Может ли провайдер модифицировать софт сетевой карты?
Собственно subj. Например, на уровне arp-запросов или как-нибудь ещё, с целью учинить MITM? Ну или хоть как-нибудь зловредно управлять стандартной сетевушкой ?Ссылки
[link1] http://www.pgpru.com/biblioteka/osnovy/fondpoleznyhpostov/raznoe#fppD1III
[link2] http://www.pgpru.com/comment50109
[link3] http://spectrum.ieee.org/semiconductors/design/the-hunt-for-the-kill-switch
[link4] http://www.afr.com/p/technology/spy_agencies_ban_lenovo_pcs_on_security_HVgcKTHp4bIA4ulCPqC7SL
[link5] http://blog.krisk.org/2013/02/packets-of-death.html
[link6] http://blog.krisk.org/2013/02/packets-of-death.html?showComment=1360183857015#c2255044738734874511
[link7] http://www.insidepro.com/kk/098/098r.shtml
[link8] http://www.overclock.net/t/910972/sandy-bridge-intel-insider-killswitch-technology-clarification
[link9] http://java-hamster.blogspot.com/2012/04/do-not-buy-intels-ivy-bridge-cpu.html
[link10] http://www.ssi.gouv.fr/IMG/pdf/csw-trustnetworkcard.pdf
[link11] http://theinvisiblethings.blogspot.com/2010/04/remotely-attacking-network-cards-or-why.html
[link12] http://www.invisiblethingslab.com/resources/2011/Software%20Attacks%20on%20Intel%20VT-d.pdf
[link13] https://www.trust-hub.org
[link14] http://www.pgpru.com/comment67858
[link15] http://duckworth.creighton.edu/downloads/duckworth_killswitch.pdf
[link16] http://hitech.newsru.com/article/01apr2014/kill_switch
[link17] http://lenta.ru/news/2014/03/27/sociology/
провайдер и так может читать/записывать(и делает) весь сетевой трафик.
доступа к сетевой карты, вашей, у него конечно же нет, если ваша система не была взломана и не получена такая возможность.
опишите конкретней, какова "цель" провайдера в этом случае?
Про это что ли? «Статья об удалённом отключении сетевой карты посылкой специального пакета»[link1]
Карта шлёт те сетевые пакеты, которые для неё сформировала система. Шифрование делает не она. Уровень сетевой карты — он же самый низкий, канальный практически. И arp-таблицу, думаю, тоже ОС формирует, при чём тут сетевая?
Как указано выше, якобы во время конфликта Израиля и Сирии именно такие случаи имели место быть: выход из строя сетевых карт при посылке неких сетевых пакетов.
Кроме того, во многих сетевухах стоит не всегда отключаемый сетевой загрузчик (для поддержки дополнительных опций тонких клиентов, например), который на старте слушает пакеты из сети, а в самой карте фактически есть свой BIOS. Как это всё работает и какого уровня предоставляет доступ в случае модификации — сказать не возьмусь.
Например, возможно ли что при модификации подгрузится что-то не из основного BIOS'а компьютера, а какие-то опции из сетевой карты? На уровне домыслов, т.к. этого вопроса не знаю.
По ссылке ничего нет про Израиль и Сирию.
Закладки на вывод из строя могут быть, сделать их не сложно[link2]. Их можно маскировать под баги, но важно, что прошивка сетевой карты легко снимается, и ее можно дизассемблировать. Делать закладки на исполнение кода в её CPU — это разве что решаться в спец. партии, поставляемой на определенный объект, а если делать массово, то спалят, и мало не покажется. «Баги» же на прекращение работы — это пожалуйста, тут взятки гладки (то, что этот «баг» — на самом деле, фича, не докажешь).
Сама сетевая тоже может повлять на работу системы, как и любое PCI-устройство. Есть два пути:
P.S. Интересно, что с USB-портами такой ерунды уже не сотворить: у USB нет bus mastering'а и даже прерываний, что, кстати, серьезно ограничивает работу железа. Все транзакции по USB инициируются хостом, а железка даже не может передать порцию данных, пока хост не запросит её сам.
Тогда это значит была в своё время какая-то сетевая байка, надеюсь хотя бы с NAG или Opennet, а не с Хабра :)
Нет, не байка[link3]:
Там же:
Кстати, хорошая основательная статья про встраивание бэкдоров и kill-switch'ей в интегральные схемы.
Про Lenovo[link4] тоже много интересного пишут:
Французы тоже устаналивают kill-switch'и:
Можно подумать, у Dell и HP всё чисто. Или там бэкдоры свои, доверенные? Не исключено, что всё это вообще чёрный PR, что касается Lenovo, но кто его знает. Я не вижу, чтобы раскрывались конкретные модели чипов, которые были найдены подозрительными.
Ага, NSA бэкдоры встраивать можно, а другим нельзя, умные они какие.
Печально, если это правда. Конечно, всё это не новость[link2], но плохо, что прогнозы сбываются намного раньше, чем это ожидалось.
Помимо этого, где-то была тема якобы именно с сетевыми картами. Что выходили из строя сетевухи даже рядовых пользователей в Сирии.
Вы оптимистичны :) Вот спалили[link5] что-то. Никто даже особо не заметил.
Kristian Kielhofner said...[link6]:
Надо сливать всё на всевозможные leak-сайты, наплевав на сопутствующий ущерб, безо всяких исключений, поблажек, отсрочек и попыток переговоров. Корпорации и правительства (поддерживающие законы, по которым суды действуют на стороне корпораций) сами оставляют такой способ как единственно возможный.
Вот полегло бы масса дата-центров, от того, что какой-угодно злоумышленник может воспользоваться этой информацией — тогда бы быстро заметили и исправили. А иначе они будут всегда единолично держать пользователей в заложниках.
Kill-switch — далеко не самое страшное. Вот remote access, при котором жертва даже ничего не подозревает, и который позволяет похищать все данные с ноутбука и проводить «online-обыски», куда страшнее. Единственная належда — на то, что бэкдоры не будут столь тупыми и очевидными, как GSM-модуль в ноутбуке, записывающий все нажатия клавиш
и периодически сливающий их куда-нибудь, которые позже могут быть прочитаны при физическом доступе к железу. В любом случае, всё идёт к тому, что без внешнего роутера работать с сетью будет всем категорически противопоказано + придётся устанавивать умную DPI в надежде, что она хоть как-то, возможно, отфильтрует подозрительную активность.Корпорации не засудят за такое жёсткое нарушение этики? Даже Тео не поддерживает этот способ. Обычно считают, что надо сообщить производителю и дать ему немного времени на исправление. Если производитель не отвечает или не выпускает вовремя fix — тогда да, всё как вы сказали.
Общий посыл идёт от того, что корпорации и правительства — большие братья, которые надзирают, которым положено иметь власть и которые, по легенде, всем желают только добра. А всё зло идёт от хакеров-одиночек, поэтому надо приложить все силы, чтобы обычные люди ничего не узнали. Ну, а раз правительства и корпорации желают всем добра, им надо дать преференции воспользоваться уязвимостью для «defend our nation», «в целях государственной безопасности», «для охоты на плохих людей» и т.д. Как они и сами говорят, «глупо было бы не использовать такой
арсеналресурс, когда он имеется в руках» (в оригинале — «глупо не использовать перехватываемые данные для разведки и экономического шпионажа, хоть мы их и получили только ради борьбы с терроризмом; ведь все государства делают это, поэтому в этом нет ничего страшного» [из выступления Хайдена, главы АНБ]).Напомнило древний баян-историю[link7] с CISCO:
Ролик впечатляет. :) Кажется, с Adobe тоже была какая-то подобная история.
Дмитрий Скляров же.
Для открытых некоммерческих проектов, которые охотно принимают сведения для исправления, можно идти на уступки и давать им время. А зачем помогать коммерческим проектам? Даже за деньги?
Если нет возможности открыто заявить о злоупотреблении в замалчивании уязвимости, если есть угроза исследователю, то даже не стоит пытаться заявлять о себе, а лучше сливать эксплойты в паблик анонимно. Спустя n лет, когда поздно будет махать шашками, можно как-нибудь доказать авторство, если очень хочется включить эти исследования в свою репутацию.
Уже давно[link8] во всех современных ноутбуках (по кр. мере, с процессорами Intel):
Вот ещё[link9] вопли на ту же тему.
То есть сидишь себе за всякими Tor'ами и прокси, а тут рас и сетевая карта творит, что хочет? Есть материалы про сетефуху на русском? Что слышно про CPU других фирм?
Можно подобрать hardware пример например здесь[link13].
И попробовать самостоятельно сделать то, на что способен провайдер.
Установка закладок в сетевые карты становится проще и дешевле:
http://www.securitylab.ru/analytics/432914.php
Сильнодействующий яд. Противоядие?
Сильно неравные условия. Аппаратные закладки от производителей — что может быть
лучшехуже? Судя по намерениям АНБ и Ко к слежению за всем и вся — одна из самых просто реализуемых схем — аппартаные бэкдоры, встроенные в железо на этапе изготовления. Гипотетически.Как этому противостоять?
Виртуалки + роутеры на отдельной машине с определенным набором правил? Логгирование активности чистой системы на новом железе в течение какого-то времени? Какого?
Это прям как злокачественная опухоль на теле ПК, разрастающаяся по всем прошивкам.
Одно дело — приобретенная болезнь, через флешку или вэб.
Другое дело — врожденная, когда с конвейера сходит уже больная материнка.
Досталось в статье открытому ПО. Да, с одной стороны закрытое ПО от корпораций, тут понятно. С другой открытое, мишень для модификаций. Надо писать свою ось и ковать свое железо)
С другой стороны если посмотреть, чем прикрываются атакующие в случае обнаружения? Переводом стрелок, это не мы, это Китай. ОК. То же самое, при необходимости, может сказать ни о чем не подозревающий пользователь ПК.
Вообще статья конечно сильно футуристична. В то же время вполне реалистична. К сожалению.
По-русски о том же[link16].
Напомнило.[link17]