PROBLEMA GRAVE FALLA SULLA SICUREZZA DI DELL ALLIENWARE 17X-R3

[plasteroid]

INVIATO SUL FORUM DI DEL

Re: Alienware (Dell) M17x-R3 BIOS Password problem - Alienware Forum - Alienware Club - Dell Community
Se vi interessa anche la sicurezza controllate anche sugli altri modelli DELL se
impostando la password sul BIOS, ve la chiede all'avvio del sistema operativo.

1) Siccome il computer allienware "M17x-R3" ha una grave falla nella sicurezza,
che altri computer non hanno, vi chiedo di aggiungere una routine nel BIOS,
in modo che faccia chiedere la password prima di avviare il sistema.
In questo modo l'avvio da usb o cdrom non viene permesso senza la password.
2) Venga data all'utente la possibilità di disattivare "computtrace",
anche se è stato attivato per sbaglio, come è successo a me.
3) Dare la possibilità di disattivare sul Bios il boot da cdrom, chiavetta e hardisk.
Opure scrivere un altro Bios Con le modifiche suggerite,
e se non basta la memoria, eliminate pure l'immagine dell' extraterrestre al boot;
in modo che un utente possa scegliere quello più adatto per lui.

Dopo queste modifiche indispensabili sul BIOS, il computer è veramente eccezzionale.
Senza queste modifiche io non lo consiglierò a nessuno.


Descrivo di seguito il Problema:

Ho acquistato da circa un mese "Alienware m17x-r3", ed ha una falla sulla sicurezza.
L'assistenza Dell voleva cambiarmi la piastra madre, ma quando e venuto il tecnico, ho
rifiutato, volevo che vedesse il problema. Il problema non è l'hardware ma e
la programmazzione del bios.

L'hardwar sarebbe guasto, solo se dopo aver impostato la password, non la chiedesse,
anche per entrare nel bios; invece la chiede. Se entro nel bios con quella di "superuser" mi
permette di cambiare tutte le opzioni, mentre se metto quella di "user" ne posso
cambiare solo alcune.

Ivece di sfoggiare tanta coreografia con l'immagine iniziale di boot, che occupa
tanta memoria, avrebbero potuto creare un bios più configurabile, aggiungendo
la password per avviare il sistema, inserendo anche il blocco sotto password
degli harddisk, la disattivazione al boot, di periferiche esterne o interne, per
esempio il DVD, la chiavetta USB, insomma iserendo più opzioni configurabili,
in modo da rendere il BIOS più versatile. Avrebbero potuto inserire anche un test
veloce per la memoria.

Per violare la sicurezza di questo sistema è molto facile, basta fare il BOOT da un cd con
LINUX-LIVE, di qualsiasi distribuzione, montare il l'harddisk di windows e sguazzarci dentro.

Speriamo che aggiornino il BIOS in futuro, per chiudere questa falla sulla sicurezza.

Ho provato su un pc desktop della Dell, e sono entrato nel harddisk di windows con
estrema facilità.
Ciao.


1) Because the computer allienware "M17x-R3" has a serious security hole,
other computers do not have, I ask you to add a routine in the BIOS,
so do ask for your password before you boot the system. In this way the boot
from USB or cdrom is not allowed without the password.
2) Come on you can disable "computtrace", although it has been activated by accident,
as happened to me.
3) Give the option to disable the BIOS to boot from cdrom, harddrive and stick.
Opure write another Bios With the suggested changes, and if not enough memory,
delete also the image of 'alien to boot, so that a user can choose
the most suitable for him.

After these changes are essential in the BIOS, the computer is truly exceptional.
Without these changes I will recommend it to anyone.

Describe the problem below:

Excuse my English.
I bought about a month "Alienware m17x-r3", and has a gap in security.
The Dell support would change my motherboard, but when the technician came, I
refused, I wanted him to see the problem. The problem is not hardware but
the programming that the bios.

The Hardwar would be a failure, only if after setting the password, do not ask,
even to enter the bios, but instead asks. If I enter the bios with that of "superuser" I
allows you to change all the options, but if I put the "user" I can
change only a few.

Ivece to show off a lot of choreography with the initial boot image, which occupies
much memory, they could create a more configurable bios, adding
password to boot the system by including the block below password
the hard disk, turning off the boot, internal or external devices, for
as DVD, USB stick, short iserendo more configurable options,
in order to make the BIOS more versatile. They could also insert a test
fast memory.

To violate the security of this system is very easy, just boot from a cd
LINUX-LIVE, any distribution, the harddisk install the windows and wallow in it.

Hopefully they update the BIOS in the future, to close this gap in security.

I tried it on a Dell desktop PC, and I entered the harddisk with windows
ease.
Hello.

 

[centoventicinque]

più che lamentarmi con dell .. mi lamenterei con windows che ha un sistema di permessi ridicolo .

windows ha sempre voluto far regole a se, creando un sistema dei permessi che fa ridere , linux questo sistema lo "brucia" perchè non standard ,stessa regola vale per i mac , per i bsd , è solo windows che ha un sistema di permessi "giocattolo"

in ultimo, la password per bootare da periferica removibile è semopre bene che ci sia , dato che anche da live linux, presi i permessi di root, si può girare in lungo ed in largo

 

[plasteroid]

Ti assicuro che Windows non centra niente, anche perchè lo sto usando con linux slackware 13.37.
Se sai di cosa sto parlando, cioè di una password a livello di BIOS, allora saprai bene, che la dovrebbe
chiedere per fare partire qualsiasi sistema, indipendentemente che sia windows, linux, os2, unix ecc.
Se unvece non sai che cosa è un BIOS, non puoi neanche sapere di cosa sto parlando io.
Per rinfrescarti le idee, in poche parole, la prima cosa che fa il processore quando si avvia il computer,
e leggere le istruzioni scritte nel bios, poi passa i controlli al sistema operativo che deve avviare, in
realtà non ho voglia di divulgarmi oltre.

 

[centoventicinque]

so perfettamente di cosa parli, e finchè ho avuto un portatile tenevo disabilitato il boot da dischi removibili ( compresa l'opzione per selezionarli " al volo" ) , per cambiarla serviva la password .

non trattarmi come un novello, so di cosa stai parlando , non dico di conoscere linux perchè ho cambiato 2 temi in ubuntu, ma perchè lo uso, uso solo quello , sono passato anche per slackware , ed utilizzo stabilmente arch, con qualche puntata su gentoo (e no, non ho barato con genkernel :lol: )

si, so anche cosa sia un bios e come usarlo , ho qualche dubbio che lo sappia tu visto che il " bios" non è la prima cosa che fa il pc, piuttosto si chiama POST , che viene eseguito rispettando le istruzioni del bios

 

[plasteroid]

so perfettamente di cosa parli, e finchè ho avuto un portatile tenevo disabilitato il boot da dischi removibili ( compresa l'opzione per selezionarli " al volo" ) , per cambiarla serviva la password .

non trattarmi come un novello, so di cosa stai parlando , non dico di conoscere linux perchè ho cambiato 2 temi in ubuntu, ma perchè lo uso, uso solo quello , sono passato anche per slackware , ed utilizzo stabilmente arch, con qualche puntata su gentoo (e no, non ho barato con genkernel :lol: )

si, so anche cosa sia un bios e come usarlo , ho qualche dubbio che lo sappia tu visto che il " bios" non è la prima cosa che fa il pc, piuttosto si chiama POST , che viene eseguito rispettando le istruzioni del bios

D'accordo non sei un novellino, ma per quello che ho descritto io, non centra assolutamente windows,
per quanto sia d'accordo con te sul fatto dei permessi giocattolo. Si, mi lamento con dell, perchè il problema e proprio sul BIOS di dell,
Ho altri 5 computers e ho settato LA PASSWORD sul BIOS, e me la chiedono tutti prima di avviare il sistema operativo, tranne il dell, che
la chiede solo se voglio entrare sul BIOS, ho settato le sue password, sia superuser che user.
E mi fa irritare quando parlo di una cosa e mi rispondo un'altra cioè windows, che tra l'altro a me fa schifo.
E senza offesa, non stiamo a dilungarci in discussioni fuori argomento, quello che ho sritto e il risultato di esperienza personale non cose
che chiedo a voi esperti o sognate. Volevo solo condividere questa esperienza con le persone che ci tengono alla sicurezza, di non
acquistare un "DELL", perchè anche un bambino un po' esperto può fare ul boot con una chiavetta contenente linux live e montare la
partizione di windows con "mount /dev/sdax -t ntfs-3g /mnt/partizionex" e sguazzarci dentro a volontà.

---------- Post added at 20:19 ---------- Previous post was at 20:07 ----------

Questo che sto usando è un samsung e mi chiede la password prima di avviare il sistema......
uname -a
Linux PCX-2800-P4 2.6.33.4-smp #2 SMP Wed May 12 22:47:36 CDT 2010 i686 Intel(R) Pentium(R) 4 CPU 2.80GHz GenuineIntel GNU/Linux

 

[centoventicinque]

ma falla semplice, disabilita il boot da cd/usb , lascia come unica periferica bootable il disco fisso e metti una password per modificare il bios .

oki, i tuoi dati protrebbero sempre essere visibili, ma chi lo fa dovrebbe smontare il disco , avviare quel che vbuole e ricollegarlo .. direi che non ne varrebbe la pena !

 

[plasteroid]

ma falla semplice, disabilita il boot da cd/usb , lascia come unica periferica bootable il disco fisso e metti una password per modificare il bios .

oki, i tuoi dati protrebbero sempre essere visibili, ma chi lo fa dovrebbe smontare il disco , avviare quel che vbuole e ricollegarlo .. direi che non ne varrebbe la pena !

Ci ho pensato ma...
Il problema è che non si può neanche disabilitare il BOOT da USB O CDROM perchè questo BIOS NON LO PERMETTE. Si può solo mettere per primo il disco fisso, quindi non si risolve il problema. Se si preme F12 prima che faccia il boot dal disco fisso, si può sciegliere senza password da quale periferica fare il boot.

Mon ho mai visto in 25 anni un bios che faccia così schifo. Basterebbe che DELL aggiungesse la ROUTINE NECESSARIA PER FARE CHIEDERE LA PASSWORD e tutto sarebbe risolto. Penso che riconpilare il sorgente e rendere disponibile l'eseguibile per flesciarlo non ci voglia poi molto se ci tiene ai suoi clienti.

Ho provato anche su di un desk top sul lavoro ed è la stessa cosa. spero che i dell non siano tutti così,
Ho fatto vedere al tecnioco della DELL il problema, e poi gli ho mostrato il BOOT con password, da quattro computer diversi, alla fine
mi ha dato ragione, e si è complimentato per la mia competenza. Comunque se non mi credi ti invito a casa mia e ti mostro questi boot con password.
Spero di esseremi spiegato bene.
Ciao.

 

[DELL]

Ci ho pensato ma...
Il problema è che non si può neanche disabilitare il BOOT da USB O CDROM perchè questo BIOS NON LO PERMETTE. Si può solo mettere per primo il disco fisso, quindi non si risolve il problema. Se si preme F12 prima che faccia il boot dal disco fisso, si può sciegliere senza password da quale periferica fare il boot.

Mon ho mai visto in 25 anni un bios che faccia così schifo. Basterebbe che DELL aggiungesse la ROUTINE NECESSARIA PER FARE CHIEDERE LA PASSWORD e tutto sarebbe risolto. Penso che riconpilare il sorgente e rendere disponibile l'eseguibile per flesciarlo non ci voglia poi molto se ci tiene ai suoi clienti.

Ho provato anche su di un desk top sul lavoro ed è la stessa cosa. spero che i dell non siano tutti così,
Ho fatto vedere al tecnioco della DELL il problema, e poi gli ho mostrato il BOOT con password, da quattro computer diversi, alla fine
mi ha dato ragione, e si è complimentato per la mia competenza. Comunque se non mi credi ti invito a casa mia e ti mostro questi boot con password.
Spero di esseremi spiegato bene.
Ciao.

ciao
avevo visto il tuo post anche sulla pagine di facebook Italia.
Anche i computer Dell hanno BIOS con Password. per esempio i modelli della gamma professionale Latitude, Precision etc..

Il tecnico On-site non è un tecnico Dell ma un partner esterno.

mi informo se tutti i modelli non possono avere una password Bios e ti rispondo.
AndreaB

---------- Post added at 12:54 ---------- Previous post was at 12:34 ----------

ciao
avevo visto il tuo post anche sulla pagine di facebook Italia.
Anche i computer Dell hanno BIOS con Password. per esempio i modelli della gamma professionale Latitude, Precision etc..

Il tecnico On-site non è un tecnico Dell ma un partner esterno.

mi informo se tutti i modelli non possono avere una password Bios e ti rispondo.
AndreaB

P.S.: Se al lavoro hai un Desktop Optiplex è possibile settare la Password del BIOS.
Andrea

 

[plasteroid]

Il mio scopo e quello di far aggiungere la password a questo modello, perchè è un ottimo computer
multimediale e può essere usato anche come computer per lavorare, non solo per giocare.
Mi piaceva l'ardware di cui era composto per quello l'ho acquistato, ma se avessi saputo che non
si poteva insetire una password a livello di BIOS per avviare il sistema non lavrei preso.
In fondo alla dell non costa niente aggiungere una routine nel bios che faccia chiedere la password
all'avvio del sistema. Questo computer non e da 400 euro, quindi pretenbdo almeno una certa sicurezza.
Ci sono altri utenti che hanno lo stesso mio problema con lo stesso modello.
Allienware "M17x-R3" has a serious security hole - Alienware Forum - Alienware Club - Dell Community
Quindi l'unica soluzione è che i creatori del BIOS scrivano una routine e ricompilino il tutto, inviando poi l'eseguibile.
Anche volessi solo giocare, non posso portare in giro un computer così, Basta premere F12 all'avvio e partire con una chiavetta contenente
in live di LINUX e il gioco è fatto, Posso anche per dispetto formattare l'harddisk.
Se sei un dipendente della DELL, per favore notifica il problema, anche se penso che a DELL non fregli niente.
Ho degli amici che visto il mio computer dell, avevano deciso di comprarselo, ma quando gli ho fatto vedere come si può
violare la sicurezza di questo computer hanno cambiato idea.
Quindi se dell non aggiunge una routine nel BIOS che faccia chiedere la password, almeno qualche cliente di mia conoscenza
lo avete perso.

 

[Shalla]

esiste un programma che ti permette di cambiare il logo del bootscreen se lo trovi pesante, puoi mettere anche una semplice foto fissa o uno sfondo

 

[DELL]

Il mio scopo e quello di far aggiungere la password a questo modello, perchè è un ottimo computer
multimediale e può essere usato anche come computer per lavorare, non solo per giocare.
Mi piaceva l'ardware di cui era composto per quello l'ho acquistato, ma se avessi saputo che non
si poteva insetire una password a livello di BIOS per avviare il sistema non lavrei preso.
In fondo alla dell non costa niente aggiungere una routine nel bios che faccia chiedere la password
all'avvio del sistema. Questo computer non e da 400 euro, quindi pretenbdo almeno una certa sicurezza.
Ci sono altri utenti che hanno lo stesso mio problema con lo stesso modello.
Allienware "M17x-R3" has a serious security hole - Alienware Forum - Alienware Club - Dell Community
Quindi l'unica soluzione è che i creatori del BIOS scrivano una routine e ricompilino il tutto, inviando poi l'eseguibile.
Anche volessi solo giocare, non posso portare in giro un computer così, Basta premere F12 all'avvio e partire con una chiavetta contenente
in live di LINUX e il gioco è fatto, Posso anche per dispetto formattare l'harddisk.
Se sei un dipendente della DELL, per favore notifica il problema, anche se penso che a DELL non fregli niente.
Ho degli amici che visto il mio computer dell, avevano deciso di comprarselo, ma quando gli ho fatto vedere come si può
violare la sicurezza di questo computer hanno cambiato idea.
Quindi se dell non aggiunge una routine nel BIOS che faccia chiedere la password, almeno qualche cliente di mia conoscenza
lo avete perso.

Proverò a chiedere se possono trovare una soluzione, ma comunque già con un password adminstrator del BIOS, una password sull'Hard Disk, non credo che una reinstallazione sia cosi immediata come sembra.
Comunque il prezzo di un PC non è valutato sulla presenza o meno della password del BIOS, ma dai componenti inseriti nella configurazione.
Andrea.

 

[plasteroid]

Ti ringrazio molto per questo.
Quello che mi preme di più e che si possa disattivare il boot, da
qualsiasi periferica esterna, o perlomeno che alla pressione del
tasto F12, venga richiesta una password. In questo modo il computer
sarebbe protetto comunque, dalla password del sistema operativo.
Credo che per un programmatore, che lavori allo sviluppo del bios,
non sia un problema aggiungere una routine che faccia chiedere la
password, alla pressione del tasto F12. In fondo non si tratta di
programmare il BIOS a basso livello perchè riconosca una periferica,
ma solo di aggiungere alcune istruzioni che facciano chiedere la password
alla pressione del tasto F12. Il BIOS non è altro che un software
caricato in una eeprom, che da istruzioni al processore all'accensione
del COMPUTER.
Spero che ci sia buona volontà da parte di DELL per risolvere il
problema.
Questo è un computer multimediale molto potente e può essere
usato anche per lavoro, sia in grafica che in vidio e in audio
editing.
Se ci fosse uno sviluppo positivo da parte di DELL, vorrei essere
avertito, la sicurezza è molto importante.
Grazie per la collaborazione.
Ciao

 

[tang]

Guarda senza entrare nel merito della questione, pero` a me sembra un po` fuori luogo parlare di falle nella sicurezza in un contesto che vede come protagonista un portatile facente parte di un segmento orientato al gaming, un'azienda credo che supporti dei costi di ricerca per ogni segmento e probabilmente in questo caso i loro costi sono andati piu` verso la ricerca di un compromesso fra prestazioni e dissipazione del calore sotto sforzo mantenendo la stabilita` del portatile mentre si gioca e non sulla ricerca per rendere sicuro il portatile in determinati contesti, che molto probabilmente non ti sono stati caricati sul costo finale del prodotto.

Se hai bisogno di portatili con una ricerca piu` mirata a renderlo sicuro probabilmente sei tu che hai sbagliato contesto e dovresti orientarti piu` verso qualcosa che ha visto una maggiore ricerca sulla sicurezza che poi alla fine viene venduto cercando di ammortizzare quei costi per la ricerca ma che probabilmente non sara` performante come un Alienware quando si gioca.

Vedi uno di quei panasonic che hanno superato i test per la certificazione per l'utilizzo in ambito militare, se hai bisogno di cio`, forse potresti renderti conto che e` piu` fatto per te.

Sinceramente magari se Dell un domani aggiungesse la routine di cui parli nel bios sarebbe comunque "Aleatoria" perche` bypassabile con un exploit

 

[plasteroid]

Senti tang,
Di tutti i computer che ho acquistato in 30 anni, ache quelli di costo moderatissimo e con prestazioni irrisorie, fino a oggi hanno
sempre avuto la possibilita' di inserire la password sul BIOS prima di avviare il sistema.
Non credo che per aggiungere una routine nel bios ci voglia una vita di studio.
Si probabilmete ho sbagliato a non informarmi prima dell'acquisto (cosa che io consideravo OVVIA) se era possibile.
Poi non stiamo a polemizzare con costi e studio per una routine da aggiungere sul BIOS cerchiamo di restare senza offesa in argomento.
Quello che ho è un computer, e come tale, oltre ad essere specializzato nei giochi, si deve comportare come un computer normale, e deve
avere almeno un minimo di sicurezza, altrimenti è uno schifo.
Poi non ho voglia di rispondere a tutti quelli come te, ma lo faccio, perchè penso che per una piccola modifica, non si debba parlare di studi,
costi, anni di preparazione per andare magari sulla luna. Lasciamo perdere dai.....
Senza offesa.
Ciao

 

[tang]

Per essere uno che non sa di cosa parla sei troppo arrogante, continua a pensare che sia una piccola modifica, se fatta bene, io continuo a dirti che fatta bene costa perche` la sicurezza costa e perche` se non fatta bene quella "piccola modifica" sarebbe inesistente in ogni caso all'accesso fisico alla macchina, basterebbe avere il pollice opponibile e cercare su google exploit per i bios e bios password sui caratteri, sul memory injection di byte malformati, invece no insisti nel credere che le aziende possano pagare consulenze ad esperti di sicurezza e regalarle sui notebook da gioco, quando queste poi dovrebbero essere ricaricate nel prezzo finale, facendo pagare me, per la mia stazione di gioco, il fatto che tu abbia passato troppo tempo a guardare alias

sii piu` gentile quando ti viene dato un parere, nessuno ti voleva fucilare