Каморка

Разбираюсь с новым лаптопом P15. В 2015 у же был суд к Леново отсудили 8 мил USD за то что они ставили месте со своим софтом еще и нехорошее ПО. Я думал китайские товарищи сделали выводы но похоже нет - смотрю на сетевые запросы лапопа которые посланы в момент загрузки Win 10 но до того как windows firewall is started - то есть без внешнего анализатора это сетевые запросы не увидеть. И вижу следующие DNS requests:

callhome.uds.lenovo.com
fildownload.lenovo.com
clearview.xxxx.com
checkapp.exec.microsoft.com

особенно умиляет запрос на разрешение имени callhome.uds.lenovo.com который на самом деле IP in Seattle и зарегестрирован на Lenovo Beijing Limited. Похоже я буду использовать этот лаптоп совместно с китайскими товарищами - я днем, они ночью...

А разве там внутрях нет Security Chip - TRM ??
Или это не поможет?

Чип есть но как и от чего он может помочь? Есть еще несколько невнятных сервисов в биосе - с описанием типа "if you want to know what it is please contact Microsoft.". Все эти чудеса технологий я выключаю, и волшебные предложения хранить мои секреты в секрете игнорирую на корню - мне эти фокусы не интересны, о чем мне надо я позабочусь сам. Есть сервис который позволяет рызыскать лаптоп если он украден, он уже был в 2012 в моем ThinkPad W530 и я все это сразу отключаю и убеждаюсь что оно не работает - эта вся чума несет гораздо больше угроз чем она решает проблем.

Old_Tuzik писал(а): ↑28 мар 2022, 22:00 Чип есть но как и от чего он может помочь? Есть еще несколько невнятных сервисов в биосе - с описанием типа "if you want to know what it is please contact Microsoft.". Все эти чудеса технологий я выключаю, и волшебные предложения хранить мои секреты в секрете игнорирую на корню - мне эти фокусы не интересны, о чем мне надо я позабочусь сам. Есть сервис который позволяет рызыскать лаптоп если он украден, он уже был в 2012 в моем ThinkPad W530 и я все это сразу отключаю и убеждаюсь что оно не работает - эта вся чума несет гораздо больше угроз чем она решает проблем.

А какой внешний анализатор у вас?
Я мож тоже куплю..

levak писал(а): ↑28 мар 2022, 21:41 А разве там внутрях нет Security Chip - TRM ??
Или это не поможет?

TPM - это не про это.

Old_Tuzik писал(а): ↑28 мар 2022, 21:16 смотрю на сетевые запросы лапопа которые посланы в момент загрузки Win 10 но до того как windows firewall is started

Не парьтесь.
Даже если у вас стартовал файрвол, есть несколько техник, чтобы проделать в нем дыру метр на метр.

Stanislav писал(а): ↑29 мар 2022, 08:55

Old_Tuzik писал(а): ↑28 мар 2022, 21:16 смотрю на сетевые запросы лапопа которые посланы в момент загрузки Win 10 но до того как windows firewall is started

Не парьтесь.
Даже если у вас стартовал файрвол, есть несколько техник, чтобы проделать в нем дыру метр на метр.

файрволить надо на раутере... не на игрушечном, разумеется...

Vantage стоит? ей пофиг на системные виндовые ограничения...

RISK писал(а): ↑29 мар 2022, 14:38 Vantage стоит? ей пофиг на системные виндовые ограничения...

Пока стоит, теперь он называется "Lenovo Commercial Vantage" с очень простым интрефейсом и минимумом информации. Мне он интересен потому как позволяет держать батарею в определенном диапазоне (70%-80%) и наверно скачивания леново апдейтов хотя и могу скачать их и ручками.

levak писал(а): ↑28 мар 2022, 22:43 А какой внешний анализатор у вас?
Я мож тоже куплю..

У меня мини пс QUOTOM с freebsd и 4 сетевыми карточками который умеет собирать и показывать трафик. Но все это не к чему для того кто хочет попробывать. В самом простом случае что бы видеть, собирать и анализировать пакеты в своей сети нужна сетевая карта могущая работать в promiscuous mode и wireshark + pcap программы установленные на компьютере.

Советую глянуть

https://wiki.wireshark.org/Home

все на самом деле просто если не ставится никаких свер задач.

Old_Tuzik писал(а): ↑29 мар 2022, 17:24

RISK писал(а): ↑29 мар 2022, 14:38 Vantage стоит? ей пофиг на системные виндовые ограничения...

Пока стоит, теперь он называется "Lenovo Commercial Vantage" с очень простым интрефейсом и минимумом информации. Мне он интересен потому как позволяет держать батарею в определенном диапазоне (70%-80%) и наверно скачивания леново апдейтов хотя и могу скачать их и ручками.

levak писал(а): ↑28 мар 2022, 22:43 А какой внешний анализатор у вас?
Я мож тоже куплю..

У меня мини пс QUOTOM с freebsd и 4 сетевыми карточками который умеет собирать и показывать трафик. Но все это не к чему для того кто хочет попробывать. В самом простом случае что бы видеть, собирать и анализировать пакеты в своей сети нужна сетевая карта могущая работать в promiscuous mode и wireshark + pcap программы установленные на компьютере.
Советую глянуть https://wiki.wireshark.org/Home
все на самом деле просто если не ставится никаких свер задач.

Спасибо. Сейчас мож и не надо, а завтра мож понадобится...

Многие совмеренные Thinkpad приходят с Intel AMT в биосе. Этот сервис важен для enterprise users/remote management и открывает отличную возможность для data breach for home users. Для Intel AMT Биос позволяет "enable", "disable" and "disable permanently". Последняя опция ведет к к тому что включить сервис для простого пользователя больше невозможно, ему поможет только замена motherboard ну а более продвинотуму вроде должен помочь прогрматор (сам я этого не знаю). Тоесть после того как "disable permanently" был выбран пользователь теряет возможность конфигурирования Intel AMT .
Поэтому правильный способ выключить Intel AMT - "enable" it in bios (хотя это звучит странно), boot into Intel ME (Ctr-P при загрузке компа), СМЕНИТЬ ПАРОЛЬ для Intel MEBX ИСПОЛЬЗУЕМЫЙ ПО УМОЛЧАНИЮ (admin - его знает весь мир) НА ЧТО ТО БОЛЕЕ ОРИГИНАЛЬНОЕ И ПОСЛЕ ЭТОГО ТАМ ЖЕ ВЫКЛЮЧИТЬ Intel AMT - и только сейчас его статут в "Intel Management and Security Status" (can be found in Win10) станет "disabled". Хорошо бы избавиться от Intel ME но это практически невозможно для современных Intel CPU

Информация от интел
https://software.intel.com/sites/manag ... telamt.htm

Для Фом неверующих и желающих все сделать сурово (чего то покрутить, где то что удалить, и возможно по пути где то что сломать)
https://mattermedia.com/blog/disabling-intel-amt/