Jak wykryć ukryte moduły szpiegujące w laptopie Huawei MateBook D 15.6?

Sat Dec 15, 2018 1:29 pm   

Niedawno gdzieś widziałem info o jakimś małym czymś (niewiele większym
od rezystora SMD) odkrytym na jakichś płytach głównych, co dostarczało
gdzie trzeba wszystkie ważne informacje o działaniach użytkownika.
OIDP się wtedy okazało, że te płyty są popularne w wielu komputerach
stosowanych chyba w różnych instytucjach w USA.

A potem się dziwić, że chińscy projektanci nie wiedzieć skąd znają
największe tajemnice przemysłowe innych krajów.

Niedawno zastanawiałem się nad notebookiem:

https://www.x-kom.pl/p/426850-notebook-laptop-156-huawei-matebook-d-156-i5-8250u-8gb-256gbssd-win10.html

Cieszy się podobno dużym wzięciem - inne 15,6" o podobnych parametrach
są trochę szersze, trochę dłuższe, wyraźnie grubsze i cięższe.

A dziś widzę:

https://wiadomosci.wp.pl/huawei-na-cenzurowanym-u-sojusznikow-co-zrobi-polska-6326777739167873a

Skoro Huawei to firma założona przez chińskich szpiegów (nie miałem
pojęcia) i ręcznie sterowana przez chiński rząd to cieszę się, że go nie
kupiłem. Właściwie z artykułu wynika, że wszystkie chińskie firmy mogą
mieć coś z tego.

Załóżmy, że chciałbym sam stwierdzić, czy w takim czymś siedzi jakaś
pluskwa. Miałbym jakieś szanse?
W sensie hardwareowym to wyobrażam sobie jedynie pełne rozrysowanie
schematu i ustalenie faktycznej funkcji każdego elementu a i to człowiek
nie byłby pewien, czy przypadkiem rzecz nie jest ukryta jako drugi chip
w jakimś scalaku.

Jestem cienki z oprogramowania, systemów, firewalli itp. Wydaje mi się,
że ilość danych latających między komputerem a siecią jest tak ogromna,
że nie wyobrażam sobie wyłapania w tej masie jakiejś wysyłanej raz na
miesiąc ramki zawierającej np. wykryte przez pluskwę loginy i hasła i
może jeszcze listę plików uznanych przez pluskwę za potencjalnie
interesujące z pytaniem czy je wysyłać.

Zastanawia mnie, czy poza upgradem Windows jest w komputerach jeszcze
inny mechanizm samozniszczenia pozwalający np. producentowi płyty
głównej wyłączyć wszystkie swoje płyty na świecie.

Wyobrażacie sobie ten chaos?
P.G.

Sat Dec 15, 2018 2:31 pm   

Piotr Gałka <piotr.galka@cutthismicromade.pl> napisał(a):

To były płyty firmy Supermicro. Ostatnio wydali oświadczenie, w którym
twierdzą, że nie udało się znaleźć tych scalaków.
https://www.businessinsider.com/super-micro-issues-strongest-denial-yet-bloomberg-chinese-chip-hacking-story-2018-12?IR=T
Warto pamiętać, że ta oryginalna informacja od Bloomberga była bardzo
ogólna, bez dowodów i szczegółów technicznych.
https://zaufanatrzeciastrona.pl/post/odkryto-chinskie-backdoory-sprzetowe-ale-nic-nie-jest-takie-oczywiste/
Na dziś nie wiadomo jak to wszystko naprawdę wyglądało.


Nie. Po prostu zwykły konsument nie ma informacji o tym jak laptop został
zaprojektowany ani funduszy na to, żeby porównać gotowy produkt z projektem.
Polecam też poczytać
https://zaufanatrzeciastrona.pl/post/jak-sprawdzic-swoj-komputer-pod-katem-obecnosci-implantow-sprzetowych/
także w kontekście Supermicro.


Sam sobie odpowiedziałeś Rozrysowanie schematu byłoby bardzo kosztowne a
jeszcze musiałbyś sprawdzić oryginalność układów scalonych.


To by się dało wykryć, gdyby porównać pakiety wychodzące z karty sieciowej z
pakietami wysyłanymi przez system operacyjny. Masz rację, że ruch jest duży
i trudny do analizy, ale jeśli pluskwa byłaby sprzętowa, niewidoczna dla
systemu operacyjnego, to ten sposób powinien zadziałać.


Poczytaj o IME
https://zaufanatrzeciastrona.pl/post/intel-management-engine-jedyny-legalny-trojan-sprzetowy/

--
Grzegorz Niemirowski
https://www.grzegorz.net/

Sat Dec 15, 2018 2:34 pm   

On 15/12/2018 12:29, Piotr Gałka wrote:

jesli myslisz o supermicro to akurat bylo fake news (chyba)





myslisz ze jak uzywasz intela lub AMD to jestes bezpieczny?
od lat wiadomo ze procesory mają backdory, i nieudekomentowane
instrukcje które praktycznie mogą uruchomić wszystko i mieć dostę do
wszystkiego.
Pooglądaj sobie te prezentacje:
https://www.youtube.com/watch?v=_eSAF_qT_FY

https://www.youtube.com/watch?v=KrksBdWcZgQ

Sam Intel i AMD dostarczają uaktualnienia do producentów komputerów i
systemów operacyjnych a oni praktycznie nie wiedzą co tam się uruchamia.

Dochodzi do tego TPM i UEFI, których bezpieczeństo jest dyskusyjne.

c.

Sat Dec 15, 2018 2:36 pm   

On 15/12/2018 13:29, Piotr Gałka wrote:

Wiadomość o dzisiaj nie jest potwierdzona w 100%. Być może to fake.


Pluskwy hardwareowe w postaci układu na płytce nie mają sensu kiedy
można dorzucić kilka tyś tranzystorów w krzem jakiegoś kontrolera
ethernetu albo, co najłatwiejsze, exploitować buga w SMC Intela, czy
ukrytego MIPSa w Via i innych rzeczy o których (jeszcze) nie wiemy.
Systemy operacyjne, poza jednym nieistotnym nie są formalnie
zweryfikowane, można mieć tysiące metod zrobienia takiego podsłuchu
softwareowo, szansa na wykrycie znikoma. W obecnej histerii na rynku
każdam nawet najbardziej idiotyczna, technologia "zabezpieczeń"
przejdzie bez piśnięcia a pokrzykiwania ekspertów nie robią żadnego
wrażenia na suwerenie który i tak kupuje najbardziej zamknięte
oprogramowanie jakie tylko można i najbardziej popsute procesory pod
kątem bezpieczeńśtwa jakie można.


Nie muszą nic przechwytywać, mają tylko mieć dostęp do jakiegoś,
dowolnego, trusted zone. SMC intela bazuje na jakiejś wersji Unixa i
choćby z tego powodu wystarczy znaleźć trywialny exploit w SMC aby można
było w sposób niewidzialny dla OSa dowolnie manipulować pamięcią. Można
ukryć kod w UEFI, bo tępe barany wymyśliły system pluginów do biosa itd itp.


Upgrade biosu choćby. Co prawda tutaj w roli widnows, ale ten sam efekt
można uzyskać przez zarządzanie zdalne maszynami z ME

https://niebezpiecznik.pl/post/masz-della-uwazaj-na-prawdziwa-aktualizacje-windowsa-10/

Oczywiście wszystko zgodnie z planem, bezpieczeństwo przede wszystkim.
Nawet kosztem działania złomu i danych.


On trwa, a liczba wykrytych backdorów sprzętowych nie ma znaczenia, bo
coraz częsciej pojawiają się oficjalne, to tylko kwestia statystyki kto
kogo bardziej podsłuchuje. I w tym wszystkim tkwią dodatkowo osły
polityczne które starają się osłabiać szyfrowanie konsumentowi. Efektem
czego za naście lat obudzisz się w świecie gdzie uzycie szyfrowania
zakończy się karą wyższą niż za morderstwo ale za to miliardy suwerenów
będzie miało śmieszne ikonki zmieniające się pod wpływem myśli.

Sat Dec 15, 2018 3:25 pm   

Sat Dec 15, 2018 3:28 pm   

Dnia Sat, 15 Dec 2018 13:29:19 +0100, Piotr Gałka napisał(a):

Piotrze, nie ma sie co bac ... juz dawno Cie wszyscy sledza ;-)

musialbys zaczac od skompilowania kompilatora, linuxa, zestawienia
paru firewalli roznych firm , ekranowania komputera ...


IMO - znikome.

Ale tak nawiasem pytajac - co taka mala pluskwa, o niewielkiej ilosci
pinow, mialaby robic ? Podsluchiwac klawiature ?

P.S. Qualcomm/snapdragon nie podsluchuje ?
Bo jakby podsluchiwal, to chyba by nie zabraniali ZTE sprzedawac
telefonow do Korei N.


Ogolnie tak.
Jesli masz jednak komputer malo komunikujacy sie z siecia, to mozesz
sprobowac wychwycic co sie dzieje.
ale dochodzi koncentracja serwerow - i juz nie wiadomo, ktory adres
jest podejrzany, a ktory nie.


watpie czy komus by sie chcialo, sa lepsze sposoby wykorzystania
mozliwosci.
ale ... wystarczy jakis automatyczny mechanizm upgrade bios i pstryk -
nie dziala. Albo dysk jest czysty.


ale co wtedy - atak nuklearny, korzystajac z tego, ze u przeciwnika
malo co dziala ?

MS moze to zrobic juz dzis - wypusci aktualizacje i windows przestanie
sie uruchamiac.

J.

Sat Dec 15, 2018 3:34 pm   

On Sat, 15 Dec 2018 15:28:36 +0100, J.F. wrote:

A skąd pewność, że Linux nie ma żadnych pluskiew, dyskretnie wpuszczonych
przez wszelakie agencje? Dla pewności, Piotr powinien zacząć od napisania
swojego własnego systemu.

Mateusz

Sat Dec 15, 2018 4:01 pm   

Dnia 15 Dec 2018 14:34:46 GMT, Mateusz Viste napisał(a):

Bardziej bym sie obawial, ze wpuscili w kompilator.
W zrodlach widac.

Trzeba by cos naprawde dyskretnego zaprogramowac ...

J.

Sat Dec 15, 2018 4:40 pm   

Dnia Sat, 15 Dec 2018 06:51:23 -0800 (PST),
bytomir.kwasigrochowy@gmail.com napisał(a):

Mozna i tak podejsc. Tzn z gory sie poddac :-)

J.

Sat Dec 15, 2018 4:51 pm   

użytkownik J.F. napisał:



Po co? Strata czasu. Kiedyś miałem jakiegoś prof. fajerłola. 3x na minutę ktoś
pinga puszczał, porty skanował. Siedzieć i gapić się na ruch w sieci?
Niech profesjonaliści się głowią, za to biorą forsę.

Sat Dec 15, 2018 5:47 pm   

Piotr Gałka pisze tak:


Mógłbyś przepuszczać ruch przez inny komp i patrzeć czy dzwoni do domu.



ale są pasjonaci co obserwują i konkurencja też szuka haka
a firma raz przyłapana może stracić wizerunkowo.



--
Piotrek

Let me see your war face.

Sat Dec 15, 2018 8:39 pm   

Dnia Sat, 15 Dec 2018 16:47:51 GMT, PiteR napisał(a):

A program moze byc sprytny i sie aktywowac np 3 miesiace po pierwszej
aktywacji ...

J.

Sat Dec 15, 2018 8:43 pm   

J.F. pisze tak:



hę?


--
Piotrek

Sun Dec 16, 2018 12:55 am   

On 2018-12-15, Piotr Gałka <piotr.galka@cutthismicromade.pl> wrote:

Pewnie chodzi Ci o aferę z okolic października.
https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

Taka trochę dziwna była bo ZCP niby jest ten czip a niby nie ma a
zainteresowani (ofiary) zaprzeczały.


Po pierwsze, nie Ty jesteś celem tego typu wynalzków, a
prawdopodobieństwo, że u Ciebie będzie jakaś tego typu podatność i ktoś
będzie chciał z niej skorzystać jest pewnie dużo mniejsze niż to, że
przejedzie Cie jutro w drodze do sklepu samochód.

Po drugie, sama sprawa tego mikroczipa MZ śmierdzi. Po co to robić w
sposób tak oczywisty jak można dużo dyskretniej? To już raczej wygląda
na jakiś sabotaż na szkodę tych chińskich firm.


Jakies miałbyś, ale pewnie nie wyrobiłbyś się czasowo. Co do zasady,
wystarczyłoby badać komunikację z siecią zewnętrzną po kablu. Zakładam,
że nie byłoby komunikacji poza tym kablem.


Zgadza się. Z tym, że ponownie, nie Ty jesteś celem, a z drugiej strony,
jak się ktoś uprze to i tak Cię zhakuje. Dlatego trzeba zakreślić pewne
granice dla własnej paranoi. Rób backupy, miej aktualne antywirusy tam
gdzie są potrzebne, nie łaź po podejrzanych stronach, i tyle :)


MZ takie rzeczy są analizowane dość rutynowo.

--
Marcin

Sun Dec 16, 2018 1:09 am   

On 2018-12-15, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

Przepraszam, a Ty ze skanowaniem portów walczysz i analizujesz?

--
Marcin