id: Гость   вход   регистрация
текущее время 22:37 28/03/2024
создать
просмотр
ссылки

Жук в ноутбуках?


Наткнулся на страшную страшилку или что-то в этом есть?


... Теперь постараюсь буквально коротко ответить всем трукрептистам – не поможет. И вот по каким соображениям.

1. Ещё несколько лет назад в некоторых лаптопах были обнаружены средства протоколирования всего, что вы вводите с клавиатуры. Например, читайте здесь и здесь. Потенциально – это большие возможности. Но это – короткая история, начавшаяся в 2000 году и получившая продолжение в 2005 и продолжающаяся сейчс.


2. Сегодня практически на всех лапторах (и не только) в биос встраивается computrace. Перечень лаптов с предустановленным computrace – здесь или здесь. Нашли свой лаптоп в списке?!


Смысл простой – когда вы загружаете ОС – то в момент загрузки (!!!) в неё внедряется программа, которая при подключении к сети вашего лаптопа вне зависимости от вашего желания может передавать данные на удалённый сервер. Это – реальность ...


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Комментарии
— Гость (31/07/2009 19:18)   <#>
а об обычном домашнем компьютере обычного отдельно взятого юзера, не вооруженного маршрутизаторами, паяльниками и программаторами...

Обычный юзер ни за что не найдет обычного шпионского трояна, который написан достаточно хорошо, чтобы не обнаруживаться антивирусами. Поэтому я отталкиваюсь от возможностей грамотного параноика, готового потратить некоторое количество времени и денег на обеспечение своей безопасности.

А как бороться с этим злом?

cbrom, modbin + BIOS флешер от производителя мамки. Хотя обычному юзеру лучше в BIOS руками не лезть, ибо запорет.
— Гость (01/08/2009 03:19)   <#>
несанкционированную передачу данных можно гарантированно обнаружить на маршрутизаторе
Для этого нужно знать, как выглядят все "санкционированные" передачи всех установленных на компьютере программ, и то не факт, поскольку (б/в) ирус может подделать свою передачу под что-нибудь разрешённое, особенно если оно шифрованное. Типа стеганография ;)

А как бороться с этим злом?
После перепрошивки откусить у FLASH-чипа ножку разрешения записи.
— Гость (01/08/2009 10:06)   <#>
ирус может подделать свою передачу под что-нибудь разрешённое, особенно если оно шифрованное. Типа стеганография ;)

Ну так не зря исследование проводится в контролируемой обстановке и только с специальным софтом, который генерирует строго определенный трафик по множеству стандартных протоколов.
— Гость (01/08/2009 11:05)   <#>
А если вирус неглуп, то обнаружив, что находится "в контролируемой обстановке и только с специальным софтом", он может и помолчать.
— Гость (01/08/2009 11:16)   <#>
Вернее даже так: "говорить" он будет только при запуске того софта, чей "голос" он может подделать.
— Гость (01/08/2009 11:42)   <#>
А если вирус неглуп, то обнаружив, что находится "в контролируемой обстановке и только с специальным софтом", он может и помолчать.

Используемый для исследования софт он не сможет обнаружить, потому что это приват, который пишется для узкого круга пользователей, и никому больше не даётся. Ограниченное распространение – единственный способ защитить антируткит от целевых атак.

Вернее даже так: "говорить" от будет только при запуске того софта, чей "голос" он может подделывать.

Это слишком сложно, чтобы было надежным. Мы проверяем на наличие массовых троянов, а не на бекдор написанный специально для вас и под используемый вами софт. Если вы опасаетесь высокобюджетных и направленных лично лично на вас атак, то следует отталкиваться от сбора системы из заведомо безопасных компонентов. Т.е. юзаем железо и софт, проверенные вашей службой безопасности, и юзаем всё это только в специально оборудованных помещениях и под надежной охраной, а то, знаете ли, данные можно получить без всяких шпионских штучек, путем взлома пользователя грубой силой.
— Гость (01/08/2009 14:13)   <#>
Это слишком сложно, чтобы было надежным. Мы проверяем на наличие массовых троянов
Для массовости достаточно уметь эмулировать часть torrent-протокола (в нем есть опция шифрования). Можно ещё добавить skype. Ну и среди браузеров, думаю, можно замаскироваться.
— Гость (01/08/2009 14:28)   <#>
достаточно уметь эмулировать часть torrent-протокола

Учтите, что четырёхбуквенные компании копирастов объективно заинтересованны в создании таких вирусов.
— Гость (01/08/2009 14:34)   <#>
А хотя, вряд-ли. Практика показывает, что Угроза спида сокращает промискуитет весьма незначительно, а вот претензии предъявлять будет сложнее.
— Гость (01/08/2009 16:21)   <#>
cbrom, modbin + BIOS флешер от производителя мамки. Хотя обычному юзеру лучше в BIOS руками не лезть, ибо запорет.

Что необходимо произвести, в какой последовательности, каким образом определить шпионский модуль если таковой присутствует?
— applerom (01/08/2009 18:37)   профиль/связь   <#>
комментариев: 7   документов: 0   редакций: 0
В NT никогда небыло scandisk, есть chkdsk и autochk.

Конечно – речь шла о замене AUTOCHK. EXE. Второй добавляемый файл – rpcnet.exe.
Т.е. юзаем железо и софт, проверенные вашей службой безопасности

Особенно интересна процедура проверки такой службой железа... ;)
Что необходимо произвести, в какой последовательности, каким образом определить шпионский модуль если таковой присутствует?

Если речь о Computrace – просто ищем в прошивке строку "CompuTrace", правда получится, лишь ежели модуль не упакован. Ежели упакован – ищем модули типа "user", "another" и т.п., распаковываем и смотрит.
Если речь о SMM-обработчике и его дополнений – ищем и распаковываем модули, связананные с SMM, PMM и т.п. В частности, в случае упомянутого выше Award BIOS для просмотра кода SMI-handler-а это будет:
cbrom bios.bin /ygroup extract
— Гость (02/08/2009 15:27)   <#>
В частности, в случае упомянутого выше Award BIOS для просмотра кода SMI-handler-а это будет:
cbrom bios.bin /ygroup extract

Благодарю. А как быть с phoenixbios, тот же инструмент и методы? Насколько тривиальна распаковка?
— unknown (02/08/2009 16:36)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Может вам лучше попробовать это или это. И поделиться своими изысканиями с открытыми проектами.

Лучше потерпеть немного глюков такого БИОСа и отсутствие фирменных фич от производителя.
— applerom (02/08/2009 23:22)   профиль/связь   <#>
комментариев: 7   документов: 0   редакций: 0
Может вам лучше попробовать это или это.


Бывают мертворождённые проекты. Однако эти, вообще – мёртвозадуманные... :D
— Гость (02/08/2009 23:30)   <#>
Это почему? Имхо, очень полезный и ценные проекты.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3