https://opennet.me/openforum/vsluhforumID3/71932.html Разработчики Ksplice, системы обновления Linux-ядра без перезагрузки, опубликовали (http://blog.ksplice.com/2010/10/hosting-backdoors-in-hardware/) любопытный документ, в котором показана техника имплантирования вируса в аппаратную часть компьютера. Подобный код в последующем будет очень сложно обнаружить и практически невозможно истребить (не поможет даже полная переустановка системы с нуля). Исследование содержит примеры работоспособного кода.<br><br><br>Чтобы произвести подобную атаку, нужно сначала разобраться с начальной загрузкой компьютера. Во время запуска компьютера, первым этапом загрузки является прохождение BIOS'ом самопроверки (POST) и запуск ROM-кода различных устройств компьютера. Эти ROM-программы позволяют правильно инициализировать устройство или позволить BIOS'у общаться с железом, про которое он ничего не знает (например, данная функция позволяет BIOS'у загрузить ОС с жёсткого диска, подключенного к SCSI адаптеру). Для этого у BIOS есть таблица прерываний, которую можно п...<br><br>URL: http://blog.ks https://opennet.me/openforum/vsluhforumID3/71932.html#135 Wed, 03 Nov 2010 08:59:05 GMT &gt; Различают 4 версии ядра:<br>&gt; ntoskrnl.exe &#8212; однопроцессорное ядро Windows;<br>&gt; ntkrnlmp.exe &#8212; многопроцессорное ядро Windows;<br>&gt; ntkrnlpa.exe &#8212; однопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти<br>&gt; (RAM);<br>&gt; ntkrpamp.exe &#8212; многопроцессорное ядро Windows с более чем 3 ГБ оперативной памяти<br>&gt; (RAM).<br><br>Спасибо)<br>Я к тому, что обновлений, затрагивающих данный файл(ы), мало.<br> https://opennet.me/openforum/vsluhforumID3/71932.html#134 Wed, 03 Nov 2010 08:56:24 GMT &gt; НАДОЕЛО!<br>&gt; Перестаньте уже скрывать в сообщениях истинные ссылки через использование коротких ссылок.<br><br>Специально для вас:<br>http://tinyurl.com/preview.php<br><br> https://opennet.me/openforum/vsluhforumID3/71932.html#133 Wed, 03 Nov 2010 01:14:40 GMT &gt; Те старые веселые вирусы и им подобные, любой антивирь с закрытыми глазами<br>&gt; найдет и будет долго смеяться - "Я тут у тебя античный<br>&gt; вирус на диске нашел, это прикол такой?". Поэтому их и не<br>&gt; пишут.<br><br>Це сейчас.<br>А много у кого 15 лет назад на компе был антивирь с обновленными базами?<br>Я про то время говорю =)<br><br>&gt; Кстати для тех которые умничают не прочитав новость, сабж не про вирус<br>&gt; и не про зловредные программы незаметно перепрошивающие биос и переопределяющие прерывания,<br>&gt; а про бэкдор в оборудовании и как его можно удачно спрятать<br>&gt; от обнаружения.<br><br>В том и суть моего поста - обычные вирусы не смогут создать эпидемии в мире *nix.<br>По большому списку причин.<br>Но вирусописателям надо же вирусописательствовать.<br>Поэтому им придется сильнее изгаляться.<br>Идея про зловред, прошивающий BIOS - пример этого изгаляния.<br>Можно ожидать зловреды, прошивающие сетевуху, принтер, что там ещё можно прошить.<br>О, кстати, отличная идея - вирус в прошивке для yota.<br>Так, чтобы вирус оказался в том cd-rom с дрова https://opennet.me/openforum/vsluhforumID3/71932.html#132 Wed, 03 Nov 2010 01:06:30 GMT &gt;[оверквотинг удален]<br>&gt; BIOS для фичи disabled, вы можете только ... кхе-кхе, верить в<br>&gt; честность и безбажность Intel, ага :))). Учитесь как бэкдоры надо делать!<br>&gt; И, главное, фирмварина этого проца ессно закрытая. Так что гарантий что<br>&gt; там нет очередной "магии" в стиле AWARD_SW - в общем то<br>&gt; и нету нифига. Съели? :) И, кстати, а сколько процентов бакланов<br>&gt; вообще знают о том что такая фича - вообще есть, при<br>&gt; том в достатчно большом количестве писюков и лаптопов на основе чипсетов<br>&gt; интеля? А сколько из них вообще в курсе - в каком<br>&gt; состоянии фича и т.п. в ДАННЫЙ момент времени в их машинах?<br>&gt; :)))<br><br>Никак на работе новый сервер купили с IPMI ? =)<br> https://opennet.me/openforum/vsluhforumID3/71932.html#131 Wed, 03 Nov 2010 00:59:39 GMT &gt; Блин - http://alldayplus.fanstudio.ru/2010/5_26-2/15.jpg<br>&gt; Вот тут, где 1973 год, http://schools.keldysh.ru/sch444/museum/1_17-70.htm<br>&gt; Там IBM 3340, ну и наши потом сделали для EC ЭВМ.<br><br>Дааа, такое только ключем и центровать... гаечным =)<br>- Слыш, семеныч, что-то диск стал сбоить - пора проверить на ошибки.<br>- Сейчас ключ достану, простучу, проверим, где ошибки.<br> https://opennet.me/openforum/vsluhforumID3/71932.html#130 Tue, 02 Nov 2010 22:05:40 GMT Разработчики Ksplice открыли миру возможность перепрошивать firmware?!<br>AMI, AWARD, Phoenix и пр. видимо сильно отстали...<br> https://opennet.me/openforum/vsluhforumID3/71932.html#129 Tue, 02 Nov 2010 17:31:38 GMT <br>&gt;&gt; Этот супер Интел АМТ - это кривая релизация ipmi+ ipkvm которые уже<br>&gt;&gt; давно были опцией для серверных мамок.<br>&gt; Нет, это не IPMI, хотя местами отдалённо смахивает. iKVM там не<br>&gt; пахнет, насколько могу судить. Гругря для педали к питанию, датчиков<br>&gt; и serial-over-lan достаточно микроконтроллера, а вот для зажатия видеопотока уже нужен<br>&gt; сервис-процессор.<br><br>Я ж говорю - кривая -:).<br>В версии 3.0(кажись) была уже возможность заходить в биос (перегрузив комп). А вот с ныненшней (6.0 вроде) вместе с процами i5 (версии с инт. графикой) появился возможность полноценного КВМ. При чём там крутится VNC сервер. - то есть не надо толком никаких утилит левых. Просто любой ВНЦ клиент. Пароли всякие самогенерирующиеся... Короче должно быть хорошо, только на презенташке в этом году в Днепропетровске у товарища Шевченко оно так и не завелось(в 2008м в Киеве - тоже -:)). Не хорошо радоваться чужим неудачам, но такая "стабильность" для меня - показатель, чтоб выбрать другого вендора, или обойтись другим решением.<br> https://opennet.me/openforum/vsluhforumID3/71932.html#128 Tue, 02 Nov 2010 16:21:43 GMT &gt;&gt; Электросеть &#8212; тоже сеть... Теоретически какую-то информацию можно получить и &#171;слушая&#187;<br>&gt;&gt; скачки потребляемой мощности, например. Как минимум, думаю, можно с высокой степень<br>&gt;&gt; вероятности определить скорость жёсткого диска, тип ОС, примерный объём оперативной памяти...<br>&gt; Пожалуйста, прочитайте ещё раз мой комментарий внимательно. К тому же, утечку информации<br>&gt; по техническим каналам заблокировать несложно(дорого, да). К тому же, данный метод<br>&gt; съёма информации будет применяться в ой каких случаях только.<br><br>Точно, виноват, совсем уже сплю. :(<br> https://opennet.me/openforum/vsluhforumID3/71932.html#127 Tue, 02 Nov 2010 16:16:50 GMT &gt; Электросеть &#8212; тоже сеть... Теоретически какую-то информацию можно получить и &#171;слушая&#187;<br>&gt; скачки потребляемой мощности, например. Как минимум, думаю, можно с высокой степень<br>&gt; вероятности определить скорость жёсткого диска, тип ОС, примерный объём оперативной памяти...<br><br>Пожалуйста, прочитайте ещё раз мой комментарий внимательно. К тому же, утечку информации по техническим каналам заблокировать несложно(дорого, да). К тому же, данный метод съёма информации будет применяться в ой каких случаях только.<br>