id: Гость   вход   регистрация
текущее время 17:37 28/03/2024
Автор темы: Гость, тема открыта 02/07/2013 23:55 Печать
Категории: анонимность, анализ трафика, инфобезопасность, защита сети, уязвимости, хард, атаки, программные закладки, разное, человек посередине
http://www.pgpru.com/Форум/ПрактическаяБезопасность/МожетЛиПровайдерМодифицироватьСофтСетевойКарты
создать
просмотр
ссылки

Может ли провайдер модифицировать софт сетевой карты?

Собственно subj. Например, на уровне arp-запросов или как-нибудь ещё, с целью учинить MITM? Ну или хоть как-нибудь зловредно управлять стандартной сетевушкой ?


 
На страницу: 1, 2 След.
Комментарии
— Гость (03/07/2013 00:40)   <#>
провайдер и так может читать/записывать(и делает) весь сетевой трафик.
доступа к сетевой карты, вашей, у него конечно же нет, если ваша система не была взломана и не получена такая возможность.
опишите конкретней, какова "цель" провайдера в этом случае?
— Гость (03/07/2013 03:43)   <#>

Про это что ли? «Статья об удалённом отключении сетевой карты посылкой специального пакета»


Карта шлёт те сетевые пакеты, которые для неё сформировала система. Шифрование делает не она. Уровень сетевой карты — он же самый низкий, канальный практически. И arp-таблицу, думаю, тоже ОС формирует, при чём тут сетевая?
— unknown (03/07/2013 09:36, исправлен 03/07/2013 09:37)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Как указано выше, якобы во время конфликта Израиля и Сирии именно такие случаи имели место быть: выход из строя сетевых карт при посылке неких сетевых пакетов.


Кроме того, во многих сетевухах стоит не всегда отключаемый сетевой загрузчик (для поддержки дополнительных опций тонких клиентов, например), который на старте слушает пакеты из сети, а в самой карте фактически есть свой BIOS. Как это всё работает и какого уровня предоставляет доступ в случае модификации — сказать не возьмусь.


Например, возможно ли что при модификации подгрузится что-то не из основного BIOS'а компьютера, а какие-то опции из сетевой карты? На уровне домыслов, т.к. этого вопроса не знаю.

— Гость (06/07/2013 20:25)   <#>
Как указано выше, якобы во время конфликта Израиля и Сирии именно такие случаи имели место быть

По ссылке ничего нет про Израиль и Сирию.

Закладки на вывод из строя могут быть, сделать их не сложно. Их можно маскировать под баги, но важно, что прошивка сетевой карты легко снимается, и ее можно дизассемблировать. Делать закладки на исполнение кода в её CPU — это разве что решаться в спец. партии, поставляемой на определенный объект, а если делать массово, то спалят, и мало не покажется. «Баги» же на прекращение работы — это пожалуйста, тут взятки гладки (то, что этот «баг» — на самом деле, фича, не докажешь).

Сама сетевая тоже может повлять на работу системы, как и любое PCI-устройство. Есть два пути:
  • Первый — это PCI boot ROM, это блок в флеше устройства, который исполняется биосом на стадии загрузки компьютера. Туда прошивают всякие PXE-бутлоадеры, драйвера для биос и т.п., но можно прошить и руткит.
  • Второй путь — прямой доступ к памяти через DMA BUS mastering. Это более сложный и более незаметный вариант, поскольку тут процессор сетевой карты сможет сам реализовывать вредоносный функционал, не задействуя CPU. Однако, это паливо, т.к. прошивку можно отдизасмить. Ее, к счастью, пока еще не прячут глубоко в чипы под семью замками, она в обычном флеше. Вообще, есть разные сетевухи, и, может быть, в некоторых прошивка просто так не считывается, но такие пока не попадались.

P.S. Интересно, что с USB-портами такой ерунды уже не сотворить: у USB нет bus mastering'а и даже прерываний, что, кстати, серьезно ограничивает работу железа. Все транзакции по USB инициируются хостом, а железка даже не может передать порцию данных, пока хост не запросит её сам.
— unknown (06/07/2013 22:54)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Тогда это значит была в своё время какая-то сетевая байка, надеюсь хотя бы с NAG или Opennet, а не с Хабра :)
— Гость (29/07/2013 21:20)   <#>

Нет, не байка:

Israeli jets bombed a suspected nuclear installation in northeastern Syria. Among the many mysteries still surrounding that strike was the failure of a Syrian radar--supposedly state-of-the-art--to warn the Syrian military of the incoming assault. It wasn't long before military and technology bloggers concluded that this was an incident of electronic warfare--and not just any kind.

Там же:

According to a U.S. defense contractor who spoke on condition of anonymity, a ”European chip maker” recently built into its microprocessors a kill switch that could be accessed remotely. French defense contractors have used the chips in military equipment, the contractor told IEEE Spectrum. If in the future the equipment fell into hostile hands, ”the French wanted a way to disable that circuit,” he said.

A kill switch or backdoor built into an encryption chip could have even more disastrous consequences. Today encoding and decoding classified messages is done completely by integrated circuit--no more Enigma machine with its levers and wheels. Most advanced encryption schemes rely on the difficulty that computers have in factoring numbers containing hundreds of digits; discovering a 512-bit type of encryption would take some machines up to 149 million years. Encryption that uses the same code or key to encrypt and decrypt information--as is often true--could easily be compromised by a kill switch or a backdoor. No matter what precautions are taken at the programming level to safeguard that key, one extra block of transistors could undo any amount of cryptography, says John East, CEO of Actel Corp., in Mountain View, Calif., which supplies military FPGAs.

Кстати, хорошая основательная статья про встраивание бэкдоров и kill-switch'ей в интегральные схемы.

Про Lenovo тоже много интересного пишут:

The ban was introduced in the mid-2000s after intensive laboratory testing of its equipment allegedly documented “back-door” hardware and “firmware” vulnerabilities in Lenovo chips.

The classified ban highlights concerns about security threats posed by “malicious circuits” and insecure firmware in chips produced in China by companies with close government ties.

Members of the British and ­Australian defence and intelligence communities say that malicious modifications to ­Lenovo’s circuitry ... were discovered that could allow people to remotely access devices without the users’ knowledge. The alleged presence of these hardware “back doors” remains highly classified.

globalisation of the semi-conductor market has “made it not only possible but inevitable that chips that have been intentionally and maliciously altered to contain hidden ‘Trojan’ circuitry will be inserted into the supply chain.

“These Trojan circuits can then be triggered months or years later to launch attacks,” he said.

“The fact that Lenovo kit is barred from classified networks is significant, and something the ­private sector should look at closely.”

Французы тоже устаналивают kill-switch'и:

French defence contractors reportedly installed kill-switches into chips that can be remotely tripped if their products fall into the wrong hands.

AFR Weekend has been told the electronic eavesdropping arms of the “five eyes” western intelligence alliance, including the National Security Agency in the US, GCHQ in the UK, and the Defence Signals Directorate in Australia, have physically ­connected parts of their secret and top secret computer networks to allow direct communications between them. This means that security bans on the use of products within the secret networks are ­normally implemented across all five nations. Two commonly used suppliers are Dell and Hewlett-Packard.

Можно подумать, у Dell и HP всё чисто. Или там бэкдоры свои, доверенные? Не исключено, что всё это вообще чёрный PR, что касается Lenovo, но кто его знает. Я не вижу, чтобы раскрывались конкретные модели чипов, которые были найдены подозрительными.

NSA was “incredibly concerned about state-sponsored malicious circuitry and the counterfeit circuitry found on a widespread basis in US defence ­systems”.

Ага, NSA бэкдоры встраивать можно, а другим нельзя, умные они какие.

“I’ve personally met with people inside the NSA who have told me that they’ve been working on numerous real-world cases of malicious implants for years,” she said.

“But these are all highly classified programs.”

Печально, если это правда. Конечно, всё это не новость, но плохо, что прогнозы сбываются намного раньше, чем это ожидалось.

In 2006 it was disclosed that the US State Department had decided not to use 16,000 new Lenovo computers on classified networks because of security concerns.
— unknown (30/07/2013 09:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Помимо этого, где-то была тема якобы именно с сетевыми картами. Что выходили из строя сетевухи даже рядовых пользователей в Сирии.
— sentaus (30/07/2013 10:39)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
а если делать массово, то спалят, и мало не покажется.


Вы оптимистичны :) Вот спалили что-то. Никто даже особо не заметил.
— unknown (30/07/2013 12:00, исправлен 30/07/2013 12:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Kristian Kielhofner said...:

The packet is more complex than that and Intel has been aware of this issue for several months. They also have a fix. However, they haven't publicized it because they don't know how widespread it is.

Надо сливать всё на всевозможные leak-сайты, наплевав на сопутствующий ущерб, безо всяких исключений, поблажек, отсрочек и попыток переговоров. Корпорации и правительства (поддерживающие законы, по которым суды действуют на стороне корпораций) сами оставляют такой способ как единственно возможный.


Вот полегло бы масса дата-центров, от того, что какой-угодно злоумышленник может воспользоваться этой информацией — тогда бы быстро заметили и исправили. А иначе они будут всегда единолично держать пользователей в заложниках.

— Гость (30/07/2013 21:13)   <#>
Kill-switch — далеко не самое страшное. Вот remote access, при котором жертва даже ничего не подозревает, и который позволяет похищать все данные с ноутбука и проводить «online-обыски», куда страшнее. Единственная належда — на то, что бэкдоры не будут столь тупыми и очевидными, как GSM-модуль в ноутбуке, записывающий все нажатия клавиш и периодически сливающий их куда-нибудь, которые позже могут быть прочитаны при физическом доступе к железу. В любом случае, всё идёт к тому, что без внешнего роутера работать с сетью будет всем категорически противопоказано + придётся устанавивать умную DPI в надежде, что она хоть как-то, возможно, отфильтрует подозрительную активность.
— Гость (30/07/2013 23:48)   <#>

Корпорации не засудят за такое жёсткое нарушение этики? Даже Тео не поддерживает этот способ. Обычно считают, что надо сообщить производителю и дать ему немного времени на исправление. Если производитель не отвечает или не выпускает вовремя fix — тогда да, всё как вы сказали.

Общий посыл идёт от того, что корпорации и правительства — большие братья, которые надзирают, которым положено иметь власть и которые, по легенде, всем желают только добра. А всё зло идёт от хакеров-одиночек, поэтому надо приложить все силы, чтобы обычные люди ничего не узнали. Ну, а раз правительства и корпорации желают всем добра, им надо дать преференции воспользоваться уязвимостью для «defend our nation», «в целях государственной безопасности», «для охоты на плохих людей» и т.д. Как они и сами говорят, «глупо было бы не использовать такой арсенал ресурс, когда он имеется в руках» (в оригинале — «глупо не использовать перехватываемые данные для разведки и экономического шпионажа, хоть мы их и получили только ради борьбы с терроризмом; ведь все государства делают это, поэтому в этом нет ничего страшного» [из выступления Хайдена, главы АНБ]).

Напомнило древний баян-историю с CISCO:

Неожиданно Майкла вздернули на ковер и под угрозой увольнения запретили упоминать акт дизассемблирования IOS. Затем его пригласил на пиво большой босс из CISCO и предложил отложить презентацию... на год. До тех пор пока не будет выпущена новая версия операционной системы. Телекоммуникационный гигант осознавал угрозу, но отчаянно не хотел, чтобы ее осознали другие. Сошлись на том, что вместе с Майклом на сцену поднимается парень из CISCO, который скажет "пару слов", очевидно, обозвав докладчика лжецом, но Майкла это не беспокоило. Чтобы развязать себе руки, он уволился из ISS, решив прочитать доклад во что бы то ни стало. Кто-то же должен предупредить народ об опасности!

И доклад "The Holy Grail: Cisco IOS Shellcode and Remote Execution" был действительно прочитан! Эффект разодрал аудиторию взрывом атомной бомбы. Майклом заинтересовались Военно-воздушные силы, Агентство Национальной Безопасности и, конечно же, небезызвестный CERT. Они предложили ему подключиться к проекту по разработке анти-хакерской стратегии выхода из ситуации, но это уже другая история. Вернемся к CISCO, чья реакция оказалась весьма неоднозначной. Во-первых, при содействии организаторов Black Hat она изъяла текст презентации из материалов конференции и конфисковала сопроводительные компакт-диски, заменив их точно такими же, но без доклада. Во-вторых, она обвинила Майкла во всех смертных грехах и в краже интеллектуальной собственности, в том числе.

Сейчас Майкла ожидает куча судебных исков и разбирательств, а CISCO ведет охоту на всех тех, кто осмелился выложить копию доклада в Интернет. К счастью, всемирная сеть живет по своим законам и любые попытки взять ее под контроль имеют обратный результат. Копии плодятся как кролики. Оригинальную презентацию можно скачать, например, здесь: filehttp://www.security.nnov.ru/files/lynn-cisco.pdf, а здесь лежит видеоролик, запечатлевший конфискацию дисков в самой "демократической" стране: downloads.oreilly.com/make/cisco.mov.

Ролик впечатляет. :) Кажется, с Adobe тоже была какая-то подобная история.
— SATtva (31/07/2013 07:24)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Кажется, с Adobe тоже была какая-то подобная история.

Дмитрий Скляров же.
— unknown (31/07/2013 10:08, исправлен 31/07/2013 10:12)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Корпорации не засудят за такое жёсткое нарушение этики? Даже Тео не поддерживает этот способ. Обычно считают, что надо сообщить производителю и дать ему немного времени на исправление.

Для открытых некоммерческих проектов, которые охотно принимают сведения для исправления, можно идти на уступки и давать им время. А зачем помогать коммерческим проектам? Даже за деньги?


Если нет возможности открыто заявить о злоупотреблении в замалчивании уязвимости, если есть угроза исследователю, то даже не стоит пытаться заявлять о себе, а лучше сливать эксплойты в паблик анонимно. Спустя n лет, когда поздно будет махать шашками, можно как-нибудь доказать авторство, если очень хочется включить эти исследования в свою репутацию.

— Гость (01/08/2013 07:37)   <#>

Уже давно во всех современных ноутбуках (по кр. мере, с процессорами Intel):

[This is basically a] remote switch [that] can disable the Intel Sandy Bridge processor if it is ever lost or stolen.

"Killswitch" does not kill your processor but only disables it. It can easily be reversed, so basically, it is an added level of protection for everyone.

Allan: Hello. Thank you for using the Intel Customer Support chat service. We are glad to be of service. How can I help you today?
Born2bwild: Hello, I want to buy a new Intel i7 processor of the 2nd generation...
Allan: yes
Born2bwild: and I was wondering which model incorporate the Killswitch?
Allan: Please wait for 2 minutes and I will check your concern. Thank you.
Born2bwild: Of course.
Allan: Thanks for waiting
Allan: if this is a desktop processor, then there is no anti-thief technology for the moment, only the mobile processor will come with that feature
Born2bwild: Okay.
Allan: you also need to check the specifications for the computer itself as this features may come blocked by the system manufacturer.
Born2bwild: Okay. Thank you for your time.
Allan: you're welcome.

Вот ещё вопли на ту же тему.
— Гость (02/08/2013 21:56)   <#>
http://qubes-os.org/trac/wiki/QubesResearch:
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3