Лаборатория Касперского сообщила (https://securelist.com/blog/research/68750/equation-the-deat.../) (PDF (https://securelist.com/files/2015/02/Equation_group_question...)) о выявлении нового класса вредоносного ПО, нацеленного на организацию кибершпионажа и кражу данных пользователей, примечательного глубокой степенью маскировки. Для скрытия компонентов вредоносного ПО применялась техника модификации прошивок жестких дисков Western Digital, Seagate, Toshiba, Maxtor и IBM.Вредоносное ПО поражало только системы на базе платформы Windows и было выявлено на примерно 500 системах в 42 странах. Наиболее активное использование вредоносного ПО зафиксировано в Иране, России, Китае, Сирии и Пакистане. Атакам были подвержены финансовые, правительственные, военные, исследовательские, дипломатические и другие учреждения. Сообщается о нескольких вариантах подобного вредоносного ПО, сборки которых датированы с 2004 по 2011 год. Внедрение вредоносного кода ассоциируется (http://www.reuters.com/article/2015/02/16/us-usa-cyberspying...) с группой Equation, которая связывается с деятельностью Агентства Национальной Безопасности США, но подобная связь основывается лишь на догадках и косвенных данных (например, указывается на использование технологий, схожих с используемыми в вредоносном ПО Stuxnet и Flame, а также упоминаются утечки сведений о разработке в АНБ методов внедрения вредоносного ПО в прошивки).
URL: http://arstechnica.com/security/2015/02/how-omnipotent-hacke.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=41679
> Лаборатория КасперскогоДальше можно не читать
> поражало только системы на базе платформы WindowsДальше можно не читать
Если не читать после "Лаборатория Касперского", то вы и не дойдёте до этой строки. Учитесь экономить время.
Почему же?! Теперь мы знаем как им не легко и должны всячески поддержать их. Например скинув ссылку на любимый дистр.
>Почему же?! Теперь мы знаем как им не легко и должны всячески поддержать их. Например скинув ссылку на любимый дистр.Почему же?! Теперь мы знаем как им не легко и должны всячески поддержать их. Например скинув ссылку на любимый эксплойт.
Ну, понимаешь, если твой любимый дистр станет популярным - для фирмвари харда тоже напишут патч, учитывающий его наличие :)А что до Boot Guard - защищаться бесполезно: невышибаемый агент АНБ в виде прошивки от интела с бэкдорами уже внутри. Фигли толку при этом защищаться, если АНБ уже построило плацдарм с которого вы не можете их выбить, потому что BootGuard этого вам сделать не даст? Так что лучше по хорошему доверяйте с ножом к горлу интелу и его друзьям из АНБ.
Поэтому меняем шило на мыло (Intel на AMD)!
Хотя если AMD исправятся в плане драйверов для графики, тогда почему бы и нет? Дёшево и сердито.
AMD-то самых честных правил, да. Пока не будет открытого железа и bios, доверять никому нельзя.
> Пока не будет открытого железа и bios,
> доверять никому нельзя.И когда появятся, тоже нельзя будет.
>> поражало только системы на базе платформы Windows
> Дальше можно не читатьЕсли дальше не читать, то и не поймёшь, что новость была не о новом вирусе для Windows. А о том, что если производители начнут защищаться от таких вирусов, то их системы защиты сделают невозможным использование свободного ПО.
> если производители начнут защищаться от таких вирусовДа бросьте.
> В статье также предпологается, что, вероятно, АНБ получило доступ к исходным текстам прошивок накопителейПроизводителям плевать.
"Защищаться" они начинают только тогда, когда нужно чтобы не было "чужих" "вирусов", а только "свои".
Та же интел на полном серьёзе предлагала использовать в ядре для генерации случайных чисел только их аппаратный генератор. Шутки по этому поводу ещё остыть не успели.
Свободному по так и надо лезть в прошивку жесткого диска. Особенно на запись.Джампер или выключатель отключающий возможность записи в прошивку спас бы всех. Если бы его сделали...
Да слышали мы уже это "можно не читать", а потом получили "UEFI Secure Boot" во все щели... Не читаем дальше и получим в дополнение "Boot Guard" для полного счастья...
> Да слышали мы уже это "можно не читать", а потом получили "UEFI Secure Boot" во все щели... Не читаем дальше и получим в дополнение "Boot Guard" для полного счастья..Ну и назови хоть одну материнскую плату с неотключаемым Secure Boot. Истерика не имеет основания.
>Ну и назови хоть одну материнскую плату с неотключаемым Secure Boot. Истерика не имеет основания.лягушку надо варить медленно, иначе она выпрыгнет. Подожди, будут с неотключаемым secure boot для "защиты" от вирусов.
>>Ну и назови хоть одну материнскую плату с неотключаемым Secure Boot. Истерика не имеет основания.
> лягушку надо варить медленно, иначе она выпрыгнет. Подожди, будут с неотключаемым secure
> boot для "защиты" от вирусов.Но разве дистрибутивы не научились уже грузиться на системах и с secure boot. Я его отключил, но у меня последняя убунта livecd делает это спокойно.
>Но разве дистрибутивы не научились уже грузиться на системах и с secure boot. Я его отключил, но у меня последняя убунта livecd делает это спокойно.А как мне загрузить свое ядро? Или идти на поклон к проприерастам? И как мне быть, если я не хочу запускать всякие там "проверенные" ОС.
Проблема, конечно, не сам secure boot, который может быть использован вполне по назначению, а огораживание железа и потеря контроля над ним со стороны пользователя.
Вот вы явно не владелец материнской платы с Secure Boot. Если вам нужно использовать свое ядро И secure boot, вы можете либо использовать подписанный загрузчик и не использовать подписи ядра (тогда Secure Boot теряет смысл, но как бы работает), либо сгенерировать и импортировать свои ключи в Secure Boot, и подписывать ядро ими. Это стандартная функциональность, которая есть на любых материнских платах. Если ее нет в UEFI Setup, то тогда можно UEFI-программу запустить с такой же функциональностью.
>Вот вы явно не владелец материнской платы с Secure Boot.Ошибаетесь. Secure boot просто выключаю -- он мне не нужен
>И secure boot, вы можете либо использовать подписанный загрузчик и не использовать подписи ядра
До тех пор, пока сертификат загрузчика не отзовут. А судя по тому, что UEFI -- это чуть ли не полноценная ОС(даже универсальные драйверы собирались пилить), то она может спокойно обновлять список отозванных сертификатов и делать прочие нехорошие вещи без контроля пользователя.
В целом, я говорю не про сейчас, когда можно выключить restricted boot и прочий булшит, а про недалекое будущее, где есть большой риск превращения относительно нормального железа в огороженные поделки вроде айпадов, предназначенные исключительно для потребления легкого поведения, без возможности использовать свободное ПО.
<paranoid_mode>
Добавлю, что это выглядит, как попытка выбить компьютеры(станки) из рук программистов, и сделать их положение на уровне рабочих 18-19 веков. Т.к. компьютеры принадлежат рабовладельцам^W работодателям, то возможности послать их у тебя уже не будет.
</paranoid_mode>В некоторых краях(например, консоли) для разработки необходимо иметь devkit, которые, как я понимаю, кому попало не продают.
В эту же сторону активно движется яббл со своей iФигней, где любой девайс подконтролен не пользователю, а ябблу. А для того, чтобы юзать СВОИ приложения на СВОЕМ девайсе надо получать благословение от яббла.
> Но разве дистрибутивы не научились уже грузиться на системах и с secure boot.Как один из тех, кто выяснял, как это обеспечить -- и написал в процессе http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO -- нисколько не разделяю безмятежного тона того чудика из 2015 года в году 2021.
Слишком много неочевидных вещей, решений по результатам личной переписки, напоминающих картельный сговор MSFT с RHAT вещей.
Правда, я давно и успешно ушёл с x86 на e2k по работе, собираюсь сделать то же самое и дома.
> у и назови хоть одну материнскую плату с неотключаемым Secure Boot. Истерика не имеет основания.Планшеты с Win8.
> получим в дополнение "Boot Guard"А MS умывает руки.
И не читайте. Всё хорошо, спите спокойно.
>> Лаборатория Касперского
> Дальше можно не читать
> АНБТо есть ты читаешь снизу вверх.
> Дальше можно не читатьКстати напрасно - у каспера много весьма приличных реверсеров работает и порой они дело говорят.
это дядя Женя предупреждает, написали для виндовс, напишем ы для линуксов
Да ладно, вот это для труЪ:>www.opennet.ru
Дальше можно не читать
В неведение сладко прибывать...
А убывать оттуда - ещё слаще.
От каспера в последние годы выходило много пресс релизов, которые можно заподозрить в откровенно маркетинговых целях. Что касается данного заявления, то он имеет под собой основания. На заводах в Китае и Таиланде производят HDD для Dell, HP и других вендоров, которые перепрошивают эти диски своим микрокодом. Скажем объявляется госзакуп на компьютеры с поставкой 60 дней в Управление делами Президента Российской Федерации и этот тендер выиграл системный интегратор "Ноль" с предложением от HP, так вот АНБ узнает про это дело и совстно с представителями HP готовят несколько "заряженных" компьютеров, все нельзя, т.к. можно проколоться, а это светит большими разборками. И так по несколько штук "зараженные" компьютеры потихоньку захватывают нашу Родину. А в один определенный день и час сработает будильник...
Уже поскакал с утреца?
Заражение традиционным методом и в тоже время не более 500 и все на правительственных компах, что-то не сходится
Обнаружение требует ручной проверки, видимо. Вирус гуляет, но заражает только нужные компы, чтоб ег сложнее было обнаружить.
В любом случае, непонятно будет ли анонс антиАНБ версии касперского для госучереждений.
>Вирус гуляет, но заражаетЭто не вирус. Механизма само-распространеия нет. Троян это.
> чтоб ег сложнее было обнаружить.
Непременно, еще хорошо бы часть сертификации ПО для госучреждений поручить Касперскому, а то ему так кушать хочется что переночевать негде.
Намек, что закладка на заводе сделана?
Специальная серия "Бронированные ХДД"!
толькоунас, специально для российских чинуш! налетай!
> Намек, что закладка на заводе сделана?Да запросто. А ты как проверишь что именно китайозы у себя на фабе в микросхему зашили этим америкосам? Вот и получится что китайский бэкдор долго рубался с АНБшным за право иметь пользователя, но потом решили что места на всех хватит :)
> что именно китайозы у себя на фабе в микросхему зашилиВсё, что угодно.
http://some-wise-man.livejournal.com/252566.html
Что за шрифт на той странице, он для муравьёв?
История скудна, нет примера действий зловреда, нет хотя бы фотографии или марки сигареты. Сказочка на ночь, да и только.
Я прочёл без напряга. Даже несмотря на то, что текст без картинок.
Где модели в которых такая прошивка? Как обнаружить, чтоб проверить бекдор? Нет?
Тогда я заявляю что в каждой новой базе АНтивируса Касперского есть новые вирусы, которые распространяются по вашей сети и уничтожаются только следующими обновлениями антивируса. И т.д.
Да, сигнатур и методов обнаружения в отчёте не дали. Но определить всё равно можно по внешним обращениям на шлюзе и DNS-е. Список хостов в документе есть.
> Да, сигнатур и методов обнаружения в отчёте не дали. Но определить всё
> равно можно по внешним обращениям на шлюзе и DNS-е. Список хостов
> в документе есть.Определить можно по наличию загаженой Smart на исправном носителе. Причем почистить ее не удается даже чем-то типа Victoria.
> Определить можно по наличию загаженой Smart на исправном носителе.А зачем им портить SMART?
>> Определить можно по наличию загаженой Smart на исправном носителе.
> А зачем им портить SMART?незачем. просто аноним@14 думает, что разработчики этого ПО - криворучки и легко палятся простыми проверками (вероятно судит по себе)
>>> Определить можно по наличию загаженой Smart на исправном носителе.
>> А зачем им портить SMART?
> незачем. просто аноним@14 думает, что разработчики этого ПО - криворучки и легко
> палятся простыми проверками (вероятно судит по себе)Да нет. Похоже он имел ввиду, что такой объем вредоносного кода там некуда впихивать больше.
>>>> Определить можно по наличию загаженой Smart на исправном носителе.
>>> А зачем им портить SMART?
>> незачем. просто аноним@14 думает, что разработчики этого ПО - криворучки и легко
>> палятся простыми проверками (вероятно судит по себе)
> Да нет. Похоже он имел ввиду, что такой объем вредоносного кода там
> некуда впихивать больше.Кстати, встречал диски Seagate с загаженным под завязку Smart до полной неработоспособности под Windows, которые прекрасно работали под Linux.
> Где модели в которых такая прошивка?Модели чего? Вначале нужно подцепить эту заразу, например, воткнув левый USB Flash, после чего она пропишет себя в прошивку.
>> Где модели в которых такая прошивка?
> Модели чего? Вначале нужно подцепить эту заразу, например, воткнув левый USB Flash,
> после чего она пропишет себя в прошивку.11-я серия Барракуды?
>> Где модели в которых такая прошивка?
> Модели чего? Вначале нужно подцепить эту заразу, например, воткнув левый USB Flash,
> после чего она пропишет себя в прошивку.Так что оно на всех типах винтов работает? Я уверен что не все модели одного вендора подвержены сей проблеме...
[политота]
АНБ действует прицельно, и по-киношному круто, молодцы, а у нас только Аня Чапман, всё просрём, случись чего.
[/политота]
извините.
У нас есть еще Сноуден, который должен женится на Чапман... так что победим!)))
> победим!)))Валенками закидаем. На них хаки фирмвари не действуют.
На танках старых вроде только механика, так что прорвемся ))
> [политота]
> АНБ действует прицельно, и по-киношному круто, молодцы, а у нас только Аня
> Чапман, всё просрём, случись чего.
> [/политота]
> извините.По киношному есть Депардье! И это самое главное...
И Саша Грей!
Открыли америку... Видимо плохо AVP покупают, маркетинг подключился.
сколько проблем всего лишь от того, что её открыли...
До странного громкое заявление без публикаций какой либо конкретной информации вообще. Извините, но за подобный маркетинговый ход необходимо наказывать!
в pdf-е есть скриншот файла nls_933w.dll (который вроде как отвечает за перепрошивку), открытый чем-то типа фара. там же есть коды ATA-команд, которые используются.
я, конечно, понимаю, что для параноика, вечно сидящего на измене, это не доказательство, но и формулировка "без публикаций какой либо конкретной информации" тоже не соответствует действительности
> в pdf-е есть скриншот файла nls_933w.dll (который вроде как отвечает за перепрошивку),
> открытый чем-то типа фара.Даже не заглядывая в PDF предположу, что это Hiew.
А почему не закладки в BIOS или процессоре? Может ли биос переопределить драйвера устройств или нет, например?
> А почему не закладки в BIOS или процессоре?программистов не хватило на всё сразу. но ты не волнуйся, этот продукт тоже в разработке (а может уже и в эксплуатации)
> А почему не закладки в BIOS или процессоре?А потому что там на них интел уже монополию отжал. Теперь boot guard не даст тебе влить опенсорсный coreboot. Юзай UEFI с ключами микрософта и прочими универсальными паролями в духе AWARD_SW, фигли. Иначе как же это АНБшники к тебе на комп вламываться будут? Может, тебе еще сорц BMC показать? Чтоб ты подивился наглости бэкдоростроения? :)
> интел уже монополию отжалА что, computrace-bootkit http://jonathandewitt.com/content/?p=7 уже выпилили? :)
http://en.wikipedia.org/wiki/LoJack_for_Laptops
> The software behaves like rootkit (bootkit), reinstalling some programs into Windows OS at boot and
> downloading modules from Command server via Internet. The rootkit is vulnerable to some local attacks[8][9] and for attacks from hackers, who controls network communications of victim
там уже есть
Я дико извиняюсь, но никак не пойму, как прошивка, исполняемая на контроллере самого HDD может что-то отправить в сеть, которая доступна фактически через драйверы, код которых исполняется на центральном процессоре? Как она может шпионить? Есть модуль, который исполняется как программа в ОС? Тогда модификация прошивки не нужна вообще.
Нужна, отформатировав диск ты избавишься от зловреда. Ну и его сложнее обнаружить, потому что он управление получает до загрузки ОС.
Она может на лету модифицировать прочитанное с диска. Например, файл explorer.exe
Прячется в прошивке, можифицируя ее для возможности запуска зловреда. Выполняет подлог кода исполняемого файла.
А цифровая подпись разве не спасает? вроде как все стандартные бинарники винды имеют подобную защиту.
>А цифровая подпись разве не спасает? вроде как все стандартные бинарники винды имеют подобную защиту.Код может исполняться прямо из SWAP файла с диска и Винда наверное не будет проверять целостность уже загруженной в память программы. Который фирмварь-вирус модифицирует на лету когда он будет читаться с диска перед исполнением.
Вот как? То есть прошивка может по чтению секторов определить какой из explorer.exe читается, несмотря на его сотню обновлений? Или прошивка винта теперь умеет различать NTFS, EXFAT и по запросам к секторам диска определять что этот файл там содержится, затем определять его версию и подменять целые сектора, которые могут вообще относиться к чему угодно? :) А если диск ещё шифруется центральным процессором и контроллеру отдаётся в виде буфера с зашифрованными данными, то тоже можно? :)))PS. Чем то уже напоминает диалоги аудиофилов.
> explorer.exe читается, несмотря на его сотню обновлений? Или прошивка винта теперь
> умеет различать NTFS, EXFAT и по запросам к секторам диска определять
> что этот файл там содержится,Ну вообще-то EXE несложно опознать по хидерам, загрузчики пишут в специфичную область, и так далее. Так что адресно пропатчить пару файлов на наиболее популярных системах - не настолько уж и нереально.
А так то да, если взять btrfs на пяти дисках, врубить там сжатие, чексумы, CoW и прочая - беспаливно пропатчить файл превратится в рокетсайнс. Требующий вон того модуля ядра на мегабайт кода чтобы в процессе ничего не отъехало.
Достаточно использовать LUKS или TrueCrypt ещё до файловой системы :)
вот их и пропатчат
> вот их и пропатчатНапример как? Если говорить о Линукс.
/boot незашифрован, чтобы можно было хоть что-то запустить.
> /boot незашифрован, чтобы можно было хоть что-то запустить.Берем старую (стародавнюю flesh-ку, с нормальным firmware) с /boot на борту, втыкаем (если БИОС "нормальный") загружаемся с flash диска. После загрузки ядра и рам диска, флешку можно извлечь (или аппаратная защита от записи, в простонародии "рубильник" ;)
>> /boot незашифрован, чтобы можно было хоть что-то запустить.
> Берем старую (стародавнюю flesh-ку, с нормальным firmware) с /boot на борту, втыкаем
> (если БИОС "нормальный") загружаемся с flash диска. После загрузки ядра и
> рам диска, флешку можно извлечь (или аппаратная защита от записи, в
> простонародии "рубильник" ;)Загрузка через serial или jtag, не? (слаб я в этом ;)
>> вот их и пропатчат
> Например как? Если говорить о Линукс.под линуксом пока проблемы нет...
разве что если вы его под рутом скомпилируете и запустите...)))
>Вот как? То есть прошивка может по чтению секторов определить какой из explorer.exe читается, несмотря на его сотню обновлений?можно подменить ядро или драйвер
>и по запросам к секторам диска определять что этот файл там содержится, затем определять его версию и подменять целые сектора, которые могут вообще относиться к чему угодно?
судя по всему, именно так. Некоторые SSD понимают структуру файловой системы^W^W NTFS и могут что-то там оптимизировать
да и зачем возится с контроллерами, когда винда дырява по самое нехочу а в UEFI можно запихать какие-угодно трояны
> а в UEFI можно запихать какие-угодно трояныМеста не хватит. Сравни размеры UEFI и современных боевых троянов. При этом UEFI должна и что-то полезное делать.
>> а в UEFI можно запихать какие-угодно трояны
> Места не хватит. Сравни размеры UEFI и современных боевых троянов. При этом
> UEFI должна и что-то полезное делать.Скорее впаяют флешку на материнскую плату. Ну примерно как в моделях принтеров, извините, если неточно вспомню, hp laserjet p1002. При этом на данную флешку входят несколько сот Мб драйверов - делай что хочешь. В конфиге флешку можно спрятать легко (просто не показывать), а на материнке замаскировать под какую-нибудь деталь - например, сделать ее в одном из корпусов конденсаторов возле процессора. Кто их там считать будет - 5, 6 или 7 ...
Сейчас все гораздо проще и интереснее: области энергонезависимой памяти делают прямо на кристаллах контроллеров, процессоров и прочих микросхем.
> Сейчас все гораздо проще и интереснее: области энергонезависимой памяти делают прямо на
> кристаллах контроллеров, процессоров и прочих микросхем.Ужос.
штеуд собирается делать там ещё и wifi
В нашу контору присылали почтой троян на 3 килобайта! Который докачивал через прокси с NTLM-авторизацией основное тело вируса (16КБ). Плюс выдавал маскировочное окошко об "ошибке открытия word-файла".Т.е. в 3 килобайта засунули http-клиента с поддержкой прокси с ntlm авторизацией. Файл даже не пожат - если содержимое посмотреть - все ресурсы и функции видно.
Может, народу покажете это чудо?
> Может, народу покажете это чудо?Да на здоровье. Причём когда его прислали, в базах антивирей отсутствовал.
Это не rar-архив, просто переименованный exe
http://scary.evils.in/1.rar
> Я дико извиняюсь, но никак не пойму..."Не пытайтесь ничего понять! Понять — не реально! И как только вы будете привлекать знания, будет осечка, … не будет ничего получаться!" (с)
А это как в стартреке - универсальный компьютерный вирус древней цивилизации. Заражает все что можно заразить сразу при получении.
В «День независимости» так же инопланетный пепелац взломали и всю станцию заразили...
> универсальный компьютерный вирус древней цивилизации. Заражает все что можно заразить сразу при получении.Не вирус, а системного ИИ, не заражает, а интегрирует "в себя", не какой-то там древней цивилизации, а остатков хроно-экспедиции red-hat-multiverse-corporation -- а так все верно :)
> Я дико извиняюсь, но никак не пойму, как прошивка, исполняемая на контроллере
> самого HDD может что-то отправить в сеть, которая доступна фактически через
> драйверы, код которых исполняется на центральном процессоре? Как она может шпионить?
> Есть модуль, который исполняется как программа в ОС? Тогда модификация прошивки
> не нужна вообще.вообще-то в оригинале речь идёт о скрытой области диска. никакого активного вмешательства в работу системы
Что, в общем-то, и не удивительно, учитывая, что шифрование ФС происходит на CPU и сводит на нет слежение на уровне HDD.
> Я дико извиняюсь, но никак не пойму, как прошивка, исполняемая на контроллере
> самого HDD может что-то отправить в сеть,Сама по себе - никак. Но она может поробовать пропатчить какой-нибудь файл, например. Ты запускаешь файл. Хард его нагло патчит на ходу. И читается не то что ты записал. И ты запускаешь в результате ... немного не то что ты имел в виду. А например вражеский троянец.
> Есть модуль, который исполняется как программа в ОС? Тогда модификация прошивки
> не нужна вообще.Ну разумеется. Но представь себе физиономию юзера когда он все отформатил, переставил систему, и ... малварь вернулась?!
Особенно будет много мата если пользователь использует RAID на программном уровне и ОС обнаружит несоответствие :)
Вобщем-то, достаточно поставить винду - и вуаля!
> The plugin supports two main functions: reprogramming the HDD firmware
> with a custom payload from the EQUATION group, and providing an
> API into a set of hidden sectors (or data storage) of the hard drive. This achieves
> several important things:
> • Extreme persistence that survives disk formatting and OS reinstall.
> • An invisible, persistent storage hidden inside the hard drive.
а на SSD можно спать спокойно?
Можно, жестковато только.
Все больше не пользуюсь HDD, буду все выгружать в оперативу, нужное записывать на CD )
А как же блоб в прошивке привода?.. Во всех прошивках :-)
Так ведь прошивку CD также можно модифицировать.
FDD наше всё!
"Феликс" - наше всё!
У меня до сих пор 3 привода, гламурный черненький в системнике оставил, хоть Lubunt-a его и не видит. С Live-cd если что попользую, дискет штук 5 осталось ))
молодцы. в то время, как другие ныли, что это типа очень сложно или практически нереально, эти взяли и сделали
> Наиболее активное использование вредоносного ПО зафиксировано в Иране, России, Китае, Сирии и Пакистане. Атакам были подвержены финансовые, правительственные, военные, исследовательские, дипломатические и другие учреждения
> Внедрение вредоносного кода ассоциируется с группой Equation, которая связывается с деятельностью Агентства Национальной Безопасности США, но подобная связь основывается лишь на догадках и косвенных данныхничто не выдавало в Штирлице русского разведчика.
Права рута нужны, чтобы модифицировать прошивку?
> Права рута нужны, чтобы модифицировать прошивку?Нужны либо root-права, ...
...либо неисправленные дыры в ядре, позволяющие повысить свои права до root
>> Права рута нужны, чтобы модифицировать прошивку?
> Нужны либо root-права, ...
> ...либо неисправленные дыры в ядре, позволяющие повысить свои права до rootНе бывает идеальных решений на все случаи жизни, и касперский пропускает.
> ...либо неисправленные дыры в ядре, позволяющие повысить свои права до rootУязвимости обычно исправляют, а не пишут под них толстые костыли.
Если такое творится с жесткими дисками, то что можно сказать об остальном оборудовании с прошивками...Сейчас будут актуальны антивирусы для зачистки прошивок HD, да и собственно и остального железа. Это хит сезона на ближайшую перспективу...
Говорилось ведь что прошивки не есть хорошо...
> Если такое творится с жесткими дисками, то что можно сказать об остальном
> оборудовании с прошивками...
> Сейчас будут актуальны антивирусы для зачистки прошивок HD, да и собственно и
> остального железа. Это хит сезона на ближайшую перспективу...
> Говорилось ведь что прошивки не есть хорошо...Просто новый рынок формируют. Microsoft всех производителей антивирусов кинула со своим Defender (а кого она не кинула) - остальные антивирусы не лучше, но этот хоть даром входит в ОС. Windows, можно сказать, вывернулась из объятий производителей коммерческих антивирусов. Вот и формируют. Типа антивирусов для Android, MacOS etc. Теперь еще для железа. Налетай, подешевело.
в общем от скуки...
Сделать джампер на венике, который бы позволял его перепрошивать. По умолчанию его отключить. Почему так нельзя было сделать?
> Сделать джампер на венике, который бы позволял его перепрошивать. По умолчанию его
> отключить. Почему так нельзя было сделать?Не поможет. Вирус (при первичном заражении) может вывести табличку на экран -- попросить пользователя разобрать системный блок и переставить джампер!
:-)
Потому что не плуг-энд-плей. И еще место под джампер надо (актуально в эпоху телефонов толщиной в 4.6 миллиметра).
Карандашом дорожку дорисовать меж двух площадок - потом ластиком сотрёшь.
Ну а гарантии? Записал пару специальных байт в специальные сектора и вуаля - джампер на месте, прошивать можно. Или это только для собственного спокойствия?
Оленям-производителям никогда в голову не приходила идея сделать физическую защиту, т.е маленькую перемычку на плате, установка которой бы позволяла модифицировать все что вздумается?И никаких подписей не надо, и защиту не обойдешь НИКАК...
Ну дык возможность ограничить выбор потребителям гораздо вкуснее, о других вариантах никто и не думает.
их все устраивало, АНБ не бедная организация.
не поможет от таможни и прочего физического доступа, но в такой ситуации настоящие параноики один хрен считают железо испорченым
> не поможет от таможни и прочего физического доступа, но в такой ситуации
> настоящие параноики один хрен считают железо испорченымНу знаете ли. Если у злоумышленника есть физический доступ к Вашей машине, то он может сделать вообще что угодно, и обойти любую защиту.
Luks у Вас на диске, гражданин настоящий-параноик? Модифицируем бут-раздел и сохраняем пароль от шифрованного диска где-нибудь в укромном месте.
Ах, у Вас boot-раздел на выносной флешке? Вот Вам специальная клавиатура с keylogger-ом, которая выглядит точь-в-точь как та, что была у Вас раньше.
>> не поможет от таможни и прочего физического доступа, но в такой ситуации
>> настоящие параноики один хрен считают железо испорченымЖелезо можно попытаться сравнить с таким же полученным по другим каналам.
Можно попытаться прошить все фирмваре, до которой только можно дотянутся. И понятно, что если можно перепрошить не все, то значит полной уверенности вообще не может быть.> Ну знаете ли. Если у злоумышленника есть физический доступ к Вашей машине,
> то он может сделать вообще что угодно, и обойти любую защиту.
> Luks у Вас на диске, гражданин настоящий-параноик? Модифицируем бут-раздел и сохраняем
> пароль от шифрованного диска где-нибудь в укромном месте.
> Ах, у Вас boot-раздел на выносной флешке? Вот Вам специальная клавиатура с
> keylogger-ом, которая выглядит точь-в-точь как та, что была у Вас раньше.А разве на подходе к устройству, вам на голову не упало ведро со специальной трудно смываемой краской, как например вот эта штука http://www.savehome.ru/product_5082.html
Сейчас перейдем к Народной Мудрости ;)
На каждую хитрую ж.пу, найдется свой болт с правильной резьбой.
Или лучше. Не капай другому яму,... (дальше я думаю зрелому человеку все понятно).
> Оленям-производителям никогда в голову не приходила идея сделать физическую защиту, т.е
> маленькую перемычку на плате, установка которой бы позволяла модифицировать все что
> вздумается?Было же вроде -- что бы обновить BIOS, нужно было (глянуть в хэндбоок и) переставить джампер, (потом загрузиться с дискеты и все такое)
У меня в доках мат. платы 97го года кстати и фичу "mbr-av-check" (что то в этом роде) упоминали :)
Но потом перешли на "бета-тестирование юзверями"^W^W^W, соответсвенно и обновления должны были ставиться по возможности без танцев с бубном, автоматом из форточки -- все это и выпилили. Конечно, последствия в виде win95/CIH (1999-2002е) не заставили себя долго ждать -- но ведь это было так давно, что уже почти и неправда, да и основные финансовые потери понесли отнюдь не производетели прошивок и мат. плат, о нет :)
"Эксперты Лаборатории Касперского" открыли для себя возможность обновлять прошивки жестких дисков (а также материнских плат, флешек, видеокарт, и даже процессора)
Ждем антивирус Касперского для видеокарты
А ведь найдутся и на него покупатели
Ну для UEFI ведь уже выпустили, скоро для видео карт выпустят.
И для пользователя.
зачем вообще нужен механизм перепрошивки на ЖД ? прошивка багнутая - диск работать не будет - значить выкидываем его.
Чтобы не тратиться на тестирование, рано или поздно пользователи отловят все косяки, и тогда можно будет их исправить, выпустив "новую прошивку"
Чёто вы слабо. На других ресурсах не мелочатся.
Специалисты по информационной безопасности взбудоражены результатами исследования уникального шпионского программного обеспечения, предположительно производства США, которое способно заражать управляющую программу жестких дисков практически всех известных марок и делать уязвимыми любые, даже самые защищенные компьютеры.на создание вредоносного ПО такого уровня требуются годы работы десятков разработчиков и затраты, оцениваемые в миллионы долларов. И исходя из связи группы Equation Group со Stuxnet и Flame, можно с уверенность заявлять о причастности АНБ к его созданию.
Цели АНБ в России - это правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий.
Бывшие работники АНБ уже подтвердили корректность выводов исследователей.
Врут, как всегда. Оплот Света и Демократии не может создавать вирусы!
Да практически вся умная электроника и операционные системы от наших закадычных "друзей".BlackBerry OS — ОС производства канадской компании Research In Motion, контролируется спецслужбами США;
Open webOS — ОС производства американской компании Palm, перешедшей в собственность американской компании HP;
iPhone OS — ОС производства американской компании Apple;
Windows Phone — ОС производства американской компании Microsoft;
Android — ОС производства американской компании Google;
Bada — ОС производства южно-корейской компании Samsung, слита с Tizen, разработкой американской компанией Intel;
Sailfish OS — ОС производства финской компании Jolla Oy, применены мозги разваленной Nokia, контроль американскими спецслужбами слабый (только через закрытые компоненты в поставке ОС), поэтому телефоны в реальном железе нерентабельны.Китайцы. Если что-то и разрабатывают, то только для себя, а для остальных — тупо копируют чужое, что-то там "улучшают" и продают по принципу "хотя бы работает, правда непонятно как" (оно вообще работать не должно из-за выдающейся кривизны, а поди ж ты).
> американской компанииТранснацкорпы интернациональны. Государства для них просто клиены.
Расскажите это Apple и Google которые по первому требованию правительства США отключили свои магазины приложений в Крыму
Да, да. А вот когда Россия попросила от VISA и MasterCard до конца месяца заплатить 10 млрд.$ сразу + перенос всех процессинговых операций в Россию + хранение всех данных о пользователях в России, они пригрозили закрыть свой бизнес в России.Я вообще считаю, что иностранным компаниям следует запретить работать в нашей стране. Иностранные граждане сплошь шпионы, их не нужно пускать в нашу страну. А русские люди вполне смогут отдыхать в русском Крыму! Посмотрим, как они взвоют, когда у них тур. потоки упадут.
> Я вообще считаю, что иностранным компаниям следует запретить работать в нашей стране.Воистину! Покупай айподики из Сколково, брат.
> А русские люди вполне смогут отдыхать в русском Крыму! Посмотрим, как
> они взвоют, когда у них тур. потоки упадут.Беда в том, что им пох что у каких-то турков потоки упадут...
В кошмарском сами всю эту вирусню пишут и распространяют. Давно уже пора их трясти и на нары.
Я не понимаю, а почему не использовать джампер "разрешаю перепрошивку"?? Джампера нет - нет даже физической возможности стереть микруху. Элементарное решение, которое вдруг оказывается СЛИШКОМ НАДЁЖНЫМ ДЛЯ АНБ. :))
Джампер, конечно, сделать можно, но по просьбе АНБ он будет более или менее декоративным. :)
Джампер нужен пользователям. Отсутствие джампера нужно АНБ. Как же они будут внедрять свои трояны?Лично меня удивляет, что всё это обнародовано лишь сейчас.
Собственно, как эти результаты повлияют на нашу промышленную политику? Покупаем компы, переплачиваем и получается. что всё процессорное время наших компов во власти АНБ. Безотносительно сокрытия инфы от АНБ, мы несём гарантированные потери по части переплаты за скорость проца, объёмы оперативки и жёсткого диска.
А что там в дровах nvidia есть что нибудь?
Да есть. Там есть плохая карма на опенете.
А ты когда последний раз драйвер невидии под windows видел? Там кучу компонент, которые и в сеть торчат и чего только не делают.
>проблема не так проста как кажется и в основном связана с дилеммой перед производителями компьютеров, которым приходится выбирать между безопасностью и свободойФранклина на них нет:
>Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности.
Этот ваш Франклин подрывает основы государственного строя своими провокационными заявлениями! :)
Пусть жертвуют своей свободой, а не моей. Кстати, безопасности у них фактически не прибавляется, но это уже их проблема.
Зачем было из-за винды-то так париться? Она же и так сплошная дыра в АНБ и прочие заинтересованные организации. Или я что-то пропустил?
> Зачем было из-за винды-то так париться? Она же и так сплошная дыра
> в АНБ и прочие заинтересованные организации. Или я что-то пропустил?Ну просто чтобы знали. У Путина-то в кабинете стоит Пк с XP, хоть он и не пользуется, нооо...
Хотя они и так знают, и у лиц, работающих с гостайной ПК с Линуксом давно.
Откуда информация?
купил новый микрофон == теперь боюсь втыкать...
Вообще-то желтизной попахивает. Об этих штучках говорилось еще ранее - что дескать есть ряд оборудования, которое готовится специально для зондирования и подсовывается жертве. Чтобы эти зонды заработали, нужно выполнить достаточно много условностей, что массово осуществить не очень реалистично.Не факт, что зонды не присутствуют на каждом заявленном оборудовании.
Имеют место лишь единичные прецеденты для зомбируемых "секторов наблюдения".Скорее всего вещь эта эксклюзивная и реализуется кустарщиной. Мало запустить зонд - нужно еще собрать полезные сведения, выйти на сетевое соединение, отправить сведения незаметно - да это просто смешно.
Ни о каких промышленных масштабах речи пока быть не может, да и никто на такое вряд-ли пойдет. Ведь это полные кранты сопутствующим репутациям...
Не совсем технические обзорные сайты сразу стали трубить об подверженности атаке всех ОС. Но сразу было ясно что это всё та-же "замечательная" винда - рассадник зондов. Причем, новость появилась вроде как для ресурсов с преобладанием не совсем продвинутой в техническом плане аудитории. Что явно намекает о проталкивании...
Простейшие минимальные меры по защите:
-ограничить или не пользоваться виндой вообще и как правило то-же самое для закрытого софта
-возможно: ограничить объём исходящих сетевых потоков, хотя при наличии современных браузеров и в частности вебсокетов, предлогов проверки ресурсов это довольно узкое место
-для систем с повышенным риском вести мониторинг изменения файлов с регулируемой степенью детализации
АНБ? Вирусяка выгоден компании Microsoft, чтобы на UEFI переходили все поскорее. Другой пользы от вирусяки нет. :-)
Везде гуарды, в итоге скоро идентификация пользователя будет по результатам анализов. Нагадил в лоток, экспресс тест, после фраза здравствуй хозяин.А если серьезно, то такие проблемы возможно во всех частях ПК, где закрытый код. Это была шутка, хоть открытый код хоть закрытый везде дыры. А некоторые вообще существуют с момента появления программы. Например Bash и его недавняя ошибка существующая с 1 версии.
1. Нагадить
2. Провести тест
3. Сказать в микрофон: "Здравствуй, хозяин"
???
4. PROFIT
нет винды - нет проблем
В люниксе не используются диски?
нет компьютера нет проблем.
Решение простое, если оно модифицируется, пусть будет некоторая кнопка без нажатия на которую запись в память где лежит прошивка будет полностью запрещена. Данные методы используются в некоторых вида электроники и нормально. Вои и защиты от перезаписи
Рихард Штольман ещё когда об этом предупреждал.
Он таки знает в этом толк.
Уже читали на хабре.
Не ясно зачем ваш сайт вообще нужен. Все нормальные айтишники уже давно на хабре. А сюда только всякий сброд приходит, который на хабре забанили или заранее не пускают, поэтому мой вывод, опеннет - отcтойник хабра.
Ну а Линукс, ясное дело, в таком случае - отстoйник винды.
Шел бы ты отсюда, хабрушок.
а это не там случаем кармадрочеры сидят?
Нет там никакой перепрошивки фирмвари. Стандартными SATA коммандами создается HPA и весь интересный код хранится там. На контроллере HDD ничего нестандартного не исполняется.
Этому методу - 100 лет в обед. Все, кого это интересует, давно об этом знали.Вся новость о том, что в коммерческий virii making tool наконец включили готовый модуль поддержки HPA
И чё? Подумаешь, прописался на одиночном винте в ntfs, а вот Пусть попробует на рейд-массиве с ext4 так прописаться.
Скажи на милость, все индиго такие тупые? Новость о том, что ПО модифицирует прошивку КОНТРОЛЛЕРА (это зеленая плата такая с дорожками с обратной стороны винта), причем тут твой раздел в ntfs и рейд с ext4?)
Да нет, переплюнуть анонимов по грубости и тупости мало кому под силу.
>Для скрытия компонентов вредоносного ПО применялась техника модификации прошивок...То есть вредоносный код прописывается на сам винт, в раздел ntfs, а модификация прошивки лишь скрывает его присутствие. Какой толк от модификации прошивок, уже молчу, что в Линуксе не из под рута это в принципе невыполнимо, если скрывать будет просто нечего?
> То есть вредоносный код прописывается на сам винт, в раздел ntfs, апочему именно в раздел нтфс? Зачем? Cвободного места и так хватает ;)
> Какой толк от модификации прошивок,
Ну, можно например тупо подменять загрузчик (т.е конкретый запрос по конкретному адресу) -- а дальше уже действовать как "классический" буткит (a не изобретать сферические велосипеды с подменой екзешников "на лету" с помощью прошивки, как предлагалось где-то выше).
> уже молчу, что в Линуксе не из под рута это в
> принципе невыполнимо,Ну, во первых, я слышал от агенства ОБС, что и в форточке, начиная чуть ли не с хрюши, нужен под это дело рут ;)
А во вторых -- невозможно только при отстутсвии privilege escalations, а их все таки хватало:
http://seclists.org/fulldisclosure/2010/Sep/268 (ну, или тупо:
http://www.cvedetails.com/vulnerability-list/vendor_id-33/pr...)
в оригинале это кстати упоминалось> Presumably compiled in July 2008, it was first observed and blocked by our systems in December 2008.
> Fanny used two zero-day exploits, which were later uncovered during the discovery of Stuxnet.
> To spread, it used the Stuxnet LNK exploit and USB sticks.
> For escalation of privilege, Fanny used a vulnerability patched by the Microsoft bulletin MS09-025,
>В статье также предпологаетсяПредполагается, desu.
>которым приходится выбирать между безопасностью и свободойШо там отцы-основатели говорили про выбирающего безопасность вместо свободы?
>так как без исходного кода практически невозможно организовать подстановку в прошивку своего кодаИсходники не обязательны. Достаточно было получить бинарики которые можно было слить программатором если в hdd контроллерах вдруг не оказалось read protection bit'ов.
via хабр http://spritesmods.com/?art=hddhack&page=3. На некоторых дисках JTAG не отключен оказался.
>spritesmods.com/?art=hddhack&page=3. На некоторых дисках JTAG не отключен оказался."Здравствуйте!! Я нигерийский троян для Вашего HDD! Пожалуйста, подключите Ваш JTAG-программатор к Вашему HDD. ..."
Прошивки сливались чтобы разобрать протокол обновления и знать какие места патчить.
Что то плохо стали диски продаваться?!?!?! Так скока там у нас гарантийный срок на дисочки то? ;) Все что старше, вырубить!
Просто следующее заявление от Касперского будет - дайте денег из бюджета на поддержку нашего патриотического (национального) программного продукта...
Всплыло (связи с КГБ)
http://www.bloomberg.com/news/articles/2015-03-19/cybersecur...