id: Гость   вход   регистрация
текущее время 01:22 24/11/2017
создать
просмотр
ссылки

Жук в ноутбуках?


Наткнулся на страшную страшилку или что-то в этом есть?


... Теперь постараюсь буквально коротко ответить всем трукрептистам – не поможет. И вот по каким соображениям.

1. Ещё несколько лет назад в некоторых лаптопах были обнаружены средства протоколирования всего, что вы вводите с клавиатуры. Например, читайте здесь и здесь. Потенциально – это большие возможности. Но это – короткая история, начавшаяся в 2000 году и получившая продолжение в 2005 и продолжающаяся сейчс.


2. Сегодня практически на всех лапторах (и не только) в биос встраивается computrace. Перечень лаптов с предустановленным computrace – здесь или здесь. Нашли свой лаптоп в списке?!


Смысл простой – когда вы загружаете ОС – то в момент загрузки (!!!) в неё внедряется программа, которая при подключении к сети вашего лаптопа вне зависимости от вашего желания может передавать данные на удалённый сервер. Это – реальность ...


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Комментарии
— Гость (26/05/2009 03:13)   <#>
Ещё сюда можно добавить обязательную биометрическую аутентификацию и носители информации с чем-нибудь типа HDCP, обязательно сохраняющие идентификационные данные, а также аналогичный формат сетевого пакета.

В общем, учите Эзопов язык, господа.
— Гость (26/05/2009 18:54)   <#>
Можно ссылочку про виртуализацию?
— SATtva (26/05/2009 20:10)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
http://ru.wikipedia.org/wiki/Виртуализация
— Гость (22/07/2009 23:19)   <#>
А вот этот северный лис потолще будет. Вирусы в BIOS – "бирусы".

Современные материнские платы не имеют физических переключателей (перемычек), запрещающих запись в BIOS,
наличие "универсального" алгоритма внедрения в BIOS это не предположение, а реальность
, свободного места в современных биосах – несколько мегобайт, да и
Любой умный чел может изменить (“обновить”) ваш BIOS прям из OS

Особенно не повезло владельцем процессоров INTEL
SMM-handler на платформе Intel можно "спрятать" – после выставления специального регистра нельзя никак найти (точный адрес) и добраться до области памяти, где он располагается. Сделано как-бы в противовес к вышеупомянутой уязвимости. А в результате получается ещё одна дырка (или фича – выбирайте на свой вкус):"предустановленные" бирусы на компьютерах от производителя из враждебно настроенной страны – никак нельзя будет обнаружить
От этого не спасает даже виртуализация
На Intel-системах (Intel VT) SMM-handler "сквозной" – это значит, что будь ты хоть трижды в виртуальной системе, однако выполнив SMM-прерывание с бирусом – получишь власть над всем железом, сможешь найти в памяти родительскую ОС и "выбиться в главные"

Компьютер для бирусофобов – AMD-процессор на VIA чипсете. Или на SiS. Лишь эти два производителя реально придерживались стандартов, которые в своё время написали/разработали в том числе и большей частью товарищи из Intel. Понятно, что их уже нет (в проивзодительном сегменте компьютеров). Тогда даже не посоветую. Но точно – не Intel.


Также см. Атака на Intel Trusted Execution Technology №1 и №2
— Гость (23/07/2009 05:55)   <#>
Пояснение: "Режим системного управления (System Management Mode, SMM) – самый привилегированный режим выполнения на процессорах архитектуры x86/x86_64, даже более привилегированный, чем режим "ring 0" и аппаратный гипервизор (VT/AMD-v), известный также, как "ring -1".

Позволяет осуществлять доступ ко всей системной памяти, включая ядро и память гипервизора. Стандартные механизмы защиты памяти операционной системы (Page Tables), равно как и средства виртуализации памяти гипервизора (Shadow Paging, Nested Paging/EPT, IOMMU/VT-d) не срабатывают против кода SMM.

Кроме того, на процессорах Intel код SMM может "перехватывать" даже гипервизор VT-xсякий раз, когда поступает запрос на SMI-прерывание. Для гипервизора же существует способ установить специальный логический объект (назваемый выше SMM-handler), позволяющий перехватывать SMI-прерывания"

О SMM можно почитать тут
— Гость (23/07/2009 11:03)   <#>
предустановленные" бирусы на компьютерах от производителя из враждебно настроенной страны – никак нельзя будет обнаружить

Можно, как минимум двумя способами. Прямым – с помощью чтения BIOS на программаторе, или косвенным – путем обнаружения изменений производимых вражеским кодом.

аппаратный гипервизор (VT/AMD-v), известный также, как "ring -1".

Не читайте по утрам советских газет, читайте мануалы Intel. Если кто-то называет гипервизор уровнем r1, то это безграмотный идиот, который ассемблера в глаза не видел. r0-r3 – это уровни привилегий задачи (CPL), которые определяют доступ к дескрипторам в IDT и GDT, доступ к памяти в PTE и к портам ввода-вывода (IOPL). Также некоторые команды могут быть выполнены только при CPL=0.
Операционные системы из этих четырех уровней используют только два, r0 и r3, так как оказалось что больше нафиг не нужно.

О SMM можно почитать тут

Вы бы постыдились давать ссылку на, мягко говоря, не самый компетентный ресурс.
— Гость (23/07/2009 13:33)   <#>
Прямым – с помощью чтения BIOS на программаторе
И много ли народу склонно этим заниматься? А вот просто скачать и запустить антивирус (и даже антируткит) не получится.
или косвенным – путем обнаружения изменений производимых вражеским кодом
Это уже совсем не для средних умов. На диске ведь может и не быть никаких изменений, а в работе процесс с наивысшим приоритетом может изменения маскировать.

Если кто-то называет гипервизор уровнем r1, то это безграмотный идиот
Вы не обратили внимание на чёрточку перед 1. Это минус. -1. И вопрос не в названии титула, а у кого привилегий больше.

Вы бы постыдились давать ссылку на, мягко говоря, не самый компетентный ресурс.
Так там, внутри статьи, есть ссылки на более компетентнные ресурсы. А этот сайт – популяризирующий.
Кстати ссылка выше "Атака на Intel Trusted Execution Technology" на тот же самый "не самый компетентный ресурс" – переводная статья Рутковсткой и Ко, переврод, на мой взгляд, хороший.

зы
"Из Назарета может ли быть что доброе?"
— Гость (23/07/2009 13:53)   <#>
Вы бы постыдились давать ссылку на, мягко говоря, не самый компетентный ресурс.
– действия, направленные на унижение достоинства материала по признаку происхождения, совершенные публично.
Был бы это не текст, а человек – подпали бы под статью 282 :)
— Гость (23/07/2009 15:21)   <#>
аппаратный гипервизор (VT/AMD-v), известный также, как "ring -1"

SMM aka "Ring -2"
System Management Mode is the most privileged execution mode on x86/x86_64 architectures, even more privileged than ring 0 mode and a hardware hypervisor (VT/AMD-v), often referred to as "ring -1".

Joanna Rutkowska, Rafal Wojtczuk. Attacking Intel® Trusted Execution Technology.
http://invisiblethingslab.com/resources/bh09dc/Attacking%20Intel%20TXT%20-%20paper.pdf
— DDRTL (24/07/2009 20:19)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
Есть ли программные средства детектирования(блокирования) таких штучек?
— SATtva (24/07/2009 20:22)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
На уровне ОС их по определению быть не может.
— Гость (24/07/2009 21:54)   <#>
Саттва, и что даже делать тупым или не очень продвинутым пользователям, а также очень продвинутым программерам, когда у них нет под рукой программатора?
— Гость (24/07/2009 22:28)   <#>
аппаратный гипервизор (VT/AMD-v), известный также, как "ring -1"
SMM aka "Ring -2"

Я таких терминов не знаю и знать не хочу. Для всего, что касается архитектуры x86 для меня один авторитет – Intel, а вы что-то называете не так, как оно называется в официальных мануалах, то не удивляйтесь, что вас могут не понять.

А вот просто скачать и запустить антивирус (и даже антируткит) не получится.

Получится. Есть косвенные способы обнаружения конкретных действий, которые должен выполнять гипервизор. Например гипервизор для AMD-V должен перехватывать чтение MSR_EFER, чтобы скрыть себя, а значит время выполнения rdmsr увеличивается как минимум на порядок. Конечно гипервизор может скрыть задержку перехватывая все таймеры в системе, но это не поможет против человека с секундомером в руках, или против измерения времени на стороне доверенного сервера.
Т.е. алгоритм обнаружения гипервизора такой: посылаем UDP пакет на сервер, вызываем rdmsr стотыщмильёнов раз, посылаем второй UDP пакет на сервер. Сервер меряет разницу времени прихода пакетов, пересчитывает производительность rdmsr относительно частоты процессора исследуемой системы, и делает вывод о наличии/отсутствии гипервизора.
Тоже самое можно сделать локально, с помощью оператора с секундомером в руках.

На уровне ОС их по определению быть не может.

Может, ещё как может. Даже безошибочно написанный гипервизор может быть обнаружен путем использования неподконтрольного ему измерителя времени. Таким источником может быть что угодно, от прерываний всякого разного железа, которое гипервизор не может контролировать ввиду его большого разнообразия, и заканчивая оператором с часами.
Если же гипервизор содержит ошибки, то его можно обнаружить по изменению поведения процессора относительно эталона. Мерять можно всё: поведение TLB, кэша, искать сброс конвеера на прерывании гипервизора, и много чего ещё. Написать гипервизор не поддающийся обнаружению по таким признакам – это уже мегазадача.
— SATtva (24/07/2009 22:34)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
Спасибо за развёрнутый ответ.
— sentaus (24/07/2009 22:51)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
Может, ещё как может.


И очень скоро все они будут выдавать true на любом новом железе. ;)
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3