"Лаборатория Касперского" пришла к выводу, что Агентство национальной безопасности США прятало шпионское программное обеспечение в защищенных от форматирования зонах жестких дисков.
Как сообщает РИА «Новости», речь идет о дисках крупнейших производителей, поэтому спецслужба могла считывать данные с большинства используемых в мире компьютеров.
Программы АНБ были найдены в 30 странах, в том числе в Иране, России, Пакистане, Афганистане, Китае, Мали, Сирии, Йемене и Алжире. Шпионское ПО было установлено на компьютерах в правительственных учреждениях, телекоммуникационных и энергетических компаниях, банках, атомных исследовательских центрах и т.д.
В отчете «Лаборатории» напрямую не указано, какая именно страна ответственна за подобный шпионаж, указав, что это связано с вирусом Stuxnet, который по заказу АНБ был использован для атаки на завод по обогащению урана в Иране.
Среди производителей, чьи диски оказались уязвимы, оказались практически все участники рынка, включая Western Digital, Seagate, IBM, Toshiba, Micron и Samsung.
Между тем производители жестких дисков, в том числе Seagate, Micron и Western Digital утверждают, что не предоставляли АНБ исходный код программного обеспечения своей продукции.
ПЕРВОИСТОЧНИКИ - 1) ОТЧЕТ КАСПЕРСКОГО, 2) РЕЙТЕРС
Комментарии
Я смотрю, Касперский стал чем-то вроде IT-шного С-400.
нет, они стали чем-то вроде IT-шного Багдад Боба.
полагаю, что у него планы на IT-газпром
Надо же как неожиданно! И производители не в курсе, не предоставляли. Этакие овечки, ТБМ.
Говорят, троян использует уязвимости записи прошивок, причем только для восстановления после форматирования, так что не факт что производители в курсе.
Я нисколько не спец, но еще в 2011 году встречал на страницах "Хакера" статейку про прошивки-закладки в железе уже исходно с заводов-изготовителей. И полный игнор на эту информацию со стороны компетентных органов (со слов автора статьи). Так что, хоть шей, хоть перешивай - все едино. Пока на свой "Эльбрус" не поднимемся.
Да статья интересная.
https://xakep.ru/2011/12/26/58104/
как я понял, это закладка от КНР.
Оч интересная статья, сам хотел ссылку дать но вы опередили))).
Вс же, полностью обвинять КНР не стоит, мне кажется там окунаются все кому не лень.
ВЫ ниже ссылочку почитайте, если технические термины непонятны просто их опускайте, вот тогда и скажете про "овечек".
расковыряли софт, который прошивает ПЗУ дисков, это несложно, и производителей немного
Вот бы он ещё Андроид расковырял .
А зачем Андроид ковырять? Система созданная ЦРУшным подразделением, софтина нагло в открытую собирает всю инфу о пользователе и отсылает в центр. Оборзели до того, что нагло заставляют включать функции, которые мне не нужны (например, при использовании GPS требует подключения к инету, нужно же хозяину инфу отправить), не даром прошёл слух, что Самсунг хочет перейти на Виндовс, хотя шило на мыло.
У Самсунга есть собственный Тизен, но пока это не тренд. Но даже если так -- просто появится еще одна платформа, шпионящая за владельцем.
создавать массовое ПО с открытым исходным кодом для шпионажа - не самое лучшее решение.
Это всё равно что заявить во всеуслышание - смотрите мы за вами шпионим.
Да, и программисты всегда могут выкинуть шпионящий код
Облачные сервисы -- это шпионский софт? Сервисы геолокации -- это шпионский софт? Автоматическое соединение с открытыми вайфай сетями -- это шпионский софт? Или постоянно включенный с целью голосового управления микрофон -- это шпионский софт?
"Тыж программист" -- не катит. Сложность софта очень высока, его недокументированные возможности никто не раскрывает, даже наличие исходников в свободном доступе не гарантирует, что кто-то с уймой свободного времени пойдет для собственного удовольствия лопатить код, выискивая в нем бекдоры.
ну в свободное время согласен никто наверно не будет, но за деньги - вполне. может же россия заплатить зарплату сотне - другой программистов. А ещё дешевле - конкурс. Кто найдёт бэкдор тому премия. вот и будут лопатить.
Концепция "премия за взлом" не работает. Это нужно, чтобы высококвалифицированный человек потратил неизвестное количество своего драгоценного времени с неизвестным результатом? Да он лучше гарантированно на повременке получит свое.
Дуров с его Телеграм уже проводил подобный конкурс, мол, кто найдет уязвимость и расшифрует -- получит премию. По факту премию никто не получил. Закрыт ли вопрос о том, есть ли уязвимости -- нет, ничего не поменялось.
Высоквалифицированный человек как раз найдёт уязвимость и получит большие деньги. никоквалифицированый не найдёт, ему выгоднее гарантированно на
Естественно премия должна соотвествовать затратам. например в хроме регулярно находят уязвимости. по поводу Телеграм - у Дурова наверно денег нет на премии.
У студентов дофига свободного времени, один случай никакой тенденции не показывает. Даже если премия будет миллион -- какой смысл заниматься работой, результативность которой изначально неизвестна? В лотереи и побольше выигрывают и при этом даже ничего делать не нужно. Почему тогда лотереи не стали заработком?
с ссылку поменял .
Я к тому, что система работает, и даёт результат.
Выискивать частные случаи и говорить, что это "система, которая работает и дает результат"? Ок, архитекторов и тестеров можно разогнать теперь нафиг. Ведь есть отличная работающая система.
Система заработка, основанная на лотерее, тоже "дает результат". Определенно кто-то выигрывает, вон о них даже сюжеты снимают.
так в исходном коде андроида и нет такого функционала, он в Google Apps
тут идёт речт про тизен
Самсунг на цианоген хочет перейти, а на тизене аппараты уже делаются. Телефонному виндовсу же, похоже, жить осталось недолго, так как микрософт даёт группе цианогена деньги (десятки миллионов долларов) и сливает самарина с основным дотнетом, то есть, судя по всему, основной микрософтовской мобильной платформой планируется опенсорсный (!!!) дотнет на серии полностью открытых линуксовых сборок.=
микрософт только только научились нормальные системы делать, а уже полезли в телефон... Вот и облом ))
В тему:
>мобильной платформой планируется опенсорсный (!!!) дотнет на серии полностью открытых линуксовых сборок.=
по мне это попытка запрыгнуть в уходящий поезд
Ещё юмор, как раскрутили селфи-фото, т.е. чтобы ленивым спецслужбам за каждым не бегать, заставили дураков своими же руками делать фото самого себя, пипец просто.
там ведь куча меток идет ... Я тоже об этом подумал, прямо база данных какая то.
ИПЯНУ, блин. В смысле - и почему я не удивлен.
По сути дела все наши компьютеры - всего только мины под нас же. Пока не научимся их ПОЛНОСТЬЮ разминировать - они готовы "взорваться" в момент начала войны. Пропажа всей информации - это очень, очень грустно.
Да и то сказать, кто сейчас в мире готов вернуться в докомпьютерную эпоху?
В строго бумажный документооборот, бумажное проектирование, отсутствие интернета?
Скорость - вот что появилось за последние десятилетия. И мина под всё это - чужие и железо и ПО.
Кто рискнёт утверждать, что в ОС нет закладок на уничтожение? Кто рискнёт сказать, что в самых сложных кристаллах нет ещё каких то ловушек?
можно, наверное, и на уровне биос заложить. По кр. мере, начало кода.
Java-машины, флеш, кодеки, протоколы, виртуальные машины...
чего меня пугать, я давно понимаю, что мы имея дело к ПК, сотовым и тд., имеем дело с ББ. Точнее, с несколькими братьями, Подсознательно, последние годы, как-то нашему ББ больше доверяю. Он, как система, по кр. мере, в меня ЯО и всем прочим не целится.
Свободным ОС ничего не грозит. Машины с неотключаемой "безопасной загрузкой" UEFI появлялись (АФАИК среди самых дешёвых у эйсера), но пользовались почти нулевым спросом и имели проблемы с обновлением самой ОС и драйверов, а свободные ОС обзавелись подписаннными загрузчиками. Так что эксперимент тихо заглох.
спасибо. Просмотрел пока половину, но уже захотелось отрезать кабель с Интернетом. Надо какие-то компы вообще в сеть не пускать.
> в ОС нет закладок на уничтожение
причем непрозрачные обновления по интернету позволяют на "подозрительный" компьютер, внесенный в список, устанавливать свою особую версию обновления позволяющую отслеживать все, что в принципе можно отслеживать.
Плевать на отслеживание, секретов как таковых почти нет, важно совсем противоположное - внедрение иной информации с обходом фазы критического анализа, привет от фильма Inception.
Есть опенсорсные ОС и ПО, в которых можно проверить каждую строчку кода. Осталось дойти до опенсорсного железа.
> Осталось дойти до опенсорсного железа.
Тоже есть
https://ru.wikipedia.org/wiki/%CE%F2%EA%F0%FB%F2%EE%E5_%E0%EF%EF%E0%F0%E0%F2%ED%EE%E5_%EE%E1%E5%F1%EF%E5%F7%E5%ED%E8%E5
Это миф, что опенсорс защищен. Во-первых, чтобы быть уверенным в отсутствии закладок, надо не сборки качать, а самому из исходников собирать (при этом все окружение для сборки тоже должно быть открытым и так же самособранным, а не взятым готовым) - этого никто практически не делает и не будет. Во-вторых, любой большой продукт - это охренительное количество кода. Его проверить - нереально практически.
Ну, любое изменение в коде популярных проектов отслеживается десятками тысяч людей по всему миру. А для государственных нужд можно и весь код проверить.
Ага, ага. И все десятки тысяч пропустили heartbleed. Вирусни под линуксы (свободные тоже) - давно уже множество, и какая часть из них юзает реальные ошибки, а какая - тихо найденные бекдоры - никто не знает. Ну и все эти десятки тысяч - не являются гарантией никак. Некоторой защитой - да, но проводить настолько подробный анализ, чтобы увидеть хитрые заложенные бекдоры - нет.
Ну и - повторюсь, мало иметь проверенный код, надо иметь проверенные средства его развертывания. Например, качая готовый образ для установки какого-нить очередного линукса, вам надо доверять не только его контрибуторам, но и тому, кто образ скомпилял и записал (ну и еще - передал).
Верно. Плюс в последнее время стало распространенным продавать эксплоиты (свежеобнаруженные дыры) в операционках. Появился практически открытый рынок такой информации. Поэтому скорость создания закладок явно возросла, чисто ради денег.
да ладно хертблид, вот с 92 года было https://ru.wikipedia.org/wiki/Bashdoor за 22 года "чтения" исходников что то никто не заметил
Описанное Вами делается регулярно любой конторой, выпускающей ПО, сертифицированное для работы с секретными сведениями. Это при наличии нормального железа несложно и отнимает немного времени -- обычно такие сборки ПО не перегружаются лишними пакетами, ставится только то, что действительно нужно, остальное безжалостно выкидывается.
Ага, для супер-пупер систем для управления банками или военщины - это еще худо бедно работает (с переносом доверия на эти сертифицирующие органы). А обычным юзерам то как быть? (речь об этом же изначально шла)
https://ru.wikipedia.org/wiki/Bashdoor
Страницы