The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выявлено шпионское ПО, скрывающееся в прошивках жестких дисков

17.02.2015 08:17

Лаборатория Касперского сообщила (PDF) о выявлении нового класса вредоносного ПО, нацеленного на организацию кибершпионажа и кражу данных пользователей, примечательного глубокой степенью маскировки. Для скрытия компонентов вредоносного ПО применялась техника модификации прошивок жестких дисков Western Digital, Seagate, Samsung, Hitachi, Toshiba, Maxtor и IBM.

Вредоносное ПО поражало только системы на базе платформы Windows и было выявлено на более чем 500 системах в 42 странах. Наиболее активное использование вредоносного ПО зафиксировано в Иране, России, Китае, Сирии и Пакистане. Атакам были подвержены финансовые, правительственные, военные, исследовательские, дипломатические и другие учреждения. Сообщается о нескольких вариантах подобного вредоносного ПО, сборки которых датированы с 2001 по 2011 год. Заражение производится с использование традиционных методов, через автозапуск кода с внешних носителей или через эксплуатацию неисправленных уязвимостей в браузерах и сетевом ПО. После проникновения в систему осуществляется модификация прошивки поддерживаемых жестких дисков, что позволяет скрыть наличие вредоносного кода и организовать его запуск на ранних стадиях загрузки.

Внедрение вредоносного кода ассоциируется с группой Equation, которая связывается с деятельностью Агентства Национальной Безопасности США, но подобная связь основывается лишь на догадках и косвенных данных (например, указывается на использование технологий и методов, схожих с используемыми в вредоносном ПО Stuxnet и Flame, а также упоминаются утечки сведений о разработке в АНБ методов внедрения вредоносного ПО в прошивки). В статье также предполагается, что, вероятно, АНБ получило доступ к исходным текстам прошивок накопителей, так как без исходного кода практически невозможно организовать подстановку в прошивку своего кода. Но подобные утверждения расходятся с практикой, например, энтузиастами уже продемонстрированы методы внедрения кода в прошивки USB-накопителей и MicroSD-карт, используя обычный инструментарий для обратного инжиниринга.

Технология UEFI Secure Boot в целом решает проблему модификации загрузчика операционной системы, но приводит к появлению интереса к проведению атак через замену прошивки UEFI. Для того, чтобы защитить пользователей от подмены компонентов, работающих до применения UEFI Secure Boot, компания Intel предложила технологию "Boot Guard", при помощи которой производитель оборудования имеет возможность верифицировать целостность прошивки по добавленному в CPU хэшу открытого ключа. Подобная система повышает безопасность, но делает невозможным замену проприетарных прошивок BIOS/UEFI на открытый вариант CoreBoot.

Мэтью Гаррет (Matthew Garrett), известный разработчик ядра Linux, в своё время получивший от Фонда СПО премию за вклад в развитие свободного ПО за достижения в области обеспечения загрузки Linux на системах с UEFI Secure Boot, прокомментировал в своём блоге появление новой возможности тем, что проблема не так проста как кажется и в основном связана с дилеммой перед производителями компьютеров, которым приходится выбирать между безопасностью и свободой. Понимая, что смена прошивки может потребоваться лишь небольшой группе энтузиастов, не удивительно, что выбор делается в пользу безопасности по умолчанию. Решить проблему можно убедив производителей, что свобода распоряжаться своим оборудованием не менее важна, чем безопасность, и пользователю следует предоставить возможность выбора при покупке оборудования.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: В прошивке сетевых принтеров Samsung и Dell найден бэкдор
  3. OpenNews: Открыт код инструментария для проведения атак через модификацию прошивок USB-накопителей
  4. OpenNews: Представлена техника атаки на микроконтроллеры, встроенные в MicroSD-карты
  5. OpenNews: Исследование безопасности прошивок встраиваемых устройств
  6. OpenNews: Оценка возможности создания аппаратных бэкдоров, работающих на транзисторном уровне
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41679-malware
Ключевые слова: malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (186) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Fracta1L (ok), 08:46, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +39 +/
    > Лаборатория Касперского

    Дальше можно не читать

     
     
  • 2.2, Аноним (-), 08:52, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +39 +/
    > поражало только системы на базе платформы Windows

    Дальше можно не читать

     
     
  • 3.3, Аноним (-), 08:54, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +19 +/
    Если не читать после "Лаборатория Касперского", то вы и не дойдёте до этой строки. Учитесь экономить время.
     
  • 3.10, Анономс (?), 09:09, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Почему же?! Теперь мы знаем как им не легко и должны всячески поддержать их. Например скинув ссылку на любимый дистр.
     
     
  • 4.31, Аноним (-), 10:35, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Почему же?! Теперь мы знаем как им не легко и должны всячески поддержать их. Например скинув ссылку на любимый дистр.

    Почему же?! Теперь мы знаем как им не легко и должны всячески поддержать их. Например скинув ссылку на любимый эксплойт.

     
  • 4.42, Аноним (-), 10:56, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну, понимаешь, если твой любимый дистр станет популярным - для фирмвари харда тоже напишут патч, учитывающий его наличие :)

    А что до Boot Guard - защищаться бесполезно: невышибаемый агент АНБ в виде прошивки от интела с бэкдорами уже внутри. Фигли толку при этом защищаться, если АНБ уже построило плацдарм с которого вы не можете их выбить, потому что BootGuard этого вам сделать не даст? Так что лучше по хорошему доверяйте с ножом к горлу интелу и его друзьям из АНБ.

     
     
  • 5.146, Аноним (-), 17:20, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому меняем шило на мыло (Intel на AMD)!
    Хотя если AMD исправятся в плане драйверов для графики, тогда почему бы и нет? Дёшево и сердито.
     
     
  • 6.150, Аноним (-), 17:58, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    AMD-то самых честных правил, да. Пока не будет открытого железа и bios, доверять никому нельзя.
     
     
  • 7.154, byu (?), 18:21, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Пока не будет открытого железа и bios,
    > доверять никому нельзя.

    И когда появятся, тоже нельзя будет.

     
  • 3.44, ананана (?), 10:57, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >> поражало только системы на базе платформы Windows
    > Дальше можно не читать

    Если дальше не читать, то и не поймёшь, что новость была не о новом вирусе для Windows. А о том, что если производители начнут защищаться от таких вирусов, то их системы защиты сделают невозможным использование свободного ПО.

     
     
  • 4.68, ананим.orig (?), 11:50, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > если производители начнут защищаться от таких вирусов

    Да бросьте.
    > В статье также предпологается, что, вероятно, АНБ получило доступ к исходным текстам прошивок накопителей

    Производителям плевать.
    "Защищаться" они начинают только тогда, когда нужно чтобы не было "чужих" "вирусов", а только "свои".
    Та же интел на полном серьёзе предлагала использовать в ядре для генерации случайных чисел только их аппаратный генератор. Шутки по этому поводу ещё остыть не успели.

     
  • 4.163, Аноним (-), 19:38, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Свободному по так и надо лезть в прошивку жесткого диска. Особенно на запись.

    Джампер или выключатель отключающий возможность записи в прошивку спас бы всех. Если бы его сделали...

     
  • 3.67, paulus (ok), 11:49, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Да слышали мы уже это "можно не читать", а потом получили "UEFI Secure Boot" во все щели... Не читаем дальше и получим в дополнение "Boot Guard" для полного счастья...
     
     
  • 4.92, Аноним (-), 13:24, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Да слышали мы уже это "можно не читать", а потом получили "UEFI Secure Boot" во все щели... Не читаем дальше и получим в дополнение "Boot Guard" для полного счастья..

    Ну и назови хоть одну материнскую плату с неотключаемым Secure Boot. Истерика не имеет основания.

     
     
  • 5.94, Аноним (-), 13:31, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Ну и назови хоть одну материнскую плату с неотключаемым Secure Boot. Истерика не имеет основания.

    лягушку надо варить медленно, иначе она выпрыгнет. Подожди, будут с неотключаемым secure boot для "защиты" от вирусов.

     
     
  • 6.113, Аноним (-), 14:02, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>Ну и назови хоть одну материнскую плату с неотключаемым Secure Boot. Истерика не имеет основания.
    > лягушку надо варить медленно, иначе она выпрыгнет. Подожди, будут с неотключаемым secure
    > boot для "защиты" от вирусов.

    Но разве дистрибутивы не научились уже грузиться на системах и с secure boot. Я его отключил, но у меня последняя убунта livecd делает это спокойно.

     
     
  • 7.147, Аноним (-), 17:32, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Но разве дистрибутивы не научились уже грузиться на системах и с secure boot. Я его отключил, но у меня последняя убунта livecd делает это спокойно.

    А как мне загрузить свое ядро? Или идти на поклон к проприерастам? И как мне быть, если я не хочу запускать всякие там "проверенные" ОС.

    Проблема, конечно, не сам secure boot, который может быть использован вполне по назначению, а огораживание железа и потеря контроля над ним со стороны пользователя.

     
     
  • 8.157, sage (??), 18:34, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот вы явно не владелец материнской платы с Secure Boot Если вам нужно использо... текст свёрнут, показать
     
     
  • 9.182, Аноним (-), 07:16, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ошибаетесь Secure boot просто выключаю -- он мне не нужен До тех пор, пока серт... большой текст свёрнут, показать
     
     
  • 10.183, Аноним (-), 07:26, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    paranoid_mode Добавлю, что это выглядит, как попытка выбить компьютеры станки ... текст свёрнут, показать
     
  • 7.207, Michael Shigorin (ok), 01:33, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Но разве дистрибутивы не научились уже грузиться на системах и с secure boot.

    Как один из тех, кто выяснял, как это обеспечить -- и написал в процессе http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO -- нисколько не разделяю безмятежного тона того чудика из 2015 года в году 2021.

    Слишком много неочевидных вещей, решений по результатам личной переписки, напоминающих картельный сговор MSFT с RHAT вещей.

    Правда, я давно и успешно ушёл с x86 на e2k по работе, собираюсь сделать то же самое и дома.

     
  • 5.197, ABATAPA (ok), 09:11, 19/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > у и назови хоть одну материнскую плату с неотключаемым Secure Boot. Истерика не имеет основания.

    Планшеты с Win8.

     
  • 4.100, Сергей (??), 13:45, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > получим в дополнение "Boot Guard"

    А MS умывает руки.

     
  • 2.21, Аноним (-), 09:44, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И не читайте. Всё хорошо, спите спокойно.
     
     
     
    Часть нити удалена модератором

  • 4.34, EHLO (?), 10:41, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Лаборатория Касперского
    > Дальше можно не читать
    > АНБ

    То есть ты читаешь снизу вверх.

     
  • 2.43, Аноним (-), 10:56, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Дальше можно не читать

    Кстати напрасно - у каспера много весьма приличных реверсеров работает и порой они дело говорят.

     
  • 2.93, res2500 (ok), 13:29, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    это дядя Женя предупреждает, написали для виндовс, напишем ы для линуксов
     
  • 2.134, Аноним (-), 16:02, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да ладно, вот это для труЪ:

    >www.opennet.ru

    Дальше можно не читать

     
  • 2.145, Аноним (-), 17:18, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В неведение сладко прибывать...
     
     
  • 3.198, freehck (ok), 12:32, 19/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А убывать оттуда - ещё слаще.
     
  • 2.151, Меломан (?), 18:01, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    От каспера в последние годы выходило много пресс релизов, которые можно заподозр... большой текст свёрнут, показать
     
  • 2.202, Аноним (-), 23:32, 20/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Уже поскакал с утреца?
     

     ....большая нить свёрнута, показать (31)

  • 1.4, Аноним (-), 08:54, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Заражение традиционным методом и в тоже время не более 500 и все на правительственных компах, что-то не сходится
     
     
  • 2.8, Аноним (-), 09:06, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Обнаружение требует ручной проверки, видимо. Вирус гуляет, но заражает только нужные компы, чтоб ег сложнее было обнаружить.
    В любом случае, непонятно будет ли анонс антиАНБ версии касперского для госучереждений.
     
     
  • 3.16, Andrey Mitrofanov (?), 09:35, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Вирус гуляет, но заражает

    Это не вирус. Механизма само-распространеия нет. Троян это.

    > чтоб ег сложнее было обнаружить.

     
  • 3.38, Аноним (-), 10:50, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Непременно, еще хорошо бы часть сертификации ПО для госучреждений поручить Касперскому, а то ему так кушать хочется что переночевать негде.
     
  • 2.13, Аноним (-), 09:16, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Намек, что закладка на заводе сделана?
     
     
  • 3.28, Есюки (?), 10:15, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Специальная серия "Бронированные ХДД"!
    толькоунас, специально для российских чинуш! налетай!
     
  • 3.45, Аноним (-), 10:58, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Намек, что закладка на заводе сделана?

    Да запросто. А ты как проверишь что именно китайозы у себя на фабе в микросхему зашили этим америкосам? Вот и получится что китайский бэкдор долго рубался с АНБшным за право иметь пользователя, но потом решили что места на всех хватит :)

     
     
  • 4.142, YetAnotherOnanym (ok), 16:53, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > что именно китайозы у себя на фабе в микросхему зашили

    Всё, что угодно.
    http://some-wise-man.livejournal.com/252566.html

     
     
  • 5.152, Аноним (-), 18:04, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Что за шрифт на той странице, он для муравьёв?
    История скудна, нет примера действий зловреда, нет хотя бы фотографии или марки сигареты. Сказочка на ночь, да и только.
     
     
  • 6.158, YetAnotherOnanym (ok), 19:10, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я прочёл без напряга. Даже несмотря на то, что текст без картинок.


     

  • 1.5, Khariton (ok), 09:00, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Где модели в которых такая прошивка? Как обнаружить, чтоб проверить бекдор? Нет?
    Тогда я заявляю что в каждой новой базе АНтивируса Касперского есть новые вирусы, которые распространяются по вашей сети и уничтожаются только следующими обновлениями антивируса. И т.д.
     
     
  • 2.9, lv7e (?), 09:07, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, сигнатур и методов обнаружения в отчёте не дали. Но определить всё равно можно по внешним обращениям на шлюзе и DNS-е. Список хостов в документе есть.
     
     
  • 3.14, Аноним (-), 09:19, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, сигнатур и методов обнаружения в отчёте не дали. Но определить всё
    > равно можно по внешним обращениям на шлюзе и DNS-е. Список хостов
    > в документе есть.

    Определить можно по наличию загаженой Smart на исправном носителе. Причем почистить ее не удается даже чем-то типа  Victoria.

     
     
  • 4.47, Аноним (-), 10:59, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Определить можно по наличию загаженой Smart на исправном носителе.

    А зачем им портить SMART?

     
     
  • 5.52, Нанобот (ok), 11:06, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Определить можно по наличию загаженой Smart на исправном носителе.
    > А зачем им портить SMART?

    незачем. просто аноним@14 думает, что разработчики этого ПО - криворучки и легко палятся простыми проверками (вероятно судит по себе)

     
     
  • 6.95, Аноним (-), 13:36, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Определить можно по наличию загаженой Smart на исправном носителе.
    >> А зачем им портить SMART?
    > незачем. просто аноним@14 думает, что разработчики этого ПО - криворучки и легко
    > палятся простыми проверками (вероятно судит по себе)

    Да нет. Похоже он имел ввиду, что такой объем вредоносного кода там некуда впихивать больше.

     
     
  • 7.97, Аноним (-), 13:38, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> Определить можно по наличию загаженой Smart на исправном носителе.
    >>> А зачем им портить SMART?
    >> незачем. просто аноним@14 думает, что разработчики этого ПО - криворучки и легко
    >> палятся простыми проверками (вероятно судит по себе)
    > Да нет. Похоже он имел ввиду, что такой объем вредоносного кода там
    > некуда впихивать больше.

    Кстати, встречал диски Seagate с загаженным под завязку Smart до полной неработоспособности под Windows, которые прекрасно работали под Linux.

     
  • 2.11, Аноним (-), 09:10, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Где модели в которых такая прошивка?

    Модели чего? Вначале нужно подцепить эту заразу, например, воткнув левый USB Flash, после чего она пропишет себя в прошивку.

     
     
  • 3.98, Аноним (-), 13:40, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Где модели в которых такая прошивка?
    > Модели чего? Вначале нужно подцепить эту заразу, например, воткнув левый USB Flash,
    > после чего она пропишет себя в прошивку.

    11-я серия Барракуды?

     
  • 3.136, Khariton (ok), 16:14, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Где модели в которых такая прошивка?
    > Модели чего? Вначале нужно подцепить эту заразу, например, воткнув левый USB Flash,
    > после чего она пропишет себя в прошивку.

    Так что оно на всех типах винтов работает? Я уверен что не все модели одного вендора подвержены сей проблеме...

     

  • 1.6, Bocha (??), 09:03, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    [политота]
    АНБ действует прицельно, и по-киношному круто, молодцы, а у нас только Аня Чапман, всё просрём, случись чего.
    [/политота]
    извините.
     
     
  • 2.18, Sen (?), 09:42, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У нас есть еще Сноуден, который должен женится на Чапман... так что победим!)))
     
     
  • 3.48, Аноним (-), 11:01, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > победим!)))

    Валенками закидаем. На них хаки фирмвари не действуют.

     
     
  • 4.114, count0krsk (ok), 14:03, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    На танках старых вроде только механика, так что прорвемся ))
     
  • 2.137, Khariton (ok), 16:15, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > [политота]
    > АНБ действует прицельно, и по-киношному круто, молодцы, а у нас только Аня
    > Чапман, всё просрём, случись чего.
    > [/политота]
    > извините.

    По киношному есть Депардье! И это самое главное...

     
     
  • 3.161, Аноним (-), 19:31, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И Саша Грей!
     

  • 1.7, Омский линуксоид (ok), 09:05, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Открыли америку... Видимо плохо AVP покупают, маркетинг подключился.
     
     
  • 2.127, Аноним (-), 14:41, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    сколько проблем всего лишь от того, что её открыли...
     

  • 1.15, Прохожий (??), 09:21, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    До странного громкое заявление без публикаций какой либо конкретной информации вообще. Извините, но за подобный маркетинговый ход необходимо наказывать!
     
     
  • 2.39, Нанобот (ok), 10:52, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в pdf-е есть скриншот файла nls_933w.dll (который вроде как отвечает за перепрошивку), открытый чем-то типа фара. там же есть коды ATA-команд, которые используются.
    я, конечно, понимаю, что для параноика, вечно сидящего на измене, это не доказательство, но и формулировка "без публикаций какой либо конкретной информации" тоже не соответствует действительности
     
     
  • 3.156, byu (?), 18:29, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в pdf-е есть скриншот файла nls_933w.dll (который вроде как отвечает за перепрошивку),
    > открытый чем-то типа фара.

    Даже не заглядывая в PDF предположу, что это Hiew.

     

  • 1.17, Аноним_ (?), 09:40, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему не закладки в BIOS или процессоре? Может ли биос переопределить драйвера устройств или нет, например?
     
     
  • 2.46, Нанобот (ok), 10:59, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А почему не закладки в BIOS или процессоре?

    программистов не хватило на всё сразу. но ты не волнуйся, этот продукт тоже в разработке (а может уже и в эксплуатации)

     
  • 2.50, Аноним (-), 11:03, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А почему не закладки в BIOS или процессоре?

    А потому что там на них интел уже монополию отжал. Теперь boot guard не даст тебе влить опенсорсный coreboot. Юзай UEFI с ключами микрософта и прочими универсальными паролями в духе AWARD_SW, фигли. Иначе как же это АНБшники к тебе на комп вламываться будут? Может, тебе еще сорц BMC показать? Чтоб ты подивился наглости бэкдоростроения? :)

     
     
  • 3.128, anonym0use (?), 14:58, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > интел уже монополию отжал

    А что, computrace-bootkit http://jonathandewitt.com/content/?p=7 уже выпилили? :)

    http://en.wikipedia.org/wiki/LoJack_for_Laptops
    > The software behaves like rootkit (bootkit), reinstalling some programs into Windows OS at boot and
    > downloading modules from Command server via Internet. The rootkit is vulnerable to some local attacks[8][9] and for attacks from hackers, who controls network communications of victim

     
  • 2.72, user (??), 11:57, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    там уже есть
     

  • 1.19, Аноним (-), 09:43, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я дико извиняюсь, но никак не пойму, как прошивка, исполняемая на контроллере самого HDD может что-то отправить в сеть, которая доступна фактически через драйверы, код которых исполняется на центральном процессоре? Как она может шпионить? Есть модуль, который исполняется как программа в ОС? Тогда модификация прошивки не нужна вообще.
     
     
  • 2.22, soarin (?), 09:48, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нужна, отформатировав диск ты избавишься от зловреда. Ну и его сложнее обнаружить, потому что он управление получает до загрузки ОС.
     
  • 2.24, Анонимоус (?), 09:52, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Она может на лету модифицировать прочитанное с диска. Например, файл explorer.exe
     
     
  • 3.29, Прохожий (??), 10:17, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Прячется в прошивке, можифицируя ее для возможности запуска зловреда. Выполняет подлог кода  исполняемого файла.
     
     
  • 4.37, cmp (ok), 10:45, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А цифровая подпись разве не спасает? вроде как все стандартные бинарники винды имеют подобную защиту.
     
     
  • 5.203, Аноним (-), 03:24, 22/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >А цифровая подпись разве не спасает? вроде как все стандартные бинарники винды имеют подобную защиту.

    Код может исполняться прямо из SWAP файла с диска и Винда наверное не будет проверять целостность уже загруженной в память программы. Который фирмварь-вирус модифицирует на лету когда он будет читаться с диска перед исполнением.

     
  • 3.36, Аноним (-), 10:45, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Вот как? То есть прошивка может по чтению секторов определить какой из explorer.exe читается, несмотря на его сотню обновлений? Или прошивка винта теперь умеет различать NTFS, EXFAT и по запросам к секторам диска определять что этот файл там содержится, затем определять его версию и подменять целые сектора, которые могут вообще относиться к чему угодно? :) А если диск ещё шифруется центральным процессором и контроллеру отдаётся в виде буфера с зашифрованными данными, то тоже можно? :)))

    PS. Чем то уже напоминает диалоги аудиофилов.

     
     
  • 4.54, Аноним (-), 11:09, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > explorer.exe читается, несмотря на его сотню обновлений? Или прошивка винта теперь
    > умеет различать NTFS, EXFAT и по запросам к секторам диска определять
    > что этот файл там содержится,

    Ну вообще-то EXE несложно опознать по хидерам, загрузчики пишут в специфичную область, и так далее. Так что адресно пропатчить пару файлов на наиболее популярных системах - не настолько уж и нереально.

    А так то да, если взять btrfs на пяти дисках, врубить там сжатие, чексумы, CoW и прочая - беспаливно пропатчить файл превратится в рокетсайнс. Требующий вон того модуля ядра на мегабайт кода чтобы в процессе ничего не отъехало.

     
     
  • 5.55, Аноним (-), 11:13, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Достаточно использовать LUKS или TrueCrypt ещё до файловой системы :)
     
     
  • 6.74, user (??), 11:59, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вот их и пропатчат
     
     
  • 7.116, count0krsk (ok), 14:06, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > вот их и пропатчат

    Например как? Если говорить о Линукс.

     
     
  • 8.121, user (??), 14:25, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    boot незашифрован, чтобы можно было хоть что-то запустить ... текст свёрнут, показать
     
     
  • 9.159, vi (ok), 19:19, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Берем старую стародавнюю flesh-ку, с нормальным firmware с boot на борту, вты... текст свёрнут, показать
     
     
  • 10.160, vi (ok), 19:21, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Загрузка через serial или jtag, не слаб я в этом ... текст свёрнут, показать
     
  • 8.138, Khariton (ok), 16:18, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    под линуксом пока проблемы нет разве что если вы его под рутом скомпилируете ... текст свёрнут, показать
     
  • 4.57, Аноним (-), 11:15, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >Вот как? То есть прошивка может по чтению секторов определить какой из explorer.exe читается, несмотря на его сотню обновлений?

    можно подменить ядро или драйвер

    >и по запросам к секторам диска определять что этот файл там содержится, затем определять его версию и подменять целые сектора, которые могут вообще относиться к чему угодно?

    судя по всему, именно так. Некоторые SSD понимают структуру файловой системы^W^W NTFS и могут что-то там оптимизировать

    да и зачем возится с контроллерами, когда винда дырява по самое нехочу а в UEFI можно запихать какие-угодно трояны

     
     
  • 5.99, Аноним (-), 13:43, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > а в UEFI можно запихать какие-угодно трояны

    Места не хватит. Сравни размеры UEFI и современных боевых троянов. При этом UEFI должна и что-то полезное делать.

     
     
  • 6.102, Аноним (-), 13:49, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> а в UEFI можно запихать какие-угодно трояны
    > Места не хватит. Сравни размеры UEFI и современных боевых троянов. При этом
    > UEFI должна и что-то полезное делать.

    Скорее впаяют флешку на материнскую плату. Ну примерно как в моделях принтеров, извините, если неточно вспомню, hp laserjet p1002. При этом на данную флешку входят несколько сот Мб драйверов - делай что хочешь. В конфиге флешку можно спрятать легко (просто не показывать), а на материнке замаскировать под какую-нибудь деталь - например, сделать ее в одном из корпусов конденсаторов возле процессора. Кто их там считать будет - 5, 6 или 7 ...

     
     
  • 7.112, Аноним (-), 14:00, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас все гораздо проще и интереснее: области энергонезависимой памяти делают прямо на кристаллах контроллеров, процессоров и прочих микросхем.
     
     
  • 8.117, count0krsk (ok), 14:08, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ужос ... текст свёрнут, показать
     
     
  • 9.139, user (??), 16:24, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    штеуд собирается делать там ещё и wifi ... текст свёрнут, показать
     
  • 6.180, Классический анонимус (?), 05:00, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В нашу контору присылали почтой троян на 3 килобайта! Который докачивал через прокси с NTLM-авторизацией основное тело вируса (16КБ). Плюс выдавал маскировочное окошко об "ошибке открытия word-файла".

    Т.е. в 3 килобайта засунули http-клиента с поддержкой прокси с ntlm авторизацией. Файл даже не пожат - если содержимое посмотреть - все ресурсы и функции видно.

     
     
  • 7.181, Аноним (-), 06:26, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Может, народу покажете это чудо?
     
     
  • 8.186, Классический анонимус (?), 09:47, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да на здоровье Причём когда его прислали, в базах антивирей отсутствовал Это н... текст свёрнут, показать
     
  • 2.25, Fracta1L (ok), 09:52, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Я дико извиняюсь, но никак не пойму...

    "Не пытайтесь ничего понять! Понять — не реально! И как только вы будете привлекать знания, будет осечка, … не будет ничего получаться!" (с)

     
  • 2.30, Аноним (-), 10:32, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А это как в стартреке - универсальный компьютерный вирус древней цивилизации. Заражает все что можно заразить сразу при получении.
     
     
  • 3.64, Андрей (??), 11:43, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В «День независимости» так же инопланетный пепелац взломали и всю станцию заразили...
     
  • 3.130, anonym0use (?), 15:13, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > универсальный компьютерный вирус древней цивилизации. Заражает  все что можно заразить сразу при получении.

    Не вирус, а системного ИИ, не заражает, а интегрирует "в себя", не какой-то там древней цивилизации, а остатков хроно-экспедиции red-hat-multiverse-corporation -- а так все верно :)


     
  • 2.49, Нанобот (ok), 11:02, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я дико извиняюсь, но никак не пойму, как прошивка, исполняемая на контроллере
    > самого HDD может что-то отправить в сеть, которая доступна фактически через
    > драйверы, код которых исполняется на центральном процессоре? Как она может шпионить?
    > Есть модуль, который исполняется как программа в ОС? Тогда модификация прошивки
    > не нужна вообще.

    вообще-то в оригинале речь идёт о скрытой области диска. никакого активного вмешательства в работу системы

     
     
  • 3.187, Аноним (-), 10:10, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Что, в общем-то, и не удивительно, учитывая, что шифрование ФС происходит на CPU и сводит на нет слежение на уровне HDD.
     
  • 2.51, Аноним (-), 11:06, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Я дико извиняюсь, но никак не пойму, как прошивка, исполняемая на контроллере
    > самого HDD может что-то отправить в сеть,

    Сама по себе - никак. Но она может поробовать пропатчить какой-нибудь файл, например. Ты запускаешь файл. Хард его нагло патчит на ходу. И читается не то что ты записал. И ты запускаешь в результате ... немного не то что ты имел в виду. А например вражеский троянец.

    > Есть модуль, который исполняется как программа в ОС? Тогда модификация прошивки
    > не нужна вообще.

    Ну разумеется. Но представь себе физиономию юзера когда он все отформатил, переставил систему, и ... малварь вернулась?!

     
     
  • 3.56, Аноним (-), 11:14, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Особенно будет много мата если пользователь использует RAID на программном уровне и ОС обнаружит несоответствие :)
     
  • 3.83, Аноним (-), 12:15, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вобщем-то, достаточно поставить винду - и вуаля!
     
  • 2.59, Михрютка (ok), 11:28, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > The plugin supports two main functions: reprogramming the HDD firmware
    > with a custom payload from the EQUATION group, and providing an
    > API into a set of hidden sectors (or data storage) of the hard drive. This achieves
    > several important things:
    > • Extreme persistence that survives disk formatting and OS reinstall.
    > • An invisible, persistent storage hidden inside the hard drive.
     

     ....большая нить свёрнута, показать (33)

  • 1.20, soarin (?), 09:44, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а на SSD можно спать спокойно?
     
     
  • 2.26, Devider (ok), 09:54, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Можно, жестковато только.
     
     
  • 3.27, Мимо проходил (?), 10:11, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Все больше не пользуюсь HDD, буду все выгружать в оперативу, нужное записывать на CD )

     
     
  • 4.32, Аноним (-), 10:41, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А как же блоб в прошивке привода?.. Во всех прошивках :-)
     
  • 4.33, Nicknnn (ok), 10:41, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Так ведь прошивку CD также можно модифицировать.
     
     
  • 5.79, _KUL (ok), 12:03, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    FDD наше всё!
     
     
  • 6.140, YetAnotherOnanym (ok), 16:34, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Феликс" - наше всё!
     
  • 6.204, count0krsk (ok), 18:53, 22/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У меня до сих пор 3 привода, гламурный черненький в системнике оставил, хоть Lubunt-a его и не видит. С Live-cd если что попользую, дискет штук 5 осталось ))
     

  • 1.35, Нанобот (ok), 10:44, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    молодцы. в то время, как другие ныли, что это типа очень сложно или практически нереально, эти взяли и сделали
     
  • 1.53, EHLO (?), 11:09, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Наиболее активное использование вредоносного ПО зафиксировано в Иране, России, Китае, Сирии и Пакистане. Атакам были подвержены финансовые, правительственные, военные, исследовательские, дипломатические и другие учреждения
    > Внедрение вредоносного кода ассоциируется с группой Equation, которая связывается с деятельностью Агентства Национальной Безопасности США, но подобная связь основывается лишь на догадках и косвенных данных

    ничто не выдавало  в Штирлице русского разведчика.

     
  • 1.58, Аноним (-), 11:23, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Права рута нужны, чтобы модифицировать прошивку?
     
     
  • 2.73, XXasd (?), 11:58, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Права рута нужны, чтобы модифицировать прошивку?

    Нужны либо root-права, ...

    ...либо неисправленные дыры в ядре, позволяющие повысить свои права до root

     
     
  • 3.80, Аноним (-), 12:05, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Права рута нужны, чтобы модифицировать прошивку?
    > Нужны либо root-права, ...
    > ...либо неисправленные дыры в ядре, позволяющие повысить свои права до root

    Не бывает идеальных решений на все случаи жизни, и касперский пропускает.

     
  • 3.81, Аноним (-), 12:08, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > ...либо неисправленные дыры в ядре, позволяющие повысить свои права до root

    Уязвимости обычно исправляют, а не пишут под них толстые костыли.

     

  • 1.60, manster (ok), 11:33, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если такое творится с жесткими дисками, то что можно сказать об остальном оборудовании с прошивками...

    Сейчас будут актуальны антивирусы для зачистки прошивок HD, да и собственно и остального железа. Это хит сезона на ближайшую перспективу...

    Говорилось ведь что прошивки не есть хорошо...

     
     
  • 2.107, Аноним (-), 13:55, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Если такое творится с жесткими дисками, то что можно сказать об остальном
    > оборудовании с прошивками...
    > Сейчас будут актуальны антивирусы для зачистки прошивок HD, да и собственно и
    > остального железа. Это хит сезона на ближайшую перспективу...
    > Говорилось ведь что прошивки не есть хорошо...

    Просто новый рынок формируют. Microsoft всех производителей антивирусов кинула со своим Defender (а кого она не кинула) - остальные антивирусы не лучше, но этот хоть даром входит в ОС. Windows, можно сказать, вывернулась из объятий производителей коммерческих антивирусов. Вот и формируют. Типа антивирусов для Android, MacOS etc. Теперь еще для железа. Налетай, подешевело.

     
     
  • 3.115, manster (ok), 14:05, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    в общем от скуки...
     

  • 1.61, Аноним (-), 11:35, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Сделать джампер на венике, который бы позволял его перепрошивать. По умолчанию его отключить. Почему так нельзя было сделать?
     
     
  • 2.69, XXasd (?), 11:51, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Сделать джампер на венике, который бы позволял его перепрошивать. По умолчанию его
    > отключить. Почему так нельзя было сделать?

    Не поможет. Вирус (при первичном заражении) может вывести табличку на экран -- попросить пользователя разобрать системный блок и переставить джампер!

    :-)

     
  • 2.87, Аноним (-), 12:49, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что не плуг-энд-плей. И еще место под джампер надо (актуально в эпоху телефонов толщиной в 4.6 миллиметра).
     
     
  • 3.90, Аноним (-), 13:02, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Карандашом дорожку дорисовать меж двух площадок - потом ластиком сотрёшь.
     
  • 2.88, Аноним (-), 12:59, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а гарантии? Записал пару специальных байт в специальные сектора и вуаля - джампер на месте, прошивать можно. Или это только для собственного спокойствия?
     

  • 1.62, vitalif (ok), 11:36, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оленям-производителям никогда в голову не приходила идея сделать физическую защиту, т.е маленькую перемычку на плате, установка которой бы позволяла модифицировать все что вздумается?

    И никаких подписей не надо, и защиту не обойдешь НИКАК...

     
     
  • 2.65, Аноним (-), 11:46, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык возможность ограничить выбор потребителям гораздо вкуснее, о других вариантах никто и не думает.
     
  • 2.70, Кир (?), 11:52, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    их все устраивало, АНБ не бедная организация.
     
  • 2.76, user (??), 12:02, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    не поможет от таможни и прочего физического доступа, но в такой ситуации настоящие параноики один хрен считают железо испорченым
     
     
  • 3.199, freehck (ok), 12:55, 19/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > не поможет от таможни и прочего физического доступа, но в такой ситуации
    > настоящие параноики один хрен считают железо испорченым

    Ну знаете ли. Если у злоумышленника есть физический доступ к Вашей машине, то он может сделать вообще что угодно, и обойти любую защиту.

    Luks у Вас на диске, гражданин настоящий-параноик? Модифицируем бут-раздел и сохраняем пароль от шифрованного диска где-нибудь в укромном месте.

    Ах, у Вас boot-раздел на выносной флешке? Вот Вам специальная клавиатура с keylogger-ом, которая выглядит точь-в-точь как та, что была у Вас раньше.

     
     
  • 4.201, Аноним (-), 19:49, 19/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Железо можно попытаться сравнить с таким же полученным по другим каналам Можно ... большой текст свёрнут, показать
     
  • 2.131, anonym0use (?), 15:35, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Было же вроде -- что бы обновить BIOS, нужно было глянуть в хэндбоок и перест... большой текст свёрнут, показать
     

  • 1.63, badmilkman (ok), 11:41, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    "Эксперты Лаборатории Касперского" открыли для себя возможность обновлять прошивки жестких дисков (а также материнских плат, флешек, видеокарт, и даже процессора)
     
     
  • 2.71, Анонним (?), 11:53, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ждем антивирус Касперского для видеокарты
     
     
  • 3.82, badmilkman (ok), 12:08, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А ведь найдутся и на него покупатели
     
  • 3.91, Anonimous (?), 13:22, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну для UEFI ведь уже выпустили, скоро для видео карт выпустят.
     
  • 3.165, Аноним (-), 19:58, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    И для пользователя.
     

  • 1.66, Sw00p aka Jerom (?), 11:47, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    зачем вообще нужен механизм перепрошивки на ЖД ? прошивка багнутая - диск работать не будет - значить выкидываем его.
     
     
  • 2.75, badmilkman (ok), 12:01, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтобы не тратиться на тестирование, рано или поздно пользователи отловят все косяки, и тогда можно будет их исправить, выпустив "новую прошивку"
     

  • 1.77, клоун (?), 12:02, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чёто вы слабо. На других ресурсах не мелочатся.


    Специалисты по информационной безопасности взбудоражены результатами исследования уникального шпионского программного обеспечения, предположительно производства США, которое способно заражать управляющую программу жестких дисков практически всех известных марок и делать уязвимыми любые, даже самые защищенные компьютеры.

    на создание вредоносного ПО такого уровня требуются годы работы десятков разработчиков и затраты, оцениваемые в миллионы долларов. И исходя из связи группы Equation Group со Stuxnet и Flame, можно с уверенность заявлять о причастности АНБ к его созданию.

    Цели АНБ в России - это правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий.

    Бывшие работники АНБ уже подтвердили корректность выводов исследователей.

     
     
  • 2.101, Аноним (-), 13:47, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Врут, как всегда. Оплот Света и Демократии не может создавать вирусы!

     
  • 2.143, iZEN (ok), 16:57, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да практически вся умная электроника и операционные системы от наших закадычных ... большой текст свёрнут, показать
     
     
  • 3.166, Аноним (-), 20:00, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > американской компании

    Транснацкорпы интернациональны. Государства для них просто клиены.

     
     
  • 4.185, test (??), 09:25, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажите это Apple и Google которые по первому требованию правительства США отключили свои магазины приложений в Крыму
     
     
  • 5.189, клоун (?), 11:23, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да, да. А вот когда Россия попросила от VISA и MasterCard до конца месяца заплатить 10 млрд.$ сразу + перенос всех процессинговых операций в Россию + хранение всех данных о пользователях в России, они пригрозили закрыть свой бизнес в России.

    Я вообще считаю, что иностранным компаниям следует запретить работать в нашей стране. Иностранные граждане сплошь шпионы, их не нужно пускать в нашу страну. А русские люди вполне смогут отдыхать в русском Крыму! Посмотрим, как они взвоют, когда у них тур. потоки упадут.

     
     
  • 6.192, myhand (ok), 15:19, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Я вообще считаю, что иностранным компаниям следует запретить работать в нашей стране.

    Воистину!  Покупай айподики из Сколково, брат.

    > А русские люди вполне смогут отдыхать в русском Крыму! Посмотрим, как
    > они взвоют, когда у них тур. потоки упадут.

    Беда в том, что им пох что у каких-то турков потоки упадут...

     

  • 1.78, Аноним (-), 12:03, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В кошмарском сами всю эту вирусню пишут и распространяют. Давно уже пора их трясти и на нары.
     
  • 1.84, Kodir (ok), 12:28, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я не понимаю, а почему не использовать джампер "разрешаю перепрошивку"?? Джампера нет - нет даже физической возможности стереть микруху. Элементарное решение, которое вдруг оказывается СЛИШКОМ НАДЁЖНЫМ ДЛЯ АНБ. :))
     
     
  • 2.103, Аноним (-), 13:49, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Джампер, конечно, сделать можно, но по просьбе АНБ он будет более или менее декоративным. :)
     
  • 2.104, yantux (??), 13:52, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Джампер нужен пользователям. Отсутствие джампера нужно АНБ. Как же они будут внедрять свои трояны?

    Лично меня удивляет, что всё это обнародовано лишь сейчас.

    Собственно, как эти результаты повлияют на нашу промышленную политику? Покупаем компы, переплачиваем и получается. что всё процессорное время наших компов во власти АНБ. Безотносительно сокрытия инфы от АНБ, мы несём гарантированные потери по части переплаты за скорость проца, объёмы оперативки и жёсткого диска.

     

  • 1.85, Аноним (-), 12:29, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А что там в дровах nvidia есть что нибудь?
     
     
  • 2.86, Игрун а Крайзес (?), 12:42, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да есть. Там есть плохая карма на опенете.
     
  • 2.89, soarin (?), 13:00, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А ты когда последний раз драйвер невидии под windows видел? Там кучу компонент, которые и в сеть торчат и чего только не делают.
     

  • 1.96, chinarulezzz (ok), 13:37, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >проблема не так проста как кажется и в основном связана с дилеммой перед производителями компьютеров, которым приходится выбирать между безопасностью и свободой

    Франклина на них нет:

    >Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности.

     
     
  • 2.105, Аноним (-), 13:54, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Этот ваш Франклин подрывает основы государственного строя своими провокационными заявлениями! :)
     
  • 2.110, user (??), 13:59, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Пусть жертвуют своей свободой, а не моей. Кстати, безопасности у них фактически не прибавляется, но это уже их проблема.
     

  • 1.106, Аноним (-), 13:54, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачем было из-за винды-то так париться? Она же и так сплошная дыра в АНБ и прочие заинтересованные организации. Или я что-то пропустил?
     
     
  • 2.122, count0krsk (ok), 14:28, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем было из-за винды-то так париться? Она же и так сплошная дыра
    > в АНБ и прочие заинтересованные организации. Или я что-то пропустил?

    Ну просто чтобы знали. У Путина-то в кабинете стоит Пк с XP, хоть он и не пользуется, нооо...
    Хотя они и так знают, и у лиц, работающих с гостайной ПК с Линуксом давно.

     
     
  • 3.125, soarin (?), 14:35, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда информация?
     

  • 1.124, ананизм (?), 14:33, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    купил новый микрофон == теперь боюсь втыкать...
     
  • 1.126, manster (ok), 14:36, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вообще-то желтизной попахивает. Об этих штучках говорилось еще ранее - что дескать есть ряд оборудования, которое готовится специально для зондирования и подсовывается жертве. Чтобы эти зонды заработали, нужно выполнить достаточно много условностей, что массово осуществить не очень реалистично.

    Не факт, что зонды не присутствуют на каждом заявленном оборудовании.
    Имеют место лишь единичные прецеденты для зомбируемых "секторов наблюдения".

    Скорее всего вещь эта эксклюзивная и реализуется кустарщиной. Мало запустить зонд - нужно еще собрать полезные сведения, выйти на сетевое соединение, отправить сведения незаметно - да это просто смешно.

    Ни о каких промышленных масштабах речи пока быть не может, да и никто на такое вряд-ли пойдет. Ведь это полные кранты сопутствующим репутациям...

    Не совсем технические обзорные сайты сразу стали трубить об подверженности атаке всех ОС. Но сразу было ясно что это всё та-же "замечательная" винда - рассадник зондов. Причем, новость появилась вроде как для ресурсов с преобладанием не совсем продвинутой в техническом плане аудитории. Что явно намекает о проталкивании...

    Простейшие минимальные меры по защите:

    -ограничить или не пользоваться виндой вообще и как правило то-же самое для закрытого софта

    -возможно: ограничить объём исходящих сетевых потоков, хотя при наличии современных браузеров и в частности вебсокетов, предлогов проверки ресурсов это довольно узкое место

    -для систем с повышенным риском вести мониторинг изменения файлов с регулируемой степенью детализации

     
  • 1.132, Pret (?), 15:39, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    АНБ? Вирусяка выгоден компании Microsoft, чтобы на UEFI переходили все поскорее. Другой пользы от вирусяки нет. :-)
     
  • 1.133, Аноним (-), 15:44, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Везде гуарды, в итоге скоро идентификация пользователя будет по результатам анализов. Нагадил в лоток, экспресс тест, после фраза здравствуй хозяин.

    А если серьезно, то такие проблемы возможно во всех частях ПК, где закрытый код. Это была шутка, хоть открытый код хоть закрытый везде дыры. А некоторые вообще существуют с момента появления программы. Например Bash и его недавняя ошибка существующая с 1 версии.

     
     
  • 2.155, Аноним (-), 18:25, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1. Нагадить
    2. Провести тест
    3. Сказать в микрофон: "Здравствуй, хозяин"
    ???
    4. PROFIT
     

  • 1.144, manster (ok), 17:14, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    нет винды - нет проблем
     
     
  • 2.148, pavlinux (ok), 17:47, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В люниксе не используются диски?
     
  • 2.164, Аноним (-), 19:39, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    нет компьютера нет проблем.

     

  • 1.167, Аноним (-), 20:48, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Решение простое, если оно модифицируется, пусть будет некоторая кнопка без нажатия на которую запись в память где лежит прошивка будет полностью запрещена. Данные методы используются в некоторых вида электроники и нормально. Вои и защиты от перезаписи
     
  • 1.168, Аноним (-), 20:50, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Рихард Штольман ещё когда об этом предупреждал.
    Он таки знает в этом толк.
     
  • 1.169, Аноним (-), 20:56, 17/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Уже читали на хабре.
    Не ясно зачем ваш сайт вообще нужен. Все нормальные айтишники уже давно на хабре. А сюда только всякий сброд приходит, который на хабре забанили или заранее не пускают, поэтому мой вывод, опеннет - отcтойник хабра.
     
     
  • 2.170, Аноним (-), 20:58, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а Линукс, ясное дело, в таком случае - отстoйник винды.
     
  • 2.172, Аноним (-), 21:37, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Шел бы ты отсюда, хабрушок.
     
  • 2.173, Аноним (-), 22:57, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    а это не там случаем кармадрочеры сидят?
     

  • 1.174, WHGates (?), 01:15, 18/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нет там никакой перепрошивки фирмвари. Стандартными SATA коммандами создается HPA и весь интересный код хранится там. На контроллере HDD ничего нестандартного не исполняется.
    Этому методу - 100 лет в обед. Все, кого это интересует, давно об этом знали.

    Вся новость о том, что в коммерческий virii making tool наконец включили готовый модуль поддержки HPA

     
  • 1.176, Ilya Indigo (ok), 01:29, 18/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И чё? Подумаешь, прописался на одиночном винте в ntfs, а вот Пусть попробует на рейд-массиве с ext4 так прописаться.
     
     
  • 2.177, Аноним (-), 01:58, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Скажи на милость, все индиго такие тупые? Новость о том, что ПО модифицирует прошивку КОНТРОЛЛЕРА (это зеленая плата такая с дорожками с обратной стороны винта), причем тут твой раздел в ntfs и рейд с ext4?)
     
     
  • 3.178, Ilya Indigo (ok), 02:07, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да нет, переплюнуть анонимов по грубости и тупости мало кому под силу.
    >Для скрытия компонентов вредоносного ПО применялась техника модификации прошивок...

    То есть вредоносный код прописывается на сам винт, в раздел ntfs, а модификация прошивки лишь скрывает его присутствие. Какой толк от модификации прошивок, уже молчу, что в Линуксе не из под рута это в принципе невыполнимо, если скрывать будет просто нечего?

     
     
  • 4.190, anonym0use (?), 13:52, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть вредоносный код прописывается на сам винт, в раздел ntfs, а

    почему именно в раздел нтфс? Зачем? Cвободного места и так хватает ;)

    > Какой толк от модификации прошивок,

    Ну, можно например тупо подменять загрузчик (т.е конкретый запрос по конкретному адресу) -- а дальше уже действовать как "классический" буткит (a не изобретать сферические велосипеды с подменой екзешников "на лету" с помощью прошивки, как предлагалось где-то выше).

    > уже молчу, что в Линуксе не из под рута это в
    > принципе невыполнимо,

    Ну, во первых, я слышал от агенства ОБС, что и в форточке, начиная чуть ли не с хрюши, нужен под это дело рут  ;)
    А во вторых -- невозможно только при отстутсвии privilege escalations, а их все таки хватало:
    http://seclists.org/fulldisclosure/2010/Sep/268 (ну, или тупо:
    http://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/opgpr)
    в оригинале это кстати упоминалось

    > Presumably compiled in July 2008, it was first observed and blocked by our systems in December 2008.
    > Fanny used two zero-day exploits, which were later uncovered during the discovery of Stuxnet.
    > To spread, it used the Stuxnet LNK exploit and USB sticks.
    > For escalation of privilege, Fanny used a vulnerability patched by the Microsoft bulletin MS09-025,

     

  • 1.179, Аноним (-), 02:07, 18/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В статье также предпологается

    Предполагается, desu.

     
  • 1.184, Аноним (-), 08:23, 18/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >которым приходится выбирать между безопасностью и свободой

    Шо там отцы-основатели говорили про выбирающего безопасность вместо свободы?

     
  • 1.191, Anonymouse (?), 15:12, 18/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >так как без исходного кода практически невозможно организовать подстановку в прошивку своего кода

    Исходники не обязательны. Достаточно было получить бинарики которые можно было слить программатором если в hdd контроллерах вдруг не оказалось read protection bit'ов.

     
     
  • 2.194, Anonymouse (?), 15:46, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    via хабр http://spritesmods.com/?art=hddhack&page=3. На некоторых дисках JTAG не отключен оказался.
     
     
  • 3.195, Andrey Mitrofanov (?), 16:48, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >spritesmods.com/?art=hddhack&page=3. На некоторых дисках JTAG не отключен оказался.

    "Здравствуйте!! Я нигерийский троян для Вашего HDD! Пожалуйста, подключите Ваш JTAG-программатор к Вашему HDD. ..."

     
     
  • 4.196, Anonymouse (?), 17:32, 18/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прошивки сливались чтобы разобрать протокол обновления и знать какие места патчить.
     

  • 1.193, vi (ok), 15:38, 18/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что то плохо стали диски продаваться?!?!?! Так скока там у нас гарантийный срок на дисочки то? ;) Все что старше, вырубить!
     
  • 1.200, Oleg (??), 18:28, 19/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Просто следующее заявление от Касперского будет - дайте денег из бюджета на поддержку нашего патриотического (национального) программного продукта...
     
  • 1.205, Oleg (??), 08:07, 20/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всплыло (связи с КГБ)
    http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру