The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"О возможности создания и внедрения аппаратного бэкдора"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от opennews (ok) on 31-Окт-10, 22:40 
Разработчики Ksplice, системы обновления Linux-ядра без перезагрузки,  опубликовали (http://blog.ksplice.com/2010/10/hosting-backdoors-in-hardware/) любопытный документ, в котором показана техника имплантирования вируса в аппаратную часть компьютера. Подобный код в последующем будет очень сложно обнаружить и практически невозможно истребить (не поможет даже полная переустановка системы с нуля). Исследование содержит примеры работоспособного кода.


Чтобы произвести подобную атаку, нужно сначала разобраться с начальной загрузкой компьютера. Во время запуска компьютера, первым этапом загрузки является прохождение BIOS'ом самопроверки (POST) и запуск ROM-кода различных устройств компьютера. Эти ROM-программы позволяют правильно инициализировать устройство или позволить BIOS'у общаться с железом, про которое он ничего не знает (например, данная функция позволяет BIOS'у загрузить ОС с жёсткого диска, подключенного к SCSI адаптеру). Для этого у BIOS есть таблица прерываний, которую можно п...

URL: http://blog.ksplice.com/2010/10/hosting-backdoors-in-hardware/
Новость: http://www.opennet.me/opennews/art.shtml?num=28481

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "О возможности создания и внедрения аппаратного бэкдора"  +6 +/
Сообщение от fidaj (ok) on 31-Окт-10, 22:40 
не тот ли это тип "вируса" о котором писал когда-то давным-давно Крис Касперски?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Anonimous on 01-Ноя-10, 00:11 
Касперски писал о вирусе использующем баги в микрокоде процессора.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

114. "О возможности создания и внедрения аппаратного бэкдора"  –4 +/
Сообщение от Michael Shigorin email(ok) on 02-Ноя-10, 01:12 
Крис Касперски много чего писал, вот только читать это обычно незачем.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

116. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от fidaj (ok) on 02-Ноя-10, 01:23 
> Крис Касперски много чего писал, вот только читать это обычно незачем.

это почему же?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "О возможности создания и внедрения аппаратного бэкдора"  –7 +/
Сообщение от User294 (ok) on 01-Ноя-10, 01:17 
> не тот ли это тип "вируса" о котором писал когда-то давным-давно Крис Касперски?

Это древняя страшилка о том что вирус может в принципе прописать себя в флеш. WinCIH в свое время даже осиливал стереть flash, только вместо прописывания себя он его просто дестроил. Работало сие только на сильно некоторых мамках и только в win95 которая не запрещает прямой доступ к железу любой программе режима пользователя. Чисто технически оно конечно возможно, но чисто практически - очень уж геморно в реализации и очень уж неуниверсально. CIH в частности был способен стереть только флеш в мамках с чипсетом Intel TX, коих был достаточно заметный процент, что и позволило ему наделать шума.

А предлагаемый чуваками метод требует вообще поставить плату с своим BIOS. Ну да, все замечательно, кроме того что это требует всего-то ничего - "незаметно" воткнуть левую плату кому-то в писюк. Всего-то :). Интель, кстати, уже давно сам же и сделал куда более продвинутый бэкдор - гуглить на тему AMT и vPro ;). Оно вообще независимо от основного проца работает и позволяет вообще нахрен вам систему переставить. Ремотно, по сети, ога :). И, главное, крайне мало дятлов в курсе о фиче, есть ли она на их писюке, и в каком она там состоянии. А в качестве лулза было упоминание что установка DISABLED в биосе нифига еще и не полностью отключает "фичу".

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

51. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от multipath (ok) on 01-Ноя-10, 03:15 
А ты видел последние вирусы?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

67. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от ананим on 01-Ноя-10, 10:20 
вы уверены, что правильно прочитали новость?
речь идет о ром-памяти уже установленных устройств.
не говоря уже о фирмварях.
т.е. речь идет о закладках чисто программных. забавно что до этого додумались только что.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

69. "О возможности создания и внедрения аппаратного бэкдора"  –5 +/
Сообщение от User294 (ok) on 01-Ноя-10, 11:02 
> речь идет о ром-памяти уже установленных устройств.

Вообще, в современных писюшниках таких не сильно то и много: то что стандартно на мамке - не снабжается отдельными ромами а соответствующий ром запихан прямо в системный биос как модуль. В теории, конечно, и там можно переписать. На практике - задолбаетесь, геморроя будет нмного. А результативность будет не фонтан. Ну то есть можно распереться и написать суперзловред, но работать будет только на полутора специально подобранных машинах, в тепличных условиях. Вон CIH в свое время не работал на WinNT и на чипсетах отличных от TX.

> забавно что до этого додумались только что.

Ну да, конечно, только сейчас. CIH вполне прокатит на PoC - как раз перезаписывает системный BIOS ;). Упомянутые ROMы - всего лишь довески к биосу. Логичное развитие идеи в общем то. А то что фирмваре какого нить винча можно пропатчить чтобы он всегда выдавал вам завирусованные сектора - известно всем, но реализовать это могут считанные единицы людей, которым оно нафиг не надо как правило.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

73. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от ананим on 01-Ноя-10, 11:36 
странный вы какой-то.
можно подумать только машины блондинок с фейсбуками и интересны.
меж тем госструктуры, спецподразделения, банки и пр. тоже проводят закупки во всех отношениях обычных писюков.
и смотришь так на разнообразие железа и понимаешь, что реально уникальных типов винтов штук 5, сд/двд - 3, видео - 3, рэйд - 5,...
операционок/ядер - 6-8, смотря как считать
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

119. "О возможности создания и внедрения аппаратного бэкдора"  –2 +/
Сообщение от User294 (ok) on 02-Ноя-10, 02:23 
> меж тем госструктуры, спецподразделения, банки и пр. тоже проводят закупки во всех
> отношениях обычных писюков.

Да, только если допустить что вы можете на заказ собрать банку писюки - тут возможности открываются немеряные. Ну там можно сниффер скажем прямо в клаву установить. Ессно аппаратный. Так что касперы и прочие вообще ничего и не найдут программно :)

> и смотришь так на разнообразие железа и понимаешь, что реально уникальных типов
> винтов штук 5, сд/двд - 3, видео - 3, рэйд - 5,...
> операционок/ядер - 6-8, смотря как считать

Да, а проблема в том что в итоге вероятность срабатывания супер-бэкдора получается (1/5) * (1/5) * (1/6) * .... - то есть, страшно, конечно, но очень нишевая хрень. Вот и не прельщаются современные хацкеры на такое. Проще, пардон, "стухнет" на флешке притащить и просто воткнуть флеху. Канает на 90% компьютеров в мире, при несравнимо меньшем геморрое реализации! :) А засунуть троян в фирмвару винча - безусловно дико круто. Просто еще и дико геморно и работать будет чуть ли не на конкретной модели винча с конкретной версией фирмвары. При том счастливчиков у которых железо и ОС подошли, марка винча правильная и версия фирмвари нужная - будет не сильно больше чем тех кто выигрывает миллион в лотерею.

В остальных случаях - ну как максимум, вы убьете юзеру винч. Что, конечно, тоже забавно, но куда менее функционально и нифига не оправдывает геморрой по реверсингу. При том о возможности это сделать - все кому надо в курсе уже лет эдак 15, а то и больше. Потому что 15 лет назад железо ничем таким принципиально не отличалось.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

90. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от zazik (ok) on 01-Ноя-10, 13:04 
Выше уже отписали. В крупных конторах стараются железо унифицировать, чтобы и ось разливать проще и запчасти менять. Так что поле деятельности для целенаправленного внедрения вируса широкое. Поделить его, условно, на два модуля(взаимодействие с конкретным железом и, собственно, зловредные действия) и модифицировать под разные организации. А парк железа можно через открытые электронные аукционы выяснить.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

120. "О возможности создания и внедрения аппаратного бэкдора"  –2 +/
Сообщение от User294 (ok) on 02-Ноя-10, 02:36 
Ага, в итоге вирус будет сильно напоминать операционку и весить будет столько же, и на создание модификации способной более-менее работать хотя-бы в 30% случаев уйдут годы. За которые хардвар сменит модели и ... :). Ну в общем пока вы тут обсуждаете кульные концепты, чувак из сименса воткнул флеху с "тухлятиной" на ядерном объекте Ирана и, судя по сообщениям прессы, вполне себе саботировал работу объекта. Без всяких там биосов и фирмварей, просто воткнув флеху.  Что гораздо забавнее. Потому что фирмвари и биосы, хотя-бы теоретически, вы можете проаудитить, наняв пачку реверсеров которые по косточкам разберут блобик от и до. А вот лабух с флешкой на которую случайно (или не очень) затисался "тухляк" - довольно трудноустранимый фактор, особенно если ему по роду деятельности надо флешку воткнуть.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

123. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от zazik (ok) on 02-Ноя-10, 09:13 
>[оверквотинг удален]
> случаев уйдут годы. За которые хардвар сменит модели и ... :).
> Ну в общем пока вы тут обсуждаете кульные концепты, чувак из
> сименса воткнул флеху с "тухлятиной" на ядерном объекте Ирана и, судя
> по сообщениям прессы, вполне себе саботировал работу объекта. Без всяких там
> биосов и фирмварей, просто воткнув флеху.  Что гораздо забавнее. Потому
> что фирмвари и биосы, хотя-бы теоретически, вы можете проаудитить, наняв пачку
> реверсеров которые по косточкам разберут блобик от и до. А вот
> лабух с флешкой на которую случайно (или не очень) затисался "тухляк"
> - довольно трудноустранимый фактор, особенно если ему по роду деятельности надо
> флешку воткнуть.

А что мешает запретить выполнение файлов с флэшки? В винде(а чувак втыкал флэшку, судя по сему, в винду) исполенние файлов обычными пользователями должно быть возможно только из %WINDIR% и %ProgramFiles%. Это всего лишь пример некомпетентности админов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Дмитрий Ю. Карпов on 31-Окт-10, 22:52 
ROM - это Read Only Memory. И она действительно д.б. Read Only, т.е. неизменной, только для чтения.

На крайний случай в BIOS д.б. возможность восстановления исходного состояния BIOS. Это на случай порчи его при заливки новой версии и ряда др.случаев.
При старте должен стартовать BIOS, зашитый в ROM (которая действительно Read Only, а не просто энергонезависимая Flash-память). Далее при нажатии некоторой кнопки стартовый ROM должен перезаписывать во Flash BIOS из ROM. Без нажатия кнопки запускается BIOS из Flash.

А вот интересно, где завирусованный BIOS собирается хранить модуль 163-го протокола? Если на диске - это сносится переформатированием диска (особенно если на другой машине). А во Flash-памяти места явно маловато - там всё рассчитано под BIOS.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от Аноним (??) on 31-Окт-10, 22:57 
> ROM - это Read Only Memory. И она действительно д.б. Read Only,
> т.е. неизменной, только для чтения.

только вот я уже лет пять как ROM нигде не видел, сейчас везде перезаписываемый Flash


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от croster (ok) on 31-Окт-10, 23:15 
Если не изменяет память, то на материнке должна быть защита от перезаписи BIOS (в том числе и от перепрошивки).
p.s. А в Gigabyte-ах с двумя BIOS второй (резервный) разве не Read Only?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от EduardGL on 31-Окт-10, 23:32 
как тогда работает flashrom? http://flashrom.org/Flashrom да и любой другой тривиальный BIOS update...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "О возможности создания и внедрения аппаратного бэкдора"  –1 +/
Сообщение от Anonimous on 01-Ноя-10, 00:14 
> как тогда работает flashrom? http://flashrom.org/Flashrom да и любой другой тривиальный
> BIOS update...

Дело в том что для хранения кода биос уже давно используется не ROM, а EEPROM

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

110. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от EduardGL on 01-Ноя-10, 21:12 
да я вроде как в курсе.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Гога on 31-Окт-10, 23:43 
Дефолтом защита от записи установлена. CIH98 приучил к этому изготовителей материнок. Кстати, у Gigabyte столкнулся с другой дурью - на мамах с G33, если в BIOS разрешить USB kb/mouse, то фряха при установке матерится на оборудование (при инициализации ACPI). Поймал случайно, менял разные компоненты оборудования - устойчивый глюк (3 мамы, 8 слотов памяти, разные корпуса, разные HDD - эффект повторяется), по крайней мере с E7500 и FreeBSD 8.0 - 8.1 (7.2, вроде тоже - не буду врать, кажется проверял, но не помню). Может, кто сталкивался, или только мне повезло :)?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Анономус on 01-Ноя-10, 00:08 
У меня FreeNAS на MSI P865 при включенной USBkbd стабильно ругается на USB и не стартует:)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "О возможности создания и внедрения аппаратного бэкдора"  +5 +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 00:12 
> Кстати, у Gigabyte столкнулся с другой дурью - на мамах с G33,
> если в BIOS разрешить USB kb/mouse, то фряха при установке матерится на оборудование
> 3 мамы, 8 слотов памяти, разные корпуса, разные HDD - эффект повторяется

Угадай, с одного раза, где бага?! :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "О возможности создания и внедрения аппаратного бэкдора"  –5 +/
Сообщение от User294 (ok) on 01-Ноя-10, 01:37 
Да вот тут кто-то недавно в коментах сильно чертыхался что в freebsd поддержка acpi жутко кривая. Видимо вы на своем заду проверили этот факт лишний раз.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

65. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 01-Ноя-10, 08:57 
самое смешное что код ACPI он одинаковый - что в linux что в bsd :)
единая эталонная реализация имени Intel.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

70. "О возможности создания и внедрения аппаратного бэкдора"  –3 +/
Сообщение от User294 (ok) on 01-Ноя-10, 11:04 
Еще кстати производители биосов молодцы - кривые таблицы ACPI у них в порядке вещей. Винда как-то хавает. Пингвин жестоко матерится в логи но тоже как правило хавает.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

77. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Nicknnn (ok) on 01-Ноя-10, 12:05 
на самом деле нужно смотреть глубже.
Это кусочек dmesg с инфой о найденых ACPI таблицах:
[    0.000000] ACPI: RSDP 000f6750 00014 (v00 GBT   )
[    0.000000] ACPI: RSDT 3f7f3040 00038 (v01 GBT    AWRDACPI 42302E31 AWRD 01010101)
[    0.000000] ACPI: FACP 3f7f30c0 00074 (v01 GBT    AWRDACPI 42302E31 AWRD 01010101)
[    0.000000] ACPI: DSDT 3f7f3180 03828 (v01 GBT    AWRDACPI 00001000 MSFT 0100000C)
[    0.000000] ACPI: FACS 3f7f0000 00040
[    0.000000] ACPI: MCFG 3f7f6ac0 0003C (v01 GBT    AWRDACPI 42302E31 AWRD 01010101)
[    0.000000] ACPI: APIC 3f7f6a00 00068 (v01 GBT    AWRDACPI 42302E31 AWRD 01010101)
[    0.000000] ACPI: SSDT 3f7f6b40 0019E (v01  PmRef  Cpu0Ist 00003000 INTL 20040311)
[    0.000000] ACPI: SSDT 3f7f6fd0 00167 (v01  PmRef    CpuPm 00003000 INTL 20040311)

самая интересная и важная - DSDT
[    0.000000] ACPI: DSDT 3f7f3180 03828 (v01 GBT    AWRDACPI 00001000 MSFT 0100000C)
MSFT - означает что она собрана при помощи MS компилятора.
INTL - эталонного компилятора от intel.

в 98% случаев декомпилированный код от MSFT не соберётся обратно.
Делайте выводы сами.

PS. компиляция декомпиляция  AML <-> ASL происходит в обоих направления без потерь, один в один.
тут больше инфы http://forums.gentoo.org/viewtopic.php?t=122145

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

79. "О возможности создания и внедрения аппаратного бэкдора"  –1 +/
Сообщение от Аноним (??) on 01-Ноя-10, 12:12 
а зачем во фряхе ацпи?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от EduardGL on 31-Окт-10, 22:59 
при производстве, например. то есть выходит железка с уже вшитым кодом вируса
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "О возможности создания и внедрения аппаратного бэкдора"  –6 +/
Сообщение от User294 (ok) on 01-Ноя-10, 01:42 
> при производстве, например. то есть выходит железка с уже вшитим кодом вируса

А это вы случайно не про интеловский AMT? А то фича в принципе позволяет закатить ремотный pwnage вообще независимо от установленности операционки: вам можно вообще ремотно переставить ось нафиг, при это как-то и не важно что вы там наконфигурите в вашей оси. А наиболее прикольно что были репорты что фича не полностью отключается при дизаблинге ее в биосе. В общем пока кульхацкеры козыряли концептами, интель уж давно забабахал реально работающий ремотный бэкдор^W средство администрирования энтерпрайзов, мля, который в 10 раз круче - живет на отдельном выделенном процессоре своей жизнью, имеет доступ к сети независимо от вашей операционки и все такое прочее (да, вы это даже зафайрволить не можете из вашей операционки - добавочный проц напрямую работает с чипом сетевки, в обход вашей операционки :D). Хахаха, учитесь как надо бэкдоры делать, лузеры! И, главное, кто б мне объяснил: что помешает интелу вшить бэкдор в фирмварину этого проца по заказу какогонить там пентагона, а? Вот это да, бэкдор так бэкдор. Не видно, живет в выделенном процессоре, даже когда комп "типа выключен" (этот проц питается от дежурки). Крутота! :)

P.S. и, кстати, кто из вас проверял есть ли у вас в компьютере эта "фича" и в каком она состоянии, just in case? И насколько она по факту отключается, например? :).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

105. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Filosof email(ok) on 01-Ноя-10, 16:43 
Эт вы батя немного поодстали.
Этот супер Интел АМТ - это кривая релизация ipmi+ ipkvm которые уже давно были опцией для серверных мамок.
Главное отличие Интелёвого поделия - это использование этого дела в десктопном сегменте. То есть и это уже придумано до них. То есть все ваши сервера уже давно должны быть сломанны (ведь не всякий сервачный админ юзает эту приблуду). Хотя конечно В десктопном сегменте масштабы страшнее, однако и тама эта фигня юзается на избранных мамках - тех, что предназначены для Воркстанций и корп. ноутбуков. То есть тоже подразумевается, что админы тоже не пропустят такую фигню мимо. А так как сегмент корп, то представте, если где-то обнарижится бекдор? Да по соображениям безопасности корпоросы уйдут к АМД!!!

Насчёт "не отключается" не знаю, но на презентациях они зафейлили норамльно это стартануть (в 2004м и 2010м - новая версия с встроенным КВМ - наконец-то!).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

115. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Michael Shigorin email(ok) on 02-Ноя-10, 01:21 
>> P.S. и, кстати, кто из вас проверял есть ли у вас в компьютере эта "фича" и в
>> каком она состоянии, just in case? И насколько она по факту отключается, например? :).

Ну у меня на X61t есть, в BIOS отключена.  Лень возиться с помершим openamt.  На X60t нет, кстати -- сравнивать можно довольно близкое железо.

> Этот супер Интел АМТ - это кривая релизация ipmi+ ipkvm которые уже
> давно были опцией для серверных мамок.

Нет, это не IPMI, хотя местами отдалённо смахивает.  iKVM там не пахнет, насколько могу судить.  Гругря для педали к питанию, датчиков и serial-over-lan достаточно микроконтроллера, а вот для зажатия видеопотока уже нужен сервис-процессор.

> Главное отличие Интелёвого поделия - это использование этого дела в десктопном сегменте.

Это да.

> То есть и это уже придумано до них. То есть все ваши сервера уже давно должны быть
> сломанны (ведь не всякий сервачный админ юзает эту приблуду).

BMC ещё настроить надо.  До чего вовремя не доходят руки у тех, кого бы потом как-нить выручило, кстати.

> если где-то обнарижится бекдор? Да по соображениям
> безопасности корпоросы уйдут к АМД!!!

Брр.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

129. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Filosof email(ok) on 02-Ноя-10, 20:31 

>> Этот супер Интел АМТ - это кривая релизация ipmi+ ipkvm которые уже
>> давно были опцией для серверных мамок.
> Нет, это не IPMI, хотя местами отдалённо смахивает.  iKVM там не
> пахнет, насколько могу судить.  Гругря для педали к питанию, датчиков
> и serial-over-lan достаточно микроконтроллера, а вот для зажатия видеопотока уже нужен
> сервис-процессор.

Я ж говорю - кривая -:).
В версии 3.0(кажись) была уже возможность заходить в биос (перегрузив комп). А вот с ныненшней (6.0 вроде) вместе с процами i5 (версии с инт. графикой) появился возможность полноценного КВМ. При чём там крутится VNC сервер. - то есть не надо толком никаких утилит левых. Просто любой ВНЦ клиент. Пароли всякие самогенерирующиеся... Короче должно быть хорошо, только на презенташке в этом году в Днепропетровске у товарища Шевченко оно так и не завелось(в 2008м в Киеве - тоже -:)). Не хорошо радоваться чужим неудачам, но такая "стабильность" для меня - показатель, чтоб выбрать другого вендора, или обойтись другим решением.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

113. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Зилибоба (ok) on 02-Ноя-10, 01:08 
таки на серверах мамки рулятся удаленно в обход ос - удивил?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от filosofem (ok) on 31-Окт-10, 23:13 
Внедрение происходит методом социнженерии.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. "О возможности создания и внедрения аппаратного бэкдора"  –4 +/
Сообщение от User294 (ok) on 01-Ноя-10, 01:24 
> И она действительно д.б. Read Only, т.е. неизменной, только для чтения.

Истинно однократная (масочная) память имеет один крупный минус: если в биосе баги (а их там по жизни дофига, в инете есть сорцы аварда с очень колоритными ченжлогами) - при серьезности бага вся партия чипов идет под пресс, а проданные юзерам мамки - в сервис. Что как-то попадание на денежку. Куда дешевле раздать юзерям фикшеный биос. Однократки которые программируемы - нынче делаются по той же технологии что и флеш и потому не особо экономят кому-то чего-то.

> стартовый ROM должен перезаписывать во Flash BIOS из ROM

Вы только что изобрели колесо^W дуалбиос (google://dual-bios), методы и условия активации оного ессно отличаются и как правило запасную копию не перешивают и она всегда фабричная. Он как раз так и работает. Поздравляю вас, Кэп!

> А во Flash-памяти места явно маловато - там всё рассчитано под BIOS.

Да ладно, несколько кило под модуль наскрести - можно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от EduardGL on 31-Окт-10, 22:53 
возможно, но нужно учитывать все, вплоть до версии BIOS и так далее. либо найти универсальное уязвимое место. для этого нужно вбухать много времени, или привлечь для этого распределённые ресурсы. ;) больше предназначено для напрвленного взлома.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "О возможности создания и внедрения аппаратного бэкдора"  +2 +/
Сообщение от Аноним email(??) on 31-Окт-10, 23:54 
Тогда можно сказать что Linux меняется с каждым коммитом - никто не запрещает тебе пересобирать его каждый раз. Только этого никто не делает, как и не ставит все подряд обновления мелкомягких. У большинства стоит какой-ть прогнивший пиратский Windows хз сколько летней давности.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

86. "О возможности создания и внедрения аппаратного бэкдора"  –1 +/
Сообщение от delirium (ok) on 01-Ноя-10, 12:46 
Вы только о РФ говорите?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 00:20 
> бред! ядро Windows меняется чаще ....
> http://tinyurl.com/2b23p5l

Бредовый ты наш, сам то смотрел? :)

Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (981957)
Published: October 12, 2010

Vulnerability in Windows Kernel Could Result in Elevation of Privilege (920958)
Published: August 08, 2006


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

81. "О возможности создания и внедрения аппаратного бэкдора"  –1 +/
Сообщение от Аноним (??) on 01-Ноя-10, 12:21 
Как все запущено то у вас, вы даже не знаете как маркируются обновления безопасности Майкрософта... так вот MS10 - "10" это год... а что по ссылке поиск по релевантности сделан, а не по дате это моя ошибка, но сути это не меняет...
...если говорить, что пиратский софт от Майкрософта не может обновляться раз в месяц, а иногда и чаще с экстренными обновлениями, то это тоже является полным бредом... большинство пользователей пираток используют корпоративные версии Windows, которые работают без порверки подлинности и отлично обновляются с сайта Майкрософт...
...по-умолчанию в Windows включена функция Автоматического обновления, поэтому обновления скачиваются и устанавливаются в автоматическом режиме... кстати о пиратках... критические уязвимости, к коим в своем большинстве относятся уязвимости ядра будут установлены вне зависимости от лицензии... главное, чтобы Автоматическое обновление по глупости своей не отключили....

теперь, что же касает ярда Linux... обновляется оно чаще не спорю... намного чаще... НО... в дистрибутивах обновление происходит очень редко... по крайней мере также раз в месяц... потому говорить, что Microsoft не обновляет ядро в дистрибутивах годами, а Linux это делает каждый день - просто безграмотно...

например CentOS:
За октябрь ядро обновилось 1 раз:
http://lists.centos.org/pipermail/centos-announce/2010-Octob...

За сентябрь ядро обновилось 2 раза:
http://lists.centos.org/pipermail/centos-announce/2010-Septe...

конечно никто не мешает админу компилить оригинальное ядро каждый день и ставить его на свою Linux-систему... но это практически никто не делает... да и смысла в этом мало...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

85. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 12:36 
> Как все запущено то у вас, вы даже не знаете как маркируются
> обновления безопасности Майкрософта...

Делать мне больше нех... как следить за маздаем.
Я даже на виртуалках его снёс и вайна нету :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

88. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от ананим on 01-Ноя-10, 12:57 
а почему сразу центос? возьмите генту. :D

если всё же держаться темы сабжа, то речь можно вести только о времени жизни ABI.
всё.

тем более:
>...по-умолчанию в Windows включена функция Автоматического обновления, поэтому обновления скачиваются и устанавливаются в автоматическом режиме....

вообще не в тему. тем более что винда может обновлятся даже если А(с_большой_буквы)втоматическое обновление выключено.
вы не трухин случайно? а то много около-виндовых слов в её защиту и точечные удары по ядру рх - методы пиар-отдела.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

117. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Michael Shigorin email(ok) on 02-Ноя-10, 01:36 
> вы даже не знаете как маркируются обновления безопасности Майкрософта...

Мы тут, простите, с головой дружим, а не с маркировкой дырок по версии некрософта.

PS: попытки упорного называния чёрного белым и рекламы закрытого софта удаляются.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от XoRe (ok) on 01-Ноя-10, 00:24 
> бред! ядро Windows меняется чаще в дистрибутиве, чем выходят новые версии ядра
> Linux, а уж тем более обновляются в дистрибутивах... или вы считаете
> название Windowsа ядром?! это является в корне ошибочным и безграмотным...
> история изменения ядра Windows: http://tinyurl.com/2b23p5l

У linux ядро - это конкретный файл ядра (обычно лежит в boot) + файлы-модули (обычно лежат где-то типа /lib/modules).
А что вы понимаете под ядром у Windows?
Какой файл/какие файлы?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 00:57 
>> бред! ядро Windows меняется чаще в дистрибутиве, чем выходят новые версии ядра
>> Linux, а уж тем более обновляются в дистрибутивах... или вы считаете
>> название Windowsа ядром?! это является в корне ошибочным и безграмотным...
>> история изменения ядра Windows: http://tinyurl.com/2b23p5l
> У linux ядро - это конкретный файл ядра (обычно лежит в boot)
> + файлы-модули (обычно лежат где-то типа /lib/modules).
> А что вы понимаете под ядром у Windows?
> Какой файл/какие файлы?

Различают 4 версии ядра:

ntoskrnl.exe — однопроцессорное ядро Windows;
ntkrnlmp.exe — многопроцессорное ядро Windows;
ntkrnlpa.exe — однопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти (RAM);
ntkrpamp.exe — многопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти (RAM).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

121. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от Аноним (??) on 02-Ноя-10, 04:55 
Оффтоп. Что весело, эти имена файлов (и куча других системных) укладываются в досовский формат 8.3. Это они для совместимости, под 3.1 пускать хотят? Всегда умиляло
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

135. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от XoRe (ok) on 03-Ноя-10, 11:59 
> Различают 4 версии ядра:
> ntoskrnl.exe — однопроцессорное ядро Windows;
> ntkrnlmp.exe — многопроцессорное ядро Windows;
> ntkrnlpa.exe — однопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти
> (RAM);
> ntkrpamp.exe — многопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти
> (RAM).

Спасибо)
Я к тому, что обновлений, затрагивающих данный файл(ы), мало.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

53. "О возможности создания и внедрения аппаратного бэкдора"  +7 +/
Сообщение от Алексей (??) on 01-Ноя-10, 04:19 
НАДОЕЛО!
Перестаньте уже скрывать в сообщениях истинные ссылки через использование коротких ссылок.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

118. "(offtopic) о студентах M$"  +/
Сообщение от Michael Shigorin email(ok) on 02-Ноя-10, 01:39 
> НАДОЕЛО!

А вы их не цитируйте вдобавок -- рекламируют, так "к модератору" и всех делов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

134. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от XoRe (ok) on 03-Ноя-10, 11:56 
> НАДОЕЛО!
> Перестаньте уже скрывать в сообщениях истинные ссылки через использование коротких ссылок.

Специально для вас:
http://tinyurl.com/preview.php

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним123321 (ok) on 31-Окт-10, 23:26 
суть этих bios-backdoor такая что работать они будут в 50% случаев, а в остальных % случаев -- будут создавать глюки [ну тоесть комп будет работать хренова, и исследователям конешно же захочется проверить почему же это всё так хреново]

в итоге -- затея не окупит себя:

если встраивать такие биосы например во _все_ серии какойто платы -- то из-за глюков сия злонамеренная акция -- будет раскрыта

а если встраивать не во все а только в _определённые_ то появляется вопрос "как распространять?"

если придумать какойнить "хитрый" механизм когда вирус активирует своё заражение только после того как сетевая карта компьютера получает определённый набор байтов -- то это -- слишком костыльная идея [так как слишком уж хитрым должен быть механизм, чтобы он не включился случайно, когда в _оперативную_ память попало случайно этаже байтовая последовательность]

если при обнаружении вируса производители плат будут говорить фразы типа "наверно вирус попал на flash-ROM-память уже _после_ того как компьютер побывал в эксплуатации" -- то мода на платы, где flash внутри ROM будет пропадать

...если вирусное заражение обнаружется на плате в которой ROM оказался _УЖЕ_ не flash -- то что тогда скажут в оправдание производители плат? сморозят какойнить совсем детский бред? (типа: "этот кусок кода попал случайно и предназначался он для инсталляции обновлений для устарелых систем космических спутников 15-летней давности")

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от EduardGL on 31-Окт-10, 23:49 
не совсем геморрно, если подумать, что прошивка есть и в контроллере сетевухи ;) и во многих вещах. принтер, подключенный к сети. факс, телефон. не обязательно комп, или сильно глубоко в нем.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "О возможности создания и внедрения аппаратного бэкдора"  –6 +/
Сообщение от User294 (ok) on 01-Ноя-10, 01:28 
> не совсем геморрно, если подумать, что прошивка есть и в контроллере сетевухи ;)

У половины сетевух boot ROM вообще не присутствует, только кроватка для него. Удачи в записи в пустую колодку: если вы сможете записать хренадцать килобайтов в воздух а потом еще и прочитать их сможете - нобелевка вам обеспечена! :).Кстати записать в boot ROM сетевухи что-то не так уж тривиально даже если он и есть. Извиняюсь, тулзов для легитимного то зашивания ROM средствами сетевухи - хрен найдешь по жизни, а вы про вирусы какие-то :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

84. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от mr_gfd on 01-Ноя-10, 12:33 
>> не совсем геморрно, если подумать, что прошивка есть и в контроллере сетевухи ;)
> У половины сетевух boot ROM вообще не присутствует, только кроватка для него.
> Удачи в записи в пустую колодку: если вы сможете записать хренадцать
> килобайтов в воздух а потом еще и прочитать их сможете -
> нобелевка вам обеспечена! :).Кстати записать в boot ROM сетевухи что-то не
> так уж тривиально даже если он и есть. Извиняюсь, тулзов для
> легитимного то зашивания ROM средствами сетевухи - хрен найдешь по жизни,
> а вы про вирусы какие-то :)

Куку, бутром нонче можно впаковать с мамковый биос. И будет работать (сюрприз!).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

111. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от EduardGL on 01-Ноя-10, 21:17 
опять же не об этом немного речь, а о производственном внедрении саботажного кода в ROM девайса. с принтерами немного легче, перепрошивается. задача облегчается еще и тем, что там 486 да пентюки с EEPROM
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

125. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Frank email(??) on 02-Ноя-10, 15:54 
у принтеров (а точнее, вин-принтеров) прошивка хранится исключительно в RAM-памяти и теряется при выключении питания, а при следующем включении снова подаётся драйвером с компа, так что хранить вирус в принтере не выйдет
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 31-Окт-10, 23:44 
Слоупоки проснулись. Об этом пиал Крис, на это производила атаки Яна Рутковская, сейчас (как раз через годик-другой) это дошло и до ksplice.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

56. "О возможности создания и внедрения аппаратного бэкдора"  +4 +/
Сообщение от Алексей (??) on 01-Ноя-10, 04:25 
Вот только она не Яна, а Joanna. Не нужно писать сообщения в такой форме, будто вы пили на брудершафт с Касперски и Рутковской.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

78. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 01-Ноя-10, 12:09 
> Слоупоки проснулись. Об этом пиал Крис, на это производила атаки Яна Рутковская,
> сейчас (как раз через годик-другой) это дошло и до ksplice.

Они писали про скрытие наличия руткита через SSM или через прошивку BIOS с руткитом. В статье ksplise про автоматическую правку ядра из-за особенностей инициализации pci-карт.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от Ананимуз on 31-Окт-10, 23:49 
Внезапно! BIOS можно перезаписывать! Опять же, внезапно, прошить можно не только легитимный код.
Но вот что код BIOS'а считается железом, этого я действительно новость.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "О возможности создания и внедрения аппаратного бэкдора"  –4 +/
Сообщение от User294 (ok) on 01-Ноя-10, 01:50 
Ну, карты втыкаемые в, допустим, PCI - определенно, железо. И там может стоять довесок к BIOS вполне. Правда вот способ впихивания бэкдоров получается какой-то очень уж непрактичный.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от Гога on 31-Окт-10, 23:52 
Кстати, не забуду один вирус еще под досом. Собирали тогда системы под МикроPC. Устанавливали ось, базовый пакет утилит, передавали технологам, те ставили свой софт и, после первой же перезагрузки биос не находил загрузчика в мбр. После третьей переустановки запустили тогда еще крутой докторвеб. OneHalf! - эта зараза, очень умная во всем, почему-то тупо писала себя в mbr, там, где он его предполагал даже без поиска или анализа, а у микрописей он отличался от обычного мс-дос. Так что вирусописатели даже профи часто халтурят, что радует :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "О возможности создания и внедрения аппаратного бэкдора"  –2 +/
Сообщение от demimurych email(ok) on 01-Ноя-10, 00:47 
вы тут такой ахинеи наговорили что просто уши в трубочку свернулись.

MBR всегда находится в одном месте.
его местоположение никак не зависит от операционной системы.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

94. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 01-Ноя-10, 14:19 
Ахинею пишете вы, т.к. человек говорит о MicroPC.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

109. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от demimurych email(ok) on 01-Ноя-10, 19:44 
да что вы?

а ну как расскажите как мне каким образом положение MBR зависит от ОС?

более того расскажите как мне, каким образом неверное определение о пложении МБР могло повлиять на загрузку системы?
Ведь вирус прописал СЕБЯ НЕ ТАМ, и как следствие даже стартовать не может.

ну а на закуску, погуглите уж наконец почему OneHalf валил микро пс.

угу?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

50. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от StrangeAttractor (ok) on 01-Ноя-10, 03:14 
> OneHalf!

О да! Это был единственный вирус, который я наблюдал в живую на своём компьютере.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "О возможности создания и внедрения аппаратного бэкдора"  –1 +/
Сообщение от 568756784 on 31-Окт-10, 23:56 
да, 163-й протокол - очень страшный протокол. прям голливудский фильм какой-то
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

80. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 01-Ноя-10, 12:14 
> да, 163-й протокол - очень страшный протокол. прям голливудский фильм какой-то

не порт, не TCP, не UDP, не ICMP, а IP-протокол с идентификатором 163.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "О возможности создания и внедрения аппаратного бэкдора"  +2 +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 00:28 
Более интересует возраст разработчиков Ksplice.
По-моему, они MSDOS, хотя бы 6.22, не застали!
И только вчера узнали, что из Юзерспейса можно
перешивать EEPROM, предварительно приготовив как нужно.
А если открывалкой для консервов (если они такую знают),
вскрыть их Мacbookи или PowerMac_и, и с размаху ткунь отверткой,
то можно вызвать крах системы.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от XoRe (ok) on 01-Ноя-10, 00:40 
> Более интересует возраст разработчиков Ksplice.
> По-моему, они MSDOS, хотя бы 6.22, не застали!
> И только вчера узнали, что из Юзерспейса можно
> перешивать EEPROM, предварительно приготовив как нужно.
> А если открывалкой для консервов (если они такую знают),
> вскрыть их Мacbookи или PowerMac_и, и с размаху ткунь отверткой,
> то можно вызвать крах системы.

Ну а что делать - время летит.
Вы им ещё можете рассказать, как на старых-престарых мониторах можно было управлять лучем, как им можно было выжигать люминофор программным путем)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 00:44 
>> Более интересует возраст разработчиков Ksplice.
>> По-моему, они MSDOS, хотя бы 6.22, не застали!
>> И только вчера узнали, что из Юзерспейса можно
>> перешивать EEPROM, предварительно приготовив как нужно.
>> А если открывалкой для консервов (если они такую знают),
>> вскрыть их Мacbookи или PowerMac_и, и с размаху ткунь отверткой,
>> то можно вызвать крах системы.
> Ну а что делать - время летит.
> Вы им ещё можете рассказать, как на старых-престарых мониторах можно было управлять
> лучем, как им можно было выжигать люминофор программным путем)

:)
А на совсем первых хардах, можно было блины ключом на 14 центровать :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от XoRe (ok) on 01-Ноя-10, 00:46 
> А на совсем первых хардах, можно было блины ключом на 14 центровать
> :)

Это как? =)
Я тут недавно последние харды "центровал" - открыл крышку и пальцем прижимал блины, чтоб они притормаживали.
ubuntu сильно ругалась (но работала) =)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 00:47 
>> А на совсем первых хардах, можно было блины ключом на 14 центровать
>> :)
> Это как? =)

Они были размером со стиральную машину,... ща мож фотки найду.

Блин - http://alldayplus.fanstudio.ru/2010/5_26-2/15.jpg
Вот тут, где 1973 год, http://schools.keldysh.ru/sch444/museum/1_17-70.htm
Там IBM 3340, ну и наши потом сделали для EC ЭВМ.

P.S.
Хе, какое хорошее название для харда - стиральная машина. :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

131. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от XoRe (ok) on 03-Ноя-10, 03:59 
> Блин - http://alldayplus.fanstudio.ru/2010/5_26-2/15.jpg
> Вот тут, где 1973 год, http://schools.keldysh.ru/sch444/museum/1_17-70.htm
> Там IBM 3340, ну и наши потом сделали для EC ЭВМ.

Дааа, такое только ключем и центровать... гаечным =)
- Слыш, семеныч, что-то диск стал сбоить - пора проверить на ошибки.
- Сейчас ключ достану, простучу, проверим, где ошибки.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от XoRe (ok) on 01-Ноя-10, 00:36 
Вспоминается время интересных вирусов.
Помнится, был вирус (ещё под DOS), который считывал mbr и начало таблицы разделов, и затирал их.
А потом выдавал пользователю сообщение, типа я вирус, если сейчас перезагрузишь комп - он уже не загрузится и данные свои ты потеряешь.
А потом выдавал стих без последней строчки и предлагал дописать недостающую строчку.
Если правильно допишешь - он возвертает mbr и таблицу разделов на место...

Или ещё вирус (тоже под DOS) - перехватывает прерывание презагрузки, показывает строчки "типа биос", и рестартует стартовые файлы DOS - типа перезагрузился.

Или другой вирус - находил неиспользуемые секторы в конце жесткого, форматировал их, и прописывал свое тело туда (в дополнение к тому, что поражал бинарники и менял точку входа).

А ещё были вирусы, которые прописывали себя в исходники на C, на паскале...
Были даже те, которые прописывали себя в OBJ файлы...
Вот это, я понимаю, были вирусы, была романтика.
Не то, что сейчас: написал на VB/delphi прогу, которая прописывает себя в автозагрузку - все, уже вирус.
Какой там анализ PE, какое там менять точку входа, какой там ассемблер...
Можно вообще до такого уровня не углубляться - достаточно уметь скопировать себя поглубже, да добавить ярлычок в "Автозагрузка".
Прямо как книжка "Написание вируса под Windows за 5 минут для чайников".

Так вот.
Могу предположить такую вещь.
Раз написание вируса под linux - дело нетривиальное, то нас снова ждут интересные вирусы под эту ОС.
Ведь пытаться писать вирусы все равно будут.
А до нас будут доходить самые жизнеспособные, самые серьёзные вирусы.
И обезвреживать их будет целое приключение)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 00:46 
А я чёго-то смотрю никто про EFI не пишет, так это просто 294-й ещё не пришёл.
Придёт - расскажет, шо БИОС ацтой, EFI наше фсё!!!


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

45. "О возможности создания и внедрения аппаратного бэкдора"  –4 +/
Сообщение от User294 (ok) on 01-Ноя-10, 02:14 
> Придёт - расскажет, шо БИОС ацтой, EFI наше фсё!!!

Не, поприкольнее будет: он расскажет про то что пока вы тут дрюкались с концептами требующими привинчивать в комп жертвы отдельную плату с трояном, корпорация интел уже давно захреначила крутейший бэкдор в виде ... отдельного процессора, да еще и умудряется позиционировать это как "фичу" :). На фоне столь крутого бэкдора все эти потуги смотрятся как этажерка братьев Райт рядом с "Боингом".

Заметьте: бэкдор интеля работает даже когда комп "якобы выключен": добавочный проц кушает крохи, так что питается от дежурки, гы-гы. Технично придумано, да? Пока вы верите что компьютер выключен, небольшой процессор тихонечко так работает :) Оно позволяет переустанавливать лоху операционку, менять настройки биоса, включать комп, etc. Есть вебсервачок (недоступный с локалхоста, наверное чтобы лох дольше не замечал подлян :D). При том это вообще никак не зафайрволить силами локалхоста: добавочный проц напрямую интерфейсится к чипу сети и плевать он хотел что у вас на локалхосте творится и какие там у вас крутые фаеры :). Ну а то что добавочный микропроцессор на мамке не будет нагло сниффать ваш сетевой траффик и делать каких-то левых/нежелательных действий по сигналу извне после того как вы проставите в BIOS для фичи disabled, вы можете только ... кхе-кхе, верить в честность и безбажность Intel, ага :))). Учитесь как бэкдоры надо делать! И, главное, фирмварина этого проца ессно закрытая. Так что гарантий что там нет очередной "магии" в стиле AWARD_SW - в общем то и нету нифига. Съели? :) И, кстати, а сколько процентов бакланов вообще знают о том что такая фича - вообще есть, при том в достатчно большом количестве писюков и лаптопов на основе чипсетов интеля? А сколько из них вообще в курсе - в каком состоянии фича и т.п. в ДАННЫЙ момент времени в их машинах? :)))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

52. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от StrangeAttractor (ok) on 01-Ноя-10, 03:25 
> да еще и умудряется позиционировать это как "фичу" :)

Представляю себе чейнджлог: [+] обновлена база операторов чтобы требовать отправки платной SMS для загрузки ОС. [+] добавлена возможность открыть анонимный SMTP-relay на уровне BIOS...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

62. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от klalafuda on 01-Ноя-10, 07:52 
> Заметьте: бэкдор интеля работает даже когда комп "якобы выключен": добавочный проц кушает крохи, так что питается от дежурки, гы-гы. Технично придумано, да? Пока вы верите что компьютер выключен, небольшой процессор тихонечко так работает :) Оно позволяет переустанавливать лоху операционку, менять настройки биоса, включать комп, etc. Есть вебсервачок (недоступный с локалхоста, наверное чтобы лох дольше не замечал подлян :D). При том это вообще никак не зафайрволить силами локалхоста: добавочный проц напрямую интерфейсится к чипу сети и плевать он хотел что у вас на локалхосте творится и какие там у вас крутые фаеры :). Ну а то что добавочный микропроцессор на мамке не будет нагло сниффать ваш сетевой траффик и делать каких-то левых/нежелательных действий по сигналу извне после того как вы проставите в BIOS для фичи disabled, вы можете только ... кхе-кхе, верить в честность и безбажность Intel, ага :))). Учитесь как бэкдоры надо делать! И, главное, фирмварина этого проца ессно закрытая. Так что гарантий что там нет очередной "магии" в стиле AWARD_SW - в общем то и нету нифига. Съели? :) И, кстати, а сколько процентов бакланов вообще знают о том что такая фича - вообще есть, при том в достатчно большом количестве писюков и лаптопов на основе чипсетов интеля? А сколько из них вообще в курсе - в каком состоянии фича и т.п. в ДАННЫЙ момент времени в их машинах? :)))

Одно не понимаю: зачем добавлять в систему дополнительный процессор, если уже сто лет в обед как есть SMI и флеш? 'Все уже украдено до нас'. Да, рисовать такой малварь несколько муторно. Но при большом желании вполне возможно - концепты уже были. И поведение и возможности SMI малвари будет ни чуть не хуже, чем описываемое выше. Вопрос лишь в желании, ресурсах и времени.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

63. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от klalafuda on 01-Ноя-10, 08:10 
> Одно не понимаю: зачем добавлять в систему дополнительный процессор, если уже сто лет в обед как есть SMI и флеш? 'Все уже украдено до нас'. Да, рисовать такой малварь несколько муторно. Но при большом желании вполне возможно - концепты уже были. И поведение и возможности SMI малвари будет ни чуть не хуже, чем описываемое выше. Вопрос лишь в желании, ресурсах и времени.

Собственно говоря, как пример публичного концепта: http://www.phrack.org/issues.html?issue=66&id=11#article

И это лишь один из примеров. Да, это не в автостарт в регистри прописаться. Но имея на борту хорошо сбитый тим грамотных инженеров и четко поставленную цель вполне возможно за разумный временной интервал сделать реальный боевой малварь. Впрочем, явно не для того, чтобы снифить пароли юзеров в фейсбуке :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

82. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 12:27 
> ... явно не для того, чтобы снифить пароли юзеров в фейсбуке :)

Захват галактики?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

89. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от ананим on 01-Ноя-10, 12:59 
паруса, 1с,..
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

68. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от anonymous (??) on 01-Ноя-10, 10:59 
Дяденька, вы такой умный, а вы IPMI не пользовались ни разу? И каково оно случается, когда удаленно только через него можно нормально систему загрузить?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

72. "О возможности создания и внедрения аппаратного бэкдора"  –6 +/
Сообщение от User294 (ok) on 01-Ноя-10, 11:08 
А теперь подумайте о том что сетевой трафф идет процу с неизвестной фирмвариной. И что она там делает - одному Интелу известно. И, кстати, если там есть бэкдоры - любой кто знает как им пользоваться может в любой момент резко вас нагнуть. Там например режим проброса харда есть, VNC и прочая. Прикольно так - можно чей-то винч пробросить по сети без его ведома, позырить на экран, etc. Супервозможности идут в комплекте с суперрисками и супергеморроем, извините :)

ЗЫ хакерам на заметку: фирмварина этого проца тоже по идее обновляемая... представляете какой можно кульный сделать руткит в параллельном мире? Там его точно ни один антивирус не найдет. Вообще! :)))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

74. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от klalafuda on 01-Ноя-10, 11:46 

Хосты с BMC контроллером на борту ещё поискать нужно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

102. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от anonymous (??) on 01-Ноя-10, 16:38 
Вы таки отрыли для себя Америку? Да, IPMI все это может. И что? Спецификация IPMI открытая, по ней делалась FreeIPMI. И ACL никто еще не отменял. И вообще, эта фишка отключается в BIOS если не нужна. Найдете дыры в ихней реализации, тогда и поговорим. Сейчас от вашего потока сознания вообще ничего путного нет.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

132. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от XoRe (ok) on 03-Ноя-10, 04:06 
>[оверквотинг удален]
> BIOS для фичи disabled, вы можете только ... кхе-кхе, верить в
> честность и безбажность Intel, ага :))). Учитесь как бэкдоры надо делать!
> И, главное, фирмварина этого проца ессно закрытая. Так что гарантий что
> там нет очередной "магии" в стиле AWARD_SW - в общем то
> и нету нифига. Съели? :) И, кстати, а сколько процентов бакланов
> вообще знают о том что такая фича - вообще есть, при
> том в достатчно большом количестве писюков и лаптопов на основе чипсетов
> интеля? А сколько из них вообще в курсе - в каком
> состоянии фича и т.п. в ДАННЫЙ момент времени в их машинах?
> :)))

Никак на работе новый сервер купили с IPMI ? =)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от FPGA (ok) on 01-Ноя-10, 00:55 
> И обезвреживать их будет целое приключение)

Не надо нам таких приключений... Скорее бы нормальную оболочку с chroot сделали в Ubuntu, чтобы можно было действительно любые программы безопасно запускать и не бояться...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Иван Иванович Иванов on 01-Ноя-10, 02:09 
chroot = безопасные программы?

Уже пять минут лежу под столом. Вы следите сколько дыр в самом ядре находят? Вы в курсе, что из обычного chroot'a выйти как два пальца ...ть? Вы в курсе, что даже из виртуальной машины выйти можно (в vmware багов штук пять находили - не меньше, сколько ещё неафишированных - неизвестно)?

Вы в курсе, что бывают гипервайзеры уровня ОС (концепты - не более), которые работают поверх неё?

100% безопасная песочница - это отдельный компьютер.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

55. "О возможности создания и внедрения аппаратного бэкдора"  –4 +/
Сообщение от User294 (ok) on 01-Ноя-10, 04:24 
> 100% безопасная песочница - это отдельный компьютер.

Не подключенный к сетям и полностью обесточенный. Иначе 100% могут и не получиться...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

66. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от zazik (ok) on 01-Ноя-10, 09:58 
Достаточно к сетям не подключать. Тогда не будет(не беря в расчёт питание/вибрации и т.д.) канала передачи информации и максимальный урон от вируса - уничтожение информации.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

126. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 02-Ноя-10, 18:46 
Электросеть — тоже сеть... Теоретически какую-то информацию можно получить и «слушая» скачки потребляемой мощности, например. Как минимум, думаю, можно с высокой степень вероятности определить скорость жёсткого диска, тип ОС, примерный объём оперативной памяти...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

127. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от zazik (ok) on 02-Ноя-10, 19:16 
> Электросеть — тоже сеть... Теоретически какую-то информацию можно получить и «слушая»
> скачки потребляемой мощности, например. Как минимум, думаю, можно с высокой степень
> вероятности определить скорость жёсткого диска, тип ОС, примерный объём оперативной памяти...

Пожалуйста, прочитайте ещё раз мой комментарий внимательно. К тому же, утечку информации по техническим каналам заблокировать несложно(дорого, да). К тому же, данный метод съёма информации будет применяться в ой каких случаях только.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

128. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 02-Ноя-10, 19:21 
>> Электросеть — тоже сеть... Теоретически какую-то информацию можно получить и «слушая»
>> скачки потребляемой мощности, например. Как минимум, думаю, можно с высокой степень
>> вероятности определить скорость жёсткого диска, тип ОС, примерный объём оперативной памяти...
> Пожалуйста, прочитайте ещё раз мой комментарий внимательно. К тому же, утечку информации
> по техническим каналам заблокировать несложно(дорого, да). К тому же, данный метод
> съёма информации будет применяться в ой каких случаях только.

Точно, виноват, совсем уже сплю. :(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

47. "О возможности создания и внедрения аппаратного бэкдора"  –5 +/
Сообщение от User294 (ok) on 01-Ноя-10, 02:18 
> Не надо нам таких приключений... Скорее бы нормальную оболочку с chroot сделали
> в Ubuntu, чтобы можно было действительно любые программы безопасно запускать и
> не бояться...

Chroot сам по себе вообще на безопасность не влияет. Как минимум, прога должна уметь еще и setuid/setgid опосля чрута, чтобы права рута сбросить. Иначе можно обратно вылезти на раз. А без правов рута chroot как-то и не делается :). Вообще, имхо в таком качестве контейнеры выглядят более оптимистично - там изоляция еще более кардинальная чем просто chroot+setuid+setgid.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "О возможности создания и внедрения аппаратного бэкдора"  –1 +/
Сообщение от filosofem (ok) on 01-Ноя-10, 01:28 
Те старые веселые вирусы и им подобные, любой антивирь с закрытыми глазами найдет и будет долго смеяться - "Я тут у тебя античный вирус на диске нашел, это прикол такой?". Поэтому их и не пишут.
А шпионская программа на высокоуровневом быдлоязыке, она ничем себя не выдает и не выделяется среди прочего говнокода и если антивирь ее сигнатуру не знает, то в лучшем случае, если антивирь очень умный, он в 50% ситуаций предположит, что это какой-то неизвестный трой. И даже если антивир знает сигнатуру, стоит только в этой проге удачно добавить парочку нопов, он опять облажается.

Кстати для тех которые умничают не прочитав новость, сабж не про вирус и не про зловредные программы незаметно перепрошивающие биос и переопределяющие прерывания, а про бэкдор в оборудовании и как его можно удачно спрятать от обнаружения.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

44. "О возможности создания и внедрения аппаратного бэкдора"  –1 +/
Сообщение от Иван Иванович Иванов on 01-Ноя-10, 02:13 
Хреновые вирусы сейчас бывают, называются rootkit'ы

Не далее как позавчера лечил комп с такой заразой 5 часов, перерыл пол Инета.

Вирус не обнаруживался Kasper, DrWeb, Avira и NOD32. Вирус не обнаруживался даже после загрузки с BartPE. Но я его всё же снёс.

Эта была новая неизвестная пока модификация TDSSserv.sys http://www.computer-adviser.com/tdssserv.html

Также советую почитать отчёт Norton'a о stuxnet. Офигеете.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

46. "О возможности создания и внедрения аппаратного бэкдора"  –1 +/
Сообщение от Иван Иванович Иванов on 01-Ноя-10, 02:15 
"Many experts agree that the only way to be sure that the your computer is clean is to wipe it and rebuild, and in light of clients becoming infected with this I would have to agree, especially after having seen it return after we thought it was totally removed."

Страшно, но правда.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

48. "О возможности создания и внедрения аппаратного бэкдора"  –4 +/
Сообщение от User294 (ok) on 01-Ноя-10, 02:31 
Вот вы и офигевайте. А руткиты - боян. И то что антивирусы не ловят неизвестные модификации заразы - тоже всем известно. Кроме наивных олухов которые думали что если заплатить Нортону, Касперу или там кому еще - все проблемы как рукой снимет. Ага, аж 2 раза.

PS в свое время нашел не обнаруживаемый антивирями сплойт основанный на дырке с ANI курсорами в ядре винды + payload в виде небезызвестного Pinch. Который пытались вдуть через сайт косивший под легитимный. При том и сплойт на тот момент был бояном, в общем то. И пинч всем давно известен. Однако минимальная модификация, и ... и мегасуперпуперэвристика просвистела мимо. У всех опробованных антивирей. При том что модификация пинча была минимальная и даже упаковано было довольно известным пакером FSG. Оказывается таких минимальных изменений доступных даже тупым кулхаксорам достаточно чтобы отбрить все супер-эвристики нафиг. Кстати, нормальные сракеры проверяют свои поделки на предмет обнаружения антивирями до того как раздавать и опробуют несколько вариантов их модификации и упаковки. Откровенное издевательство над идеей эвристики: во всю юзаются деривативы заразы и конструкторы, а эвристика успешно пролетает, пропуская минимально модифицированный троянец, что позволяет сракерам клепать его такой чуть ли не в автоматическом режиме.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

61. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от klalafuda on 01-Ноя-10, 07:33 
> PS в свое время нашел не обнаруживаемый антивирями сплойт основанный на дырке с ANI курсорами в ядре винды + payload в виде небезызвестного Pinch. Который пытались вдуть через сайт косивший под легитимный. При том и сплойт на тот момент был бояном, в общем то. И пинч всем давно известен. Однако минимальная модификация, и ... и мегасуперпуперэвристика просвистела мимо. У всех опробованных антивирей. При том что модификация пинча была минимальная и даже упаковано было довольно известным пакером FSG. Оказывается таких минимальных изменений доступных даже тупым кулхаксорам достаточно чтобы отбрить все супер-эвристики нафиг. Кстати, нормальные сракеры проверяют свои поделки на предмет обнаружения антивирями до того как раздавать и опробуют несколько вариантов их модификации и упаковки. Откровенное издевательство над идеей эвристики: во всю юзаются деривативы заразы и конструкторы, а эвристика успешно пролетает, пропуская минимально модифицированный троянец, что позволяет сракерам клепать его такой чуть ли не в автоматическом режиме.

Что удивляться? То, что ав свистят мимо, вытекает из самой природы малваря и ав. Малварь *всегда* впереди тогда как ав в свою очередь *всегда* догоняют малварь. По определению. Как следствие, у малвари всегда есть временной интервал, в течении которого она может [сравнительно] спокойно функционировать. Причем что иногда этот интервал может быть весьма большим и измерятся месяцами а то и поболее.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

133. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от XoRe (ok) on 03-Ноя-10, 04:14 
> Те старые веселые вирусы и им подобные, любой антивирь с закрытыми глазами
> найдет и будет долго смеяться - "Я тут у тебя античный
> вирус на диске нашел, это прикол такой?". Поэтому их и не
> пишут.

Це сейчас.
А много у кого 15 лет назад на компе был антивирь с обновленными базами?
Я про то время говорю =)

> Кстати для тех которые умничают не прочитав новость, сабж не про вирус
> и не про зловредные программы незаметно перепрошивающие биос и переопределяющие прерывания,
> а про бэкдор в оборудовании и как его можно удачно спрятать
> от обнаружения.

В том и суть моего поста - обычные вирусы не смогут создать эпидемии в мире *nix.
По большому списку причин.
Но вирусописателям надо же вирусописательствовать.
Поэтому им придется сильнее изгаляться.
Идея про зловред, прошивающий BIOS - пример этого изгаляния.
Можно ожидать зловреды, прошивающие сетевуху, принтер, что там ещё можно прошить.
О, кстати, отличная идея - вирус в прошивке для yota.
Так, чтобы вирус оказался в том cd-rom с дровами (когда первый раз вставляешь yota модем, он определяется, как usb cdrom).
Начнешь ставить йоту, а в комплекте пойдет вирус.
Как идея?
А главное, звучит классически - решил выйти в инет и схватил вирус =)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

49. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от alexxx (??) on 01-Ноя-10, 03:13 
Такого рода вирус уже ловил лично году этак в 1997. Прописывался в Award BIOS  и потом грузился вместе с системой.
Вылечилось только перепрошивкой BIOS на другой системе методом выколупливания флешпамяти(программатора не было).
Как он попал в BIOS самостоятельно или кто-то помог не сильно важно, суть в том что BIOS или другой фирмварь потенциально уязвимы и опасность от такого  повыше будет софтовых вирусов.
И при ряди условий не может быть обнаружена стандартными средствами...

Как говорит знакомый эксперт по безопасности: "антивирусы ловят заразу полугодовалой давности"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

54. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от ptr email(??) on 01-Ноя-10, 04:21 
Сразу мысли по теме:
- все, что прошито можно при загрузке перечитывать и сверять, например с контрольной суммой или даже с сохраненной цифровой подписью; при не совпадении злобно ругаться
- о грустном: если такая зараза прописалась не в биос, а в прошивку винчестера - суши весла, особенно с учетом того, что прошивка винчестера ни в биос, ни на свичах винта не блокируема


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

57. "О возможности создания и внедрения аппаратного бэкдора"  –4 +/
Сообщение от User294 (ok) on 01-Ноя-10, 04:28 
К счастью для вас, это дико геморройно: винчи бывают разных производителей и разных моделей и версий фирмвари. Как аццкий концепт - под конкретную модель конечно можно сделать, пободавшись с хардкорнейшим реверсингом массу времени. Вот только у юзеров совсем не обязана стоять эта модель винча с этой же версией фирмвары + совсем не факт что хватит прав на прямую отсылку команд в девайс (WinCIH по этой причине напрочь не работал в NT например). В итоге соотношение геморроя и результата себя не оправдывает.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

87. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Иван Иванович Иванов on 01-Ноя-10, 12:54 
Писать в firmware под NT проще простого, установив .sys для этого. Собственно, все новые rootkit'ы так и работают.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

58. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Алексей (??) on 01-Ноя-10, 04:32 
> атакующий записывает в ROM-память
>записывает в ROM

/0

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

59. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от MarCo email on 01-Ноя-10, 05:36 
   Всё старо как мир. Западные производители встраивали в своё время бэкдоры в писюки, чтобы отслеживать распределение персоналок на территории СССР. И был такой вирус DIR, который записывался на защищённые от записи дискеты. И были люди в наше время ..., которые при помощи Pctools вырезали вирусы из бинарников, восстонавливали программы и системы.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

64. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от ram_scan on 01-Ноя-10, 08:45 
Про то что кто-то мог записаться за нащищенную от записи дискету - проверяйте датчик в дисководе. Там режим записи аппаратно блокируется. Если дисковод исправен то записать на дискету с заклееной дыркой ничего невозможно в принципе.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

75. "О возможности создания и внедрения аппаратного бэкдора"  +2 +/
Сообщение от б.б. on 01-Ноя-10, 11:49 
> И был такой вирус DIR, который записывался на защищённые от записи дискеты.

И сгрызал все кактусы вокруг. Знаем, знаем...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

60. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от klalafuda on 01-Ноя-10, 06:56 

Боян же дикий. Концептов BIOS вирусов AFAIR было уже предостаточно. Некоторые даже вроде как работали. Конечно, целевая платформа была MS Win, но это ровным счетом ничего не значит и лишь дань популярности - против лома нет приема.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

71. "О возможности создания и внедрения аппаратного бэкдора"  –2 +/
Сообщение от SubGun (ok) on 01-Ноя-10, 11:07 
Последняя фраза сразу развеяла все сомнения в умственных способностях автора: "ядро Windows обычно не меняется на протяжении минимум трёх лёт, тогда как новые версии Linux выходят почти каждые три месяца." Тролль, не более того.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

93. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от ананим on 01-Ноя-10, 13:19 
банальная проверка времени создания ntoskrnl.exe и ntkrnlpa.exe выявило идентичность с временем последнего сервиспака.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

83. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 01-Ноя-10, 12:31 
Перемычку защиты от записи вирус как снимает? :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

91. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от zazik (ok) on 01-Ноя-10, 13:11 
> Перемычку защиты от записи вирус как снимает? :)

Игнорирует?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

95. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 01-Ноя-10, 15:11 
Перекусывает же.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

103. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 16:40 
Не, он подаёт такое сильное магнитное поле на диск, что головки сами прилипают. =-o
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

92. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 01-Ноя-10, 13:15 
Вспоминается старая история про забытую музыкальную открытку в системном блоке. Человек подумал что вирус. В процессах ничего лишнего... Выключил компьютер - музыка есть. Подумал что вирус в BIOS - во времена DOS'а конечно же не было руткитов, было похуже! Обесточил - музыка есть! Хитрый вирус питается от батарейки!!! Ааа!! оказалось, дело в забытой в системном блоке открытке...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

96. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 01-Ноя-10, 15:32 
Техническая возможность этого класса вирусов появилась с появлением EPROM.
В Windows можно перезаписывать BIOS напрямую, а современные производители поставляют защиту от подобных приколов (к примеру тот же Double BIOS)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

97. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 01-Ноя-10, 15:34 
О стабильности ядер - рассмешили.
Конечно, у микроядра релизы реже, чем у макроядера. Не будем забывать, что про обновлениях системы Windows и о том, что в состав пакета "ядро линукс" входят все драйвера.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

104. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от ананим on 01-Ноя-10, 16:41 
жалкая попытка. и полное невежество в вопросе.
дайте угадаю - вы у себя в конторе крутой it-шник?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

98. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от sluge (ok) on 01-Ноя-10, 16:02 
хорошо что биосы скоро уйдут на свалку истоии. EFI рулить будет
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

122. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от Аноним (??) on 02-Ноя-10, 06:29 
Конечно, хорошо. EFI намного проще писать.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

99. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от sluge (ok) on 01-Ноя-10, 16:04 
и ядро винды ntoskrnl.exe меняется куда чаще чем раз в три года, если юзер не забил на обновления
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

100. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от ананим on 01-Ноя-10, 16:36 
только в sp. и то не факт.
к тому же обновление - это мало. ну новое ядро, а вызовы теже.
надо чтобы abi изменилось. по поводу частого изменения которого в линухе тут трухин уже балладу сложил.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

101. "О возможности создания и внедрения аппаратного бэкдора"  +1 +/
Сообщение от Аноним (??) on 01-Ноя-10, 16:38 
2012 год., Редмонд, пентхаус офиса Майкрософт. У стола стоит император Баллмер с обезображенным лицом. Рядом с ним на коленях стоит Дарт Шаттл, перешедший на Тёмную сторону силы. Рука Баллмера касается головы бывшего апологета СПО.

"Ты сделал правильный выбор, мой юный ученик. Вместе мы будем править Галактикой, и ты сможешь спасти свою Убунту.", - император садится в кресло и говорит в микрофон: "Командир Касперски, активировать протокол сто шестьдесят три..."

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

107. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 17:57 
> 2012 год., Редмонд, пентхаус офиса Майкрософт. У стола стоит император Баллмер с
> обезображенным лицом. Рядом с ним на коленях стоит Дарт Шаттл, перешедший
> на Тёмную сторону силы. Рука Баллмера касается головы бывшего апологета СПО.

http://i11.fastpic.ru/big/2010/1101/c1/eae4725400e0275e93969...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

106. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от A_n_D (ok) on 01-Ноя-10, 17:23 
Представляете, если такие закладки существуют уже годы, а информация просочилась только сейчас, потому что спецслужбы допустили промах?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

108. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от pavlinux (ok) on 01-Ноя-10, 17:59 
> Представляете, если такие закладки существуют уже годы, а информация просочилась только
> сейчас, потому что спецслужбы допустили промах?

Тс-с-с-с, тока никому! Все ещё юзали Феликс-М и Счёты,
когда те, о ком не говорят в слух, этим занимались.



---

Самый прикол, это съездить в Иран и заказать
там по инету комп у Dell или HP,  вот в нём подарков будет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

112. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от Аноним (??) on 01-Ноя-10, 23:27 
> Суть атаки заключается в том, что атакующий записывает

Боян. http://www.rom.by/article/Birus-y_Chast_pervaja

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

130. "О возможности создания и внедрения аппаратного бэкдора"  +/
Сообщение от serg1224 email(ok) on 03-Ноя-10, 01:05 
Разработчики Ksplice открыли миру возможность перепрошивать firmware?!
AMI, AWARD, Phoenix и пр. видимо сильно отстали...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру