Жук в ноутбуках?
Наткнулся на страшную страшилку или что-то в этом есть?
... Теперь постараюсь буквально коротко ответить всем трукрептистам – не поможет. И вот по каким соображениям.1. Ещё несколько лет назад в некоторых лаптопах были обнаружены средства протоколирования всего, что вы вводите с клавиатуры. Например, читайте здесь и здесь. Потенциально – это большие возможности. Но это – короткая история, начавшаяся в 2000 году и получившая продолжение в 2005 и продолжающаяся сейчс.
2. Сегодня практически на всех лапторах (и не только) в биос встраивается computrace. Перечень лаптов с предустановленным computrace – здесь или здесь. Нашли свой лаптоп в списке?!
Смысл простой – когда вы загружаете ОС – то в момент загрузки (!!!) в неё внедряется программа, которая при подключении к сети вашего лаптопа вне зависимости от вашего желания может передавать данные на удалённый сервер. Это – реальность ...
В общем, учите Эзопов язык, господа.
комментариев: 11558 документов: 1036 редакций: 4118
Современные материнские платы не имеют физических переключателей (перемычек), запрещающих запись в BIOS, , свободного места в современных биосах – несколько мегобайт, да и
Особенно не повезло владельцем процессоров INTEL От этого не спасает даже виртуализация
Также см. Атака на Intel Trusted Execution Technology №1 и №2
Позволяет осуществлять доступ ко всей системной памяти, включая ядро и память гипервизора. Стандартные механизмы защиты памяти операционной системы (Page Tables), равно как и средства виртуализации памяти гипервизора (Shadow Paging, Nested Paging/EPT, IOMMU/VT-d) не срабатывают против кода SMM.
Кроме того, на процессорах Intel код SMM может "перехватывать" даже гипервизор VT-xсякий раз, когда поступает запрос на SMI-прерывание. Для гипервизора же существует способ установить специальный логический объект (назваемый выше SMM-handler), позволяющий перехватывать SMI-прерывания"
О SMM можно почитать тут
Можно, как минимум двумя способами. Прямым – с помощью чтения BIOS на программаторе, или косвенным – путем обнаружения изменений производимых вражеским кодом.
Не читайте по утрам советских газет, читайте мануалы Intel. Если кто-то называет гипервизор уровнем r1, то это безграмотный идиот, который ассемблера в глаза не видел. r0-r3 – это уровни привилегий задачи (CPL), которые определяют доступ к дескрипторам в IDT и GDT, доступ к памяти в PTE и к портам ввода-вывода (IOPL). Также некоторые команды могут быть выполнены только при CPL=0.
Операционные системы из этих четырех уровней используют только два, r0 и r3, так как оказалось что больше нафиг не нужно.
Вы бы постыдились давать ссылку на, мягко говоря, не самый компетентный ресурс.
Вы не обратили внимание на чёрточку перед 1. Это минус. -1. И вопрос не в названии
титула, а у кого привилегий больше.Так там, внутри статьи, есть ссылки на более компетентнные ресурсы. А этот сайт – популяризирующий.
Кстати ссылка выше "Атака на Intel Trusted Execution Technology" на тот же самый "не самый компетентный ресурс" – переводная статья Рутковсткой и Ко, переврод, на мой взгляд, хороший.
зы
"Из Назарета может ли быть что доброе?"
Был бы это не текст, а человек – подпали бы под статью 282 :)
Joanna Rutkowska, Rafal Wojtczuk. Attacking Intel® Trusted Execution Technology.
http://invisiblethingslab.com/resources/bh09dc/Attacking%20Intel%20TXT%20-%20paper.pdf
комментариев: 212 документов: 27 редакций: 20
комментариев: 11558 документов: 1036 редакций: 4118
Я таких терминов не знаю и знать не хочу. Для всего, что касается архитектуры x86 для меня один авторитет – Intel, а вы что-то называете не так, как оно называется в официальных мануалах, то не удивляйтесь, что вас могут не понять.
Получится. Есть косвенные способы обнаружения конкретных действий, которые должен выполнять гипервизор. Например гипервизор для AMD-V должен перехватывать чтение MSR_EFER, чтобы скрыть себя, а значит время выполнения rdmsr увеличивается как минимум на порядок. Конечно гипервизор может скрыть задержку перехватывая все таймеры в системе, но это не поможет против человека с секундомером в руках, или против измерения времени на стороне доверенного сервера.
Т.е. алгоритм обнаружения гипервизора такой: посылаем UDP пакет на сервер, вызываем rdmsr стотыщмильёнов раз, посылаем второй UDP пакет на сервер. Сервер меряет разницу времени прихода пакетов, пересчитывает производительность rdmsr относительно частоты процессора исследуемой системы, и делает вывод о наличии/отсутствии гипервизора.
Тоже самое можно сделать локально, с помощью оператора с секундомером в руках.
Может, ещё как может. Даже безошибочно написанный гипервизор может быть обнаружен путем использования неподконтрольного ему измерителя времени. Таким источником может быть что угодно, от прерываний всякого разного железа, которое гипервизор не может контролировать ввиду его большого разнообразия, и заканчивая оператором с часами.
Если же гипервизор содержит ошибки, то его можно обнаружить по изменению поведения процессора относительно эталона. Мерять можно всё: поведение TLB, кэша, искать сброс конвеера на прерывании гипервизора, и много чего ещё. Написать гипервизор не поддающийся обнаружению по таким признакам – это уже мегазадача.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1060 документов: 16 редакций: 32
И очень скоро все они будут выдавать true на любом новом железе. ;)