The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

О возможности создания и внедрения аппаратного бэкдора

31.10.2010 21:53

Разработчики Ksplice, системы обновления Linux-ядра без перезагрузки, опубликовали любопытный документ, в котором показана техника имплантирования вируса в аппаратную часть компьютера. Подобный код в последующем будет очень сложно обнаружить и практически невозможно истребить (не поможет даже полная переустановка системы с нуля). Исследование содержит примеры работоспособного кода.

Чтобы произвести подобную атаку, нужно сначала разобраться с начальной загрузкой компьютера. Во время запуска компьютера, первым этапом загрузки является прохождение BIOS'ом самопроверки (POST) и запуск ROM-кода различных устройств компьютера. Эти ROM-программы позволяют правильно инициализировать устройство или позволить BIOS'у общаться с железом, про которое он ничего не знает (например, данная функция позволяет BIOS'у загрузить ОС с жёсткого диска, подключенного к SCSI адаптеру). Для этого у BIOS есть таблица прерываний, которую можно переопределить.

Суть атаки заключается в том, что атакующий записывает в ROM-память заданной платы компьютера вредоносный код, который производит следующие действия: он переопределяет прерывание, ответственное за чтение данных с жёсткого диска компьютера, что позволяет внедрить свой код в загружаемое Linux-ядро, путём переписывания части его кода. Поскольку ядро Linux является крайне сложной хорошо упакованной программой, нельзя переписать случайный кусок кода, ибо это может привести к неработоспособности системы. Поэтому зловредный код переписывает достаточно длинное сообщение об ошибке внутри ядра, при этом заменяя точку вхождения в ядро.

Этот зловредный код в свою очередь устанавливает в ядре Linux модуль для обработки обычно неиспользуемого 163 протокола и изменяет точку вхождения в ядро, чтобы модуль автоматически запустился. Затем ядро продолжает обычную загрузку. Нужно отметить, что все эти операции происходят совершенно незаметно для пользователя. Данный модуль заставляет Linux отвечать на запросы при обращении по 163 протоколу, запуская нужное приложение, например, /bin/bash с правами суперпользователя.

Чрезвычайная опасность этой атаки состоит в том, что найти зловредный код достаточно сложно, как и сложно отследить паразитный трафик, ведь он не принадлежит ни одному из популярных сетевых протоколов (ARP, TCP, UDP, ICMP). Другая не меньшая опасность состоит в том, что многие компоненты компьютера содержат так называемый firmware - ROM-программу, которую можно перезаписать, что позволит перевести обычный вирус в разряд необнаруживаемых.

Хотя данное исследование нацелено на взлом ядра Linux, описанную технику гораздо проще реализовать против других операционных систем с менее изменчивым кодом, например, ядро Windows обычно не меняется на протяжении минимум трёх лёт, тогда как новые версии Linux выходят почти каждые три месяца.

  1. Главная ссылка к новости (http://blog.ksplice.com/2010/1...)
  2. OpenNews: Концепция руткита, интегрируемого в BIOS
  3. OpenNews: Новый способ внедрения rootkit в Linux ядро
  4. OpenNews: Linux системы более подвержены атакам на уязвимость в CPU Intel ?
  5. OpenNews: Уязвимость в процессорах Intel, позволяющая выполнить код на уровне SMM
  6. OpenNews: Модуль ядра Linux для распознавания rootkit'ов
Автор новости: Artem S. Tashkinov
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/28481-security
Ключевые слова: security, linux, kernel, virus, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (130) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, fidaj (ok), 22:40, 31/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    не тот ли это тип "вируса" о котором писал когда-то давным-давно Крис Касперски?
     
     
  • 2.20, Anonimous (?), 00:11, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Касперски писал о вирусе использующем баги в микрокоде процессора.
     
     
  • 3.114, Michael Shigorin (ok), 01:12, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Крис Касперски много чего писал, вот только читать это обычно незачем.
     
     
  • 4.116, fidaj (ok), 01:23, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Крис Касперски много чего писал, вот только читать это обычно незачем.

    это почему же?

     
  • 2.36, User294 (ok), 01:17, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Это древняя страшилка о том что вирус может в принципе прописать себя в флеш Wi... большой текст свёрнут, показать
     
     
  • 3.51, multipath (ok), 03:15, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А ты видел последние вирусы?
     
  • 3.67, ананим (?), 10:20, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    вы уверены, что правильно прочитали новость?
    речь идет о ром-памяти уже установленных устройств.
    не говоря уже о фирмварях.
    т.е. речь идет о закладках чисто программных. забавно что до этого додумались только что.
     
     
  • 4.69, User294 (ok), 11:02, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Вообще, в современных писюшниках таких не сильно то и много то что стандартно н... большой текст свёрнут, показать
     
     
  • 5.73, ананим (?), 11:36, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    странный вы какой-то.
    можно подумать только машины блондинок с фейсбуками и интересны.
    меж тем госструктуры, спецподразделения, банки и пр. тоже проводят закупки во всех отношениях обычных писюков.
    и смотришь так на разнообразие железа и понимаешь, что реально уникальных типов винтов штук 5, сд/двд - 3, видео - 3, рэйд - 5,...
    операционок/ядер - 6-8, смотря как считать
     
     
  • 6.119, User294 (ok), 02:23, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, только если допустить что вы можете на заказ собрать банку писюки - тут возм... большой текст свёрнут, показать
     
  • 5.90, zazik (ok), 13:04, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Выше уже отписали. В крупных конторах стараются железо унифицировать, чтобы и ось разливать проще и запчасти менять. Так что поле деятельности для целенаправленного внедрения вируса широкое. Поделить его, условно, на два модуля(взаимодействие с конкретным железом и, собственно, зловредные действия) и модифицировать под разные организации. А парк железа можно через открытые электронные аукционы выяснить.
     
     
  • 6.120, User294 (ok), 02:36, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ага, в итоге вирус будет сильно напоминать операционку и весить будет столько же... большой текст свёрнут, показать
     
     
  • 7.123, zazik (ok), 09:13, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален А что мешает запретить выполнение файлов с флэшки В вин... большой текст свёрнут, показать
     

  • 1.2, Дмитрий Ю. Карпов (?), 22:52, 31/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ROM - это Read Only Memory. И она действительно д.б. Read Only, т.е. неизменной, только для чтения.

    На крайний случай в BIOS д.б. возможность восстановления исходного состояния BIOS. Это на случай порчи его при заливки новой версии и ряда др.случаев.
    При старте должен стартовать BIOS, зашитый в ROM (которая действительно Read Only, а не просто энергонезависимая Flash-память). Далее при нажатии некоторой кнопки стартовый ROM должен перезаписывать во Flash BIOS из ROM. Без нажатия кнопки запускается BIOS из Flash.

    А вот интересно, где завирусованный BIOS собирается хранить модуль 163-го протокола? Если на диске - это сносится переформатированием диска (особенно если на другой машине). А во Flash-памяти места явно маловато - там всё рассчитано под BIOS.

     
     
  • 2.4, Аноним (-), 22:57, 31/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ROM - это Read Only Memory. И она действительно д.б. Read Only,
    > т.е. неизменной, только для чтения.

    только вот я уже лет пять как ROM нигде не видел, сейчас везде перезаписываемый Flash


     
     
  • 3.8, croster (ok), 23:15, 31/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Если не изменяет память, то на материнке должна быть защита от перезаписи BIOS (в том числе и от перепрошивки).
    p.s. А в Gigabyte-ах с двумя BIOS второй (резервный) разве не Read Only?
     
     
  • 4.11, EduardGL (?), 23:32, 31/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    как тогда работает flashrom? http://flashrom.org/Flashrom да и любой другой тривиальный BIOS update...
     
     
  • 5.22, Anonimous (?), 00:14, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > как тогда работает flashrom? http://flashrom.org/Flashrom да и любой другой тривиальный
    > BIOS update...

    Дело в том что для хранения кода биос уже давно используется не ROM, а EEPROM

     
     
  • 6.110, EduardGL (?), 21:12, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    да я вроде как в курсе.
     
  • 4.12, Гога (?), 23:43, 31/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Дефолтом защита от записи установлена. CIH98 приучил к этому изготовителей материнок. Кстати, у Gigabyte столкнулся с другой дурью - на мамах с G33, если в BIOS разрешить USB kb/mouse, то фряха при установке матерится на оборудование (при инициализации ACPI). Поймал случайно, менял разные компоненты оборудования - устойчивый глюк (3 мамы, 8 слотов памяти, разные корпуса, разные HDD - эффект повторяется), по крайней мере с E7500 и FreeBSD 8.0 - 8.1 (7.2, вроде тоже - не буду врать, кажется проверял, но не помню). Может, кто сталкивался, или только мне повезло :)?
     
     
  • 5.19, Анономус (?), 00:08, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    У меня FreeNAS на MSI P865 при включенной USBkbd стабильно ругается на USB и не стартует:)
     
  • 5.21, pavlinux (ok), 00:12, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Кстати, у Gigabyte столкнулся с другой дурью - на мамах с G33,
    > если в BIOS разрешить USB kb/mouse, то фряха при установке матерится на оборудование
    > 3 мамы, 8 слотов памяти, разные корпуса, разные HDD - эффект повторяется

    Угадай, с одного раза, где бага?! :)

     
  • 5.40, User294 (ok), 01:37, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Да вот тут кто-то недавно в коментах сильно чертыхался что в freebsd поддержка acpi жутко кривая. Видимо вы на своем заду проверили этот факт лишний раз.
     
     
  • 6.65, Аноним (-), 08:57, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    самое смешное что код ACPI он одинаковый - что в linux что в bsd :)
    единая эталонная реализация имени Intel.
     
     
  • 7.70, User294 (ok), 11:04, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Еще кстати производители биосов молодцы - кривые таблицы ACPI у них в порядке вещей. Винда как-то хавает. Пингвин жестоко матерится в логи но тоже как правило хавает.
     
     
  • 8.77, Nicknnn (ok), 12:05, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    на самом деле нужно смотреть глубже Это кусочек dmesg с инфой о найденых ACPI т... большой текст свёрнут, показать
     
  • 5.79, Аноним (-), 12:12, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а зачем во фряхе ацпи?
     
  • 2.5, EduardGL (?), 22:59, 31/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    при производстве, например. то есть выходит железка с уже вшитым кодом вируса
     
     
  • 3.41, User294 (ok), 01:42, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –6 +/
    А это вы случайно не про интеловский AMT А то фича в принципе позволяет закатит... большой текст свёрнут, показать
     
     
  • 4.105, Filosof (ok), 16:43, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Эт вы батя немного поодстали Этот супер Интел АМТ - это кривая релизация ipmi ... большой текст свёрнут, показать
     
     
  • 5.115, Michael Shigorin (ok), 01:21, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну у меня на X61t есть, в BIOS отключена Лень возиться с помершим openamt На... большой текст свёрнут, показать
     
     
  • 6.129, Filosof (ok), 20:31, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я ж говорю - кривая - В версии 3 0 кажись была уже возможность заходить в би... большой текст свёрнут, показать
     
  • 4.113, Зилибоба (ok), 01:08, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    таки на серверах мамки рулятся удаленно в обход ос - удивил?
     
  • 2.7, filosofem (ok), 23:13, 31/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Внедрение происходит методом социнженерии.
     
  • 2.37, User294 (ok), 01:24, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Истинно однократная масочная память имеет один крупный минус если в биосе баг... большой текст свёрнут, показать
     

  • 1.3, EduardGL (?), 22:53, 31/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    возможно, но нужно учитывать все, вплоть до версии BIOS и так далее. либо найти универсальное уязвимое место. для этого нужно вбухать много времени, или привлечь для этого распределённые ресурсы. ;) больше предназначено для напрвленного взлома.
     
     
  • 2.17, Аноним (17), 23:54, 31/10/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тогда можно сказать что Linux меняется с каждым коммитом - никто не запрещает тебе пересобирать его каждый раз. Только этого никто не делает, как и не ставит все подряд обновления мелкомягких. У большинства стоит какой-ть прогнивший пиратский Windows хз сколько летней давности.
     
     
  • 3.86, delirium (ok), 12:46, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы только о РФ говорите?
     
  • 2.24, pavlinux (ok), 00:20, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > бред! ядро Windows меняется чаще ....
    > http://tinyurl.com/2b23p5l

    Бредовый ты наш, сам то смотрел? :)

    Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (981957)
    [b]Published: October 12, 2010[/b]

    Vulnerability in Windows Kernel Could Result in Elevation of Privilege (920958)
    [b]Published: August 08, 2006[/b]


     
     
  • 3.81, Аноним (-), 12:21, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как все запущено то у вас, вы даже не знаете как маркируются обновления безопасн... большой текст свёрнут, показать
     
     
  • 4.85, pavlinux (ok), 12:36, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как все запущено то у вас, вы даже не знаете как маркируются
    > обновления безопасности Майкрософта...

    Делать мне больше нех... как следить за маздаем.
    Я даже на виртуалках его снёс и вайна нету :)

     
  • 4.88, ананим (?), 12:57, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а почему сразу центос? возьмите генту. :D

    если всё же держаться темы сабжа, то речь можно вести только о времени жизни ABI.
    всё.

    тем более:
    >...по-умолчанию в Windows включена функция Автоматического обновления, поэтому обновления скачиваются и устанавливаются в автоматическом режиме....

    вообще не в тему. тем более что винда может обновлятся даже если А(с_большой_буквы)втоматическое обновление выключено.
    вы не трухин случайно? а то много около-виндовых слов в её защиту и точечные удары по ядру рх - методы пиар-отдела.

     
  • 4.117, Michael Shigorin (ok), 01:36, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > вы даже не знаете как маркируются обновления безопасности Майкрософта...

    Мы тут, простите, с головой дружим, а не с маркировкой дырок по версии некрософта.

    PS: попытки упорного называния чёрного белым и рекламы закрытого софта удаляются.

     
  • 2.25, XoRe (ok), 00:24, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > бред! ядро Windows меняется чаще в дистрибутиве, чем выходят новые версии ядра
    > Linux, а уж тем более обновляются в дистрибутивах... или вы считаете
    > название Windowsа ядром?! это является в корне ошибочным и безграмотным...
    > история изменения ядра Windows: http://tinyurl.com/2b23p5l

    У linux ядро - это конкретный файл ядра (обычно лежит в boot) + файлы-модули (обычно лежат где-то типа /lib/modules).
    А что вы понимаете под ядром у Windows?
    Какой файл/какие файлы?

     
     
  • 3.35, pavlinux (ok), 00:57, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Различают 4 версии ядра ntoskrnl exe 8212 однопроцессорное ядро Windows ntk... большой текст свёрнут, показать
     
     
  • 4.121, Аноним (-), 04:55, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Оффтоп. Что весело, эти имена файлов (и куча других системных) укладываются в досовский формат 8.3. Это они для совместимости, под 3.1 пускать хотят? Всегда умиляло
     
  • 4.135, XoRe (ok), 11:59, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Различают 4 версии ядра:
    > ntoskrnl.exe — однопроцессорное ядро Windows;
    > ntkrnlmp.exe — многопроцессорное ядро Windows;
    > ntkrnlpa.exe — однопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти
    > (RAM);
    > ntkrpamp.exe — многопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти
    > (RAM).

    Спасибо)
    Я к тому, что обновлений, затрагивающих данный файл(ы), мало.

     
  • 2.53, Алексей (??), 04:19, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +7 +/
    НАДОЕЛО!
    Перестаньте уже скрывать в сообщениях истинные ссылки через использование коротких ссылок.
     
     
  • 3.118, Michael Shigorin (ok), 01:39, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > НАДОЕЛО!

    А вы их не цитируйте вдобавок -- рекламируют, так "к модератору" и всех делов.

     
  • 3.134, XoRe (ok), 11:56, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > НАДОЕЛО!
    > Перестаньте уже скрывать в сообщениях истинные ссылки через использование коротких ссылок.

    Специально для вас:
    http://tinyurl.com/preview.php

     

  • 1.10, Аноним123321 (ok), 23:26, 31/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    суть этих bios-backdoor такая что работать они будут в 50% случаев, а в остальных % случаев -- будут создавать глюки [ну тоесть комп будет работать хренова, и исследователям конешно же захочется проверить почему же это всё так хреново]

    в итоге -- затея не окупит себя:

    если встраивать такие биосы например во _все_ серии какойто платы -- то из-за глюков сия злонамеренная акция -- будет раскрыта

    а если встраивать не во все а только в _определённые_ то появляется вопрос "как распространять?"

    если придумать какойнить "хитрый" механизм когда вирус активирует своё заражение только после того как сетевая карта компьютера получает определённый набор байтов -- то это -- слишком костыльная идея [так как слишком уж хитрым должен быть механизм, чтобы он не включился случайно, когда в _оперативную_ память попало случайно этаже байтовая последовательность]

    если при обнаружении вируса производители плат будут говорить фразы типа "наверно вирус попал на flash-ROM-память уже _после_ того как компьютер побывал в эксплуатации" -- то мода на платы, где flash внутри ROM будет пропадать

    ...если вирусное заражение обнаружется на плате в которой ROM оказался _УЖЕ_ не flash -- то что тогда скажут в оправдание производители плат? сморозят какойнить совсем детский бред? (типа: "этот кусок кода попал случайно и предназначался он для инсталляции обновлений для устарелых систем космических спутников 15-летней давности")

     
     
  • 2.15, EduardGL (?), 23:49, 31/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    не совсем геморрно, если подумать, что прошивка есть и в контроллере сетевухи ;) и во многих вещах. принтер, подключенный к сети. факс, телефон. не обязательно комп, или сильно глубоко в нем.
     
     
  • 3.39, User294 (ok), 01:28, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > не совсем геморрно, если подумать, что прошивка есть и в контроллере сетевухи ;)

    У половины сетевух boot ROM вообще не присутствует, только кроватка для него. Удачи в записи в пустую колодку: если вы сможете записать хренадцать килобайтов в воздух а потом еще и прочитать их сможете - нобелевка вам обеспечена! :).Кстати записать в boot ROM сетевухи что-то не так уж тривиально даже если он и есть. Извиняюсь, тулзов для легитимного то зашивания ROM средствами сетевухи - хрен найдешь по жизни, а вы про вирусы какие-то :)

     
     
  • 4.84, mr_gfd (?), 12:33, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> не совсем геморрно, если подумать, что прошивка есть и в контроллере сетевухи ;)
    > У половины сетевух boot ROM вообще не присутствует, только кроватка для него.
    > Удачи в записи в пустую колодку: если вы сможете записать хренадцать
    > килобайтов в воздух а потом еще и прочитать их сможете -
    > нобелевка вам обеспечена! :).Кстати записать в boot ROM сетевухи что-то не
    > так уж тривиально даже если он и есть. Извиняюсь, тулзов для
    > легитимного то зашивания ROM средствами сетевухи - хрен найдешь по жизни,
    > а вы про вирусы какие-то :)

    Куку, бутром нонче можно впаковать с мамковый биос. И будет работать (сюрприз!).

     
  • 4.111, EduardGL (?), 21:17, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    опять же не об этом немного речь, а о производственном внедрении саботажного кода в ROM девайса. с принтерами немного легче, перепрошивается. задача облегчается еще и тем, что там 486 да пентюки с EEPROM
     
     
  • 5.125, Frank (??), 15:54, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    у принтеров (а точнее, вин-принтеров) прошивка хранится исключительно в RAM-памяти и теряется при выключении питания, а при следующем включении снова подаётся драйвером с компа, так что хранить вирус в принтере не выйдет
     

  • 1.13, Аноним (-), 23:44, 31/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Слоупоки проснулись. Об этом пиал Крис, на это производила атаки Яна Рутковская, сейчас (как раз через годик-другой) это дошло и до ksplice.
     
     
  • 2.56, Алексей (??), 04:25, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вот только она не Яна, а Joanna. Не нужно писать сообщения в такой форме, будто вы пили на брудершафт с Касперски и Рутковской.
     
  • 2.78, Аноним (-), 12:09, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Слоупоки проснулись. Об этом пиал Крис, на это производила атаки Яна Рутковская,
    > сейчас (как раз через годик-другой) это дошло и до ksplice.

    Они писали про скрытие наличия руткита через SSM или через прошивку BIOS с руткитом. В статье ksplise про автоматическую правку ядра из-за особенностей инициализации pci-карт.

     

  • 1.14, Ананимуз (?), 23:49, 31/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Внезапно! BIOS можно перезаписывать! Опять же, внезапно, прошить можно не только легитимный код.
    Но вот что код BIOS'а считается железом, этого я действительно новость.
     
     
  • 2.42, User294 (ok), 01:50, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ну, карты втыкаемые в, допустим, PCI - определенно, железо. И там может стоять довесок к BIOS вполне. Правда вот способ впихивания бэкдоров получается какой-то очень уж непрактичный.
     

  • 1.16, Гога (?), 23:52, 31/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кстати, не забуду один вирус еще под досом. Собирали тогда системы под МикроPC. Устанавливали ось, базовый пакет утилит, передавали технологам, те ставили свой софт и, после первой же перезагрузки биос не находил загрузчика в мбр. После третьей переустановки запустили тогда еще крутой докторвеб. OneHalf! - эта зараза, очень умная во всем, почему-то тупо писала себя в mbr, там, где он его предполагал даже без поиска или анализа, а у микрописей он отличался от обычного мс-дос. Так что вирусописатели даже профи часто халтурят, что радует :)
     
     
  • 2.32, demimurych (ok), 00:47, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    вы тут такой ахинеи наговорили что просто уши в трубочку свернулись.

    MBR всегда находится в одном месте.
    его местоположение никак не зависит от операционной системы.

     
     
  • 3.94, Аноним (-), 14:19, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ахинею пишете вы, т.к. человек говорит о MicroPC.
     
     
  • 4.109, demimurych (ok), 19:44, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    да что вы?

    а ну как расскажите как мне каким образом положение MBR зависит от ОС?

    более того расскажите как мне, каким образом неверное определение о пложении МБР могло повлиять на загрузку системы?
    Ведь вирус прописал СЕБЯ НЕ ТАМ, и как следствие даже стартовать не может.

    ну а на закуску, погуглите уж наконец почему OneHalf валил микро пс.

    угу?

     
  • 2.50, StrangeAttractor (ok), 03:14, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > OneHalf!

    О да! Это был единственный вирус, который я наблюдал в живую на своём компьютере.

     

  • 1.18, 568756784 (?), 23:56, 31/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    да, 163-й протокол - очень страшный протокол. прям голливудский фильм какой-то
     
     
  • 2.80, Аноним (-), 12:14, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > да, 163-й протокол - очень страшный протокол. прям голливудский фильм какой-то

    не порт, не TCP, не UDP, не ICMP, а IP-протокол с идентификатором 163.

     

  • 1.26, pavlinux (ok), 00:28, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Более интересует возраст разработчиков Ksplice.
    По-моему, они MSDOS, хотя бы 6.22, не застали!
    И только вчера узнали, что из Юзерспейса можно
    перешивать EEPROM, предварительно приготовив как нужно.
    А если открывалкой для консервов (если они такую знают),
    вскрыть их Мacbookи или PowerMac_и, и с размаху ткунь отверткой,
    то можно вызвать крах системы.


     
     
  • 2.28, XoRe (ok), 00:40, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Более интересует возраст разработчиков Ksplice.
    > По-моему, они MSDOS, хотя бы 6.22, не застали!
    > И только вчера узнали, что из Юзерспейса можно
    > перешивать EEPROM, предварительно приготовив как нужно.
    > А если открывалкой для консервов (если они такую знают),
    > вскрыть их Мacbookи или PowerMac_и, и с размаху ткунь отверткой,
    > то можно вызвать крах системы.

    Ну а что делать - время летит.
    Вы им ещё можете рассказать, как на старых-престарых мониторах можно было управлять лучем, как им можно было выжигать люминофор программным путем)

     
     
  • 3.29, pavlinux (ok), 00:44, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Более интересует возраст разработчиков Ksplice.
    >> По-моему, они MSDOS, хотя бы 6.22, не застали!
    >> И только вчера узнали, что из Юзерспейса можно
    >> перешивать EEPROM, предварительно приготовив как нужно.
    >> А если открывалкой для консервов (если они такую знают),
    >> вскрыть их Мacbookи или PowerMac_и, и с размаху ткунь отверткой,
    >> то можно вызвать крах системы.
    > Ну а что делать - время летит.
    > Вы им ещё можете рассказать, как на старых-престарых мониторах можно было управлять
    > лучем, как им можно было выжигать люминофор программным путем)

    :)
    А на совсем первых хардах, можно было блины ключом на 14 центровать :)

     
     
  • 4.30, XoRe (ok), 00:46, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > А на совсем первых хардах, можно было блины ключом на 14 центровать
    > :)

    Это как? =)
    Я тут недавно последние харды "центровал" - открыл крышку и пальцем прижимал блины, чтоб они притормаживали.
    ubuntu сильно ругалась (но работала) =)

     
     
  • 5.33, pavlinux (ok), 00:47, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> А на совсем первых хардах, можно было блины ключом на 14 центровать
    >> :)
    > Это как? =)

    Они были размером со стиральную машину,... ща мож фотки найду.

    Блин - http://alldayplus.fanstudio.ru/2010/5_26-2/15.jpg
    Вот тут, где 1973 год, http://schools.keldysh.ru/sch444/museum/1_17-70.htm
    Там IBM 3340, ну и наши потом сделали для EC ЭВМ.

    P.S.
    Хе, какое хорошее название для харда - стиральная машина. :)

     
     
  • 6.131, XoRe (ok), 03:59, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Блин - http://alldayplus.fanstudio.ru/2010/5_26-2/15.jpg
    > Вот тут, где 1973 год, http://schools.keldysh.ru/sch444/museum/1_17-70.htm
    > Там IBM 3340, ну и наши потом сделали для EC ЭВМ.

    Дааа, такое только ключем и центровать... гаечным =)
    - Слыш, семеныч, что-то диск стал сбоить - пора проверить на ошибки.
    - Сейчас ключ достану, простучу, проверим, где ошибки.

     

  • 1.27, XoRe (ok), 00:36, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вспоминается время интересных вирусов.
    Помнится, был вирус (ещё под DOS), который считывал mbr и начало таблицы разделов, и затирал их.
    А потом выдавал пользователю сообщение, типа я вирус, если сейчас перезагрузишь комп - он уже не загрузится и данные свои ты потеряешь.
    А потом выдавал стих без последней строчки и предлагал дописать недостающую строчку.
    Если правильно допишешь - он возвертает mbr и таблицу разделов на место...

    Или ещё вирус (тоже под DOS) - перехватывает прерывание презагрузки, показывает строчки "типа биос", и рестартует стартовые файлы DOS - типа перезагрузился.

    Или другой вирус - находил неиспользуемые секторы в конце жесткого, форматировал их, и прописывал свое тело туда (в дополнение к тому, что поражал бинарники и менял точку входа).

    А ещё были вирусы, которые прописывали себя в исходники на C, на паскале...
    Были даже те, которые прописывали себя в OBJ файлы...
    Вот это, я понимаю, были вирусы, была романтика.
    Не то, что сейчас: написал на VB/delphi прогу, которая прописывает себя в автозагрузку - все, уже вирус.
    Какой там анализ PE, какое там менять точку входа, какой там ассемблер...
    Можно вообще до такого уровня не углубляться - достаточно уметь скопировать себя поглубже, да добавить ярлычок в "Автозагрузка".
    Прямо как книжка "Написание вируса под Windows за 5 минут для чайников".

    Так вот.
    Могу предположить такую вещь.
    Раз написание вируса под linux - дело нетривиальное, то нас снова ждут интересные вирусы под эту ОС.
    Ведь пытаться писать вирусы все равно будут.
    А до нас будут доходить самые жизнеспособные, самые серьёзные вирусы.
    И обезвреживать их будет целое приключение)

     
     
  • 2.31, pavlinux (ok), 00:46, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А я чёго-то смотрю никто про EFI не пишет, так это просто 294-й ещё не пришёл.
    Придёт - расскажет, шо БИОС ацтой, EFI наше фсё!!!


     
     
  • 3.45, User294 (ok), 02:14, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Не, поприкольнее будет он расскажет про то что пока вы тут дрюкались с концепта... большой текст свёрнут, показать
     
     
  • 4.52, StrangeAttractor (ok), 03:25, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > да еще и умудряется позиционировать это как "фичу" :)

    Представляю себе чейнджлог: [+] обновлена база операторов чтобы требовать отправки платной SMS для загрузки ОС. [+] добавлена возможность открыть анонимный SMTP-relay на уровне BIOS...

     
  • 4.62, klalafuda (?), 07:52, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Одно не понимаю зачем добавлять в систему дополнительный процессор, если уже ст... большой текст свёрнут, показать
     
     
  • 5.63, klalafuda (?), 08:10, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Одно не понимаю: зачем добавлять в систему дополнительный процессор, если уже сто лет в обед как есть SMI и флеш? 'Все уже украдено до нас'. Да, рисовать такой малварь несколько муторно. Но при большом желании вполне возможно - концепты уже были. И поведение и возможности SMI малвари будет ни чуть не хуже, чем описываемое выше. Вопрос лишь в желании, ресурсах и времени.

    Собственно говоря, как пример публичного концепта: http://www.phrack.org/issues.html?issue=66&id=11#article

    И это лишь один из примеров. Да, это не в автостарт в регистри прописаться. Но имея на борту хорошо сбитый тим грамотных инженеров и четко поставленную цель вполне возможно за разумный временной интервал сделать реальный боевой малварь. Впрочем, явно не для того, чтобы снифить пароли юзеров в фейсбуке :)

     
     
  • 6.82, pavlinux (ok), 12:27, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > ... явно не для того, чтобы снифить пароли юзеров в фейсбуке :)

    Захват галактики?


     
     
  • 7.89, ананим (?), 12:59, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    паруса, 1с,..
     
  • 4.68, anonymous (??), 10:59, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Дяденька, вы такой умный, а вы IPMI не пользовались ни разу? И каково оно случается, когда удаленно только через него можно нормально систему загрузить?
     
     
  • 5.72, User294 (ok), 11:08, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –6 +/
    А теперь подумайте о том что сетевой трафф идет процу с неизвестной фирмвариной. И что она там делает - одному Интелу известно. И, кстати, если там есть бэкдоры - любой кто знает как им пользоваться может в любой момент резко вас нагнуть. Там например режим проброса харда есть, VNC и прочая. Прикольно так - можно чей-то винч пробросить по сети без его ведома, позырить на экран, etc. Супервозможности идут в комплекте с суперрисками и супергеморроем, извините :)

    ЗЫ хакерам на заметку: фирмварина этого проца тоже по идее обновляемая... представляете какой можно кульный сделать руткит в параллельном мире? Там его точно ни один антивирус не найдет. Вообще! :)))

     
     
  • 6.74, klalafuda (?), 11:46, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/

    Хосты с BMC контроллером на борту ещё поискать нужно.
     
  • 6.102, anonymous (??), 16:38, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вы таки отрыли для себя Америку? Да, IPMI все это может. И что? Спецификация IPMI открытая, по ней делалась FreeIPMI. И ACL никто еще не отменял. И вообще, эта фишка отключается в BIOS если не нужна. Найдете дыры в ихней реализации, тогда и поговорим. Сейчас от вашего потока сознания вообще ничего путного нет.
     
  • 4.132, XoRe (ok), 04:06, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > BIOS для фичи disabled, вы можете только ... кхе-кхе, верить в
    > честность и безбажность Intel, ага :))). Учитесь как бэкдоры надо делать!
    > И, главное, фирмварина этого проца ессно закрытая. Так что гарантий что
    > там нет очередной "магии" в стиле AWARD_SW - в общем то
    > и нету нифига. Съели? :) И, кстати, а сколько процентов бакланов
    > вообще знают о том что такая фича - вообще есть, при
    > том в достатчно большом количестве писюков и лаптопов на основе чипсетов
    > интеля? А сколько из них вообще в курсе - в каком
    > состоянии фича и т.п. в ДАННЫЙ момент времени в их машинах?
    > :)))

    Никак на работе новый сервер купили с IPMI ? =)

     
  • 2.34, FPGA (ok), 00:55, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > И обезвреживать их будет целое приключение)

    Не надо нам таких приключений... Скорее бы нормальную оболочку с chroot сделали в Ubuntu, чтобы можно было действительно любые программы безопасно запускать и не бояться...

     
     
  • 3.43, Иван Иванович Иванов (?), 02:09, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    chroot = безопасные программы?

    Уже пять минут лежу под столом. Вы следите сколько дыр в самом ядре находят? Вы в курсе, что из обычного chroot'a выйти как два пальца ...ть? Вы в курсе, что даже из виртуальной машины выйти можно (в vmware багов штук пять находили - не меньше, сколько ещё неафишированных - неизвестно)?

    Вы в курсе, что бывают гипервайзеры уровня ОС (концепты - не более), которые работают поверх неё?

    100% безопасная песочница - это отдельный компьютер.

     
     
  • 4.55, User294 (ok), 04:24, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > 100% безопасная песочница - это отдельный компьютер.

    Не подключенный к сетям и полностью обесточенный. Иначе 100% могут и не получиться...

     
     
  • 5.66, zazik (ok), 09:58, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Достаточно к сетям не подключать. Тогда не будет(не беря в расчёт питание/вибрации и т.д.) канала передачи информации и максимальный урон от вируса - уничтожение информации.
     
     
  • 6.126, PereresusNeVlezaetBuggy (ok), 18:46, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Электросеть — тоже сеть... Теоретически какую-то информацию можно получить и «слушая» скачки потребляемой мощности, например. Как минимум, думаю, можно с высокой степень вероятности определить скорость жёсткого диска, тип ОС, примерный объём оперативной памяти...
     
     
  • 7.127, zazik (ok), 19:16, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Электросеть — тоже сеть... Теоретически какую-то информацию можно получить и «слушая»
    > скачки потребляемой мощности, например. Как минимум, думаю, можно с высокой степень
    > вероятности определить скорость жёсткого диска, тип ОС, примерный объём оперативной памяти...

    Пожалуйста, прочитайте ещё раз мой комментарий внимательно. К тому же, утечку информации по техническим каналам заблокировать несложно(дорого, да). К тому же, данный метод съёма информации будет применяться в ой каких случаях только.

     
     
  • 8.128, PereresusNeVlezaetBuggy (ok), 19:21, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Точно, виноват, совсем уже сплю ... текст свёрнут, показать
     
  • 3.47, User294 (ok), 02:18, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Не надо нам таких приключений... Скорее бы нормальную оболочку с chroot сделали
    > в Ubuntu, чтобы можно было действительно любые программы безопасно запускать и
    > не бояться...

    Chroot сам по себе вообще на безопасность не влияет. Как минимум, прога должна уметь еще и setuid/setgid опосля чрута, чтобы права рута сбросить. Иначе можно обратно вылезти на раз. А без правов рута chroot как-то и не делается :). Вообще, имхо в таком качестве контейнеры выглядят более оптимистично - там изоляция еще более кардинальная чем просто chroot+setuid+setgid.

     
  • 2.38, filosofem (ok), 01:28, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Те старые веселые вирусы и им подобные, любой антивирь с закрытыми глазами найдет и будет долго смеяться - "Я тут у тебя античный вирус на диске нашел, это прикол такой?". Поэтому их и не пишут.
    А шпионская программа на высокоуровневом быдлоязыке, она ничем себя не выдает и не выделяется среди прочего говнокода и если антивирь ее сигнатуру не знает, то в лучшем случае, если антивирь очень умный, он в 50% ситуаций предположит, что это какой-то неизвестный трой. И даже если антивир знает сигнатуру, стоит только в этой проге удачно добавить парочку нопов, он опять облажается.

    Кстати для тех которые умничают не прочитав новость, сабж не про вирус и не про зловредные программы незаметно перепрошивающие биос и переопределяющие прерывания, а про бэкдор в оборудовании и как его можно удачно спрятать от обнаружения.

     
     
  • 3.44, Иван Иванович Иванов (?), 02:13, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хреновые вирусы сейчас бывают, называются rootkit'ы

    Не далее как позавчера лечил комп с такой заразой 5 часов, перерыл пол Инета.

    Вирус не обнаруживался Kasper, DrWeb, Avira и NOD32. Вирус не обнаруживался даже после загрузки с BartPE. Но я его всё же снёс.

    Эта была новая неизвестная пока модификация TDSSserv.sys http://www.computer-adviser.com/tdssserv.html

    Также советую почитать отчёт Norton'a о stuxnet. Офигеете.

     
     
  • 4.46, Иван Иванович Иванов (?), 02:15, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Many experts agree that the only way to be sure that the your computer is clean is to wipe it and rebuild, and in light of clients becoming infected with this I would have to agree, especially after having seen it return after we thought it was totally removed."

    Страшно, но правда.

     
  • 4.48, User294 (ok), 02:31, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Вот вы и офигевайте А руткиты - боян И то что антивирусы не ловят неизвестные ... большой текст свёрнут, показать
     
     
  • 5.61, klalafuda (?), 07:33, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > PS в свое время нашел не обнаруживаемый антивирями сплойт основанный на дырке с ANI курсорами в ядре винды + payload в виде небезызвестного Pinch. Который пытались вдуть через сайт косивший под легитимный. При том и сплойт на тот момент был бояном, в общем то. И пинч всем давно известен. Однако минимальная модификация, и ... и мегасуперпуперэвристика просвистела мимо. У всех опробованных антивирей. При том что модификация пинча была минимальная и даже упаковано было довольно известным пакером FSG. Оказывается таких минимальных изменений доступных даже тупым кулхаксорам достаточно чтобы отбрить все супер-эвристики нафиг. Кстати, нормальные сракеры проверяют свои поделки на предмет обнаружения антивирями до того как раздавать и опробуют несколько вариантов их модификации и упаковки. Откровенное издевательство над идеей эвристики: во всю юзаются деривативы заразы и конструкторы, а эвристика успешно пролетает, пропуская минимально модифицированный троянец, что позволяет сракерам клепать его такой чуть ли не в автоматическом режиме.

    Что удивляться? То, что ав свистят мимо, вытекает из самой природы малваря и ав. Малварь *всегда* впереди тогда как ав в свою очередь *всегда* догоняют малварь. По определению. Как следствие, у малвари всегда есть временной интервал, в течении которого она может [сравнительно] спокойно функционировать. Причем что иногда этот интервал может быть весьма большим и измерятся месяцами а то и поболее.

     
  • 3.133, XoRe (ok), 04:14, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Те старые веселые вирусы и им подобные, любой антивирь с закрытыми глазами
    > найдет и будет долго смеяться - "Я тут у тебя античный
    > вирус на диске нашел, это прикол такой?". Поэтому их и не
    > пишут.

    Це сейчас.
    А много у кого 15 лет назад на компе был антивирь с обновленными базами?
    Я про то время говорю =)

    > Кстати для тех которые умничают не прочитав новость, сабж не про вирус
    > и не про зловредные программы незаметно перепрошивающие биос и переопределяющие прерывания,
    > а про бэкдор в оборудовании и как его можно удачно спрятать
    > от обнаружения.

    В том и суть моего поста - обычные вирусы не смогут создать эпидемии в мире *nix.
    По большому списку причин.
    Но вирусописателям надо же вирусописательствовать.
    Поэтому им придется сильнее изгаляться.
    Идея про зловред, прошивающий BIOS - пример этого изгаляния.
    Можно ожидать зловреды, прошивающие сетевуху, принтер, что там ещё можно прошить.
    О, кстати, отличная идея - вирус в прошивке для yota.
    Так, чтобы вирус оказался в том cd-rom с дровами (когда первый раз вставляешь yota модем, он определяется, как usb cdrom).
    Начнешь ставить йоту, а в комплекте пойдет вирус.
    Как идея?
    А главное, звучит классически - решил выйти в инет и схватил вирус =)

     

  • 1.49, alexxx (??), 03:13, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такого рода вирус уже ловил лично году этак в 1997. Прописывался в Award BIOS  и потом грузился вместе с системой.
    Вылечилось только перепрошивкой BIOS на другой системе методом выколупливания флешпамяти(программатора не было).
    Как он попал в BIOS самостоятельно или кто-то помог не сильно важно, суть в том что BIOS или другой фирмварь потенциально уязвимы и опасность от такого  повыше будет софтовых вирусов.
    И при ряди условий не может быть обнаружена стандартными средствами...

    Как говорит знакомый эксперт по безопасности: "антивирусы ловят заразу полугодовалой давности"

     
  • 1.54, ptr (??), 04:21, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сразу мысли по теме:
    - все, что прошито можно при загрузке перечитывать и сверять, например с контрольной суммой или даже с сохраненной цифровой подписью; при не совпадении злобно ругаться
    - о грустном: если такая зараза прописалась не в биос, а в прошивку винчестера - суши весла, особенно с учетом того, что прошивка винчестера ни в биос, ни на свичах винта не блокируема


     
     
  • 2.57, User294 (ok), 04:28, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    К счастью для вас, это дико геморройно: винчи бывают разных производителей и разных моделей и версий фирмвари. Как аццкий концепт - под конкретную модель конечно можно сделать, пободавшись с хардкорнейшим реверсингом массу времени. Вот только у юзеров совсем не обязана стоять эта модель винча с этой же версией фирмвары + совсем не факт что хватит прав на прямую отсылку команд в девайс (WinCIH по этой причине напрочь не работал в NT например). В итоге соотношение геморроя и результата себя не оправдывает.
     
     
  • 3.87, Иван Иванович Иванов (?), 12:54, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Писать в firmware под NT проще простого, установив .sys для этого. Собственно, все новые rootkit'ы так и работают.
     

  • 1.58, Алексей (??), 04:32, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > атакующий записывает в ROM-память
    >записывает в ROM

    /0

     
  • 1.59, MarCo (?), 05:36, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
       Всё старо как мир. Западные производители встраивали в своё время бэкдоры в писюки, чтобы отслеживать распределение персоналок на территории СССР. И был такой вирус DIR, который записывался на защищённые от записи дискеты. И были люди в наше время ..., которые при помощи Pctools вырезали вирусы из бинарников, восстонавливали программы и системы.
     
     
  • 2.64, ram_scan (?), 08:45, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Про то что кто-то мог записаться за нащищенную от записи дискету - проверяйте датчик в дисководе. Там режим записи аппаратно блокируется. Если дисковод исправен то записать на дискету с заклееной дыркой ничего невозможно в принципе.
     
  • 2.75, б.б. (?), 11:49, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > И был такой вирус DIR, который записывался на защищённые от записи дискеты.

    И сгрызал все кактусы вокруг. Знаем, знаем...

     

  • 1.60, klalafuda (?), 06:56, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/

    Боян же дикий. Концептов BIOS вирусов AFAIR было уже предостаточно. Некоторые даже вроде как работали. Конечно, целевая платформа была MS Win, но это ровным счетом ничего не значит и лишь дань популярности - против лома нет приема.
     
  • 1.71, SubGun (ok), 11:07, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Последняя фраза сразу развеяла все сомнения в умственных способностях автора: "ядро Windows обычно не меняется на протяжении минимум трёх лёт, тогда как новые версии Linux выходят почти каждые три месяца." Тролль, не более того.
     
     
  • 2.93, ананим (?), 13:19, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    банальная проверка времени создания ntoskrnl.exe и ntkrnlpa.exe выявило идентичность с временем последнего сервиспака.
     

  • 1.83, Аноним (-), 12:31, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Перемычку защиты от записи вирус как снимает? :)
     
     
  • 2.91, zazik (ok), 13:11, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Перемычку защиты от записи вирус как снимает? :)

    Игнорирует?

     
  • 2.95, Аноним (-), 15:11, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Перекусывает же.
     
  • 2.103, pavlinux (ok), 16:40, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не, он подаёт такое сильное магнитное поле на диск, что головки сами прилипают. =-o
     

  • 1.92, Аноним (-), 13:15, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вспоминается старая история про забытую музыкальную открытку в системном блоке. Человек подумал что вирус. В процессах ничего лишнего... Выключил компьютер - музыка есть. Подумал что вирус в BIOS - во времена DOS'а конечно же не было руткитов, было похуже! Обесточил - музыка есть! Хитрый вирус питается от батарейки!!! Ааа!! оказалось, дело в забытой в системном блоке открытке...
     
  • 1.96, Аноним (-), 15:32, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Техническая возможность этого класса вирусов появилась с появлением EPROM.
    В Windows можно перезаписывать BIOS напрямую, а современные производители поставляют защиту от подобных приколов (к примеру тот же Double BIOS)
     
  • 1.97, Аноним (-), 15:34, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О стабильности ядер - рассмешили.
    Конечно, у микроядра релизы реже, чем у макроядера. Не будем забывать, что про обновлениях системы Windows и о том, что в состав пакета "ядро линукс" входят все драйвера.
     
     
  • 2.104, ананим (?), 16:41, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    жалкая попытка. и полное невежество в вопросе.
    дайте угадаю - вы у себя в конторе крутой it-шник?
     

  • 1.98, sluge (ok), 16:02, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хорошо что биосы скоро уйдут на свалку истоии. EFI рулить будет
     
     
  • 2.122, Аноним (-), 06:29, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно, хорошо. EFI намного проще писать.
     

  • 1.99, sluge (ok), 16:04, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и ядро винды ntoskrnl.exe меняется куда чаще чем раз в три года, если юзер не забил на обновления
     
     
  • 2.100, ананим (?), 16:36, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    только в sp. и то не факт.
    к тому же обновление - это мало. ну новое ядро, а вызовы теже.
    надо чтобы abi изменилось. по поводу частого изменения которого в линухе тут трухин уже балладу сложил.
     

  • 1.101, Аноним (-), 16:38, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    2012 год., Редмонд, пентхаус офиса Майкрософт. У стола стоит император Баллмер с обезображенным лицом. Рядом с ним на коленях стоит Дарт Шаттл, перешедший на Тёмную сторону силы. Рука Баллмера касается головы бывшего апологета СПО.

    "Ты сделал правильный выбор, мой юный ученик. Вместе мы будем править Галактикой, и ты сможешь спасти свою Убунту.", - император садится в кресло и говорит в микрофон: "Командир Касперски, активировать протокол сто шестьдесят три..."

     
     
  • 2.107, pavlinux (ok), 17:57, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > 2012 год., Редмонд, пентхаус офиса Майкрософт. У стола стоит император Баллмер с
    > обезображенным лицом. Рядом с ним на коленях стоит Дарт Шаттл, перешедший
    > на Тёмную сторону силы. Рука Баллмера касается головы бывшего апологета СПО.

    http://i11.fastpic.ru/big/2010/1101/c1/eae4725400e0275e93969f3cd3582cc1.jpg

     

  • 1.106, A_n_D (ok), 17:23, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Представляете, если такие закладки существуют уже годы, а информация просочилась только сейчас, потому что спецслужбы допустили промах?
     
     
  • 2.108, pavlinux (ok), 17:59, 01/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Представляете, если такие закладки существуют уже годы, а информация просочилась только
    > сейчас, потому что спецслужбы допустили промах?

    Тс-с-с-с, тока никому! Все ещё юзали Феликс-М и Счёты,
    когда те, о ком не говорят в слух, этим занимались.



    ---

    Самый прикол, это съездить в Иран и заказать
    там по инету комп у Dell или HP,  вот в нём подарков будет.

     

  • 1.112, Аноним (-), 23:27, 01/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Суть атаки заключается в том, что атакующий записывает

    Боян. http://www.rom.by/article/Birus-y_Chast_pervaja

     
  • 1.130, serg1224 (ok), 01:05, 03/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Разработчики Ksplice открыли миру возможность перепрошивать firmware?!
    AMI, AWARD, Phoenix и пр. видимо сильно отстали...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру