В общем, есть на Руси очень известная (в узких кругах) компания Positive Technologies. Основное направление деятельности - информационная защита. "Белый" хакинг, поиск уязвимостей и вот это вот все.
Между прочим, сама фирма оценивается аж в миллиард баксов.
И вот сегодня эта фирма попала в санкционный список Белого дома.
Далее я привожу текст с одного телеграмм-канала, который делает некоторые предположения за что же прилетело Позитивам:
"SecAtor:
Мы неоднократно писали, что исследователи Positive Technologies весьма успешно потрошат микрокод процессоров Intel.
Например, в октябре они достали ключи шифрования, которые используются для защиты обновлений. Мы тогда предположили, что дальнейшие исследования в этой области вполне могут привести к встроенным бэкдорам АНБ в процессорах Intel. И возможно мы оказались правы.
Ермолов, Скляров и Горячий нашли в платформе Apollo Lake две недокументированные инструкции, позволяющие путем доступа к шине управления модифицировать микрокод. По мнению исследователей, эти инструкции присутствуют на всех процессорах Intel.
Правда для этого процессор должен быть в режиме Red Unlocked, то есть хакер должен иметь доступ к управлению Intel Management Engine. По умолчанию он залочен и доступ есть только у Intel. Но в некоторых процессорах есть дыры, позволившие его получить.
Да, Intel, по идее, может это все пропатчить. Нет, это будет не быстро.
Что имеем в итоге - недокументированные инструкции, позволяющие взять CPU (а значит и всю систему) под контроль, доступ к которым (по идее) имеют только Intel (или некоторые товарищи стоящие за ними).
Пилят, вот точно АНБшный бэкдор!
Итак, 15 апреля Министерство финансов США объявило о внесении ряда российских физических и юридических лиц в чёрный список Управления по контролю над иностранными активами. В их число попали 6 технологических компаний, в том числе Positive Technologies.
Что на самом деле произошло и каковы будут последствия? Давайте напряжём память и включим режим чтения между строк.
Начнём с выяснения откуда ноги растут.
Мы неоднократно писали о весьма чувствительных исследованиях Позитивов в отношении продуктов Intel. Результаты этой работы "хайли лайкли" указывают на присутствие у Интела бэкдора АНБ. Впрочем, пока никто не решился публично показать на "наглую рыжую морду" и назвать вещи своими именами. Можете себе представить какой поднялся бы ор, если бы американская инфосек-компания нашла нечто похожее в российском продукте. Кровавые ошмётки полетели бы во все стороны и никто бы не стал разбираться был ли суслик или нет. В октябре мы предупреждали, что активность рисёрчеров в этом направлении может привести к неприятным санкционным последствиям, что, собственно, и произошло. Однако мы не склонны считать, что одно вытекло из другого. Не исключено, что исследования напомнили Минфину США об этой занозе и переполнили чашу терпения.
Мероприятие Positive Hack Days де-факто стало одним из главных глобальных инфосек-мероприятий для практикующих пентестеров. Наломали (в прямом смысле слова) там много дров и обидели многие американские компании. Однако и здесь мы не видим реальной причины для включения Позитивов в санкционный список. Подобных мероприятий множество, да и сама компания придерживалась индустриальных практик ответственного раскрытия уязвимостей. Эта причина настолько ничтожна, что вряд ли сыграла какую-то роль даже в "переполнении чаши терпения". Даже несмотря на то, что в тексте пресс-релиза указано "hosts large-scale conventions that are used as recruiting events for the FSB and GRU". Под это определение можно подвести любое инфосек-мероприятие.
Читаем дальше. "Positive Technologies...supports Russian Government clients, including the FSB". Почему в санкционном списке тогда нет Касперского или отчаянно прикидывающихся сингапурцами Group-IB и длинного перечня других разработчиков, которые "support Russian Government clients"? Неужели про них просто забыли? Нет, скорее всего эта фраза - только прелюдия, квик интродакшн новому члену чёрного списка.
Дальше становится интереснее. "Positive Technologies was also designated today pursuant to E.O. 13694, E.O. 13382, and CAATSA for providing support to the FSB". Каким образом Позитивам пришили указ 13382, который относится к мерам против распространения оружия массового поражения - это только Минфину известно. А вот указ 13694 - совсем другое дело. Он однозначно указывает на подозрения в участии компании во враждебных кибероперациях против США, но дальше никакой конкретики. К такому подходу в наказании неугодных не привыкать, но нам почему-то пришёл в голову недавний отчёт аналитического центра Atlantic Council, в котором рассматриваются коммерческие контракторы, помогающие правительствам разных стран в кибероперациях. В отчёте фигурирует израильская NSO Group, эмиратская Dark Matter и российская компания под криптонимом ENFER. Уж не здесь ли собака зарыта? Если это действительно так, то пиарщикам Позитивов надо приготовиться к мощному шторму с громом, молниями и попкорном
Что дальше?
Мы полагаем, что санкции не будут для бизнеса Positive Technologies фатальными, поскольку компания обслуживает в основном российские организации. Вероятен временный просад показателей на волне ужаса некоторых неуравновешенных клиентов. А вот с планами IPO придётся на некоторое время завязать. Пессимистичные (но не распродажные) настроения потенциальных акционеров считываются по курсу облигаций Позитивов в моменте просевших на 2%."
Комментарии
Интересно, спасибо
Спасибо
Интересно у AMD тоже есть закладки? А у Motorola?
Есть.
Филологам не объяснить, что такое программно-аппаратный комплекс...
Лох - это судьба :) Ой, вот так :(
Не печальтесь. Лохи тоже люди, можете даже огранизовать движение: "Жизни Лохов Обеспечивают Будущее" Гы-гы...
Жизни лохов важны!
У термина Лох есть несколько толкований. Одно из них - рыба идущая на нерест против течения. Так что Ваше утверждение имеет смысл.
Закладки есть у всего, что выше триггера :)
Вопрос в том, как ими управлять и получать от них что-то полезное, это самая интересная часть марлезонского балета :)
О большинстве из закладок не знают и разработчики. Причина их происхождения - "кривые руки"
У триггера тоже есть закладка - метастабильное состояние...
Микрокод ЦПУ... Улыбнуло.
А в микрокоде генома млекопитающих тоже есть много чего интересного. И управляемого, в какой-то мере.
Если серьёзно: биос, ось, софт. и конечно-же - связь через инет. Которая, по определению, может быть, а может и нет. Особенно если эта связь идёт оттуда, а не из )
Ассемблер.
Что Ассемблер?
Получит данные от Центра Ха и изничтожит ваш писюк? ;)
Помните как евреи разнесли центрифуги в Натанзе?
Обошлись без всякого интернета)
Хватило одной флэшки.
Это вопрос охраны.
Если какой-то монголоид может пройти в святая святых и и воткнуть (флешку)? И вдруг сработает авторан? В святая святых? Я вас умоляю... Персонал, который отвечает за это должен быть немедленно уволен. Оставлен один, который знает и умеет. И который сделает всё, что нужно :)
"В сентябре 2019 года опубликовано журналистское расследование, согласно которому заражение вирусом иранского центра по обогащению было произведено иранским специалистом, завербованным голландской разведкой AIVD по поручению ЦРУ и Моссада"
Я говорю - это вопрос охраны, в тч и ит инфраструктуры
речь не о том, кого вербанули, а о возможности совершения. Видимо, не делали логические и ситуационные петли на входе, ловушки и эмуляторы, не было нормальных уровней доступа -- вот и результат. В нормальных-то конторах сделать фатальную диверсию очень сложно, если даже руководятла вербануть.
Вам будет легче, если килл-команда приедет вместе с апдейтом ОСи?
Не все апдейты одинаково полезны.
А некоторые даже вредны.
поэтому, в некоторых случаях, можно и нужно на обновления забить болт :)
И опять вопрос. Кто должен определять вредность апдейтов? Что делать если без вредного апдейта не будут устанавливаться необходимые?
Как ФСТЭК провел проверку windows 10 на соответствие требованиям безопасности и техническим условиям, а также на предмет отсутствия недекларированных разработчиком функциональных возможностей, если в ней 55 млн строк кода?
Выданный ведомством сертификат подтверждает соответствие ОС требованиям доверия 6 уровня, требованиям безопасности информации к операционным системам и профилю защиты операционных систем типа А шестого класса защиты.
Программными средствами. На сертифицированных системах никакие апдейты не устанавливаются, кроме как с сертифицированной новой версии.
в сарове двух долбоклюев садили. так что и там могут войти и в других местах. человеческий фактор самый неопределенный по поражающему действию.
Не флешки. Центроникса и принтера с закладкой.
Ага, именно так в начале нулевых во время войнушки США с Ираком (или Ираном?) был запущен вирус по военной сети. Большая часть была блокирована или выведена из строя.
Да ну, глупости, ни флэшка, ни закладка не сможет вызвать физического взрыва в связи с тем, что не содержит гексогена. Ну если система правильно спроектирована.
Отключить писюк сможет, но не взрыв же.
Сразу видно мастера Йода.
А если отключить вентилятор и жидкие компоненты перейдут в газообразные?
Или Вам обязательно надо как в американском кино? Со спецэффектами
Сразу видно мастера по построению отказоустойчивых систем. Можно задать наводящие вопросы?
1. А откуда "закладка" знает, что этот код отключает именно вентилятор? Не находите, что для этого надо как минимум знать целиком код управления вентилятором?
2. А вдруг ну допустим, компьютер просто зависнет, сдохнет или криворукий перс напишет неправильный код без всякого вмешательства евреев? Не находите, что нормальные проектировщики при проектировании систем такую возможность учитывают? И используют прямые блокировки, реле, дублирование, ручное управление? Не?
То есть без спецэффектов все-таки не обойтись...
Нормальные взломщики подходят к работе комплексно. С учетом вторичных и далее последствий.
Ну, а если Вы думаете, что системы ломают гопники, то... :(
Каких спецэффектов? Я просто участвовал и участвую в построение таких сетей. Есть компьютер, нет компьютера, правильно будет работать программа, не правильно, система должна работать. Вентилятор подключается напрямую через реле от термодатчика.
Вы про Stuxnet наверняка знаете?
Не могу найти ссылку, но как минимум читал про то, как при помощи дырки в управляющем приложении исследовательская команда ввела в резонанс с последующим разрушением турбину. Безо всякого гексогена.
Ещё в прошлом веке были вирусы, активация которых приводила к физическому повреждению самой вычтехники. А уж разнести в клочья что-то управляемое этой вычтехникой - спросите у Илона нашего Маска...
Мда... Челябинск в курсе :)))
Ну давай. Раися, в перде. Я не под впн, прокси, и пр. Сделай уже чёнить. Если сможешь :)
Смысл?
Посчитать дурачков?
Дурачков в тырнете - пруд пруди.
Искать их и использовать - прикольно :)
Тебя поимели - это прикольно?
Работай над собой.
Меня никто не поимел - это видно по данным роутера.
Твои слова - брехня :)
Так над чем мне работать?
Это мне напомнило анекдот про гея, который мечтал стать футболистом. Вы из таких будете?
А что вас смущает?
Микрокод - вполне устоявшийся термин обозначающий внутрипроцессорный софт.
Да в курсе я, что уже давно микрокод цпу интела занимается переводом инструкций CISC в инструкции RISC, и это уже давно. Не надо объяснять почему?
Чего обьяснять?
Что интел это софтовый cisc?
Так это всем известно)
Увы, не всем.
Не все в курсе того, что процессоры, начиная с Intel Pentium Pro (1995 г.), являются CISC-процессорами с RISC-ядром. Они непосредственно перед исполнением преобразуют CISC-инструкции x86-процессоров в более простой набор внутренних инструкций RISC.
Как-то так )
И что? Дополнение инструкций - это нормальное развитие технологий...
Дополнительные инструкции должнен знать софт, что выше микрокода цпу.
Не злоупотребляйте т.н. обновлениями - и будет вам Щастье )
Вот, Пелион на Осе! Не то, что раньше в DOS эпоху - перехватил 13 прерывание и вреди как душенька желает или резидента через Boot подсадил.
А вирусы какие были, красота, короткие, на Ассемблере писанные, прятались, маскировались, дискету без презерватива в дисковод страшно было засовывать... Эх, тоска...
О, да.
Хвала виртуализации, набор присутствует. А вирусы были, конечно же, мм... Некоторые из них делали так. чтобы их не вычислили по сигнатурам... Пестня просто ;)
OneHalf3544 - мой "любимый" вирус, чаще всего притаскивали от проектантов.
OneHalf - это полиморфное файлово-загрузочное произведение искусства
И просто так удалять его было низяяя - потому что он ещё и шифровальщик...
Dis is one half. Press any key to continue …
Как вспомню, так вздогну :)
Страницы