>> Есть уже прототипы, которые себя в BIOS пишут. Не любой матери —
>> но большинства распространённых.
> Ну cih стирал только мамки с чипсетом Intel TX. Это был самый
> популярный в тот момент и принесло некоторую известность. На остальных фокус
> не работал, разумеется.И тем не менее шороху наделал изрядно. Ведь для зловредов «массового поражения» не обязательно поддерживать всё. Это ведь бизнес. Разработка и прочие расходы должны банально окупаться доходами. Если целевая платформа популярна, удельные затраты будут низкие, вот и всё.
>[оверквотинг удален]
> пилотаж. А если учесть что ядро и его загрузчики постоянно меняются
> да еще и по разному сделаны в разных пингвинах и прочих...
> не, ну теоретически вроде можно, но практически такое дикое количество сочетаний
> получается, что кодить убьешься. К тому же всякие асусы и гигабайты,
> да и не только - очень любят кастомизировать биосы (и их
> прошивалки) под себя. Поэтому оно хоть и на основе стандартного, но
> имеет кучу левых особенностей, делающих их не всегда совместимыми с стандартными
> утилитами и прочая. Т.е. сделать нечто на 1 случай не вопрос.
> А вот чтобы работало более-менее универсально, с разными ос и версиями/апдейтами
> оных - вот это уже ж--а.
Повторюсь, прототипы УЖЕ ЕСТЬ. Может, есть и боевые, но про то я не в курсе.
> К тому же просто вписаться - недостаточно. Биосы имеют свойство проверять чексумы
> или даже подписи.
Своего кода — да. А как насчёт ACPI, например? В его километровых таблицах можно что угодно творить...
> Об этом хотелось бы поподробнее заметить. В современных BIOS замечена инфраструктура для
> проверки цифровых подписей. Вам это о чем-то говорит?
Говорит. Только проверяется не всё подряд. Потому что CMOS, например, или те же ACPI-таблицы никто подписывать не будет.
>[оверквотинг удален]
> на практике гораздо чаще защищает производителя и медиа-барыг. От пользователя. Который
> считается чем-то типа хакера. В общем абсолютный максимум до чего можно
> довы... - до активации trusted computing в каждом компе, а с
> этим лично я вас не поздравлю, т.к. есть риск что после
> этого вы вообще будете кушать Единственно Правильную Систему (tm), "для вашего
> же блага", ту которую "минздрав" одобрит. Ну как в ифоне примерно.
> Там trusted boot уже реализован и активирован. И заставляет следовать генеральной
> линии компартии^W яблочной секты. С другой стороны, это очень мощное средство
> контроля целостности и построения системы которая доверяма на все сто. Только
> вот не принято мощные инструменты в неандертальские лапы отдавать.
Боюсь, всё ещё немного сложнее. Как минимум потому, что сводится всё по сути к двум схемам: а) ключ для доступа (подписи или ещё что, не суть) к системе доступен пользователю, и тогда техническая надёжность системы будет компенсироваться успехами социальной инженерии; б) ключ не доступен пользователю, а лежит где-то в централизованном хранилище — и тогда объектом атаки будет становиться данное хранилище. Как это с HDCP было, например.
>> несколько килобайт места найти не проблема.
> Это - да, только вот впатчиться туда и чтобы ничего не отвалилось,
> не убилось и чтоб потом ОС при загрузке запатчилась - убиться
> можно кодить.
Боюсь, вы переоцениваете. Конечно, не все BIOS'ы одинаковые, но большая часть (т.е. под неё выгодно этими разработками заниматься) x86-материнок достаточно типовая. Более того, устройства от Apple, например, тоже становятся очень лакомой мишенью, т.к. количество моделей мало, а аппаратов — велико...
> А после парочки неожиданных факапов вероятно вредитель будет обнаружен.
Ну что ж, на его место придёт следующий. :)
> Учтя что на этой планете очень немного людей которые вообще понимают
> как все это работает - весьма рисковенько получается. Так можно надолго
> за решетку угодить, пожалуй.
Вы это скрипткидисам говорите, которые шальными эксплоитами роняют сайты быстро злящихся дядь и тёть. :)
>> Универсальные прошивальщики, знающие о многих BIOS'ах разом, видели? Дальше, думаю, понятно.
> Видел. Flashrom называется. Есть в пакетах линя, даже с исходниками.
> Но даже он...
> - На знает все чипы флеша.
> - Не все чипсеты поддерживает.
Ну и что, что не все — вполне достаточно для массового распространения.
> - Ряд мамок, особенно от гигабайта - с двойным биосом. Чип с
> базовой версией перешить проблематично, насколько я знаю.
Дык до перепрошивки ещё дойти надо. Надо тварь обнаружить. А чем? Ни одного надёжного способа, кроме исследования микросхемы BIOS в лабораторных условиях, нет по определению.
> - На куче мамок нынче обитает кастомная "полуаппаратная" защита от незапланированной записи
> в флеш: до того как получится писать в флеш, надо поменять
> состояние некоего I/O пина чипсета, посаженного на вывод "write protect" флешки,
> например. При том, каждый производитель мамок норовит поюзать тот пин чипсета
> который удобен лично ему (в плане его разводки по плате или
> просто по вкусу левой пятке). Как делать разрешение записи - ну
> родной фирменный прошиватор знает. Учтя что это знание актуально в рамках
> только 1 чипсета, 1 производителя мамки и едва ли нескольких моделей
> мамки - довольно сложно набрать базу на вообще все мамки в
> мире.
Не так уж и сложно, было бы желание. Прошивальщики-то обычно однотипные сами по себе у одного производителя. Сначала ищется, где в нём эти сведения зашиты, а потом для остальных моделей вытаскивается в полуавтоматическом режиме.
> Тот же flashrom например умеет шить далеко не все, очень
> много - совершенно без гарантий и "ну попробуйте, на свой страх
> и риск, если у вас есть рядом второй PC и программатор".
А зачем мне-то пробовать? Я зловреды не пишу. А авторы зловредов не будут сильно переживать, если что-то накроется... Ну то есть, конечно, они заинтересованы в том, чтобы не накрывалось. Но не настолько, чтобы плакать горючими слезами над каждым убитым чужим BIOS'ом.
> Кстати, на подумать: например у интела в ноутах "BIOS" по факту содержит
> намного больше чем BIOS. В той же флешке низкоуровневые конфигурационные параметры
> ранней инициализации, фирмваре небольшого служебного системного процессора управляющего
> питанием/вентилями/прочая, фирмваре сетевой карты, etc, etc. А то что видно как
> BIOS - лишь часть этого айсберга на самом деле.Формально, чипсет вообще
> не дает доступа в эти области на запись (теоретически). А вот
> как оно там практически (а также что делают эти фирмвары и
> нет ли там багов и бэкдоров) - другой вопрос.
Угу...
>>> сервере приведет к визгам пакетного манагера что подпись не совпала, отсутствует
>>> или ключ неизвестный, что очень быстро спалит хацкера при практически нулевой
>>> результативности атаки.
>> Да, вот только эти визги сработают лишь при обновлении софта. Поздновато будет.
> Что значит - поздновато? Пакет с кривой подписью можно поставить если вручную
> это форсануть. Ну если вы это форсанули - вы наверное знали
> на что шли, или где?!
Мы о разных вещах говорим. Я-то про изменение уже имеющихся в системе файлов писал, а не установку «гнилого» пакета.
>> Ежедневные (или даже ещё более частые) проверки целостности — уже лучше,
> В случае именно руткита - может и не помочь,
Естественно. Это второй или третий, и отнюдь не последний, уровень обнаружения вторжений. Дальше я убрал написанное, ибо - поверьте - в курсе. :)
>[оверквотинг удален]
> как хочет. Руткит может и не знать, но флеха которую он
> собирается переписать - тоже как-то не обязана быть доверяемой и играющей
> по именно его правилам и вполне может быть гнусной эмуляцией. Можно
> его даже обмануть что мы тут типа записали ваш новый биос,
> аж два раза. А отдавать старый образ из загашников все-равно :P.
> Таким наглым маневром можно вероятно обдурить даже фирменные утилиты-флешеры, которые
> поверят в то что они, типа, заапдейтили. Особо злые софтварщики могут
> написать эмулятор эмулирующий чипсет и флеху и сделать то же самое
> но чисто программно. Для отлова и изучения пакости сойдет, хотя реализовывать
> чипсет с докой на ~1000 страниц немного утомительно, разумеется :).
Это уже не обнаружение вторжений, а разбор полётов после...
> Ну как, теперь паранойя не даст вам спать? :)))
Сплю как убитый. ;)
>> особенно если заблокировать изменение файлов, отвечающих за выполнение проверок,
> Если ядро взято под контроль руткитом, реализуемые им системные вызовы могут возвращать
> НЕДОСТОВЕРНЫЕ данные.
Да. Я в курсе. Возможно, я не совсем ясно выразился — приношу свои извинения.
>> Правда, обновление системы при этом станет более гиморным, особенно
>> в большинстве Linux-дистрибутивов, где система вся состоит из пакетов. Ну да
>> это уже совсем отдельная тема....
> Уж простите конечно, но ваши понятия о руткитах - на уровне пещерного
> человека.
Это было уже не об аппаратных руткитах, повторюсь, а о других попытках незаметно закрепиться в системе. Руткит — не обязан работать на уровне ядра. :) Конечно, он при этом легче отлавливается, но если уж другого способа нет — пусть так, чем никак. :)
>>> кондовый бэкдор. Гентушники даже успели его пересобрать и раздать :))
>> Да таких случаев уже не так и мало. В своё время даже
>> исходники OpenSSH подменяли — взломали ftp.openbsd.org
> В этом плане подменять готовые пакеты на сервере явно сложнее - они
> подписаны и проверка при установке делается. Что пакетов с бинарями, что
> с сырцами. И такие номера - не катят.
Подписанные — сложнее, да. Впрочем, когда это было-то...
>> (проекту OpenBSD он не принадлежит и поэтому не контролируется;
> За отмазку не считается. Тоже мне безопаснички, без своего сервера.
Ну звиняйте. Можно систематически бросать далеко не бесконечные ресурсы на собственный ftp.openbsd.org, а можно что-то исправлять и дополнять в самой системе. Ну да это отдельный разговор.
> Ну вашу
> двадцать, если вы бомжуете, денег едва хватило на последние штаны, а
> на сервак уже не осталось - киньте клич! Сообщите про это!
> Попросите, блин, адресно задонейтить - на цель "сервак и его оплата".
> Учтя количество юзеров SSH - денег накидают, ИМХО.
Купить сервак — это одно. А интернет-канал толстый поддерживать кто будет и на какие деньги, например? Вы знаете, сколько стоят честные 100 Мбит/с в нормальном датацентре? «Киньте клич»... Будьте реалистом.
>> работает машина, кажется, на Солярке). Инцидент оставался
>> незамеченным около пары суток.
> Sh... happens. Но по-моему, когда безопаснички отвечают за чужие FAILы - это
> идиотизм чистой воды.
Идиотизм — это когда утащили у конторы Самый Главный Электронный Сертификат, а контора вместо того, чтобы быстренько заиметь другой, ждёт у моря погоды, пока опростоволосившийся выпускатор сделает ей новый. А тут — тоже нехорошо, конечно, но, как показывает практика, FAIL'ы бывают у всех. Весь вопрос — насколько серьёзные и насколько долго. :)
