Разработчики Ksplice, системы обновления Linux-ядра без перезагрузки, опубликовали (http://blog.ksplice.com/2010/10/hosting-backdoors-in-hardware/) любопытный документ, в котором показана техника имплантирования вируса в аппаратную часть компьютера. Подобный код в последующем будет очень сложно обнаружить и практически невозможно истребить (не поможет даже полная переустановка системы с нуля). Исследование содержит примеры работоспособного кода.
Чтобы произвести подобную атаку, нужно сначала разобраться с начальной загрузкой компьютера. Во время запуска компьютера, первым этапом загрузки является прохождение BIOS'ом самопроверки (POST) и запуск ROM-кода различных устройств компьютера. Эти ROM-программы позволяют правильно инициализировать устройство или позволить BIOS'у общаться с железом, про которое он ничего не знает (например, данная функция позволяет BIOS'у загрузить ОС с жёсткого диска, подключенного к SCSI адаптеру). Для этого у BIOS есть таблица прерываний, которую можно п...URL: http://blog.ksplice.com/2010/10/hosting-backdoors-in-hardware/
Новость: http://www.opennet.me/opennews/art.shtml?num=28481
не тот ли это тип "вируса" о котором писал когда-то давным-давно Крис Касперски?
Касперски писал о вирусе использующем баги в микрокоде процессора.
Крис Касперски много чего писал, вот только читать это обычно незачем.
> Крис Касперски много чего писал, вот только читать это обычно незачем.это почему же?
> не тот ли это тип "вируса" о котором писал когда-то давным-давно Крис Касперски?Это древняя страшилка о том что вирус может в принципе прописать себя в флеш. WinCIH в свое время даже осиливал стереть flash, только вместо прописывания себя он его просто дестроил. Работало сие только на сильно некоторых мамках и только в win95 которая не запрещает прямой доступ к железу любой программе режима пользователя. Чисто технически оно конечно возможно, но чисто практически - очень уж геморно в реализации и очень уж неуниверсально. CIH в частности был способен стереть только флеш в мамках с чипсетом Intel TX, коих был достаточно заметный процент, что и позволило ему наделать шума.
А предлагаемый чуваками метод требует вообще поставить плату с своим BIOS. Ну да, все замечательно, кроме того что это требует всего-то ничего - "незаметно" воткнуть левую плату кому-то в писюк. Всего-то :). Интель, кстати, уже давно сам же и сделал куда более продвинутый бэкдор - гуглить на тему AMT и vPro ;). Оно вообще независимо от основного проца работает и позволяет вообще нахрен вам систему переставить. Ремотно, по сети, ога :). И, главное, крайне мало дятлов в курсе о фиче, есть ли она на их писюке, и в каком она там состоянии. А в качестве лулза было упоминание что установка DISABLED в биосе нифига еще и не полностью отключает "фичу".
А ты видел последние вирусы?
вы уверены, что правильно прочитали новость?
речь идет о ром-памяти уже установленных устройств.
не говоря уже о фирмварях.
т.е. речь идет о закладках чисто программных. забавно что до этого додумались только что.
> речь идет о ром-памяти уже установленных устройств.Вообще, в современных писюшниках таких не сильно то и много: то что стандартно на мамке - не снабжается отдельными ромами а соответствующий ром запихан прямо в системный биос как модуль. В теории, конечно, и там можно переписать. На практике - задолбаетесь, геморроя будет нмного. А результативность будет не фонтан. Ну то есть можно распереться и написать суперзловред, но работать будет только на полутора специально подобранных машинах, в тепличных условиях. Вон CIH в свое время не работал на WinNT и на чипсетах отличных от TX.
> забавно что до этого додумались только что.
Ну да, конечно, только сейчас. CIH вполне прокатит на PoC - как раз перезаписывает системный BIOS ;). Упомянутые ROMы - всего лишь довески к биосу. Логичное развитие идеи в общем то. А то что фирмваре какого нить винча можно пропатчить чтобы он всегда выдавал вам завирусованные сектора - известно всем, но реализовать это могут считанные единицы людей, которым оно нафиг не надо как правило.
странный вы какой-то.
можно подумать только машины блондинок с фейсбуками и интересны.
меж тем госструктуры, спецподразделения, банки и пр. тоже проводят закупки во всех отношениях обычных писюков.
и смотришь так на разнообразие железа и понимаешь, что реально уникальных типов винтов штук 5, сд/двд - 3, видео - 3, рэйд - 5,...
операционок/ядер - 6-8, смотря как считать
> меж тем госструктуры, спецподразделения, банки и пр. тоже проводят закупки во всех
> отношениях обычных писюков.Да, только если допустить что вы можете на заказ собрать банку писюки - тут возможности открываются немеряные. Ну там можно сниффер скажем прямо в клаву установить. Ессно аппаратный. Так что касперы и прочие вообще ничего и не найдут программно :)
> и смотришь так на разнообразие железа и понимаешь, что реально уникальных типов
> винтов штук 5, сд/двд - 3, видео - 3, рэйд - 5,...
> операционок/ядер - 6-8, смотря как считатьДа, а проблема в том что в итоге вероятность срабатывания супер-бэкдора получается (1/5) * (1/5) * (1/6) * .... - то есть, страшно, конечно, но очень нишевая хрень. Вот и не прельщаются современные хацкеры на такое. Проще, пардон, "стухнет" на флешке притащить и просто воткнуть флеху. Канает на 90% компьютеров в мире, при несравнимо меньшем геморрое реализации! :) А засунуть троян в фирмвару винча - безусловно дико круто. Просто еще и дико геморно и работать будет чуть ли не на конкретной модели винча с конкретной версией фирмвары. При том счастливчиков у которых железо и ОС подошли, марка винча правильная и версия фирмвари нужная - будет не сильно больше чем тех кто выигрывает миллион в лотерею.
В остальных случаях - ну как максимум, вы убьете юзеру винч. Что, конечно, тоже забавно, но куда менее функционально и нифига не оправдывает геморрой по реверсингу. При том о возможности это сделать - все кому надо в курсе уже лет эдак 15, а то и больше. Потому что 15 лет назад железо ничем таким принципиально не отличалось.
Выше уже отписали. В крупных конторах стараются железо унифицировать, чтобы и ось разливать проще и запчасти менять. Так что поле деятельности для целенаправленного внедрения вируса широкое. Поделить его, условно, на два модуля(взаимодействие с конкретным железом и, собственно, зловредные действия) и модифицировать под разные организации. А парк железа можно через открытые электронные аукционы выяснить.
Ага, в итоге вирус будет сильно напоминать операционку и весить будет столько же, и на создание модификации способной более-менее работать хотя-бы в 30% случаев уйдут годы. За которые хардвар сменит модели и ... :). Ну в общем пока вы тут обсуждаете кульные концепты, чувак из сименса воткнул флеху с "тухлятиной" на ядерном объекте Ирана и, судя по сообщениям прессы, вполне себе саботировал работу объекта. Без всяких там биосов и фирмварей, просто воткнув флеху. Что гораздо забавнее. Потому что фирмвари и биосы, хотя-бы теоретически, вы можете проаудитить, наняв пачку реверсеров которые по косточкам разберут блобик от и до. А вот лабух с флешкой на которую случайно (или не очень) затисался "тухляк" - довольно трудноустранимый фактор, особенно если ему по роду деятельности надо флешку воткнуть.
>[оверквотинг удален]
> случаев уйдут годы. За которые хардвар сменит модели и ... :).
> Ну в общем пока вы тут обсуждаете кульные концепты, чувак из
> сименса воткнул флеху с "тухлятиной" на ядерном объекте Ирана и, судя
> по сообщениям прессы, вполне себе саботировал работу объекта. Без всяких там
> биосов и фирмварей, просто воткнув флеху. Что гораздо забавнее. Потому
> что фирмвари и биосы, хотя-бы теоретически, вы можете проаудитить, наняв пачку
> реверсеров которые по косточкам разберут блобик от и до. А вот
> лабух с флешкой на которую случайно (или не очень) затисался "тухляк"
> - довольно трудноустранимый фактор, особенно если ему по роду деятельности надо
> флешку воткнуть.А что мешает запретить выполнение файлов с флэшки? В винде(а чувак втыкал флэшку, судя по сему, в винду) исполенние файлов обычными пользователями должно быть возможно только из %WINDIR% и %ProgramFiles%. Это всего лишь пример некомпетентности админов.
ROM - это Read Only Memory. И она действительно д.б. Read Only, т.е. неизменной, только для чтения.На крайний случай в BIOS д.б. возможность восстановления исходного состояния BIOS. Это на случай порчи его при заливки новой версии и ряда др.случаев.
При старте должен стартовать BIOS, зашитый в ROM (которая действительно Read Only, а не просто энергонезависимая Flash-память). Далее при нажатии некоторой кнопки стартовый ROM должен перезаписывать во Flash BIOS из ROM. Без нажатия кнопки запускается BIOS из Flash.А вот интересно, где завирусованный BIOS собирается хранить модуль 163-го протокола? Если на диске - это сносится переформатированием диска (особенно если на другой машине). А во Flash-памяти места явно маловато - там всё рассчитано под BIOS.
> ROM - это Read Only Memory. И она действительно д.б. Read Only,
> т.е. неизменной, только для чтения.только вот я уже лет пять как ROM нигде не видел, сейчас везде перезаписываемый Flash
Если не изменяет память, то на материнке должна быть защита от перезаписи BIOS (в том числе и от перепрошивки).
p.s. А в Gigabyte-ах с двумя BIOS второй (резервный) разве не Read Only?
как тогда работает flashrom? http://flashrom.org/Flashrom да и любой другой тривиальный BIOS update...
> как тогда работает flashrom? http://flashrom.org/Flashrom да и любой другой тривиальный
> BIOS update...Дело в том что для хранения кода биос уже давно используется не ROM, а EEPROM
да я вроде как в курсе.
Дефолтом защита от записи установлена. CIH98 приучил к этому изготовителей материнок. Кстати, у Gigabyte столкнулся с другой дурью - на мамах с G33, если в BIOS разрешить USB kb/mouse, то фряха при установке матерится на оборудование (при инициализации ACPI). Поймал случайно, менял разные компоненты оборудования - устойчивый глюк (3 мамы, 8 слотов памяти, разные корпуса, разные HDD - эффект повторяется), по крайней мере с E7500 и FreeBSD 8.0 - 8.1 (7.2, вроде тоже - не буду врать, кажется проверял, но не помню). Может, кто сталкивался, или только мне повезло :)?
У меня FreeNAS на MSI P865 при включенной USBkbd стабильно ругается на USB и не стартует:)
> Кстати, у Gigabyte столкнулся с другой дурью - на мамах с G33,
> если в BIOS разрешить USB kb/mouse, то фряха при установке матерится на оборудование
> 3 мамы, 8 слотов памяти, разные корпуса, разные HDD - эффект повторяетсяУгадай, с одного раза, где бага?! :)
Да вот тут кто-то недавно в коментах сильно чертыхался что в freebsd поддержка acpi жутко кривая. Видимо вы на своем заду проверили этот факт лишний раз.
самое смешное что код ACPI он одинаковый - что в linux что в bsd :)
единая эталонная реализация имени Intel.
Еще кстати производители биосов молодцы - кривые таблицы ACPI у них в порядке вещей. Винда как-то хавает. Пингвин жестоко матерится в логи но тоже как правило хавает.
на самом деле нужно смотреть глубже.
Это кусочек dmesg с инфой о найденых ACPI таблицах:
[ 0.000000] ACPI: RSDP 000f6750 00014 (v00 GBT )
[ 0.000000] ACPI: RSDT 3f7f3040 00038 (v01 GBT AWRDACPI 42302E31 AWRD 01010101)
[ 0.000000] ACPI: FACP 3f7f30c0 00074 (v01 GBT AWRDACPI 42302E31 AWRD 01010101)
[ 0.000000] ACPI: DSDT 3f7f3180 03828 (v01 GBT AWRDACPI 00001000 MSFT 0100000C)
[ 0.000000] ACPI: FACS 3f7f0000 00040
[ 0.000000] ACPI: MCFG 3f7f6ac0 0003C (v01 GBT AWRDACPI 42302E31 AWRD 01010101)
[ 0.000000] ACPI: APIC 3f7f6a00 00068 (v01 GBT AWRDACPI 42302E31 AWRD 01010101)
[ 0.000000] ACPI: SSDT 3f7f6b40 0019E (v01 PmRef Cpu0Ist 00003000 INTL 20040311)
[ 0.000000] ACPI: SSDT 3f7f6fd0 00167 (v01 PmRef CpuPm 00003000 INTL 20040311)самая интересная и важная - DSDT
[ 0.000000] ACPI: DSDT 3f7f3180 03828 (v01 GBT AWRDACPI 00001000 MSFT 0100000C)
MSFT - означает что она собрана при помощи MS компилятора.
INTL - эталонного компилятора от intel.в 98% случаев декомпилированный код от MSFT не соберётся обратно.
Делайте выводы сами.PS. компиляция декомпиляция AML <-> ASL происходит в обоих направления без потерь, один в один.
тут больше инфы http://forums.gentoo.org/viewtopic.php?t=122145
а зачем во фряхе ацпи?
при производстве, например. то есть выходит железка с уже вшитым кодом вируса
> при производстве, например. то есть выходит железка с уже вшитим кодом вирусаА это вы случайно не про интеловский AMT? А то фича в принципе позволяет закатить ремотный pwnage вообще независимо от установленности операционки: вам можно вообще ремотно переставить ось нафиг, при это как-то и не важно что вы там наконфигурите в вашей оси. А наиболее прикольно что были репорты что фича не полностью отключается при дизаблинге ее в биосе. В общем пока кульхацкеры козыряли концептами, интель уж давно забабахал реально работающий ремотный бэкдор^W средство администрирования энтерпрайзов, мля, который в 10 раз круче - живет на отдельном выделенном процессоре своей жизнью, имеет доступ к сети независимо от вашей операционки и все такое прочее (да, вы это даже зафайрволить не можете из вашей операционки - добавочный проц напрямую работает с чипом сетевки, в обход вашей операционки :D). Хахаха, учитесь как надо бэкдоры делать, лузеры! И, главное, кто б мне объяснил: что помешает интелу вшить бэкдор в фирмварину этого проца по заказу какогонить там пентагона, а? Вот это да, бэкдор так бэкдор. Не видно, живет в выделенном процессоре, даже когда комп "типа выключен" (этот проц питается от дежурки). Крутота! :)
P.S. и, кстати, кто из вас проверял есть ли у вас в компьютере эта "фича" и в каком она состоянии, just in case? И насколько она по факту отключается, например? :).
Эт вы батя немного поодстали.
Этот супер Интел АМТ - это кривая релизация ipmi+ ipkvm которые уже давно были опцией для серверных мамок.
Главное отличие Интелёвого поделия - это использование этого дела в десктопном сегменте. То есть и это уже придумано до них. То есть все ваши сервера уже давно должны быть сломанны (ведь не всякий сервачный админ юзает эту приблуду). Хотя конечно В десктопном сегменте масштабы страшнее, однако и тама эта фигня юзается на избранных мамках - тех, что предназначены для Воркстанций и корп. ноутбуков. То есть тоже подразумевается, что админы тоже не пропустят такую фигню мимо. А так как сегмент корп, то представте, если где-то обнарижится бекдор? Да по соображениям безопасности корпоросы уйдут к АМД!!!Насчёт "не отключается" не знаю, но на презентациях они зафейлили норамльно это стартануть (в 2004м и 2010м - новая версия с встроенным КВМ - наконец-то!).
>> P.S. и, кстати, кто из вас проверял есть ли у вас в компьютере эта "фича" и в
>> каком она состоянии, just in case? И насколько она по факту отключается, например? :).Ну у меня на X61t есть, в BIOS отключена. Лень возиться с помершим openamt. На X60t нет, кстати -- сравнивать можно довольно близкое железо.
> Этот супер Интел АМТ - это кривая релизация ipmi+ ipkvm которые уже
> давно были опцией для серверных мамок.Нет, это не IPMI, хотя местами отдалённо смахивает. iKVM там не пахнет, насколько могу судить. Гругря для педали к питанию, датчиков и serial-over-lan достаточно микроконтроллера, а вот для зажатия видеопотока уже нужен сервис-процессор.
> Главное отличие Интелёвого поделия - это использование этого дела в десктопном сегменте.
Это да.
> То есть и это уже придумано до них. То есть все ваши сервера уже давно должны быть
> сломанны (ведь не всякий сервачный админ юзает эту приблуду).BMC ещё настроить надо. До чего вовремя не доходят руки у тех, кого бы потом как-нить выручило, кстати.
> если где-то обнарижится бекдор? Да по соображениям
> безопасности корпоросы уйдут к АМД!!!Брр.
>> Этот супер Интел АМТ - это кривая релизация ipmi+ ipkvm которые уже
>> давно были опцией для серверных мамок.
> Нет, это не IPMI, хотя местами отдалённо смахивает. iKVM там не
> пахнет, насколько могу судить. Гругря для педали к питанию, датчиков
> и serial-over-lan достаточно микроконтроллера, а вот для зажатия видеопотока уже нужен
> сервис-процессор.Я ж говорю - кривая -:).
В версии 3.0(кажись) была уже возможность заходить в биос (перегрузив комп). А вот с ныненшней (6.0 вроде) вместе с процами i5 (версии с инт. графикой) появился возможность полноценного КВМ. При чём там крутится VNC сервер. - то есть не надо толком никаких утилит левых. Просто любой ВНЦ клиент. Пароли всякие самогенерирующиеся... Короче должно быть хорошо, только на презенташке в этом году в Днепропетровске у товарища Шевченко оно так и не завелось(в 2008м в Киеве - тоже -:)). Не хорошо радоваться чужим неудачам, но такая "стабильность" для меня - показатель, чтоб выбрать другого вендора, или обойтись другим решением.
таки на серверах мамки рулятся удаленно в обход ос - удивил?
Внедрение происходит методом социнженерии.
> И она действительно д.б. Read Only, т.е. неизменной, только для чтения.Истинно однократная (масочная) память имеет один крупный минус: если в биосе баги (а их там по жизни дофига, в инете есть сорцы аварда с очень колоритными ченжлогами) - при серьезности бага вся партия чипов идет под пресс, а проданные юзерам мамки - в сервис. Что как-то попадание на денежку. Куда дешевле раздать юзерям фикшеный биос. Однократки которые программируемы - нынче делаются по той же технологии что и флеш и потому не особо экономят кому-то чего-то.
> стартовый ROM должен перезаписывать во Flash BIOS из ROM
Вы только что изобрели колесо^W дуалбиос (google://dual-bios), методы и условия активации оного ессно отличаются и как правило запасную копию не перешивают и она всегда фабричная. Он как раз так и работает. Поздравляю вас, Кэп!
> А во Flash-памяти места явно маловато - там всё рассчитано под BIOS.
Да ладно, несколько кило под модуль наскрести - можно.
возможно, но нужно учитывать все, вплоть до версии BIOS и так далее. либо найти универсальное уязвимое место. для этого нужно вбухать много времени, или привлечь для этого распределённые ресурсы. ;) больше предназначено для напрвленного взлома.
Тогда можно сказать что Linux меняется с каждым коммитом - никто не запрещает тебе пересобирать его каждый раз. Только этого никто не делает, как и не ставит все подряд обновления мелкомягких. У большинства стоит какой-ть прогнивший пиратский Windows хз сколько летней давности.
Вы только о РФ говорите?
> бред! ядро Windows меняется чаще ....
> http://tinyurl.com/2b23p5lБредовый ты наш, сам то смотрел? :)
Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (981957)
Published: October 12, 2010Vulnerability in Windows Kernel Could Result in Elevation of Privilege (920958)
Published: August 08, 2006
Как все запущено то у вас, вы даже не знаете как маркируются обновления безопасности Майкрософта... так вот MS10 - "10" это год... а что по ссылке поиск по релевантности сделан, а не по дате это моя ошибка, но сути это не меняет...
...если говорить, что пиратский софт от Майкрософта не может обновляться раз в месяц, а иногда и чаще с экстренными обновлениями, то это тоже является полным бредом... большинство пользователей пираток используют корпоративные версии Windows, которые работают без порверки подлинности и отлично обновляются с сайта Майкрософт...
...по-умолчанию в Windows включена функция Автоматического обновления, поэтому обновления скачиваются и устанавливаются в автоматическом режиме... кстати о пиратках... критические уязвимости, к коим в своем большинстве относятся уязвимости ядра будут установлены вне зависимости от лицензии... главное, чтобы Автоматическое обновление по глупости своей не отключили....теперь, что же касает ярда Linux... обновляется оно чаще не спорю... намного чаще... НО... в дистрибутивах обновление происходит очень редко... по крайней мере также раз в месяц... потому говорить, что Microsoft не обновляет ядро в дистрибутивах годами, а Linux это делает каждый день - просто безграмотно...
например CentOS:
За октябрь ядро обновилось 1 раз:
http://lists.centos.org/pipermail/centos-announce/2010-Octob...За сентябрь ядро обновилось 2 раза:
http://lists.centos.org/pipermail/centos-announce/2010-Septe...конечно никто не мешает админу компилить оригинальное ядро каждый день и ставить его на свою Linux-систему... но это практически никто не делает... да и смысла в этом мало...
> Как все запущено то у вас, вы даже не знаете как маркируются
> обновления безопасности Майкрософта...Делать мне больше нех... как следить за маздаем.
Я даже на виртуалках его снёс и вайна нету :)
а почему сразу центос? возьмите генту. :Dесли всё же держаться темы сабжа, то речь можно вести только о времени жизни ABI.
всё.тем более:
>...по-умолчанию в Windows включена функция Автоматического обновления, поэтому обновления скачиваются и устанавливаются в автоматическом режиме....вообще не в тему. тем более что винда может обновлятся даже если А(с_большой_буквы)втоматическое обновление выключено.
вы не трухин случайно? а то много около-виндовых слов в её защиту и точечные удары по ядру рх - методы пиар-отдела.
> вы даже не знаете как маркируются обновления безопасности Майкрософта...Мы тут, простите, с головой дружим, а не с маркировкой дырок по версии некрософта.
PS: попытки упорного называния чёрного белым и рекламы закрытого софта удаляются.
> бред! ядро Windows меняется чаще в дистрибутиве, чем выходят новые версии ядра
> Linux, а уж тем более обновляются в дистрибутивах... или вы считаете
> название Windowsа ядром?! это является в корне ошибочным и безграмотным...
> история изменения ядра Windows: http://tinyurl.com/2b23p5lУ linux ядро - это конкретный файл ядра (обычно лежит в boot) + файлы-модули (обычно лежат где-то типа /lib/modules).
А что вы понимаете под ядром у Windows?
Какой файл/какие файлы?
>> бред! ядро Windows меняется чаще в дистрибутиве, чем выходят новые версии ядра
>> Linux, а уж тем более обновляются в дистрибутивах... или вы считаете
>> название Windowsа ядром?! это является в корне ошибочным и безграмотным...
>> история изменения ядра Windows: http://tinyurl.com/2b23p5l
> У linux ядро - это конкретный файл ядра (обычно лежит в boot)
> + файлы-модули (обычно лежат где-то типа /lib/modules).
> А что вы понимаете под ядром у Windows?
> Какой файл/какие файлы?Различают 4 версии ядра:
ntoskrnl.exe — однопроцессорное ядро Windows;
ntkrnlmp.exe — многопроцессорное ядро Windows;
ntkrnlpa.exe — однопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти (RAM);
ntkrpamp.exe — многопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти (RAM).
Оффтоп. Что весело, эти имена файлов (и куча других системных) укладываются в досовский формат 8.3. Это они для совместимости, под 3.1 пускать хотят? Всегда умиляло
> Различают 4 версии ядра:
> ntoskrnl.exe — однопроцессорное ядро Windows;
> ntkrnlmp.exe — многопроцессорное ядро Windows;
> ntkrnlpa.exe — однопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти
> (RAM);
> ntkrpamp.exe — многопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти
> (RAM).Спасибо)
Я к тому, что обновлений, затрагивающих данный файл(ы), мало.
НАДОЕЛО!
Перестаньте уже скрывать в сообщениях истинные ссылки через использование коротких ссылок.
> НАДОЕЛО!А вы их не цитируйте вдобавок -- рекламируют, так "к модератору" и всех делов.
> НАДОЕЛО!
> Перестаньте уже скрывать в сообщениях истинные ссылки через использование коротких ссылок.Специально для вас:
http://tinyurl.com/preview.php
суть этих bios-backdoor такая что работать они будут в 50% случаев, а в остальных % случаев -- будут создавать глюки [ну тоесть комп будет работать хренова, и исследователям конешно же захочется проверить почему же это всё так хреново]в итоге -- затея не окупит себя:
если встраивать такие биосы например во _все_ серии какойто платы -- то из-за глюков сия злонамеренная акция -- будет раскрыта
а если встраивать не во все а только в _определённые_ то появляется вопрос "как распространять?"
если придумать какойнить "хитрый" механизм когда вирус активирует своё заражение только после того как сетевая карта компьютера получает определённый набор байтов -- то это -- слишком костыльная идея [так как слишком уж хитрым должен быть механизм, чтобы он не включился случайно, когда в _оперативную_ память попало случайно этаже байтовая последовательность]
если при обнаружении вируса производители плат будут говорить фразы типа "наверно вирус попал на flash-ROM-память уже _после_ того как компьютер побывал в эксплуатации" -- то мода на платы, где flash внутри ROM будет пропадать
...если вирусное заражение обнаружется на плате в которой ROM оказался _УЖЕ_ не flash -- то что тогда скажут в оправдание производители плат? сморозят какойнить совсем детский бред? (типа: "этот кусок кода попал случайно и предназначался он для инсталляции обновлений для устарелых систем космических спутников 15-летней давности")
не совсем геморрно, если подумать, что прошивка есть и в контроллере сетевухи ;) и во многих вещах. принтер, подключенный к сети. факс, телефон. не обязательно комп, или сильно глубоко в нем.
> не совсем геморрно, если подумать, что прошивка есть и в контроллере сетевухи ;)У половины сетевух boot ROM вообще не присутствует, только кроватка для него. Удачи в записи в пустую колодку: если вы сможете записать хренадцать килобайтов в воздух а потом еще и прочитать их сможете - нобелевка вам обеспечена! :).Кстати записать в boot ROM сетевухи что-то не так уж тривиально даже если он и есть. Извиняюсь, тулзов для легитимного то зашивания ROM средствами сетевухи - хрен найдешь по жизни, а вы про вирусы какие-то :)
>> не совсем геморрно, если подумать, что прошивка есть и в контроллере сетевухи ;)
> У половины сетевух boot ROM вообще не присутствует, только кроватка для него.
> Удачи в записи в пустую колодку: если вы сможете записать хренадцать
> килобайтов в воздух а потом еще и прочитать их сможете -
> нобелевка вам обеспечена! :).Кстати записать в boot ROM сетевухи что-то не
> так уж тривиально даже если он и есть. Извиняюсь, тулзов для
> легитимного то зашивания ROM средствами сетевухи - хрен найдешь по жизни,
> а вы про вирусы какие-то :)Куку, бутром нонче можно впаковать с мамковый биос. И будет работать (сюрприз!).
опять же не об этом немного речь, а о производственном внедрении саботажного кода в ROM девайса. с принтерами немного легче, перепрошивается. задача облегчается еще и тем, что там 486 да пентюки с EEPROM
у принтеров (а точнее, вин-принтеров) прошивка хранится исключительно в RAM-памяти и теряется при выключении питания, а при следующем включении снова подаётся драйвером с компа, так что хранить вирус в принтере не выйдет
Слоупоки проснулись. Об этом пиал Крис, на это производила атаки Яна Рутковская, сейчас (как раз через годик-другой) это дошло и до ksplice.
Вот только она не Яна, а Joanna. Не нужно писать сообщения в такой форме, будто вы пили на брудершафт с Касперски и Рутковской.
> Слоупоки проснулись. Об этом пиал Крис, на это производила атаки Яна Рутковская,
> сейчас (как раз через годик-другой) это дошло и до ksplice.Они писали про скрытие наличия руткита через SSM или через прошивку BIOS с руткитом. В статье ksplise про автоматическую правку ядра из-за особенностей инициализации pci-карт.
Внезапно! BIOS можно перезаписывать! Опять же, внезапно, прошить можно не только легитимный код.
Но вот что код BIOS'а считается железом, этого я действительно новость.
Ну, карты втыкаемые в, допустим, PCI - определенно, железо. И там может стоять довесок к BIOS вполне. Правда вот способ впихивания бэкдоров получается какой-то очень уж непрактичный.
Кстати, не забуду один вирус еще под досом. Собирали тогда системы под МикроPC. Устанавливали ось, базовый пакет утилит, передавали технологам, те ставили свой софт и, после первой же перезагрузки биос не находил загрузчика в мбр. После третьей переустановки запустили тогда еще крутой докторвеб. OneHalf! - эта зараза, очень умная во всем, почему-то тупо писала себя в mbr, там, где он его предполагал даже без поиска или анализа, а у микрописей он отличался от обычного мс-дос. Так что вирусописатели даже профи часто халтурят, что радует :)
вы тут такой ахинеи наговорили что просто уши в трубочку свернулись.MBR всегда находится в одном месте.
его местоположение никак не зависит от операционной системы.
Ахинею пишете вы, т.к. человек говорит о MicroPC.
да что вы?а ну как расскажите как мне каким образом положение MBR зависит от ОС?
более того расскажите как мне, каким образом неверное определение о пложении МБР могло повлиять на загрузку системы?
Ведь вирус прописал СЕБЯ НЕ ТАМ, и как следствие даже стартовать не может.ну а на закуску, погуглите уж наконец почему OneHalf валил микро пс.
угу?
> OneHalf!О да! Это был единственный вирус, который я наблюдал в живую на своём компьютере.
да, 163-й протокол - очень страшный протокол. прям голливудский фильм какой-то
> да, 163-й протокол - очень страшный протокол. прям голливудский фильм какой-тоне порт, не TCP, не UDP, не ICMP, а IP-протокол с идентификатором 163.
Более интересует возраст разработчиков Ksplice.
По-моему, они MSDOS, хотя бы 6.22, не застали!
И только вчера узнали, что из Юзерспейса можно
перешивать EEPROM, предварительно приготовив как нужно.
А если открывалкой для консервов (если они такую знают),
вскрыть их Мacbookи или PowerMac_и, и с размаху ткунь отверткой,
то можно вызвать крах системы.
> Более интересует возраст разработчиков Ksplice.
> По-моему, они MSDOS, хотя бы 6.22, не застали!
> И только вчера узнали, что из Юзерспейса можно
> перешивать EEPROM, предварительно приготовив как нужно.
> А если открывалкой для консервов (если они такую знают),
> вскрыть их Мacbookи или PowerMac_и, и с размаху ткунь отверткой,
> то можно вызвать крах системы.Ну а что делать - время летит.
Вы им ещё можете рассказать, как на старых-престарых мониторах можно было управлять лучем, как им можно было выжигать люминофор программным путем)
>> Более интересует возраст разработчиков Ksplice.
>> По-моему, они MSDOS, хотя бы 6.22, не застали!
>> И только вчера узнали, что из Юзерспейса можно
>> перешивать EEPROM, предварительно приготовив как нужно.
>> А если открывалкой для консервов (если они такую знают),
>> вскрыть их Мacbookи или PowerMac_и, и с размаху ткунь отверткой,
>> то можно вызвать крах системы.
> Ну а что делать - время летит.
> Вы им ещё можете рассказать, как на старых-престарых мониторах можно было управлять
> лучем, как им можно было выжигать люминофор программным путем):)
А на совсем первых хардах, можно было блины ключом на 14 центровать :)
> А на совсем первых хардах, можно было блины ключом на 14 центровать
> :)Это как? =)
Я тут недавно последние харды "центровал" - открыл крышку и пальцем прижимал блины, чтоб они притормаживали.
ubuntu сильно ругалась (но работала) =)
>> А на совсем первых хардах, можно было блины ключом на 14 центровать
>> :)
> Это как? =)Они были размером со стиральную машину,... ща мож фотки найду.
Блин - http://alldayplus.fanstudio.ru/2010/5_26-2/15.jpg
Вот тут, где 1973 год, http://schools.keldysh.ru/sch444/museum/1_17-70.htm
Там IBM 3340, ну и наши потом сделали для EC ЭВМ.P.S.
Хе, какое хорошее название для харда - стиральная машина. :)
> Блин - http://alldayplus.fanstudio.ru/2010/5_26-2/15.jpg
> Вот тут, где 1973 год, http://schools.keldysh.ru/sch444/museum/1_17-70.htm
> Там IBM 3340, ну и наши потом сделали для EC ЭВМ.Дааа, такое только ключем и центровать... гаечным =)
- Слыш, семеныч, что-то диск стал сбоить - пора проверить на ошибки.
- Сейчас ключ достану, простучу, проверим, где ошибки.
Вспоминается время интересных вирусов.
Помнится, был вирус (ещё под DOS), который считывал mbr и начало таблицы разделов, и затирал их.
А потом выдавал пользователю сообщение, типа я вирус, если сейчас перезагрузишь комп - он уже не загрузится и данные свои ты потеряешь.
А потом выдавал стих без последней строчки и предлагал дописать недостающую строчку.
Если правильно допишешь - он возвертает mbr и таблицу разделов на место...Или ещё вирус (тоже под DOS) - перехватывает прерывание презагрузки, показывает строчки "типа биос", и рестартует стартовые файлы DOS - типа перезагрузился.
Или другой вирус - находил неиспользуемые секторы в конце жесткого, форматировал их, и прописывал свое тело туда (в дополнение к тому, что поражал бинарники и менял точку входа).
А ещё были вирусы, которые прописывали себя в исходники на C, на паскале...
Были даже те, которые прописывали себя в OBJ файлы...
Вот это, я понимаю, были вирусы, была романтика.
Не то, что сейчас: написал на VB/delphi прогу, которая прописывает себя в автозагрузку - все, уже вирус.
Какой там анализ PE, какое там менять точку входа, какой там ассемблер...
Можно вообще до такого уровня не углубляться - достаточно уметь скопировать себя поглубже, да добавить ярлычок в "Автозагрузка".
Прямо как книжка "Написание вируса под Windows за 5 минут для чайников".Так вот.
Могу предположить такую вещь.
Раз написание вируса под linux - дело нетривиальное, то нас снова ждут интересные вирусы под эту ОС.
Ведь пытаться писать вирусы все равно будут.
А до нас будут доходить самые жизнеспособные, самые серьёзные вирусы.
И обезвреживать их будет целое приключение)
А я чёго-то смотрю никто про EFI не пишет, так это просто 294-й ещё не пришёл.
Придёт - расскажет, шо БИОС ацтой, EFI наше фсё!!!
> Придёт - расскажет, шо БИОС ацтой, EFI наше фсё!!!Не, поприкольнее будет: он расскажет про то что пока вы тут дрюкались с концептами требующими привинчивать в комп жертвы отдельную плату с трояном, корпорация интел уже давно захреначила крутейший бэкдор в виде ... отдельного процессора, да еще и умудряется позиционировать это как "фичу" :). На фоне столь крутого бэкдора все эти потуги смотрятся как этажерка братьев Райт рядом с "Боингом".
Заметьте: бэкдор интеля работает даже когда комп "якобы выключен": добавочный проц кушает крохи, так что питается от дежурки, гы-гы. Технично придумано, да? Пока вы верите что компьютер выключен, небольшой процессор тихонечко так работает :) Оно позволяет переустанавливать лоху операционку, менять настройки биоса, включать комп, etc. Есть вебсервачок (недоступный с локалхоста, наверное чтобы лох дольше не замечал подлян :D). При том это вообще никак не зафайрволить силами локалхоста: добавочный проц напрямую интерфейсится к чипу сети и плевать он хотел что у вас на локалхосте творится и какие там у вас крутые фаеры :). Ну а то что добавочный микропроцессор на мамке не будет нагло сниффать ваш сетевой траффик и делать каких-то левых/нежелательных действий по сигналу извне после того как вы проставите в BIOS для фичи disabled, вы можете только ... кхе-кхе, верить в честность и безбажность Intel, ага :))). Учитесь как бэкдоры надо делать! И, главное, фирмварина этого проца ессно закрытая. Так что гарантий что там нет очередной "магии" в стиле AWARD_SW - в общем то и нету нифига. Съели? :) И, кстати, а сколько процентов бакланов вообще знают о том что такая фича - вообще есть, при том в достатчно большом количестве писюков и лаптопов на основе чипсетов интеля? А сколько из них вообще в курсе - в каком состоянии фича и т.п. в ДАННЫЙ момент времени в их машинах? :)))
> да еще и умудряется позиционировать это как "фичу" :)Представляю себе чейнджлог: [+] обновлена база операторов чтобы требовать отправки платной SMS для загрузки ОС. [+] добавлена возможность открыть анонимный SMTP-relay на уровне BIOS...
> Заметьте: бэкдор интеля работает даже когда комп "якобы выключен": добавочный проц кушает крохи, так что питается от дежурки, гы-гы. Технично придумано, да? Пока вы верите что компьютер выключен, небольшой процессор тихонечко так работает :) Оно позволяет переустанавливать лоху операционку, менять настройки биоса, включать комп, etc. Есть вебсервачок (недоступный с локалхоста, наверное чтобы лох дольше не замечал подлян :D). При том это вообще никак не зафайрволить силами локалхоста: добавочный проц напрямую интерфейсится к чипу сети и плевать он хотел что у вас на локалхосте творится и какие там у вас крутые фаеры :). Ну а то что добавочный микропроцессор на мамке не будет нагло сниффать ваш сетевой траффик и делать каких-то левых/нежелательных действий по сигналу извне после того как вы проставите в BIOS для фичи disabled, вы можете только ... кхе-кхе, верить в честность и безбажность Intel, ага :))). Учитесь как бэкдоры надо делать! И, главное, фирмварина этого проца ессно закрытая. Так что гарантий что там нет очередной "магии" в стиле AWARD_SW - в общем то и нету нифига. Съели? :) И, кстати, а сколько процентов бакланов вообще знают о том что такая фича - вообще есть, при том в достатчно большом количестве писюков и лаптопов на основе чипсетов интеля? А сколько из них вообще в курсе - в каком состоянии фича и т.п. в ДАННЫЙ момент времени в их машинах? :)))Одно не понимаю: зачем добавлять в систему дополнительный процессор, если уже сто лет в обед как есть SMI и флеш? 'Все уже украдено до нас'. Да, рисовать такой малварь несколько муторно. Но при большом желании вполне возможно - концепты уже были. И поведение и возможности SMI малвари будет ни чуть не хуже, чем описываемое выше. Вопрос лишь в желании, ресурсах и времени.
> Одно не понимаю: зачем добавлять в систему дополнительный процессор, если уже сто лет в обед как есть SMI и флеш? 'Все уже украдено до нас'. Да, рисовать такой малварь несколько муторно. Но при большом желании вполне возможно - концепты уже были. И поведение и возможности SMI малвари будет ни чуть не хуже, чем описываемое выше. Вопрос лишь в желании, ресурсах и времени.Собственно говоря, как пример публичного концепта: http://www.phrack.org/issues.html?issue=66&id=11#article
И это лишь один из примеров. Да, это не в автостарт в регистри прописаться. Но имея на борту хорошо сбитый тим грамотных инженеров и четко поставленную цель вполне возможно за разумный временной интервал сделать реальный боевой малварь. Впрочем, явно не для того, чтобы снифить пароли юзеров в фейсбуке :)
> ... явно не для того, чтобы снифить пароли юзеров в фейсбуке :)Захват галактики?
паруса, 1с,..
Дяденька, вы такой умный, а вы IPMI не пользовались ни разу? И каково оно случается, когда удаленно только через него можно нормально систему загрузить?
А теперь подумайте о том что сетевой трафф идет процу с неизвестной фирмвариной. И что она там делает - одному Интелу известно. И, кстати, если там есть бэкдоры - любой кто знает как им пользоваться может в любой момент резко вас нагнуть. Там например режим проброса харда есть, VNC и прочая. Прикольно так - можно чей-то винч пробросить по сети без его ведома, позырить на экран, etc. Супервозможности идут в комплекте с суперрисками и супергеморроем, извините :)ЗЫ хакерам на заметку: фирмварина этого проца тоже по идее обновляемая... представляете какой можно кульный сделать руткит в параллельном мире? Там его точно ни один антивирус не найдет. Вообще! :)))
Хосты с BMC контроллером на борту ещё поискать нужно.
Вы таки отрыли для себя Америку? Да, IPMI все это может. И что? Спецификация IPMI открытая, по ней делалась FreeIPMI. И ACL никто еще не отменял. И вообще, эта фишка отключается в BIOS если не нужна. Найдете дыры в ихней реализации, тогда и поговорим. Сейчас от вашего потока сознания вообще ничего путного нет.
>[оверквотинг удален]
> BIOS для фичи disabled, вы можете только ... кхе-кхе, верить в
> честность и безбажность Intel, ага :))). Учитесь как бэкдоры надо делать!
> И, главное, фирмварина этого проца ессно закрытая. Так что гарантий что
> там нет очередной "магии" в стиле AWARD_SW - в общем то
> и нету нифига. Съели? :) И, кстати, а сколько процентов бакланов
> вообще знают о том что такая фича - вообще есть, при
> том в достатчно большом количестве писюков и лаптопов на основе чипсетов
> интеля? А сколько из них вообще в курсе - в каком
> состоянии фича и т.п. в ДАННЫЙ момент времени в их машинах?
> :)))Никак на работе новый сервер купили с IPMI ? =)
> И обезвреживать их будет целое приключение)Не надо нам таких приключений... Скорее бы нормальную оболочку с chroot сделали в Ubuntu, чтобы можно было действительно любые программы безопасно запускать и не бояться...
chroot = безопасные программы?Уже пять минут лежу под столом. Вы следите сколько дыр в самом ядре находят? Вы в курсе, что из обычного chroot'a выйти как два пальца ...ть? Вы в курсе, что даже из виртуальной машины выйти можно (в vmware багов штук пять находили - не меньше, сколько ещё неафишированных - неизвестно)?
Вы в курсе, что бывают гипервайзеры уровня ОС (концепты - не более), которые работают поверх неё?
100% безопасная песочница - это отдельный компьютер.
> 100% безопасная песочница - это отдельный компьютер.Не подключенный к сетям и полностью обесточенный. Иначе 100% могут и не получиться...
Достаточно к сетям не подключать. Тогда не будет(не беря в расчёт питание/вибрации и т.д.) канала передачи информации и максимальный урон от вируса - уничтожение информации.
Электросеть — тоже сеть... Теоретически какую-то информацию можно получить и «слушая» скачки потребляемой мощности, например. Как минимум, думаю, можно с высокой степень вероятности определить скорость жёсткого диска, тип ОС, примерный объём оперативной памяти...
> Электросеть — тоже сеть... Теоретически какую-то информацию можно получить и «слушая»
> скачки потребляемой мощности, например. Как минимум, думаю, можно с высокой степень
> вероятности определить скорость жёсткого диска, тип ОС, примерный объём оперативной памяти...Пожалуйста, прочитайте ещё раз мой комментарий внимательно. К тому же, утечку информации по техническим каналам заблокировать несложно(дорого, да). К тому же, данный метод съёма информации будет применяться в ой каких случаях только.
>> Электросеть — тоже сеть... Теоретически какую-то информацию можно получить и «слушая»
>> скачки потребляемой мощности, например. Как минимум, думаю, можно с высокой степень
>> вероятности определить скорость жёсткого диска, тип ОС, примерный объём оперативной памяти...
> Пожалуйста, прочитайте ещё раз мой комментарий внимательно. К тому же, утечку информации
> по техническим каналам заблокировать несложно(дорого, да). К тому же, данный метод
> съёма информации будет применяться в ой каких случаях только.Точно, виноват, совсем уже сплю. :(
> Не надо нам таких приключений... Скорее бы нормальную оболочку с chroot сделали
> в Ubuntu, чтобы можно было действительно любые программы безопасно запускать и
> не бояться...Chroot сам по себе вообще на безопасность не влияет. Как минимум, прога должна уметь еще и setuid/setgid опосля чрута, чтобы права рута сбросить. Иначе можно обратно вылезти на раз. А без правов рута chroot как-то и не делается :). Вообще, имхо в таком качестве контейнеры выглядят более оптимистично - там изоляция еще более кардинальная чем просто chroot+setuid+setgid.
Те старые веселые вирусы и им подобные, любой антивирь с закрытыми глазами найдет и будет долго смеяться - "Я тут у тебя античный вирус на диске нашел, это прикол такой?". Поэтому их и не пишут.
А шпионская программа на высокоуровневом быдлоязыке, она ничем себя не выдает и не выделяется среди прочего говнокода и если антивирь ее сигнатуру не знает, то в лучшем случае, если антивирь очень умный, он в 50% ситуаций предположит, что это какой-то неизвестный трой. И даже если антивир знает сигнатуру, стоит только в этой проге удачно добавить парочку нопов, он опять облажается.Кстати для тех которые умничают не прочитав новость, сабж не про вирус и не про зловредные программы незаметно перепрошивающие биос и переопределяющие прерывания, а про бэкдор в оборудовании и как его можно удачно спрятать от обнаружения.
Хреновые вирусы сейчас бывают, называются rootkit'ыНе далее как позавчера лечил комп с такой заразой 5 часов, перерыл пол Инета.
Вирус не обнаруживался Kasper, DrWeb, Avira и NOD32. Вирус не обнаруживался даже после загрузки с BartPE. Но я его всё же снёс.
Эта была новая неизвестная пока модификация TDSSserv.sys http://www.computer-adviser.com/tdssserv.html
Также советую почитать отчёт Norton'a о stuxnet. Офигеете.
"Many experts agree that the only way to be sure that the your computer is clean is to wipe it and rebuild, and in light of clients becoming infected with this I would have to agree, especially after having seen it return after we thought it was totally removed."Страшно, но правда.
Вот вы и офигевайте. А руткиты - боян. И то что антивирусы не ловят неизвестные модификации заразы - тоже всем известно. Кроме наивных олухов которые думали что если заплатить Нортону, Касперу или там кому еще - все проблемы как рукой снимет. Ага, аж 2 раза.PS в свое время нашел не обнаруживаемый антивирями сплойт основанный на дырке с ANI курсорами в ядре винды + payload в виде небезызвестного Pinch. Который пытались вдуть через сайт косивший под легитимный. При том и сплойт на тот момент был бояном, в общем то. И пинч всем давно известен. Однако минимальная модификация, и ... и мегасуперпуперэвристика просвистела мимо. У всех опробованных антивирей. При том что модификация пинча была минимальная и даже упаковано было довольно известным пакером FSG. Оказывается таких минимальных изменений доступных даже тупым кулхаксорам достаточно чтобы отбрить все супер-эвристики нафиг. Кстати, нормальные сракеры проверяют свои поделки на предмет обнаружения антивирями до того как раздавать и опробуют несколько вариантов их модификации и упаковки. Откровенное издевательство над идеей эвристики: во всю юзаются деривативы заразы и конструкторы, а эвристика успешно пролетает, пропуская минимально модифицированный троянец, что позволяет сракерам клепать его такой чуть ли не в автоматическом режиме.
> PS в свое время нашел не обнаруживаемый антивирями сплойт основанный на дырке с ANI курсорами в ядре винды + payload в виде небезызвестного Pinch. Который пытались вдуть через сайт косивший под легитимный. При том и сплойт на тот момент был бояном, в общем то. И пинч всем давно известен. Однако минимальная модификация, и ... и мегасуперпуперэвристика просвистела мимо. У всех опробованных антивирей. При том что модификация пинча была минимальная и даже упаковано было довольно известным пакером FSG. Оказывается таких минимальных изменений доступных даже тупым кулхаксорам достаточно чтобы отбрить все супер-эвристики нафиг. Кстати, нормальные сракеры проверяют свои поделки на предмет обнаружения антивирями до того как раздавать и опробуют несколько вариантов их модификации и упаковки. Откровенное издевательство над идеей эвристики: во всю юзаются деривативы заразы и конструкторы, а эвристика успешно пролетает, пропуская минимально модифицированный троянец, что позволяет сракерам клепать его такой чуть ли не в автоматическом режиме.Что удивляться? То, что ав свистят мимо, вытекает из самой природы малваря и ав. Малварь *всегда* впереди тогда как ав в свою очередь *всегда* догоняют малварь. По определению. Как следствие, у малвари всегда есть временной интервал, в течении которого она может [сравнительно] спокойно функционировать. Причем что иногда этот интервал может быть весьма большим и измерятся месяцами а то и поболее.
> Те старые веселые вирусы и им подобные, любой антивирь с закрытыми глазами
> найдет и будет долго смеяться - "Я тут у тебя античный
> вирус на диске нашел, это прикол такой?". Поэтому их и не
> пишут.Це сейчас.
А много у кого 15 лет назад на компе был антивирь с обновленными базами?
Я про то время говорю =)> Кстати для тех которые умничают не прочитав новость, сабж не про вирус
> и не про зловредные программы незаметно перепрошивающие биос и переопределяющие прерывания,
> а про бэкдор в оборудовании и как его можно удачно спрятать
> от обнаружения.В том и суть моего поста - обычные вирусы не смогут создать эпидемии в мире *nix.
По большому списку причин.
Но вирусописателям надо же вирусописательствовать.
Поэтому им придется сильнее изгаляться.
Идея про зловред, прошивающий BIOS - пример этого изгаляния.
Можно ожидать зловреды, прошивающие сетевуху, принтер, что там ещё можно прошить.
О, кстати, отличная идея - вирус в прошивке для yota.
Так, чтобы вирус оказался в том cd-rom с дровами (когда первый раз вставляешь yota модем, он определяется, как usb cdrom).
Начнешь ставить йоту, а в комплекте пойдет вирус.
Как идея?
А главное, звучит классически - решил выйти в инет и схватил вирус =)
Такого рода вирус уже ловил лично году этак в 1997. Прописывался в Award BIOS и потом грузился вместе с системой.
Вылечилось только перепрошивкой BIOS на другой системе методом выколупливания флешпамяти(программатора не было).
Как он попал в BIOS самостоятельно или кто-то помог не сильно важно, суть в том что BIOS или другой фирмварь потенциально уязвимы и опасность от такого повыше будет софтовых вирусов.
И при ряди условий не может быть обнаружена стандартными средствами...Как говорит знакомый эксперт по безопасности: "антивирусы ловят заразу полугодовалой давности"
Сразу мысли по теме:
- все, что прошито можно при загрузке перечитывать и сверять, например с контрольной суммой или даже с сохраненной цифровой подписью; при не совпадении злобно ругаться
- о грустном: если такая зараза прописалась не в биос, а в прошивку винчестера - суши весла, особенно с учетом того, что прошивка винчестера ни в биос, ни на свичах винта не блокируема
К счастью для вас, это дико геморройно: винчи бывают разных производителей и разных моделей и версий фирмвари. Как аццкий концепт - под конкретную модель конечно можно сделать, пободавшись с хардкорнейшим реверсингом массу времени. Вот только у юзеров совсем не обязана стоять эта модель винча с этой же версией фирмвары + совсем не факт что хватит прав на прямую отсылку команд в девайс (WinCIH по этой причине напрочь не работал в NT например). В итоге соотношение геморроя и результата себя не оправдывает.
Писать в firmware под NT проще простого, установив .sys для этого. Собственно, все новые rootkit'ы так и работают.
> атакующий записывает в ROM-память
>записывает в ROM/0
Всё старо как мир. Западные производители встраивали в своё время бэкдоры в писюки, чтобы отслеживать распределение персоналок на территории СССР. И был такой вирус DIR, который записывался на защищённые от записи дискеты. И были люди в наше время ..., которые при помощи Pctools вырезали вирусы из бинарников, восстонавливали программы и системы.
Про то что кто-то мог записаться за нащищенную от записи дискету - проверяйте датчик в дисководе. Там режим записи аппаратно блокируется. Если дисковод исправен то записать на дискету с заклееной дыркой ничего невозможно в принципе.
> И был такой вирус DIR, который записывался на защищённые от записи дискеты.И сгрызал все кактусы вокруг. Знаем, знаем...
Боян же дикий. Концептов BIOS вирусов AFAIR было уже предостаточно. Некоторые даже вроде как работали. Конечно, целевая платформа была MS Win, но это ровным счетом ничего не значит и лишь дань популярности - против лома нет приема.
Последняя фраза сразу развеяла все сомнения в умственных способностях автора: "ядро Windows обычно не меняется на протяжении минимум трёх лёт, тогда как новые версии Linux выходят почти каждые три месяца." Тролль, не более того.
банальная проверка времени создания ntoskrnl.exe и ntkrnlpa.exe выявило идентичность с временем последнего сервиспака.
Перемычку защиты от записи вирус как снимает? :)
> Перемычку защиты от записи вирус как снимает? :)Игнорирует?
Перекусывает же.
Не, он подаёт такое сильное магнитное поле на диск, что головки сами прилипают. =-o
Вспоминается старая история про забытую музыкальную открытку в системном блоке. Человек подумал что вирус. В процессах ничего лишнего... Выключил компьютер - музыка есть. Подумал что вирус в BIOS - во времена DOS'а конечно же не было руткитов, было похуже! Обесточил - музыка есть! Хитрый вирус питается от батарейки!!! Ааа!! оказалось, дело в забытой в системном блоке открытке...
Техническая возможность этого класса вирусов появилась с появлением EPROM.
В Windows можно перезаписывать BIOS напрямую, а современные производители поставляют защиту от подобных приколов (к примеру тот же Double BIOS)
О стабильности ядер - рассмешили.
Конечно, у микроядра релизы реже, чем у макроядера. Не будем забывать, что про обновлениях системы Windows и о том, что в состав пакета "ядро линукс" входят все драйвера.
жалкая попытка. и полное невежество в вопросе.
дайте угадаю - вы у себя в конторе крутой it-шник?
хорошо что биосы скоро уйдут на свалку истоии. EFI рулить будет
Конечно, хорошо. EFI намного проще писать.
и ядро винды ntoskrnl.exe меняется куда чаще чем раз в три года, если юзер не забил на обновления
только в sp. и то не факт.
к тому же обновление - это мало. ну новое ядро, а вызовы теже.
надо чтобы abi изменилось. по поводу частого изменения которого в линухе тут трухин уже балладу сложил.
2012 год., Редмонд, пентхаус офиса Майкрософт. У стола стоит император Баллмер с обезображенным лицом. Рядом с ним на коленях стоит Дарт Шаттл, перешедший на Тёмную сторону силы. Рука Баллмера касается головы бывшего апологета СПО."Ты сделал правильный выбор, мой юный ученик. Вместе мы будем править Галактикой, и ты сможешь спасти свою Убунту.", - император садится в кресло и говорит в микрофон: "Командир Касперски, активировать протокол сто шестьдесят три..."
> 2012 год., Редмонд, пентхаус офиса Майкрософт. У стола стоит император Баллмер с
> обезображенным лицом. Рядом с ним на коленях стоит Дарт Шаттл, перешедший
> на Тёмную сторону силы. Рука Баллмера касается головы бывшего апологета СПО.http://i11.fastpic.ru/big/2010/1101/c1/eae4725400e0275e93969...
Представляете, если такие закладки существуют уже годы, а информация просочилась только сейчас, потому что спецслужбы допустили промах?
> Представляете, если такие закладки существуют уже годы, а информация просочилась только
> сейчас, потому что спецслужбы допустили промах?Тс-с-с-с, тока никому! Все ещё юзали Феликс-М и Счёты,
когда те, о ком не говорят в слух, этим занимались.
---Самый прикол, это съездить в Иран и заказать
там по инету комп у Dell или HP, вот в нём подарков будет.
> Суть атаки заключается в том, что атакующий записывает
Разработчики Ksplice открыли миру возможность перепрошивать firmware?!
AMI, AWARD, Phoenix и пр. видимо сильно отстали...