Важная информация
Показано с 1 по 4 из 4

Тема: Выявлено шпионское ПО, скрывающиеся в прошивках жестких дисков

  1. #1 Выявлено шпионское ПО, скрывающиеся в прошивках жестких дисков 
    Admin
    Регистрация
    09.04.2014
    Сообщений
    1,219
    Сказал(а) спасибо
    778
    Поблагодарили 491 раз(а) в 404 сообщениях
    Лаборатория Касперского сообщила (PDF) о выявлении нового класса вредоносного ПО, нацеленного на организацию кибершпионажа и кражу данных пользователей, примечательного глубокой степенью маскировки. Для скрытия компонентов вредоносного ПО применялась техника модификации прошивок жестких дисков Western Digital, Seagate, Samsung, Hitachi, Toshiba, Maxtor и IBM.

    Вредоносное ПО поражало только системы на базе платформы Windows и было выявлено на более чем 500 системах в 42 странах. Наиболее активное использование вредоносного ПО зафиксировано в Иране, России, Китае, Сирии и Пакистане. Атакам были подвержены финансовые, правительственные, военные, исследовательские, дипломатические и другие учреждения. Сообщается о нескольких вариантах подобного вредоносного ПО, сборки которых датированы с 2001 по 2011 год. Заражение производится с использование традиционных методов, через автозапуск кода с внешних носителей или через эксплуатацию неисправленных уязвимостей в браузерах и сетевом ПО. После проникновения в систему осуществляется модификация прошивки поддерживаемых жестких дисков, что позволяет скрыть наличие вредоносного кода и организовать его запуск на ранних стадиях загрузки.

    Внедрение вредоносного кода ассоциируется с группой Equation, которая связывается с деятельностью Агентства Национальной Безопасности США, но подобная связь основывается лишь на догадках и косвенных данных (например, указывается на использование технологий и методов, схожих с используемыми в вредоносном ПО Stuxnet и Flame, а также упоминаются утечки сведений о разработке в АНБ методов внедрения вредоносного ПО в прошивки). В статье также предпологается, что, вероятно, АНБ получило доступ к исходным текстам прошивок накопителей, так как без исходного кода практически невозможно организовать подстановку в прошивку своего кода. Но подобные утверждения расходятся с практикой, например, энтузиастами уже продемонстрированы методы внедрения кода в прошивки USB-накопителей и MicroSD-карт, используя обычный инструментарий для обратного инжиниринга.

    Технология UEFI Secure Boot в целом решает проблему модификации загрузчика операционной системы, но приводит к появлению интереса к проведению атак через замену прошивки UEFI. Для того, чтобы защитить пользователей от подмены компонентов, работающих до применения UEFI Secure Boot, компания Intel предложила технологию "Boot Guard", при помощи которой производитель оборудования имеет возможность верифицировать целостность прошивки по добавленному в CPU хэшу открытого ключа. Подобная система повышает безопасность, но делает невозможным замену проприетарных прошивок BIOS/UEFI на открытый вариант CoreBoot.

    Мэтью Гаррет (Matthew Garrett), известный разработчик ядра Linux, в своё время получивший от Фонда СПО премию за вклад в развитие свободного ПО за достижения в области обеспечения загрузки Linux на системах с UEFI Secure Boot, прокомментировал в своём блоге появление новой возможности тем, что проблема не так проста как кажется и в основном связана с дилеммой перед производителями компьютеров, которым приходится выбирать между безопасностью и свободой. Понимая, что смена прошивки может потребоваться лишь небольшой группе энтузиастов, не удивительно, что выбор делается в пользу безопасности по умолчанию. Решить проблему можно убедив производителей, что свобода распоряжаться своим оборудованием не менее важна, чем безопасность, и пользователю следует предоставить возможность выбора при покупке оборудования.

    http://www.opennet.ru/opennews/art.shtml?num=41679
    Ответить с цитированием  
     

  2. 3 пользователя(ей) сказали cпасибо:

    >Quiet Snow< (17.02.2015), nik_1 (17.02.2015), pingvin (18.02.2015)

  3. #2  
    Профи Аватар для nik_1
    Регистрация
    03.08.2014
    Сообщений
    283
    Сказал(а) спасибо
    160
    Поблагодарили 145 раз(а) в 109 сообщениях
    Записей в блоге
    1
    Цитата Сообщение от >Quiet Snow< Посмотреть сообщение
    что за Secure Boot и с чем его едят
    http://winitpro.ru/index.php/2013/01/29/windows-8-secure-boot/

    Secure Boot (защищенная загрузка или безопасная загрузка) – это одна из функций UEFI, позволяющая бороться с руткитами и буткитами (которые используют уязвимости в прошивке BIOS) еще на предварительном этапе загрузки ОС. Технология безопасной загрузки – один из эшелонов обороны в новых ОС Microsoft — Windows 8 и Windows Server 2012

    http://habrahabr.ru/post/185492/

    Немного про UEFI и Secure Boot

    UEFI

    UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.


    Основные отличия UEFI от BIOS:

    •Поддержка GPT (GUID Partition Table)

    GPT — новый способ разметки, замена MBR. В отличие от MBR, GPT поддерживает диски размером более 2ТБ и неограниченное количество разделов, в то время как MBR поддерживает без костылей только 4. UEFI по умолчанию поддерживает FAT32 с GPT-разделов. MBR сам UEFI не поддерживает, поддержка и загрузка с MBR осуществляется расширением CSM (Compatibility Support Module).

    •Поддержка сервисов

    В UEFI есть два типа сервисов: boot services и runtime services. Первые работают только до загрузки ОС и обеспечивают взаимодействие с графическими и текстовыми терминалами, шинами, блочными устройствами и т.д., а runtime services может использовать ОС. Один из примеров runtime services — variable service, который хранит значения в NVRAM. ОС Linux использует variable service для хранения креш дампов, которые можно вытащить после перезагрузки компьютера.

    •Модульная архитектура

    Вы можете использовать свои приложения в UEFI. Вы можете загружать свои драйверы в UEFI. Нет, правда! Есть такая штука, как UEFI Shell. Некоторые производители включают его в свой UEFI, но на моем лаптопе (Lenovo Thinkpad X220) его нет. Но можно его просто скачать из интернета и поставить на флешку или жесткий диск. Также существуют драйверы для ReiserFS, ext2/3/4 и, возможно, еще какие-то, я слишком не углублялся. Их можно загрузить из UEFI Shell и гулять по просторам своей файловой системы прямо из UEFI.
    Еще UEFI поддерживает сеть, так что если найдете UEFI-драйвер к своей сетевой карте, или если он включен производителем материнской платы, то можете попинговать 8.8.8.8 из Shell.
    Вообще, спецификация UEFI предусматривает взаимодействия драйверов UEFI из ОС, т.е. если у вас в ОС нет драйвера на сетевую карту, а в UEFI он загружен, то ОС сможет использовать сетевую карту через UEFI, однако таких реализаций я не встречал.

    •Встроенный менеджер загрузки

    В общем случае, для UEFI не требуется ставить загрузчик, если вы хотите мультизагрузку. Можно добавлять свои пункты меню, и они появятся в загрузочном меню UEFI, прямо рядом с дисками и флешками. Это очень удобно и позволяет грузить Linux вообще без загрузчика, а сразу ядро. Таким образом, можно установить Windows и Linux без сторонних загрузчиков.


    Как происходит загрузка в UEFI?

    С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efi
    Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
    Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.


    Secure Boot

    Я видел много вопросов в интернете, вроде:

    «Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»

    Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!

    Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.

    В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK — это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный .efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx.

    Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
    В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
    Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
    Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.

    Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
    Спасибо за внимание!
    Последний раз редактировалось nik_1; 18.02.2015 в 06:32.
    Ответить с цитированием  
     

  4. #3  
    Супер модератор Аватар для >Quiet Snow<
    Регистрация
    11.04.2011
    Адрес
    Планета земля
    Сообщений
    3,917
    Сказал(а) спасибо
    1,842
    Поблагодарили 978 раз(а) в 836 сообщениях
    Записей в блоге
    1
    nik_1, ну зачем гуглить за меня, просил же своими словами объяснить. Прогуглить я и сам могу.
    Как бы вкурсе, что это система защиты.

    А интересовали вот эти ключи, мол что это за адская лажа:

    В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK — это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный .efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx.
    Практическая сторона интересует, как настроить в BIOS и что делать при установке ОС. И что делать, если вдруг потребуется после
    установки загрузить другую ОС.

    GPT — новый способ разметки, замена MBR. В отличие от MBR, GPT поддерживает диски размером более 2ТБ и неограниченное количество разделов, в то время как MBR поддерживает без костылей только 4. UEFI по умолчанию поддерживает FAT32 с GPT-разделов. MBR сам UEFI не поддерживает, поддержка и загрузка с MBR осуществляется расширением CSM (Compatibility Support Module).
    Боже, какой гемор...
    Похоже на ЭТО
    Обучение прикладному программированию(по skype), качественно, недорого, 18+, вопросы в личку.
    «Если вы ничего не сделаете, я уверяю вас, ничего и не произойдёт» © Жак Фреско
    Ограниченно модерирую.
    Ответить с цитированием  
     

Информация о теме
Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •