Белый дом ввел санкции против главного исследователя закладок АНБ

Аватар пользователя Radiohead

В общем, есть на Руси очень известная (в узких кругах) компания Positive Technologies. Основное направление деятельности - информационная защита. "Белый" хакинг, поиск уязвимостей и вот это вот все.

Между прочим, сама фирма оценивается аж в миллиард баксов.

И вот сегодня эта фирма попала в санкционный список Белого дома.

Далее я привожу текст с одного телеграмм-канала, который делает некоторые предположения за что же прилетело Позитивам:

 

"SecAtor:
​​Мы неоднократно писали, что исследователи Positive Technologies весьма успешно потрошат микрокод процессоров Intel.

Например, в октябре они достали ключи шифрования, которые используются для защиты обновлений. Мы тогда предположили, что дальнейшие исследования в этой области вполне могут привести к встроенным бэкдорам АНБ в процессорах Intel. И возможно мы оказались правы.

Ермолов, Скляров и Горячий нашли в платформе Apollo Lake две недокументированные инструкции, позволяющие путем доступа к шине управления модифицировать микрокод. По мнению исследователей, эти инструкции присутствуют на всех процессорах Intel.

Правда для этого процессор должен быть в режиме Red Unlocked,  то есть хакер должен иметь доступ к управлению Intel Management Engine. По умолчанию он залочен и доступ есть только у Intel. Но в некоторых процессорах есть дыры, позволившие его получить.

Да, Intel, по идее, может это все пропатчить. Нет, это будет не быстро.

Что имеем в итоге - недокументированные инструкции, позволяющие взять CPU (а значит и всю систему) под контроль, доступ к которым (по идее) имеют только Intel (или некоторые товарищи стоящие за ними).

Пилят, вот точно АНБшный бэкдор!

Итак, 15 апреля Министерство финансов США объявило о внесении ряда российских физических и юридических лиц в чёрный список Управления по контролю над иностранными активами. В их число попали 6 технологических компаний, в том числе Positive Technologies. 

Что на самом деле произошло и каковы будут последствия? Давайте напряжём память и включим режим чтения между строк.

Начнём с выяснения откуда ноги растут.

Мы неоднократно писали о весьма чувствительных исследованиях Позитивов в отношении продуктов Intel. Результаты этой работы "хайли лайкли" указывают на присутствие у Интела бэкдора АНБ. Впрочем, пока никто не решился публично показать на "наглую рыжую морду" и назвать вещи своими именами. Можете себе представить какой поднялся бы ор, если бы американская инфосек-компания нашла нечто похожее в российском продукте. Кровавые ошмётки полетели бы во все стороны и никто бы не стал разбираться был ли суслик или нет. В октябре мы предупреждали, что активность рисёрчеров в этом направлении может привести к неприятным санкционным последствиям, что, собственно, и произошло. Однако мы не склонны считать, что одно вытекло из другого. Не исключено, что исследования напомнили Минфину США об этой занозе и переполнили чашу терпения.

Мероприятие Positive Hack Days де-факто стало одним из главных глобальных инфосек-мероприятий для практикующих пентестеров. Наломали (в прямом смысле слова) там много дров и обидели многие американские компании. Однако и здесь мы не видим реальной причины для включения Позитивов в санкционный список. Подобных мероприятий множество, да и сама компания придерживалась индустриальных практик ответственного раскрытия уязвимостей. Эта причина настолько ничтожна, что вряд ли сыграла какую-то роль даже в "переполнении чаши терпения". Даже несмотря на то, что в тексте пресс-релиза указано "hosts large-scale conventions that are used as recruiting events for the FSB and GRU". Под это определение можно подвести любое инфосек-мероприятие.

Читаем дальше. "Positive Technologies...supports Russian Government clients, including the FSB". Почему в санкционном списке тогда нет Касперского или отчаянно прикидывающихся сингапурцами Group-IB и длинного перечня других разработчиков, которые "support Russian Government clients"? Неужели про них просто забыли? Нет, скорее всего эта фраза - только прелюдия, квик интродакшн новому члену чёрного списка.

Дальше становится интереснее. "Positive Technologies was also designated today pursuant to E.O. 13694, E.O. 13382, and CAATSA for providing support to the FSB". Каким образом Позитивам пришили указ 13382, который относится к мерам против распространения оружия массового поражения - это только Минфину известно. А вот указ 13694 - совсем другое дело. Он однозначно указывает на подозрения в участии компании во враждебных кибероперациях против США, но дальше никакой конкретики. К такому подходу в наказании неугодных не привыкать, но нам почему-то пришёл в голову недавний отчёт аналитического центра Atlantic Council, в котором рассматриваются коммерческие контракторы, помогающие правительствам разных стран в кибероперациях. В отчёте фигурирует израильская NSO Group, эмиратская Dark Matter и российская компания под криптонимом ENFER. Уж не здесь ли собака зарыта? Если это действительно так, то пиарщикам Позитивов надо приготовиться к мощному шторму с громом, молниями и попкорном

Что дальше?

Мы полагаем, что санкции не будут для бизнеса Positive Technologies фатальными, поскольку компания обслуживает в основном российские организации. Вероятен временный просад показателей на волне ужаса некоторых неуравновешенных клиентов. А вот с планами IPO придётся на некоторое время завязать. Пессимистичные (но не распродажные) настроения потенциальных акционеров считываются по курсу облигаций Позитивов в моменте просевших на 2%."

Авторство: 
Копия чужих материалов

Комментарии

Аватар пользователя Владимир Ф.
Владимир Ф.(7 лет 7 месяцев)

Интересно, спасибоsmile9.gif

Аватар пользователя Лёлик
Лёлик(4 года 7 месяцев)

Спасибо 

Аватар пользователя Этрусск
Этрусск(1 год 3 месяца)

Интересно у AMD тоже есть закладки? А у Motorola?

Аватар пользователя Sergey_Chel
Sergey_Chel(3 года 3 месяца)

Есть.

Филологам не объяснить, что такое программно-аппаратный комплекс...

Лох - это судьба :) Ой, вот так :(

Аватар пользователя Этрусск
Этрусск(1 год 3 месяца)

Не печальтесь. Лохи тоже люди, можете даже огранизовать движение: "Жизни Лохов Обеспечивают Будущее" Гы-гы...

Аватар пользователя maxx1
maxx1(6 лет 3 месяца)

Жизни лохов важны!

Аватар пользователя bbrat2
bbrat2(4 года 6 месяцев)

У термина Лох есть несколько толкований. Одно из них - рыба идущая на нерест против течения. Так что Ваше утверждение имеет смысл. 

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Закладки есть у всего, что выше триггера :)
Вопрос в том, как ими управлять и получать от них что-то полезное, это самая интересная часть марлезонского балета :)

Аватар пользователя СибВатник
СибВатник(4 года 7 месяцев)

О большинстве из закладок не знают и разработчики. Причина их происхождения - "кривые руки"

Аватар пользователя НСК
НСК(4 года 3 месяца)

У триггера тоже есть закладка - метастабильное состояние...

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Микрокод ЦПУ... Улыбнуло.
А в микрокоде генома млекопитающих тоже есть много чего интересного. И управляемого, в какой-то мере.
Если серьёзно: биос, ось, софт. и конечно-же - связь через инет. Которая, по определению, может быть, а может и нет. Особенно если эта связь идёт оттуда, а не из )

Аватар пользователя Sergey_Chel
Sergey_Chel(3 года 3 месяца)

Ассемблер. 

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Что Ассемблер?
Получит данные от Центра Ха и изничтожит ваш писюк? ;)

Аватар пользователя Radiohead
Radiohead(6 лет 2 недели)

Помните как евреи разнесли центрифуги в Натанзе?

Обошлись без всякого интернета)

Хватило одной флэшки.

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Это вопрос охраны.
Если какой-то монголоид может пройти в святая святых и и воткнуть (флешку)? И вдруг сработает авторан? В святая святых? Я вас умоляю... Персонал, который отвечает за это должен быть немедленно уволен. Оставлен один, который знает и умеет. И который сделает всё, что нужно :)
 

Аватар пользователя Radiohead
Radiohead(6 лет 2 недели)

"В сентябре 2019 года опубликовано журналистское расследование, согласно которому заражение вирусом иранского центра по обогащению было произведено иранским специалистом, завербованным голландской разведкой AIVD по поручению ЦРУ и Моссада"

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Я  говорю - это вопрос охраны, в тч и ит инфраструктуры

Аватар пользователя подозреваемый

речь не о том, кого вербанули, а о возможности совершения. Видимо, не делали логические и ситуационные петли на входе, ловушки и эмуляторы, не было нормальных уровней доступа -- вот и результат. В нормальных-то конторах сделать фатальную диверсию очень сложно, если даже руководятла вербануть.

Аватар пользователя eagleowl73
eagleowl73(5 лет 6 месяцев)

Вам будет легче, если килл-команда приедет вместе с апдейтом ОСи?

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Не все апдейты одинаково полезны.
А некоторые даже вредны.
поэтому, в некоторых случаях, можно и нужно на обновления забить болт :)

Аватар пользователя Dropshot
Dropshot(6 лет 3 месяца)

И опять вопрос. Кто должен определять вредность апдейтов? Что делать если без вредного апдейта не будут устанавливаться необходимые?

Как ФСТЭК провел проверку windows 10 на соответствие требованиям безопасности и техническим условиям, а также на предмет отсутствия недекларированных разработчиком функциональных возможностей, если в ней 55 млн строк кода?

Выданный ведомством сертификат подтверждает соответствие ОС требованиям доверия 6 уровня, требованиям безопасности информации к операционным системам и профилю защиты операционных систем типа А шестого класса защиты.

Аватар пользователя monk
monk(9 лет 2 месяца)

Как ФСТЭК провел проверку windows 10 на соответствие требованиям безопасности и техническим условиям, а также на предмет отсутствия недекларированных разработчиком функциональных возможностей, если в ней 55 млн строк кода?

Программными средствами. На сертифицированных системах никакие апдейты не устанавливаются, кроме как с сертифицированной новой версии.

Аватар пользователя zelya
zelya(6 лет 4 месяца)

в сарове двух долбоклюев садили. так что и там могут войти и в других местах. человеческий фактор самый неопределенный по поражающему действию.

Аватар пользователя Key Z
Key Z(4 года 4 месяца)

Не флешки. Центроникса и принтера с закладкой.

Аватар пользователя Бабай-сан
Бабай-сан(3 года 5 месяцев)

Ага, именно так в начале нулевых во время войнушки США с Ираком (или Ираном?) был запущен вирус по военной сети. Большая часть была блокирована или выведена из строя.

Аватар пользователя Romaty
Romaty(5 лет 9 месяцев)

Да ну, глупости, ни флэшка, ни закладка не сможет вызвать физического взрыва в связи с тем, что не содержит гексогена. Ну если система правильно спроектирована. 

Отключить писюк сможет, но не взрыв же. 

Аватар пользователя Sergey_Chel
Sergey_Chel(3 года 3 месяца)

Сразу видно мастера Йода.

А если отключить вентилятор и жидкие компоненты перейдут в газообразные?

Или Вам обязательно надо как в американском кино? Со спецэффектами smile3.gif

Аватар пользователя Romaty
Romaty(5 лет 9 месяцев)

Сразу видно мастера по построению отказоустойчивых систем. Можно задать наводящие вопросы?

1. А откуда "закладка" знает, что этот код отключает именно вентилятор? Не находите, что для этого надо как минимум знать целиком код управления вентилятором?

2. А вдруг ну допустим, компьютер просто зависнет, сдохнет или криворукий перс напишет неправильный код без всякого вмешательства евреев? Не находите, что нормальные проектировщики при проектировании систем такую возможность учитывают? И используют прямые блокировки, реле, дублирование, ручное управление? Не?

Аватар пользователя Sergey_Chel
Sergey_Chel(3 года 3 месяца)

То есть без спецэффектов все-таки не обойтись...

Нормальные взломщики подходят к работе комплексно. С учетом вторичных и далее последствий.

Ну, а если Вы думаете, что системы ломают гопники, то... :(

Аватар пользователя Romaty
Romaty(5 лет 9 месяцев)

Каких спецэффектов? Я просто участвовал и участвую в построение таких сетей. Есть компьютер, нет компьютера, правильно будет работать программа, не правильно, система должна работать. Вентилятор подключается напрямую через реле от термодатчика. 

Аватар пользователя Lock_enough
Lock_enough(3 года 7 месяцев)

Вы про Stuxnet наверняка знаете?

Аватар пользователя roman.kuvaldin
roman.kuvaldin(9 лет 5 месяцев)

Не могу найти ссылку, но как минимум читал про то, как при помощи дырки в управляющем приложении исследовательская команда ввела в резонанс с последующим разрушением турбину. Безо всякого гексогена.

Аватар пользователя Steel Rat
Steel Rat(3 года 3 недели)

Ещё в прошлом веке были вирусы, активация которых приводила к физическому повреждению самой вычтехники. А уж разнести в клочья что-то управляемое этой вычтехникой - спросите у Илона нашего Маска...

Аватар пользователя Sergey_Chel
Sergey_Chel(3 года 3 месяца)

Мда... Челябинск в курсе :)))

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Ну давай. Раися, в перде. Я не под впн, прокси, и пр. Сделай уже чёнить. Если сможешь :)

Аватар пользователя Sergey_Chel
Sergey_Chel(3 года 3 месяца)

Смысл?

Посчитать дурачков?

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Дурачков в тырнете - пруд пруди.
Искать их и использовать - прикольно :)

Аватар пользователя Sergey_Chel
Sergey_Chel(3 года 3 месяца)

Тебя поимели - это прикольно?

Работай над собой.

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Меня никто не поимел - это видно по данным роутера.
Твои слова - брехня :)
Так над чем мне работать?

Аватар пользователя Lock_enough
Lock_enough(3 года 7 месяцев)

Это мне напомнило анекдот про гея, который мечтал стать футболистом. Вы из таких будете?

Аватар пользователя Radiohead
Radiohead(6 лет 2 недели)

Микрокод ЦПУ... Улыбнуло.

А что вас смущает?

Микрокод - вполне устоявшийся термин обозначающий внутрипроцессорный софт.

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Да в курсе я, что уже давно микрокод цпу интела занимается переводом инструкций CISC в инструкции RISC, и это уже давно. Не надо объяснять почему?

Аватар пользователя Radiohead
Radiohead(6 лет 2 недели)

Чего обьяснять?

Что интел это софтовый cisc?

Так это всем известно)

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Увы, не всем.
Не все в курсе того, что процессоры, начиная с Intel Pentium Pro (1995 г.), являются CISC-процессорами с RISC-ядром. Они непосредственно перед исполнением преобразуют CISC-инструкции x86-процессоров в более простой набор внутренних инструкций RISC.
Как-то так )

Аватар пользователя Sergey_Chel
Sergey_Chel(3 года 3 месяца)

И что? Дополнение инструкций - это нормальное развитие технологий...

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

Дополнительные инструкции должнен знать софт, что выше микрокода цпу.
Не злоупотребляйте т.н. обновлениями - и будет вам Щастье )

Аватар пользователя Этрусск
Этрусск(1 год 3 месяца)

Вот, Пелион на Осе! Не то, что раньше в DOS эпоху - перехватил 13 прерывание и вреди как душенька желает или резидента через Boot подсадил.

А вирусы какие были, красота, короткие, на Ассемблере писанные, прятались, маскировались, дискету без презерватива в дисковод страшно было засовывать... Эх, тоска...

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

О, да.
Хвала виртуализации, набор присутствует. А вирусы были, конечно же, мм... Некоторые из них делали так. чтобы их не вычислили по сигнатурам... Пестня просто ;)

Аватар пользователя Этрусск
Этрусск(1 год 3 месяца)

OneHalf3544 - мой "любимый" вирус, чаще всего притаскивали от проектантов.

Аватар пользователя Andrew74
Andrew74(3 года 2 месяца)

OneHalf - это полиморфное файлово-загрузочное произведение искусства
И просто так удалять его было низяяя - потому что он ещё и шифровальщик...
Dis is one half. Press any key to continue …
Как вспомню, так вздогну :)

Страницы