>> Это ведь бизнес.
> Wrong. Такие вещи - делаются как искусство. Черная магия. От злых волшебников.
> Но все-таки, временами у них получаются довольно красивые штуки. Хоть и
> зловредные по природе своей.Лет ещё десять назад это было хакерство (в исконном смысле этого слова). А сейчас — just business. Конечно, красивые концепты могут и сейчас появляться, но скорее в виде исключения. Если не верите — почитайте подробные отчёты антивирусных контор, или интервью со специалистами в этой области. Зловреды стали бизнесом и готовятся (а кое-где, похоже, уже стали) оружием массового поражения. Те же порнобаннеры — типичный бизнес. Технически — да, разве что некоторые последние версии могут быть интересными с точки зрения анализа. Хотя нет, всё же не столько интересными, сколько муторными... Ну да хватит, а то совсем уже старым пердуном себя ощущаю. :)
>> Разработка и прочие расходы должны банально окупаться доходами.
> Не вижу как можно было поиметь денег за CIH. Наиболее реальное что
> там можно поиметь - увесистый срок в случае поимки, т.к. это
> вполне ощутимая порча оборудования будет суду более понятна чем эфемерное стирание
> пары файлов ;)
Дык CIH — он из другой эпохи, см. выше.
> Те кого волнует бизнес - скорее всего покупают у хардкорных реверсеров свежий
> сплойт на 0day дыры для ишака (микрософт дыры не покупает, в
> отличие от гугла и мозиллы). Пишут свой троян на дельфе (дотнете,
> vb или какой там еще пакости любимой школьниками). Вгружают его сплойтом.
> И вот там уже имеют некий доход от краж паролей к
> популярным ресурсам (для спама), всякого там спама во всех видах, ддосов/флудов
> на заказ, etc. Особо элитные злодеи собирают свои ботнеты.
Собирают ботнеты и сдают в аренду, да. Троянов на заказ, AFAIK, пишут сейчас редко, как правило хватает «массового продукта»; максимум, что делается — какой-нибудь тот же ZeuS чуть адаптируется под конкретную среду.
>> Повторюсь, прототипы УЖЕ ЕСТЬ. Может, есть и боевые, но про то я не в курсе.
> Прототип написать не настолько уж и сложно. Сложно сделать так чтобы оно
> стало более-менее массово работать.
Если есть прототип и есть заинтересованные лица — результат будет. Повторюсь, они уже могут даже успешно работать. Даже на вашем компе. Паранойя, да? ;)
>> Своего кода — да. А как насчёт ACPI, например? В его километровых
>> таблицах можно что угодно творить...
> Можно, но насколько я помню, это не машинный код.
Не машинный, но по факту там язык программирования имеется. Который позволяет достаточно для того, чтобы маскировать присутствие постороннего кода.
>> Говорит. Только проверяется не всё подряд. Потому что CMOS, например, или те
>> же ACPI-таблицы никто подписывать не будет.
> ACPI таблицы кстати вроде как чексуммами снабжены. И это не машинный код.
Ну так контрольную сумму и обновить можно. И никто ругаться не будет, ибо что нелегального в изменении каких-то там данных в ACPI? Но, подозреваю, что на самом деле всё ещё хуже — однако для подтверждения (или опровержения) этих догадок надо зарываться глубже в спеки, а сейчас, пардон, голова болит...
>[оверквотинг удален]
> Как пример реализации такой схемы: у процов самсуня есть efuses. В них
> можно 1 раз зашить хеш. Это - хеш пубкея. Проц при
> старте читает из флешки пубкей. Считает его хеш и убеждается что
> ему дали верный пубкей. Далее читается первый загрузчик их флешки. И
> его подпись проверяется прочитанным ранее кеем. Этот загрузчик читает следующую часть
> (загрузчик, OS loader или что там еще) - и тоже проверяет
> их подпись. Я вот так сходу не вижу - чего предлагается
> в такой схеме сломать? _Однократно_ зашиваемые фьюзы? Не, там кто первый
> встал - того и тапки^W ключ. А остальные - ну вы
> в курсе, да? Не очень понятно - а что предлагается расхакать?
Я ж специально HDCP упомянул. :) В таком случае предлагается увести хеш у Самсуня. Ибо это самое уязвимое место. Поскольку запись одноразовая, то ничего подобного отзыву сертификата в X509 не возможно в принципе.
Да, сделать это будет сложно. Но с каждым годом, думаю, это будет всё проще и проще. Так как системы (в том числе защиты) усложняются, в них появляется всё больше проблем, в том числе связанных с безопасностью, плюс средний уровень образованности пользователей тоже не растёт... все предпосылки к тому, что чем дальше, тем проще будет добыть любую информацию. А уж передать-распространить после добычи — уже сейчас раз плюнуть.
>> Боюсь, вы переоцениваете. Конечно, не все BIOS'ы одинаковые, но большая часть (т.е.
>> под неё выгодно этими разработками заниматься) x86-материнок достаточно типовая.
> Зависит от того что понимать под достаточностью. Я понимаю под достаточностью возможность
> автоматически утолкать в BIOS, не убив попутно комп, достаточно кода для
> того чтобы потом в автоматическом режиме патчить загрузчик какой-либо ОС для
> чего-то злонамеренного с учетом того что содержимое оного может заметно меняться
> у разных юзеров и версий ОС.
Учитывая, что dual-boot с регулярным переключением между ОСями — весьма нетипичный usecase, на него попросту забьют. :)
Вы подходите к задаче написания таких зловредов как математик, вам нужно 100% решение. Но в реальном мире оно сейчас мало кого интересуют. Спрос — на выгодные (читай: массовые) решения. Так же как практически никто не заморачивался написанием кроссплатформенных вирусов (чтобы и на винде работали, и на Linux — хотя бы). Достаточно было одной винды, чтобы «продукт» был «успешным».
> ИМХО это выглядит как довольно геморройное начинание, не несущее само по себе
> никакого очевидного профита, зато довольно рисковое и крайне геморройное в техническом
> плане.
Когда-то так же думали про сам Linux. ;)
>> Более того, устройства от Apple, например, тоже становятся очень лакомой мишенью, т.к.
>> количество моделей мало, а аппаратов — велико...
> Думается их намного проще поиметь другими методами. Например, вбросив легиимному разработчику
> в код бэкдор.
Как вариант, конечно. Более того, прецеденты уже были (только не помню, у ЙаМагазинчега, или кого-то аналогичного).
>[оверквотинг удален]
>> Ну что ж, на его место придёт следующий. :)
> Пока я для начала и первого не вижу толком (лабораторный PoC и
> работоспособная дикая зараза не ломающая дров в автоматическом самоходном режиме -
> немного разные вещи). Ну CIH разве что, и тот -
> PoC такой злобненький по сути, просто так подгаданный что более-менее в
> майнстрим попал (процент компов на одном конкретном чипсете был большой). Сейчас
> нет такого единодушного засилия какого-то одного из чипсетов с точностью до
> модели. Интел и тот развел кучи подвидов и подтипов чипсетов на
> разные сегменты. Это тогда у них было все просто - один
> TX на все, и конкуренты как раз отстали.
Подвиды чипсетов отличаются включением-отключением каких-то фич (не важных для руткитов), вроде встроенного видео. Более того, определённая преемственность сохраняется и между поколениями. Так что всё не так уж страшно... для разработчиков зловредов, желающих их запускать на аппаратном уровне.
>>> за решетку угодить, пожалуй.
>> Вы это скрипткидисам говорите, которые шальными эксплоитами роняют сайты быстро злящихся
>> дядь и тёть. :)
> Скрипткидисов - много. Каждый второй школьник - потенциальный киддис. Поэтому хотя их
> ловят пачками в силу тупизны, всех переловить нереально - тюрем не
> хватит. Зато всегда можно покозырять красивыми отчетами за счет этих олухов
> :). Тех кто может напрограммить код способный биос перещивать - намноооого
> меньше. Что здорово сужает круг подозреваемых.
Сужает или нет, но вы так говорите, как будто пойти на киберпреступление тяжело для любого человека. :) Это не говоря о кибервойнах между государствами и корпорациями...
>> Ну и что, что не все — вполне достаточно для массового распространения.
> Более реалистично - для факапа в стиле cih некоторого процента неудачников. Ну
> может попутно впихивания такого на пару компов на заказ за большие
> бабки.
Вы оптимист, как я погляжу. :)
>>> - Ряд мамок, особенно от гигабайта - с двойным биосом. Чип с
>>> базовой версией перешить проблематично, насколько я знаю.
>> Дык до перепрошивки ещё дойти надо. Надо тварь обнаружить.
> Она сама себя обнаружит. Попробовать грузануть операционку мало-мальски нестандартной
> версии/типа/с другим бутлоадером (у только линукса есть лило, груб1, груб2 и
> исолинукс, которые довольно существенно отличаются на уровне базовой анатомии
См. выше про dual boot. Та же ОСь, через которую руткит обосновался в системе, будет загружена и далее в 99,9...% случаев. Оставшиеся доли процента... кого он волнуют? Так что до обнаружения дойдёт не скоро.
Повторюсь, вы идёте академическим путём. Он тоже хороший и иногда нужный. Но в данном случае он приводит вас к излишне оптимистичным прогнозам. :) Уже появлялась вирусня, прогрызающая виртуализаторы через те или иные уязвимости. Зловреды, массово внедряющиеся в BIOS'ы и иже с ними, — просто следующий шаг.
>> А чем? Ни одного надёжного способа, кроме исследования микросхемы BIOS
>> в лабораторных условиях, нет по определению.
> Да блин, грузим линя и дампаем флеху flashrom. Просто, брутально, доступно даже
> хомяку в принципе, когда прижало. Ну и вот скажи еще что
> руткит (которому надо втиснуться в кошкин зад места) будет знать как
> сие перехватить и себя убрать из дампа, ага.
Если будет знать, как BIOS перепрошивается, может и защититься, как правило. Более того, никто не помешает ему вести себя, как описывалось (кажется, вами же) для Flash-анализатора: делать вид, что всё запатчилось. Места, повторюсь, ему хватит: несколько килобайт для защиты и передачи управления по команде более чем достаточно.
>> Не так уж и сложно, было бы желание. Прошивальщики-то обычно однотипные сами
>> по себе у одного производителя. Сначала ищется, где в нём эти сведения зашиты,
>> а потом для остальных моделей вытаскивается в полуавтоматическом режиме.
> Угу, еще и полуавтоматический дизассемблятор нужен? Всего-то? Который сможет в результате
> осилить только несколько ревизий мамок и может несколько типов оных от
> 1 производителя? А то эти редиски имеют свойство дописывать под себя
> утилсы и биосы, особенно крупные фирмы.
Не знаю, что такое «дизассемблятор». :)) И я про другое говорил: что один прошивальщик разбирается на детали, отыскивается магическая последовательность действий, а место, где она находится, запоминается. Остальные прошивальщики (для других материнок) разбирать уже не надо, просто идём в нужное место и добываем инфу. И, повторюсь, это наихудший из реальных вариантов.
>> А авторы зловредов не будут сильно переживать, если что-то накроется...
> Зато это их будет сильно палить а пользователи и фирмы-производители будут жаждать
> крови.
Полностью спрятать массовый продукт всё равно не удастся. :) И крови жаждать будут в любом случае, просто поводы будут разные: в одном случае поводом будет отправленная в кому железка; в другом — украденные деньги или конфиденциальная информация, например. И ещё неизвестно, за что голову будут хотеть открутить больше. ;)
Если же говорить о чём-то нишевом, то там и спецификации будут более конкретные, а, значит, и возможностей качественно замаскироваться будет больше.
> прочая. А впихивание в биос - гемора много, неуниверсально чуть более
> чем полностью. Проще, блин, отгрузить малварь хомякам через аппсторы и отослать
> 100500 смс на короткий номер.
Пока что да. Но постепенно защита улучшается, рентабельность таких зловредов понижается... дальше понятно. :)
> [кусь]
>> Мы о разных вещах говорим. Я-то про изменение уже имеющихся в системе
>> файлов писал, а не установку «гнилого» пакета.
> Дык откуда эти изменения возьмутся у например типового юзверга, кроме как из
> проги в пакете?
Как откуда — из сплоита, вестимо.
> Ну сплойты можно допустить, но все известные дыры
> как правило штопают быстро и массовых поимений как правило не происходит.
Это вы про *nix? Ну так и доля десктопов пока что мала. Вот, Android пошёл в массы — и проблемы безопасности на нём уже стоят довольно остро. Займёт какая-нибудь Убунта хотя бы 10% рынка десктопов-ноутбуков, и дырки в *nix-софте также начнут массово использовать (не забывая, разумеется, и про социальную инженерию). Один только XDG со всеми предлагаемыми им прибабахами и друзьями по имени Кеды и Гном уже подготовил платформу для злоупотреблений.
> Единственным исключением является винда, где апдейты по расписанию,
Справедливости ради следует сказать, что в особых случаях обновления в винде приплывают моментально. Плюс для корпоративных пользователей они тоже приходят немного пораньше. Ну да не суть.
>> Естественно. Это второй или третий, и отнюдь не последний, уровень обнаружения вторжений.
> Просто когда речь идет о успешно установленном рутките - такое выглядит довольно
> странно. Руткит сразу же подразумевает что мы не доверяем операциям чтения
> и системным утилитам в работающей системе. Возможно я что-то недопонял и
> вы в отличие от меня имели в виду восстановительно исследовательские операции,
> когда заведомо чистая копия ос заружена с ридонли носителя для изучения
> ситуации.
Нет, я имел в виду, например, такое:
# chflags schg /bsd* /bin/* /sbin/* /etc/boot.conf /etc/rc{,.securelevel} ...
Плюс, разумеется, отсылку syslog'а на удалённый хост. Добавляет немного гимора при обновлении, но в качестве рубежа обороны вполне себе: при отсутствии эксплоита для выхода в ядро, позволит защитить систему от прописывания дряни на автозапуск, что уже немало, согласитесь.
>[оверквотинг удален]
>>> чипсет с докой на ~1000 страниц немного утомительно, разумеется :).
>> Это уже не обнаружение вторжений, а разбор полётов после...
> Это скорее полужелезный трейсинг/логгинг странных операций. Никто не мешает его делать
> в run time, если сильно охота, прямо в run time сливая
> логи. Другое дело что опять же - все упрется в геморность
> реализации. Но если вы вознамерились всерьез охотиться за привидениями - вариант
> в принципе, и не то чтобы так уж дико сложный в
> реализации. Явно не сложнее самого руткита пишущего себя в флеху :)
> Тем более что полуаппаратная виртуализация железа - достаточно интересное упражнение для
> любого человека который находится между железом и софтом.
Хм. Что-то в этом есть...
>>> Ну как, теперь паранойя не даст вам спать? :)))
>> Сплю как убитый. ;)
> Ну вот :((. А у вас есть допустим привкеи которыми вы подписываете
> наиболее чувствительные операции? А где вы их храните? Допустим, хакеры готовы
> выложить несколько k$ или даже десятков k$ чтобы их спереть. Где
> бы вы их хранили, зная что на них будут всерьез охотиться
> не слишком глупые хаксоры?
Этот вопрос сильно зависит от организации работы в фирме, стоимости информации, особенностей работы с оной (подписывания в данном случае)... В одном случае это будет сейф, из которого раз в месяц будет доставаться волшебный USB-брелок; в другом случае это будет волшебная машина в сети... Надеюсь, вы правильно поймёте, что детально о том, как это было на том или ином месте моей работы сделано, я рассказывать не буду? ;)
>>> Уж простите конечно, но ваши понятия о руткитах - на уровне пещерного
>>> человека.
>> Это было уже не об аппаратных руткитах, повторюсь, а о других попытках
>> незаметно закрепиться в системе. Руткит — не обязан работать на уровне ядра. :)
> Я знаю, но честно говоря, поделки меняющие системные утили я за серьезные
> руткиты вообще не считаю в силу относительной простоты поимки. Например простейшей
> прогой на си написанной за 5 минут или любым охотником на
> руткиты из репов даже.
Или вообще штатными средствами ОС. ;) Но не суть. Я с руткитом на никсах вживую сталкивался всего раз. Он засел внутри фряшного jail'а, и дальше не ушёл. Поимка была элементарной. Но это было ещё до массового помешательства на почве виртуализации, сейчас бы пришлось тщательно проверять всё подряд.
>> Конечно, он при этом легче отлавливается, но если уж
>> другого способа нет — пусть так, чем никак. :)
> Это весьма лайт версия руткита. И что значит - нет другого способа?
Это значит, нет возможности вылезти на уровень ядра. То есть это именно классический руткит: прячем себя и указанные процессы от любопытных глаз, и даём доступ по хитрому запросу.
> Чисто физически оперативка - read/write, поэтому как минимум теоретически такой способ
> есть. Практически он может быть заметно загеморроен если ядро не грузит
> модули + метит область кода как ридонли а данных - как
> невыполнябельную. Тем не менее, кэп намекает что IOMMU например появился без
> году неделя и сильно местами. А без него - да, проц
> может и испытывает ограничения по доступу к оперативе, но железки с
> DMA могут и побеспределить. И как бы вся надежда на добропорядочность
> железяки :)))
Гм. Не все ОСи — тридцатидвухбитная винда. :) Напрямую к железке обращаться как бы никто не даст.
>>> подписаны и проверка при установке делается. Что пакетов с бинарями, что
>>> с сырцами. И такие номера - не катят.
>> Подписанные — сложнее, да. Впрочем, когда это было-то...
> Ну да, мы не злопамятные. Но все-таки злые и память у нас
> хорошая. Поэтому злопыхать не буду, но выводы делать это не мешает.
> Если честно - как-то не ожилал настолько несерьезного администрирования от ЭТИХ
> людей.
Администрированием занимаются не они, а университет Альберты, Канада.
>> в нормальном датацентре? «Киньте клич»... Будьте реалистом.
> Википедия так собирает несколько миллионов баксов в год. Куда уж реалистичнее?!
Хм. Ну, если в OpenSSH тоже начать каждый год по месяцу при каждом подключении писать «дайте денег»... ;)
> И не надо пожалуйста рассказывать про дикие цены в ДЦах, нынче цены
> стали вполне культурные и по зубам уже чуть ли не для
> хоумпаг. И траффика дают - хоть залейся.
Первый попавшийся датацентр в Канаде: http://www.datacenterscanada.com/private-racks.html
800$ в месяц за отдельную стойку (а ставить ftp.openbsd.org в общую стойку вы бы стали?), плюс 35$ за каждые Мбит/с сверх 10. И ещё за разные опции сдерут. Не кислая сумма выходит. И это не считая собственно железа.
>>> Sh... happens. Но по-моему, когда безопаснички отвечают за чужие FAILы - это
>>> идиотизм чистой воды.
>> Идиотизм — это когда утащили у конторы Самый Главный Электронный Сертификат, а
>> контора вместо того, чтобы быстренько заиметь другой, ждёт у моря погоды,
>> пока опростоволосившийся выпускатор сделает ей новый.
> Что-то торможу, а это о каком инцеденте речь? И кто ждал выпуска
> сертификата от слившегося выпускатора? Что-то настолько махровая тупость мне даже не
> припоминается. Это кто так?
Да вот недавний факап с сертификатами у нидерландского центра сертификации. Несколько дней сертификаты крупных компаний не отзываются и не перевыпускаются — это нормально? Не говоря о том, сколько времени эти герои вообще молчали в тряпочку.
Версия для распечатки
