"Лаборатория Касперского" пришла к выводу, что Агентство национальной безопасности США прятало шпионское программное обеспечение в защищенных от форматирования зонах жестких дисков.
Как сообщает РИА «Новости», речь идет о дисках крупнейших производителей, поэтому спецслужба могла считывать данные с большинства используемых в мире компьютеров.
Программы АНБ были найдены в 30 странах, в том числе в Иране, России, Пакистане, Афганистане, Китае, Мали, Сирии, Йемене и Алжире. Шпионское ПО было установлено на компьютерах в правительственных учреждениях, телекоммуникационных и энергетических компаниях, банках, атомных исследовательских центрах и т.д.
В отчете «Лаборатории» напрямую не указано, какая именно страна ответственна за подобный шпионаж, указав, что это связано с вирусом Stuxnet, который по заказу АНБ был использован для атаки на завод по обогащению урана в Иране.
Среди производителей, чьи диски оказались уязвимы, оказались практически все участники рынка, включая Western Digital, Seagate, IBM, Toshiba, Micron и Samsung.
Между тем производители жестких дисков, в том числе Seagate, Micron и Western Digital утверждают, что не предоставляли АНБ исходный код программного обеспечения своей продукции.
ПЕРВОИСТОЧНИКИ - 1) ОТЧЕТ КАСПЕРСКОГО, 2) РЕЙТЕРС
Комментарии
> кмк касперский немного преувеличивает.
А него работа такая. Как у страховых компаний -- страху побольше нагнать.
Открытие сделали... Еще с конца 80-х ни один микропроцессор не производится без аппаратных закладок на слежение, на перехват управления и на самоуничтожение. СССР, а позже и Китай, при копировании чипов обычно передирали и закладки, а потом добавляли еще и свои... Причем закладки разработчик добавляет в схему как по указаниям властей, так и за мзду от заинтересованных фирм. В среднем на один процессор приходится более десяти аппаратных закладок. Отследить - практически нереально.
Это бред. Про ВСЕ микропроцессоры. Для особо озабоченных (к которым я отношусь тоже), рекомендуется технология софт-процессора на ПЛИС.
Для знающих Verilog/VHDL (чтобы все закладки убрать), чем не вариант?
Специалисты утверждают, что в БИОСе материнских плат вполне возможно (и это обнаружено) вставлять коды, которые не обнаруживаются на уровне ОС и которые отправляют данные в нужное место. Была подробная статья в журнале Хакер по этому поводу...
Есть такая теория. Я изучал, но не пришел к конкретным выводам. Так как считаю, что в топовых процессорах Intel наверняка есть какие-то закладки, так что битва с БИОСом сама по себе особого смысла не имеет. В тех материнках, о которых были статьи, не просто сомнения по поводу БИОСа, но там имеются отдельные управляющие процессора, код в которых загружается только (!) шифрованный, причем ключи - секретные. Так что есть ли там закладки - не известно, но код от Intel, который туда необходимо загрузить - только шифрованный.
У меня такая есть, я ее изучаю потихоньку. Очень любопытная тема. Статей можно много написать по ней...
> вставлять коды, которые не обнаруживаются на уровне ОС и которые отправляют данные в нужное место.
Вставлять коды можно. А вот, чтобы отправлять данные, нужен контроль над каналом связи (иначе первый же фаервол обнаружит левый трафик).
Контроллеры сетевых карт могут тоже быть с закладкой.
Вот именно. Должна быть закладка в сетевой карте, материнской плате (иначе не передать на сетевую карту), а также на всех маршрутизаторах и сетевых картах по дороге, чтобы не видели брандмауэры и анализаторы трафика.
Кроме того данных должно быть мало, иначе не сойдётся пропускная способность канала с биллингом.
А значит код в материнке (или процессоре) должен быть очень умным, чтобы знать, что слать.
В общем, сплошная теория заговора. Вот очки от гугла гораздо лучше: сам покажешь где находишься, чем интересуешься, что говоришь и слышишь. Причём добровольно :-)
Вы удивляете своим высказыванием про теорию заговора. Есть даже ICMP-туннелирование. Уж скрытно передать информацию вовне способы найдутся, если есть интернет и доступ (даже и) к сетевому уровню.
> Есть даже ICMP-туннелирование.
Ну-ну. В любой локалке, где админу не пофиг на безопасность, ICMP туннель проживёт до первого прошедшего через него мегабайта. После чего придёт админ и поинтересуется, что это ты делаешь.
DNS-туннель чуть лучше, но тоже после десятка мегабайт становится заметным.
> Уж скрытно передать информацию вовне способы найдутся, если есть интернет
Только очень мало информации и очень редко. Человеку из защищённой сети проще. Можно тупо в сессии Skype'а "фоновыми шумами" передать всё, что надо. А вот железке, которая не имеет права самостоятельно инициировать соединение, не спалится очень сложно. Даже тот же ICMP туннель на странный адрес (не ya.ru или 8.8.8.8) и не с машины администраор достаточно быстро привлечёт внимание. Обычные пользователи пингом не злоупотребляют, значит "вирус". Но так как тревогу до сих пор никто не поднял, то максимум что есть -- логическая бомба на уничтожение.
Соглашусь.
del
Не поленился найти ссылку на проблему виртуализации процессора.
Тут много айтишников, хорошо думающих о себе, и наверняка справедливо.
Но товарищ указывает на весьма глубокие вопросы, вряд ли уж такие доступные для обсуждений не специалистам.
https://xakep.ru/2011/12/26/58104/
Да, отличная статья. Но это единственный РЕАЛЬНЫЙ случай, где объективно ЧТО-ТО есть, а все остальный ужасы на уровне откровенной конспирологии. Практика программирования показывает, что сделать такую универсальную скрытую закладку, которая как часы работает и никак себе не проявляет на "большинстве компьютеров" - это малореально. В миру полно хакеров (в хорошем смысле), которые очень любят разгадывать такие вот "пасхальныя яйца", соответственно, сложно поверить, что такого масштаба закладка полностью осталась незамеченной.
Вообщем, факты нужны а не ля-ля от Касперского.
Почитал по диагонали отчет касперского, но так и не понял где там про микрокод в некой "защищенной" области диска...и что это за такая область
Ну да ладно, допустим мы некий исполняемый код на асемблере закинули в эту не форматируемую область (видимо в микропрограмму контроллера диска), что это нам дает то ?
Код кто-то должен выполнить будь то ОС или БиОС. От биоса толку нет,
а ОС давно бы спалили , как тогда быть с осями запущенными в виртуальной машине ? Производители виртуалок в доле, транслируют данную облать в виртуалки? Как быть с SCSI и SAS (на этих жестких дисках вообще контроллера как такового нет) ?
Слишком много людей надо заставить молчать что бы такую аферу провернуть
А вот чего реально стоит бояться так это закладок в cisco IOS
так как их оборудование используется очень много где и в один прекрасный момент страна Х может остаться без связи, совсем (ни интернетов, ни сотовой связи, ни проводной)
Давайте так поставим задачу - мы можем заложить ЛЮБОЙ код в микроконтроллер, который управляет жестким диском. Будем считать, что в каждом диске стоит такой код.
Как из таких исходных данных сделать устройство для контроля над миром?
У меня пока одна идея - берем какую-нибудь случайную 256 байтовую последовательность, которая может быть частью изображения в формате JPEG. При получении такой кодовой последовательности диск уничтожает всю информацию на носителе.
Как одолеть такой подход? Очень просто - храним данные только в шифрованном виде на дисках, загрузку ОС ведем только из ROM, или прошиваем начальную загрузку в самом RTL процессора.
> Как одолеть такой подход? Очень просто - храним данные только в шифрованном виде на дисках,
И не ходим в интернет. А то вдруг эти 256 байт кто-нибудь себе в аватарку поставит. Картинки кэшируются на диске, а при записи...упс.
Ещё можно просто сделать, чтобы все компьютеры в мире перестали работать 12.12.2012 в момент конца света. Тогда надёжно.
Если граммотно настроить Линукс, то будет шифроваться и содержимое дисков, и содержимое файла подкачки, то есть АБСОЛЮТНО ВСЕ на диске. Такое требование есть в отечественном РДГТК, еще 90х годов, для систем, предназначенных для хранения чувствительной информации.
Что касается проникновения через расширение BIOSа - SATA диски не находятся в пространстве ввода-вывода центрального процессора - только их контроллеры. В контроллере можно, конечно, все что угодно добавить - но такая ситуация имеет место года с 1981 (выход первой версии IBM PC).
В случае необходимости дополнительной защиту систему можно оборудовать платой, устанавливаемой на PCI шину, которая как раз и следит за вопросами безопасности - такие разработки есть и используются.
Это я к тому, товарищи, что целые институты, во множественном числе, занимаются этими проблемами, и ГДЕ НАДО все, если и не под ГАРАНТИРОВАННЫМ контролем, то под постоянным вниманием и присмотром большого числа ответственных и заинтересованных лиц - кого наказывать, если что не так - известно :-)
А то что твари-коммерсы-капиталисты не хотят следить за своей безопасностью - И ПЛАТИТЬ ЗА ЭТО - то это их проблемы. Хотя, у многих уже просветление начинает наступать - переход на Линукс, поэтому, неизбежен. Невидимая рука рынка, так сказать, в действии ;-)
А Косперского не люблю - он не решает проблему, а создает имитацию решения. Никакой анти-вирус не нужен, если система крепко запечатана, хотя, после этого, сканирование сигнатур не помешает.
> А то что твари-коммерсы-капиталисты не хотят следить за своей безопасностью - И ПЛАТИТЬ ЗА ЭТО - то это их проблемы. Хотя, у многих уже просветление начинает наступать - переход на Линукс, поэтому, неизбежен. Невидимая рука рынка, так сказать, в действии ;-)
В отличие от государства, у них нет возможности проверить весь код используемого ПО. Поэтому весь выбор сводится к тому: будет твою информацию читать Microsoft и АНБ или будет твою информацию читать ФСБ. Для большинства коммерсов ФСБ кажется большим злом.
> А Косперского не люблю - он не решает проблему, а создает имитацию решения. Никакой анти-вирус не нужен, если система крепко запечатана, хотя, после этого, сканирование сигнатур не помешает.
Это да. Более того, любой антивирус является де-факто руткитом со всеми вытекающими (приходится дловерять Касперскому больше, чем производителям ОС и вирусов).
Кстати, существует ли для Windows аналог tripwire ?
Дублировать надо почаще инфу на ленты и DVD, ну и восстанавливать ОСю из копии(3 минуты- всех делов) каждую неделю; отказаться от Win 8, пользовать пока Win XP, ну и лепить свою ОС...что китаёзы давно и делают.
В интернет выходить через анонимная ОС tails
При выходе в Интернет можно жесткий диск можно вообще выдернуть из компьютера(или отключить питание), а на флешке с ОС tails поставить "блокировку записи"
Вероятно, это домыслы журналистов, которые так назвали сам контроллер. Современный жесткий диск, это компьютер порой помощнее многих домашних роутеров, и у него внутри, на контроллере, можно попытаться запустить полноценную операционную систему. Например, вот интересный эксперимент по изучению одного из таких контроллеров. Получение полного или частичного контроля над контроллером жесткого диска, как минимум, поможет собирать данные незаметно от пользователя.
Многие местные не в курсе, но недавно в рассылке kernel-devel как раз поднимали интересный вопрос о создании API в ядре Linux, которое бы предоставляло userspace-приложениям возможность гарантированного удаления или наоборот гарантированной записи данных на диск.
Квалифицированные разработчики тогда отрицательно ответили на это предложение - это невозможно, т.к. диск (контроллер диска), это самостоятельный компьютер, самостоятельно трактующий команды от хостового компьютера, согласно прошивке. Из обмена данными стандартизирована лишь часть между компьютером и диском.
Что касается того, кто будет выполнять код в пространстве хостовой машины, то хочу упомянуть еще об одной возможности. К сожалению, я не эксперт по низкоуровневому ПО, но даже я знаю, что в BIOS существует архитектурная возможность выполнять любой код, реализованный в виде т.н. Option ROM. Все SCSI и PCI-контроллеры жестких дисков, про которые я знаю, обладают этой функциональностью. Т.е. BIOS в один момент не глядя передает управление куску кода, полученному из оборудования. Атаковав это оборудование (перезаписав firmware), вероятнее всего можно достигнуть неких целей. Но, повторюсь, я не специалист, и тут теоретизирую.
Теперь по масштабам (мол, аферу такого масштаба провернуть незаметно нельзя). Я вынужден не согласиться. Для начала отмечу, что мало кто может проверить не изменена ли микропрограмма жесткого диска или контроллера массива жестких дисков. Так что проверить может лишь малое количество людей. И, разумеется, настолько изощренная атака может быть адресной. Например, поставщик оборудования для министерства может поставлять инфицированную технику, а на радиорынке будет продаваться незараженная. Напомню, что на адресном заражении оборудования конкретному заказчику NSA уже поймали за руку (с фотодоказательствами, где они сменяли прошивки для роутеров).
Виртуализация офиса и прощай адресность. Для проверки образов прошивок поставщики прикладывают несколько хешей, для конторы организовать проверку проблемы нет.
Господа, сделайте нормальный share на мобильной версии, а то задрало уже.
Внимание, вопрос - почему такой странный дуализм взглядов на такие простые вопросы с, казалось бы, очевидными ответами?
Две партии - старые пердуны, наследники коммуняк-воров-западопоклонников-имени-Троцкого-Хрущева-Брежнева - эти за возврат к рабовладельческом строю и в пещеры, ну и программисты им не нужны, понятно. Быдло.
Ну и вменяемые люди - Сталинисты-имперцы-прагматики, сторонники прогресса - понятно, что эти понимают, что без национальной платформы, контролируемой Россией, из России и для России (отношу и себя к ним) не обойтись.
Так что ничего странного - как обычно - партия смерти и деградации и партия жизни и прогресса.
Умножить это про-Западную и анти-Западную позицию - вот и все разнообразие взглядов.
кстати да, очень жизненно!
+1 и вглубь истории.
Господа, а квантовая неопределенность, когда будет определенной, как-то эту проблему безопасности решает ? Хотя бы теоретически. :)
Никак - сама задача и поле рассуждений препятствуют этому.
Еще немного подробностей :
Бывший сотрудник Агентства национальной безопасности США подтвердил, что именно эта структура стоит за созданием ряда шпионских программ, действовавших по всему миру. О раскрытии сети вредоносного ПО днём ранее сообщила российская компания — разработчик антивирусных программ.
16 февраля «Лаборатория Касперского» — российская компания, занимающаяся кибербезопасностью — сообщила, что обнаружила глобальный вирус, который охватил практически все сферы, от армии до крупного бизнеса. Хакеры внедрились в телекоммуникационные и энергетические компании, а также в правительственные компьютеры.
Атакам подверглись более 40 стран, в том числе Россия, Индия и Иран. Компания отказалась сообщить, в чьих интересах мог действовать вирус, но заметила, что принцип его работы похож на Stuxnet — программу, обнаруженную в компьютерах, связанных с иранской ядерной программой.
Её деятельность приписывают Агентству национальной безопасности США. Как сообщает Daily Mail, бывший сотрудник АНБ США подтвердил агентству Reuters, что эта же спецслужба стоит за созданием пакета только что обнаруженных шпионских программ.
По оценкам «Лаборатории Касперского», количество заражённых компьютеров увеличилось до 2 тысяч машин в месяц. Найденные программы действовали почти полтора десятилетия. Многие из них сделаны столь искусно, что их практически невозможно вычислить: вирус начинает действовать, только обнаружив на компьютере жертвы ценную информацию.
Если ничего ценного найти не удаётся, он бесследно самоудаляется. Если важная информация всё же была найдена, вирус отправляет сигнал хакеру, а затем берёт управление операционной системой полностью под свой контроль.
Более того, предполагается, что ряд этих программ способен перепрограммировать жёсткий диск компьютера, что делает невозможным обнаружение и устранение вируса.
Эта информация чревата скандалом: многие исследователи сомневаются, что хакеры могли бы провести столь сложные операции, не имея доступа ко внутренней информации компаний-производителей, таких как Seagate или Western Digital.
Специалист в области интернет-безопасности Марк Роджерс в эфире RT напомнил об истории вируса Stuxnet, которые впервые показал масштабы электронного шпионажа на государственном уровне.
«Такой высокотехнологичный вирус не мог возникнуть из ниоткуда, — считает эксперт. — Должно быть, существовали какие-то более ранние версии. И похоже, что это одна из них. Можно обнаружить много совпадений по структуре программных модулей и наименований».
По мнению Роджерса, к разработке вируса должна быть причастна разведка:
«Эту вредоносную программу распространили очень широко, но запрограммировали её таким образом, чтобы она заражала только те компьютеры, которые представляют для них интерес».
«Когда такого рода оружие распространяется столь быстро, это не может не вызывать беспокойства», — резюмирует эксперт. Впрочем, специалистов по интернет-безопасности больше волнует не то, что они уже обнаружили.
Это означает, что им на смену могли прийти ещё более сложные шпионские программы.
впечатляет.
Такова расплата за уничтожение наукоемкой экономики
в 1985-1993
Страницы