зафиксирована поставка закрытого ключа для корневого сертификата eDellRoot, который включён в локальный список доверительных сертификатов Windows.

Данный сертификат позволяет сгенерировать подставной SSL-сертификат для любого сайта и симулировать фиктивное HTTPS-cоединение, которое не приведёт к выводу предупреждения в браузерах Internet Explorer, Edge, Chrome и Safari, использующих список доверительных сертификатов Windows. Firefox не использует общее хранилище сертификатов, поэтому выявляет факт подмены и предупреждает об этом пользователя. Сообщается, что сертификат начал предустанавливаться в августе, но, в отличие от случая с Lenovo, явно не использован производителем для подстановки рекламы или анализа трафика.

Так как на все устройства предустанавливается общий сертификат и он легко может быть извлечён из системного хранилища сертификатов, злоумышленники могут воспользоваться eDellRoot для организации MITM-атаки, в результате которой возможно незаметное изменение или прослушивание HTTPS-трафика пользователей оборудования Dell, на котором установлен данный сертификат (сертификат входит только локальные списки доверия на ПК и ноутбуках Dell и не принимается на системах остальных пользователей). Пользователи оборудования Dell могут проверить наличие у них уязвимости на специально подготовленном тестовом сайте или проверив наличие eDellRoot в списке сертификатов, отображаемом в Microsoft Management Console.

Дополнение 1: Выявлен второй похожий самоподписанный корневой сертификат DSDTestProvider, который поставлялся на ноутбуке Dell XPS 13.

Дополнение 2: Сертификат eDellRoot удалось использовать для заверения цифровой подписью исполняемых файлов, т.е. его можно применять не только для атаки на HTTPS, но и для распространения вредоносного ПО, запуск которого на машинах Dell не приведёт к выводу предупреждения.

Дополнение 3: Компания Dell объяснила добавление сертификата его использованием для реализации сервиса оперативной технической поддержки. Пользователи устройств в ближайшее время получат обновление, в котором будет проведено удаление сертификата, который рассматривается как непреднамеренная уязвимость. Также опубликована инструкция по удалению сертификата вручную (недостаточно удалить сам сертификат, необходимо также удалить библиотеку Dell.Foundation.Agent.Plugins.eDell.dll, иначе сертификат будет восстановлен).

Дополнение 4: Суть проблемы в том, что приватный ключ для этого сертификата лежит в открытом доступе и зашифрован паролем "dell". Поэтому, любой может подписать сертификатом eDellRoot все, что угодно, а системы проверки, основанные на центральном хранилище сертификатов в Windows, будут этому доверять.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Новая атака на NTP позволяет воспользоваться просроченными сертификатами
  3. OpenNews: Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов
  4. OpenNews: Lenovo уличили в предустановке ПО, подменяющего сертификаты для HTTPS
  5. OpenNews: Инцидент с подменой SSL-сертификата YouTube оператором Gogo оказался результатом оптимизации трафика
  6. OpenNews: Оценка возможности идентификации клиента через анализ параметров HTTPS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43390-dell
Ключевые слова: dell, ssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (111) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, rob pike (?), 11:56, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    И не один
    http://www.laptopmag.com/articles/dell-certificate-security-flaw
     
  • 1.2, Аноним (-), 11:56, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Што опять !!??
     
  • 1.3, grec (?), 12:00, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ничего криминального. Индус-практикант подготовил конфиг форточек для заливки на нуотбуки.
     
     
  • 2.5, A.Stahl (ok), 12:06, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +27 +/
    Именно так всё и было. Расходитесь, граждане, здесь ничего нет интересного. Проходим, не задерживаемся. Всё хорошо.
     
  • 2.59, czarj (?), 18:39, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Это так важно постоянно указывать национальность?
     
     
  • 3.77, A.Stahl (ok), 22:40, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Индус это вероисповедание, а не национальность.
     
     
  • 4.102, Гуест (?), 04:20, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А индуист кто тогда?
     
     
  • 5.114, A.Stahl (ok), 10:51, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Индуист и индус это почти одно и то же. Индуист более последователем в своём религиозном маразме, а индус это так, фанат-любитель:)
    А национальность -- индийцы. В Индии живут индийцы.
     
  • 4.106, Аноним (-), 05:05, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты не прикидывайся дурочкой. Ясное дело тут религия не при чем. Акцент сделан на национальности.
     
  • 4.139, bOOster (ok), 14:42, 28/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    "индус" это образование.. Галочки тыкать...
     

  • 1.4, Аноним (-), 12:05, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +29 +/
    Закройте окна, мне дует.
     
  • 1.6, Sluggard (ok), 12:17, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хорошо, что моему Inspiron уже 2 года. И плохо, что моему Inspiron.
    И на что его менять теперь, когда соберусь — непонятно.
    Там HP с сериями ProBook и EliteBook не спалились ещё?
     
     
  • 2.7, Pan (??), 12:26, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока не спалились, но это только вопрос времени. Сейчас всё равно что покупать, закладки везде есть, ничего не поделаешь.
     
     
  • 3.9, Sluggard (ok), 12:29, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Пока не спалились, но это только вопрос времени. Сейчас всё равно что
    > покупать, закладки везде есть, ничего не поделаешь.

    Тоже так думаю. Но всё равно непрятно.
    С другой стороны — это всё про хранилище сертов в Win, то есть нам как-то побоку.

     
  • 3.44, DmA (??), 17:20, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно начать использовать опенсурс смартфоны,планшеты,ноутбуки и ставить на них нужное ПО из исходников. Нет исходников у софта, значит есть закладки -этой сейчас прописная истина!
    Другое дело,что в магазинах считай нет смартфонов с опенсорс - но время спрашивать их в магазинах уже пришло!А будет спрос будет и предложение!
     
     
  • 4.48, тоже Аноним (ok), 17:56, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы даже не знаете, что именно спрашивать. За неимением.
    Даже если десять тысяч человек спросят в магазинах про смарт на СПО - результатом будет, как максимум, десять тысяч удивленных продавцов.
    Пока кто-то не вложится в раскрутку конкретного бренда (как, например, Гугль с Андроидом или хотя бы МС с Люмией) - от ваших вопросов вода под камень не потечет, и не надейтесь.
    Рынок-то перенасыщен, покупатели не столько ищут чего-то новенького, сколько стряхивают с ушей лапшу от уже более-менее успешных производителей. Тут одним сарафанным радио вообще ничего не добьешься.
     
  • 4.98, Аноним (-), 01:48, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ну, до поры до времени - возможно. Однако что будете делать потом, если в последнем поколении интеловских процессоров (и амдшных тоже, насколько помню) есть хардварная защита, которая имеет больше привилегий, чем рут?
     
  • 2.8, qwerty (??), 12:28, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Так этож предустановленная Windows. Качайте Trial бесплатно с сайта Microsoft раз уж вам Windows нужна. А в микросхемах вроде бы пока троянов нет? Хотя кажется в Intel есть какое-то удалённое управление?
     
     
  • 3.10, Sluggard (ok), 12:30, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Так этож предустановленная Windows. Качайте Trial бесплатно с сайта Microsoft раз уж
    > вам Windows нужна.

    Не нужна. Более того, при покупке на ноуте была предустановлена Убунта.
    Но всё равно — какого хрена Dell такие ушлёпки?

     
     
  • 4.30, Elhana (ok), 13:35, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну винду их логично сразу снести и поставить чистую (если уж она вам так нужна) - там и без этого их говна навалом.
    Зато у них сервис хороший, мне залитый кофе тачпад бесплатно меняли без лишних вопросов.
     
     
  • 5.31, Sluggard (ok), 13:39, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    С сервисом сталкиваться не приходилось — никаких нареканий за 2 года.
    Вы, судя по всему, владелец ноута от Dell? Вопросик есть.
     
     
  • 6.103, cmp (??), 04:31, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Мне на самсунге пол ноута поменяли, когда кнопочка залипла, хотя он был ушибленный и корпус в трещенах, пришлось конечно подождать пока он прокатится до сервисного центра - месяца 3, делл тоже есть, инспирон как раз, но за несколько лет сбоев не давал, тока пыль разок вытряхнул.
     
     
  • 7.104, Sluggard (ok), 04:39, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне на самсунге пол ноута поменяли, когда кнопочка залипла, хотя он был
    > ушибленный и корпус в трещенах, пришлось конечно подождать пока он прокатится
    > до сервисного центра - месяца 3, делл тоже есть, инспирон как
    > раз, но за несколько лет сбоев не давал, тока пыль разок
    > вытряхнул.

    Не, я последний раз в сервисе как таковом был года два назад, когда роутер TP-LINK при попытке прошиться превратил в кирпич. Вернули деньги, кстати. =)
    Слушай, ты у себя на Inspiron'е раздел DELLUTILITY удалил? Что-то мозолит он мне глаза, а тереть не хочется — вдруг он какой полезный.

     
     
  • 8.116, cmp (ok), 11:55, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Первым делом задампил разделы и снес все что там было, потом винт навернулся, ко... большой текст свёрнут, показать
     
     
  • 9.117, Sluggard (ok), 12:06, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ты знаешь, а я вот даже и не помню, был ли у меня на ноуте recovery-раздел для п... текст свёрнут, показать
     
  • 4.51, тоже Аноним (ok), 18:05, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > при покупке на ноуте была предустановлена Убунта.

    Технически, ничто не мешает в предустановленной Убунте прописать свой репозиторий для ca-certificates. Но это слишком заметно...

     
     
  • 5.55, Sluggard (ok), 18:20, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Технически, ничто не мешает в предустановленной Убунте прописать свой репозиторий для ca-certificates.
    > Но это слишком заметно...

    Мне что Windows, что Ubuntu — разницы нет (точнее, она только в экномии на OEM-винде), они одинаково не нужны.

     
  • 3.11, ryoken (?), 12:31, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Хотя кажется в Intel есть какое-то удалённое управление?

    Благородный дон про Intel Management Engine? Про это добро много уже понаписано.

     
  • 3.15, Анонимец (?), 12:42, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Собственно в микросхемах нет, можете спать спокойно. Правда, вот, на счет их прошивок я не уверен :)

    UEFI - один сплошной троян :)

     
     
  • 4.67, Аноним (-), 19:51, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> А в микросхемах вроде бы пока троянов нет?
    >  Собственно в микросхемах нет, можете спать спокойно.

    Ой ли?

     
  • 4.99, Аноним (-), 04:10, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ну здрасте. и в чипсетах и в фирмвере - вагон.
    и в микрокоде и в секюрити(якобы ;) подсистеме x86 чипов всех трех вендоров и в смартфонных всех кроме медиатек(а мб и там, хз)унутрях либо в гипервайзере либо в кремнии - елозит нефиговой функциональности подсистема, по-сути небольшая ОС.
     
  • 3.36, Фуксия и Селёдочка (?), 14:35, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А в микросхемах вроде бы пока троянов нет? Хотя кажется в Intel есть какое-то удалённое управление?

    Intel Management Engine во всех процессорах начиная с 2006 года.

    http://libreboot.org/faq/#intelme

     
  • 2.24, Аноним (-), 13:14, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Там HP с сериями ProBook и EliteBook не спалились ещё?

    Там более квалифицированные люди прятали, т.к. доступ к более серьёзной информации интересовал :)

     
  • 2.32, Michael Shigorin (ok), 14:11, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > И на что его менять теперь, когда соберусь — непонятно.

    Свалил на асусы.

    > Там HP с сериями ProBook и EliteBook не спалились ещё?

    У них по крайней мере года три-четыре тому упоминали проблемы с надёжностью БП (у ноутов HP в целом, именно про эти серии не помню специфичных "хуже/лучше/включая/за исключением").

     
     
  • 3.33, Sluggard (ok), 14:14, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Свалил на асусы.

    Буду иметь ввиду.

    > У них по крайней мере года три-четыре тому упоминали проблемы с надёжностью
    > БП (у ноутов HP в целом, именно про эти серии не
    > помню специфичных "хуже/лучше/включая/за исключением").

    Я когда этот ноут брал в местной «Позитронике», манагер сказал, что они вообще перестали HP возить — очень много возврата по браку.

     
  • 3.91, Аноним (-), 00:01, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кому какое дело на каком бюджетнике ты сидищь, неуч?

     
  • 3.92, Аноним (-), 00:05, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Свалил на асусы.

    птушник свалил на асусы, асусы в восторге!


     
     
  • 4.115, Аноним (-), 11:45, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидный семен очевиден.
     

  • 1.13, noname_ (?), 12:33, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Закладки даже в UEFI BIOS ;)
     
     
  • 2.38, kravich (ok), 15:21, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не соблагоизволит ли благородный дон предоставить пруф?
     
     
  • 3.40, Аноним (-), 16:39, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    не закладка, но - система позволяет загружать по умолчанию только указывающий на предустановленную винду файл "efi/boot/bootx64.efi". Никакие манипуляции ни с efibootmgr ни c efishell результата не дают: консоль показывает высший приоритет у пункта "linux", но на порядок загрузки это не влияет. Ноутбук HP Probook.

    Кстати, несмотря на относительную новизну девайса (на Haswell), версия EFI там где-то 5-летней (если не больше) давности, наверняка с кучей уязвимостей. Такие дела

     
     
  • 4.60, ryoken (?), 18:58, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > не закладка, но - система позволяет загружать по умолчанию только указывающий на
    > предустановленную винду файл "efi/boot/bootx64.efi".

    Ну вкрутите туда rEFInd или GRUB, с таким названием. Тоже не сработает?

     
  • 4.94, Аноним (-), 00:57, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    /efi/boot/bootx64.efi
    стандартный путь загрузки uefi
     
  • 3.58, Аноним (-), 18:30, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Как же вы надоели, гуглите на тему троянов в биосе от производителя.
    Я лично выцеплял такой у Toshiba.
     
     
  • 4.95, privation (?), 01:02, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    toshiba???

    занятно

    только сегодня смотрел, что они не торгуют ноутами здесь

     
  • 4.101, Аноним (-), 04:18, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Как же вы надоели, гуглите на тему троянов в биосе от производителя.
    > Я лично выцеплял такой у Toshiba.

    в 95% продаваемых ноутов такое есть.
    есть кастомные, а ести интероперабельные, "стандартные".
    большинство - легендируется под "анти-кражные" технологии, которые сами по себе 'волшебным' образом активируются без ведома как владельца так и оператора сервиса/инфраструктуры антикражной.
    вроде того как было с ноутбуками в компании Касперского - типичная в общем-то, история.
    с настольными ПК - похоже, но там кастомного г-на преобладает, над стандартным.

     
     
  • 5.118, manster (ok), 13:10, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Как же вы надоели, гуглите на тему троянов в биосе от производителя.
    >> Я лично выцеплял такой у Toshiba.
    > в 95% продаваемых ноутов такое есть.
    > есть кастомные, а ести интероперабельные, "стандартные".
    > большинство - легендируется под "анти-кражные" технологии, которые сами по себе 'волшебным'
    > образом активируются без ведома как владельца так и оператора сервиса/инфраструктуры антикражной.
    > вроде того как было с ноутбуками в компании Касперского - типичная в
    > общем-то, история.
    > с настольными ПК - похоже, но там кастомного г-на преобладает, над стандартным.

    эдакий паноптикум ...

     

  • 1.14, rob pike (?), 12:37, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/201
     
     
  • 2.17, ryoken (?), 12:43, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/201

    Эк они хвостом завиляли.

     
     
  • 3.27, iPony (?), 13:30, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > хвостом завиляли

    Ты так говоришь, как-будто это что-то плохое

     
     
  • 4.29, rob pike (?), 13:35, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > систему характеризует не ошибка, а реакция на нее
     
     
  • 5.45, DmA (??), 17:23, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> систему характеризует не ошибка, а реакция на нее

    А реакция и ошибки будут всегда делать такие как будто она очень случайно вышла, как у Apple случайно якобы две строчки повторили,  но суть проверки ошибочного сертификата сошла на обратное действие -все сертификаты стали правильными...
    goto fail;
    goto fail;


     
     
  • 6.90, Аноним (-), 23:57, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > goto fail;
    > goto fail;

    Это должно подтвердить остальному местному сброду, что ты тоже известный шелл-программист, как они?

     

  • 1.16, MMx (?), 12:42, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Корпорации - они такие копорации...
     
  • 1.18, Аноним (-), 12:51, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Не очень понятно, почему eDellRoot нужно считать гнидой, а какой-нибудь рядом лежащий Microsoft Root Authority или DigiCert Global Root CA - теплым и пушистым?

    Объяснит кто-нибудь разницу?

     
     
  • 2.19, й (?), 12:56, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    неужто потому, что приватный ключ для eDellRoot ищется в интернете? (да, он запаролен паролем "dell")
     
     
  • 3.21, Аноним (-), 13:03, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Так об этом в новости нет
     
     
  • 4.22, й (?), 13:08, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    читайте первоисточник: https://www.reddit.com/r/technology/comments/3twmfv/dell_ships_laptops_with_ro
     

  • 1.20, Sluggard (ok), 12:59, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Компания Dell объяснила добавление сертификата, его использованием в реализации сервиса оперативной технической поддержки.

    Как-то неубедительно. Техническую поддержку чего они собрались там оказывать, да ещё в режиме быстрого реагирования?

     
     
  • 2.89, Sluggard (ok), 23:17, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Модер, ты — злыдень! =(
     

  • 1.23, Аноним (-), 13:14, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тут конечно не винфак, но open не то же самое, что free, поэтому спрошу.

    Как сделать самому такой сертификат и как им подписывать драйвер в винде? Использовать eDellRoot как-то слишком костыльно теперь :)

     
     
  • 2.52, Аноним (-), 18:10, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Используй поиск в интернете. Я уверен, там есть ответ. Если отвечать вслепую, то, возможно, на каком-нибудь Хабре есть информация.
     

  • 1.34, Аноним (-), 14:28, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня Dell с Ubuntu 12.04.5. В главном меню есть программа со значком Dell, в "Сведениях о системе" есть что-то что-то про фирменное ПО. Мне пора начать беспокоиться?
     
     
  • 2.66, Аноним (-), 19:31, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да.
    Сделай бекап клонезиллой, поставь с нуля 14.04, или подожди выхода 16.04 (Апрель).
     
  • 2.140, анонимус вульгарис (?), 15:20, 29/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так что мешает сходить на тестовый сайт и проверить? У меня тоже делл с бубунтой, но 14.04, вроде чисто.
     

  • 1.37, xaxaxa (?), 14:37, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Юзайте сертифицированные fsf железки
     
     
  • 2.41, ryoken (?), 17:05, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Юзайте сертифицированные fsf железки

    Это их дремучие ноуты? При всём моём уважении к FSF и РМС...

     
     
  • 3.43, xaxaxa (?), 17:17, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    а для игрулек другие девайсы рулез.
     
  • 3.49, DmA (??), 18:01, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ну один вариант спокойно  дышать свежим воздухом, а второй случай -это воздух содержащий кислоту, причём можно дышать и быстрее, раз человек не понимает и не хочет понимать, чем дышит и к чему это приведёт. Выбор как всегда за вами!
     
  • 3.97, Нимано (?), 01:18, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не все так просто http libreboot org faq intel Ну и ... большой текст свёрнут, показать
     

  • 1.39, Наркоман (?), 16:08, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    И только в макбуках никто не находит закладок.
     
     
  • 2.42, ryoken (?), 17:11, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И только в макбуках никто не находит закладок.

    Оси мало что ли?.. яблоковая версия EFI по слухам - страх и ужас

     
     
  • 3.47, й (?), 17:51, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    пишу с яблока. всё работает(тм) куда посмотреть, чтобы этот страх и ужас увидеть?

    предчувствую рассказы, начинающиеся со слов типа "для начала, загрузитесь в протухший солярис. не грузится? то-то и оно!11"

     
  • 3.50, НяшМяш (?), 18:02, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну кстати яблоковая версия ефи - самая следующая стандартам. Открываешь аспи таблицу на маке - всё красиво, каждая железочка инициализируется в нужном режиме, системе нужно это просто взять и запустить дрова. Пытаешься поставить хакинтош на пц, начинаешь патчить дсдт - мрак и ужас: в половине девайсов ретурн зеро просто стоит, в другой половине - вообще какой-то бред, который винда игнорирует. Вроде про ефи нам чуть ли не пели, что драйвера не нужны будут - будет набор стандартных интерфейсов, который может использовать система со стандартными дровами почти все возможности звука, сети и видео. А на деле - одному эплу это только и нужно, а всем остальным - плевать.
     
     
  • 4.54, Аноним (-), 18:18, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Увы, всё так. И даже без мака узнать это несложно. Причина проста - у Apple нет десятков или сотен железок, разрабатываемых и поддерживаемых параллельно (во-первых), а во-вторых (не в последнюю очередь юблагодаря первому пункту), железо затачивается под софт и софт затачивается под железо (а EFI где-то посередине, но ближе, конечно, к железу). Они могут себе позволить вылизывание и они на это ставят. Кстати, спасибо за идею - хоть раз посмотрю, как должна выглядеть хорошая DSDT.
     
  • 4.136, Michael Shigorin (ok), 23:34, 26/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну кстати яблоковая версия ефи - самая следующая стандартам.

    И каким же?  Будьте столь любезны, указывайте сразу с версиями.

     
  • 3.62, Аноним (-), 19:02, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Она нестандартная. Очередной яблочный велосипед запиленный под себя.
     
  • 2.64, Нимано (?), 19:07, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    fixed https truesecdev wordpress com 2015 04 09 hidden-backdoor-api-to-root-... большой текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 4.125, Нимано (?), 17:06, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, конечо же отменятина Правда, в моей вселенной маководы не перестают по... большой текст свёрнут, показать
     
  • 2.111, DmA (??), 10:25, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И только в макбуках никто не находит закладок.

    прочитайте про "apple goto fail"
    Строчка goto fail была написана в коде два раза и из-за этого подмену любого сертификата невозможно было обнаружить! ЦРУ жжёт!
    хотя бы тут http://habrahabr.ru/post/213525/

     

  • 1.46, Аноним (-), 17:46, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Планшет Dell под андроидом тоже доверяет тестовому сайту, such safe.
     
  • 1.61, Аноним (-), 18:59, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так проблема в том, что закрытый ключ утек из компании, а не в п.1-3.
     
     
  • 2.63, тоже Аноним (ok), 19:07, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Нет, проблема не в этом.
    Компания умышленно нарушила стандартную схему безопасности, добавив в систему левый корневой сертификат. Вот это проблема.
    То, что она потом не уберегла ключи от него - только усугубление проблемы.
     
     
  • 3.65, Нанобот (ok), 19:20, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    первое как раз не проблема - потенциальная возможность создавать сертификаты была бы только у самой компании, что, безусловно, перепугало бы параноиков, но серьёзной угрозы безопасности не представляло. а вот закрытый ключ, который позволил бы то же самое делать всем желающим - это уже серьёзно
     
     
  • 4.76, тоже Аноним (ok), 21:46, 24/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Есть странные люди, которые считают, что если в безопасности есть исключения - то это уже совсем не безопасность. И не то чтобы они чего-то не знали...
     
     
  • 5.126, dmitrmax (?), 02:48, 26/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть странные люди, которые считают, что какому-нибудь VerySign или GeoTrust стоит больше доверять чем Dell, Lenovo, NameYourCompany.
     
     
  • 6.130, тоже Аноним (ok), 08:31, 26/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Если оценивать не бренды, а интересы и риски - странность в этой логике пропадает.
     
  • 3.93, Аноним (-), 00:49, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Значит добавлять в систему правые корневые сертификаты можно, а левые нельзя?
    Это нормальная практика даже для работы с торговыми площадками, госуслугами и прочими отчетностями
     
     
  • 4.108, тоже Аноним (ok), 08:42, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да, дубликаты ключей - это нормальная практика.
    Что ж, хозяину квартиры можно сделать дубликат, а домоуправлению - нельзя?
     

  • 1.68, Комедиант (?), 20:12, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Заговор!
     
  • 1.75, FSA (??), 21:34, 24/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У нас на работе в интернет можно только через Internet Explorer ходить. Любой другой браузер сообщает на всех сайтах https о подмене сертификата. Так что фиктивные сертификаты в Windows - это не баг, это фича!
     
     
  • 2.96, privation (?), 01:04, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > У нас на работе в интернет можно только через Internet Explorer ходить.
    > Любой другой браузер сообщает на всех сайтах https о подмене сертификата.
    > Так что фиктивные сертификаты в Windows - это не баг, это
    > фича!

    филиал м$ ?

     
  • 2.100, Аноним (-), 04:11, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > У нас на работе в интернет можно только через Internet Explorer ходить.
    > Любой другой браузер сообщает на всех сайтах https о подмене сертификата.
    > Так что фиктивные сертификаты в Windows - это не баг, это
    > фича!

    скорее характеризует провайдера, злоупотребляющего и сниифящего https ваш :)
    а мб и админ - тоже.


     
     
  • 3.113, DmA (??), 10:32, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> У нас на работе в интернет можно только через Internet Explorer ходить.
    >> Любой другой браузер сообщает на всех сайтах https о подмене сертификата.
    >> Так что фиктивные сертификаты в Windows - это не баг, это
    >> фича!
    > скорее характеризует провайдера, злоупотребляющего и сниифящего https ваш :)
    > а мб и админ - тоже.

    Это Ростелком осуществляет атаку посередине - на яндекс,гугл и другие Https сайты(не все правда) осуществляет подмену сертификата на свой(якобы выданный ростелекомом этим компаниям). Вот браузеры нормальные и бастуют видя подмену сертификата. А ИЕ выдаёт ошибку , но даёт возможность продолжить просмотр этих сайтов. Видите ли государство в лице ростелекома хотят знать какую информацию граждане России ищут в поисковых системах...
    Привет тоталитарное государство.
    Пока только в школа ростелеком подменяет сертификаты, а скоро будет и на гражданах тренироваться...

     
     
  • 4.129, pavlinux (ok), 06:47, 26/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пока только в школа ростелеком подменяет сертификаты, а скоро будет и на гражданах тренироваться...

    Ога, щаз. МТС и Co. ну с декабря 2013 точно снифят и проксируют HTTPS/SMTPs/POPs/IMAPs/GIT даже    

     
  • 2.109, Аноним (-), 09:39, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я полагаю, СБ многих крупных компаний этим балуются. Огромный рынок DPI решений не на пустом месте существует.

    Как-то раз меня даже не взяли в одну контору, разрабатывающую DPI систему, но я тогда по молодости не особо представлял что это такое, теперь думаю, что к лучшему, меньше карма попортилась.

     
  • 2.112, DmA (??), 10:28, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > У нас на работе в интернет можно только через Internet Explorer ходить.
    > Любой другой браузер сообщает на всех сайтах https о подмене сертификата.
    > Так что фиктивные сертификаты в Windows - это не баг, это
    > фича!

    Работаете в школе или училище?
    Государство через компанию Ростелеком в школьном сегменте Интернета с недавнего времени осуществляет атаку "человек по середине" внедряя в https трафик свои сертификаты(https://google.com, https://yandex.ru и тд). Для браузера сертификаты видится как будто Гуглу и ЯНдексу сертификаты выдал ... Ростелеком! Кроме этого в школьной сети заблокирована даже Википедия, поисковая система Bing а также все социальные сети ,многие новостные ресурсы и очень многие сайты без всякого объяснения.

     
     
  • 3.119, й (?), 13:23, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    эм, по моим сведениям, у них на squid wildcart ssl-сертификат от одного из международных вендоров (да-да, тупо на все домены). они эту затею бросили и перешли на самоподписанный?
     
  • 3.120, й (?), 13:33, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    пару-тройку лет назад в чятике разработчиков этой системы был чудесный диалог:

    маркетинг кричал, что google analytics мы правильно блокируем как малварь, это она и есть, школьникам это не нужно.

    тех. дир. возражала: дескать, я не против, но мы только google anatlytics'ом получаем статистику со страницы блокировки, давайте оставим.

    а вообще, у них унутре не только блэклистинг по урлам, а самый настоящий контент-фильтр, который тоже блокирует при совпадениях.

     
     
  • 4.121, тоже Аноним (ok), 13:56, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Там разве черный, а не белый список?
     
     
  • 5.122, й (?), 14:04, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    был чёрный, как щас -- не знаю
     
  • 3.124, Аноним (-), 16:17, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/

    > Работаете в школе или училище?

    В каждой второй шараге на прокси ключи подменяются же.


     
  • 3.137, Michael Shigorin (ok), 23:39, 26/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Кроме этого в школьной сети заблокирована даже Википедия

    В школе положено приобретать знания, а не жрать с лопаты что попало.

     

  • 1.107, Ilya Indigo (ok), 06:37, 25/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То есть пользователи, которые после покупки ноута, сразу форматируют и переразбивают винт, и ставят, пусть даже пиратский оффтопик, этого даже и не заметят?
     
     
  • 2.131, Пётр (ok), 12:05, 26/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Пираты, как всегда, в выигрыше.
     
     
  • 3.132, Ilya Indigo (ok), 13:55, 26/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Пираты, как всегда, в выигрыше.

    Дело тут даже не в пиратах, а просто в людях, которые хоть немного разбираются в компах.
    Я, например, не представляю себе ситуации, что бы купив ноут, пусть даже с нужной мне ОС на борту, я просто начал её использовать не перенастроив под себя.
    Как минимум не переразбив винт, как мне удобно, используя его весь объём, удалив всякие предустановленные скрытые разделы и нужную мне ФС, а не те, на которые Red Hat навязала моду.

     
     
  • 4.138, Пётр (ok), 12:40, 27/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, это нормально (с). Ни предустановленной Вин с "подарками" от вендора, ни предустановленной Убунтой пользоваться невозможно. Винда меняется на пиратскую корпоративку, а вендорская Убунта на православный Арч. И только лишь на Маке ничего переустанавливать не нужно, если устраивает макось.
     

  • 1.110, Классический Анонимус (?), 10:07, 25/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то не понял.... подпейсал свой ЕХЕшник (codesign то бишь сделал), винда7 без обновлений внутри изолированной от инета виртуалки пишет что сертификату не верит и "установи сертификат сам".

    Чем это лучше простого самодельного сертификата, если его надо так же запихивать руками в хранилище сертификатов?

     
     
  • 2.123, Аноним (-), 16:15, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Тем, что сертификат уже заботливо запехнут сабжевой компанией.
     
  • 2.142, Онаним (?), 21:33, 03/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-то вообще смотрит на подписи exe-шников? Мне кажется вопрос в том, чтобы они HTTPS не слушали и не слили такую возможность спецслужбам гордого Зимбабве при первом же шухере...
     

  • 1.141, Онаним (?), 21:29, 03/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Просто не надо никогда пользоваться фирменными заливками ОС. Купил комп, переразбил, отформатировал, поставил сам что нужно (можно ту же самую винду если надо, но начисто, со чистого дистрибутива с соответствующим SLIC-ом).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру