Kaspersky: наши жесткие диски заражены США


Пока вы тут херней страдаете груши околачиваете на темы типа
компьютер для секретного интернета и ИБ для российско-украинской дружбы
, в мире всплывают куда более серьезные проблемы:

"Лаборатория Касперского" опубликовала сенсационное исследование, которое уже попало на передовицы ведущих мировых СМИ.
Речь идет о заражении жестких дисков особым вирусом, который позволяет шпионам следить за целыми государствами.
Кто же создал вредоносную программу? Оказывается, это спецслужбы США.

Kaspersky: наши жесткие диски заражены США[link1]

Причем, проблема уже есть, а вы все тут собравшиеся не что даже понятия не имеете, как ее решить, а вообще о ней не в курсе.
Ну что ж, обсасывайте дальше свой "компьютер для секретного интернета и ИБ для российско-украинской дружбы", и еще китайцев в дружбаны не забудьте взять.

Комментарии
Гость (20/02/2015 08:13)   

Нет, мы все в курсе[link2].


Не читайте советских газет до обеда
Гость (20/02/2015 15:29)   
Это разновидность биос-руткита.

Возможно скоро, они будут Hardware Trojan Horse ( HTH ) комбинированные с буткитами и т.д. и т.п.

Рекомендую вчитаться в этот реддит: http://www.reddit.com/r/badBIOS/ по теме.
Гость (21/02/2015 11:39)   

Отчего же не знаем, знаем что скоро Касперский с подмастерьями забацает свой такой же православный. Чего чужими то пользоваться (?).
Гость (21/02/2015 11:41)   

А их уже "старшие" взяли и даже трубу к ним тянут).
Гость (21/02/2015 12:27)   
Касперский с подмастерьями забацает свой такой же

Вся обида чекистов лишь в том, что вирус (если он действительно есть) американский, а не ихний. Иначе они бы сами терроризировали любого в пределах их досягаемости, кто об этом заикнётся.

По мне так американский вирус безопасней чекистского. Лучше конечно чтобы их вообще не было, но если выбирать между железом, протрояненным америкой и чекистами, то лучше американский. анбшные террористы далеко, а фсбшные рядом, поэтому пусть лучше заморским бандитам инфа сливается.
Гость (21/02/2015 17:42)   

Судя по отчёту, о массовых заражениях (хотя бы на уровне всех дисков, поставляемых в страну) речь не шла, т.е. бэкдорили не массово, а целево и через interdiction. Трой потом мог поддерживать винду, макось и iphone, о других ОС речь не идёт.

Фирмварь HDD, максимум, может подменять какие-то данные в каких-то секторах при их чтении с диска — наверно, на это был завязан принцип действия бэкдора (например, можно подменить какие-то модули ядра при чтении ядра с диска). Понятно, что тут всё ОС-специфично. Впрочем, Касперский методику работы руткита не раскрывает.

Как всегда, вопрос успешно решался бы через безопасность закупок оборудования. Поидее этим должны заниматься специально обученные спецслужбы люди, но даже обывателю бывает понятно, что не надо рассказывать продавцу, кто покупает оборудование и для чего. Впрочем, раз речь об атаках на коммерческие фирмы, вряд ли им кто-то предложил бы такую услугу по безопасности, «им же нечего скрывать».
Гость (21/02/2015 18:05)   
Вся прелесть нашего времени, это действительно работающий закон Мура.

Раньше, эти технические разделы были маленькими асиками, с размером памяти в 300кб, а теперь это флешки, а меньше флешек чем на 16 ГБ скоро уже просто не будут выпускать.

Получается, вторые дондышки будут буквально у всех производителей, да такие, где можно видиотеку маленькую для ipod-а хранить.
Гость (04/03/2015 18:47)   
Вот здесь более подробно:

**Разоблачитель Касперский и кибератаки в 2015 году**[link3]

Ну и что будем делать – нести все ЖД на помойку? А также CPU и пр.
А также закрывать PGPRU со всеми его крутыми шифровальными технологиями как бесполезными ввиду вышеописанного – чтобы они работали, нужна здоровая аппаратная основа, которую у нас выдергивают прямо из под ног.
Гость (04/03/2015 18:57)   

Да
Гость (04/03/2015 19:31)   

И самим туда перемещаться. Нужно забивать лучшие места, пока все туда не ломанулись.
— unknown (04/03/2015 20:49, исправлен 04/03/2015 20:50)   

[самоирония и самокритика]
Для интеллектуального дауншифтинга вместо помойки и PGPRU сгодится.
[/самоирония и самокритика]

Гость (04/03/2015 21:11)   
наши жесткие диски заражены США @ наши мозги заражены Касперским
Гость (04/03/2015 21:15)   
Гость (04/03/2015 18:47)

Прошу предоставить спиок того, что будет вами отнесено на помойку. Может сгодится что. Почтой РФ готовы отправить? Пересылка за мой счет.
Гость (05/03/2015 01:08)   

Еще как сгодится. ЦРУ будут вам благодарны.
Гость (05/03/2015 01:21)   

Интересно, а в штатах также боятся ГРУ РФ?
Гость (05/03/2015 02:01)   

Чё пережевать то? написано же, что их диски заражены. Если бы каспер написал Kaspersky: ваши жесткие диски заражены США то можно и психануть, а так все пучком.
Гость (11/03/2015 19:00)   
Вопрос: а решает ли эту проблему (утечки через зараженные диски) VirtualBox или KVM?

Если работать в виртуальной операционке, то по идее физические диски никогда не узнают, что находится в виртуальной ОС, и у которой даже BIOS не настоящий, а собственный, программный,
Гость (11/03/2015 20:30)   
При чём здесь виртуалки? Если диски «заряжены», то эксплоит добавляется на уровне старта самой ОС или гипервизора. Помочь они могут только в том смысле, что создатели эксплоита могли не предусмотреть какие-то софтварные комбинации (например, Linux у них не поддерживается). Если винда троянится уже на старте, как вы постфактум нейтрализуете троян/руткит с удалённым доступом, запустив в этой винде виртуалку? Всё равно у атакующего будет полный доступ к основной системе, а, следовательно, и ко всем виртуалкам, в ней запущенным.
Гость (11/03/2015 22:39)   
Как же все это печально :( Плюс еще и это.[link4]

Неужто мы все под колпаком у Мельника, и никакого спасу нет от компьютерного шпионажа, кроме как выдернуть вилку из розетки?
И вообще, перейти на паровую тягу.....
Гость (12/03/2015 00:25)   

Да, под колпаком у Миллера, все под ним ходим.

Если с DRAM ещё понятно, то с этим нет: чем вас атака Кошмарского беспокоит? Она была целевой, массово не распространялась. Чтобы подцепить заразу, надо было получить уже затрояненный диск, кому попало их не продавали.


Да, жить страшно и становится всё страшнее. А ещё есть IPMI[link5], computrace[link6], Intel AMT/vPro[link7], чтение RAM через опасные порты и снятие ключей с компьютера через рядом с ним лежащий мобильник[link8].
Гость (12/03/2015 14:56)   
чекист касперский не представил фактов – конкретные модели дисков и способ активизации бэкдоров. Очередная порция страшилок, которые проверить невозможно, а верить гебне на слово нельзя, т.к. врать – это их специальность. Без фактов это очередной самопиар и подпевание антиамериканской истерии.

Фирмварь HDD, максимум, может подменять какие-то данные в каких-то секторах при их чтении с диска — наверно, на это был завязан принцип действия бэкдора (например, можно подменить какие-то модули ядра при чтении ядра с диска).

Для этого нужно заранее знать эти сектора, или иметь базу данных с именами подменяемых файлов. Если диск зашифрован, то бэкдор не сможет правильно записать шифрованный сектор и не знает имён файлов, т.к. расшифровка осуществляется на более высоком уровне ОС. Можно получить контроль путём подмены загрузчика в MBR, но это не действует когда загрузчик с ядром находятся на внешнем носителе – дискете или CD. Ядро на дискету не поместится, поэтому идеальный вариант – загрузка с CD и полное шифрование диска вместе с системным разделом.
Гость (12/03/2015 15:01)   

Модели дисков в отчёте есть, не знаю уж насколько детальные.


Насколько я понял, не нужно, там по сигнатурам ядра определяется.


Думаете, он у многих зашифрован? Как бы ни так.


И кого это коснётся? 0.001% публики?

Дырка под винду и мак, этих фактов уже достаточно. Те, кто думают о безопасности и шифровании, не будут использовать ни первое, ни второе.
Гость (13/03/2015 00:20)   

CD приводы нужно еще поискать. Не универсальный вариант.

У кого не зашифрован, тому эта инфа некритична.

А третье само по себе не даст защиты. Не стоит уж так крепко полагаться на неВин и неМак.
Там тоже при разумном подходе, можно создать определенный уровень безопасности.
Основной бич владельцев Пк/ноутов – работа под административными пользовательскими профилями.
Гость (13/03/2015 09:56)   
Модели дисков в отчёте есть, не знаю уж насколько детальные

Ничего нет, ни моделей (перечислены лишь бренды – WD, Sageate и т.д.), ни методики обнаружения. Есть только имя касперского и голословные обвинения. Одна пропаганда и запугивание, как всегда.

CD приводы нужно еще поискать

CD или DVD – какая разница, среди современных ПК и ноутбуков не видел ни одного без привода. Даже если нет, можно добавить.
Гость (13/03/2015 13:12)   

Все тонкие без приводов, он бы туда просто не поместился: Mac Book Air, ASUS Zenobook, некоторые серии Dell и др., их довольно много.
Гость (13/03/2015 13:19)   
Почему Кошмарский не стал публиковать развёрнутый отчёт — вопрос спекулятивный[link9]:

Вы затронули очень важную тему. Такие люди как я, чья биография связана с работой в спецслужбах, не горят желанием о чём-то слишком распространяться. Мы считаем, чем меньше о наших действиях знают противники, тем успешнее будут наши операции

Вы представляете полностью открытый антивирус? Я — нет. Там всё на секретности, утаивании и запутывании. Им неинтересно рассказывать, как далеко они зашли, как много поняли в плане работы трояна и т.д. Я уже не говорю о том случае, когда им хочется передать выясненную об этом правительственном трояне информацию в свои спецслужбы. Может быть, позже ещё опубликуют детальный отчёт, поживём — увидим.
Гость (13/03/2015 16:13)   
Описание найденного вируса не даёт новой информации его создателям, они его сами знают. Методика поиска вирусов это другое, и может держаться в секрете разработчиком, хотя это больше личный или корпоративный интерес ради сохранения монополии на знание.

Главный секрет это обладание информацией, которую другая сторона считает неизвестной никому кроме неё. Остальное – менее существенные технические детали.


Такие люди как я, чья биография связана с работой в спецслужбах, не горят желанием о чём-то слишком распространяться.

Тогда пусть не лезут на публику и не пиарятся. Не может доказать свои утверждения – значит его слова ничего не значат.
— unknown (13/03/2015 16:40)   

Для коммерческого пиара и рекламы как раз нужно просто лезть на публику и не нужно ничего доказывать.
Гость (13/03/2015 17:02)   

Описание даёт информацию о том, в какой степени механизмы заражения и сокрытия известны аверам.


Верно.
Гость (13/03/2015 22:32)   
Этот секрет он и разгласил, потому что скрывать его не было особого смысла. Пусть теперь опишет механизмы заражения, которые он счёл нужным предать гласности.
Гость (20/03/2015 08:04)   
«Лаборатория Касперского» делится данными о своих пользователях с российскими спецслужбами[link10] англ.[link11]
По словам управляющего директора бостонского отделения «Лаборатории Касперского» Криса Доггета, компания предоставляет ФСБ только общую статистику и обезличенные данные. Однако два неназванных сотрудника компании рассказали Bloomberg, что спецслужбам предоставлена возможность идентифицировать отдельных пользователей продукции Касперского.
Гость (20/03/2015 08:07)   
После заражения их дисков, можно считать что невольно делятся и с АНБ. Раз есть такая возможность идентифицировать отдельных пользователей продукции и что там ещё можно сделать удаленно у пользователя.
Гость (20/03/2015 12:59)   
Bloomberg: Касперский работает и моется в бане вместе с ФСБ[link12]. Тот же источник, но есть фоточка из бани.
Гость (20/03/2015 13:03)   
Евгений Касперский ответил на публикацию Блумберга у себя в ЖЖ[link13]
Я немного был в озлоблении, потом в удивлении, потом в непонятках.. Короче, эмоции танцевали джанго-джанго и пели при этом рэп.
... а ведь на море, под пальмами, и под мягким мартовским солнышком, пробежавшись рано утром по пляжу, приятно позавтракав настоящей китайчатиной – ай! – ах как хотелось бы продолжить.... чтобы немного отпустить мозг, расслабить тело, и еще денёк полежать.. А хрен тебе, дорогой господин хороший. На тебе порцию говна!

Это была плохая новость. Причём удивительным способом это совпало с нашим недавним расследованием кибер-безобразий группы Equation, которую некоторые аналитики записали на баланс NSA.

Хорошая новость заключается в том, что Блумберг нас очень упорно копал. Причём с инсайдом. (надо бы ещё выяснить имена негодяев, которые такой инсайд сдавали). И что они накопали? Да ничего!!

Во-первых, треть статьи – чисто достоверные, публичные факты, которые можно проверить у нас на веб-сайте, в наших открытых отчётах и прочих публичных документах.

Во-вторых, что было очень странно (это же Блумберг!). Значительная часть материала – неправда. Откровенное враньё. Домыслы, предположения, выводы, основанные на неверной информации и ложно истолкованные. В суд на них подать, что ли?

В-третьих. Оставшаяся часть – это ровно то, что "накопал" Блумберг. Тайная, никому неизвестная информация, представляющая крайнюю ценность для следствия, и которая однозначно подтверждает тот факт, что я – русский шпион. Вот эта информация: (если отсеять всю прочую фиготу)

– я хожу в баню (когда в Москве).
– мы увольняем менеджеров (да у какой компании этого не бывает?).
– многие в компании говорят по-русски (увы, это генетический огрех).
– наш юрдиректор служил в 18 лет срочку на границе.
– всё.

Поздравляю всех! Сотрудников, партнёров, клиентов, фанов и просто сочувствующих!

Серьёзное новостное агенство Блумберг искало связь с "русскими шпионами" – и нашло только... баню. Ура!

Да и не могли они найти ничего, поскольку нету. Очень сложно искать то, чего нет.

На самом деле это отличная новость. Эта статья как штамп "кошерно". С ней можно идти в любой западный крупняк, типа "нам провели внешний аудит – и ничего не нашли".

Спасибо, Блумберг!
Гость (21/03/2015 03:06)   
Почитал ещё это[link14] и это[link15].


Когда были первые сливы АНБ, оно громко кричало о том, что всё законно, а журналисты преувеличивают, передёргивают и вообще откровенно врут. Потом последовали следующие сливы, после которых АНБ заткнулось и долго молчало в тряпочку, стараясь подобрать правильные слова, чтобы сделать хорошую мину при плохой игре.

Может быть, конечно, чёрный PR. Инсайдерам без подтверждающих документов приходится верить голословно, оправданиям Касперского тоже. Однако, зная, что весь бизнес забит «бывшими», а «бывших не бывает», поверить в такой инсайд нетрудно. Это касается не только Касперского, но и всех остальных крупных компаний: странным было бы ожидать, что к таким большим БД не попытаются негласно подсосаться спецслужбы.


Хорошее передёргивание, авось кто оригинал не читал и клюнет.
Гость (24/03/2015 00:35)   

Видимо в нужное место клюнули? То-то он так засуетился!
Гость (24/03/2015 00:39)   
Ага лучше бы молчал! Сам зарывается.
зы Развели идиотов "программист", "бизнесмен" а в реале все оказались чекистами)
Гость (27/03/2015 16:04)   
«Лаборатория Касперского» удалила статью о слежке за пользователями интернета в московском метро[link16]
В «МаксимаТелеком» опровергли изложенную информацию. Позднее «Лаборатория» принесла извинения за публикацию недостоверных данных.

Вот если бы в АНБ опровергли все обвинения в шпионаже, вместо того, чтобы как всегда ничего не комментировать, то и про них статьи бы удалили, ведь так?
Проверять кто стоит за пулеметом максима максимателекомом надо перед публикацией , больше в баню не пригласят же .
— pgprubot (23/06/2015 16:25)   

Э[link17]двард Сноуден обнародовал документы, согласно которым американское Агентство национальной безопасности (АНБ) и аналогичное британское подразделение, Центр правительственной связи, шпионили за иностранными антивирусными компаниями. Среди них — «Лаборатория Касперского».

АНБ изучало бреши в защите «Лаборатории Касперского» и получало приватные данные о клиентах, отслеживая обмен информацией между установленной программой и серверами компании

Согласно черновику засекреченного документа, АНБ в 2008 году обнаружило, что строка агента пользователя, которая содержится в информации протокола передачи данных HTTP, может использоваться, чтобы идентифицировать устройства, которыми пользуются клиенты компании.

Согласно документу британской разведки, созданному в 2008 году, агентство слежки рассматривало российскую компанию как препятствие на пути к выполнению его задач. Из опубликованных документов неясно, чего британское подразделение добилось в результате анализа «Лаборатории Касперского»

В презентации американского проекта слежки CAMBERDADA в качестве потенциальных целей для изучения также упоминаются российские компании DrWeb, «РусКомНет», «Комкор». АНБ также изучало деятельность финской F-Secure, румынской BitDefender, немецкой Avira, словацкой ESET, южнокорейской AhnLab и чешских AVG and Avast.

Ссылки
[link1] http://www.vestifinance.ru/articles/53471

[link2] https://www.pgpru.com/comment88459

[link3] http://voicesevas.ru/news/russia/10628-razoblachitel-kasperskiy-i-kiberataki-v-2015-godu.html

[link4] https://www.pgpru.com/novosti/2015/prodemonstrirovanoispoljzovanieujazvimostivdrampamjatidljapovyshenijaprivilegijjvsisteme

[link5] https://www.pgpru.com/comment73558

[link6] https://www.pgpru.com/forum/prakticheskajabezopasnostj/chegostoitichegonestoitbojatjsjaapparatnyebekdoryiproprietarnyeproshivki#h71906-3

[link7] https://www.pgpru.com/forum/prakticheskajabezopasnostj/chegostoitichegonestoitbojatjsjaapparatnyebekdoryiproprietarnyeproshivki#h71906-4

[link8] https://www.pgpru.com/novosti/2013/uluchshennyemetodyizvlechenijakljuchejjpoakusticheskomuidrugimpobochnymkanalam

[link9] https://www.pgpru.com/comment67035

[link10] http://tjournal.ru/paper/kaspersky-russian-spies

[link11] http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-russian-spies?hootPostID=4677e667731f00a44150899d887c9ee9

[link12] https://roem.ru/20-03-2015/189048/kasper-fsb/

[link13] https://e-kaspersky.livejournal.com/216149.html

[link14] http://hitech.newsru.com/article/20mar2015/kaspersky

[link15] http://www.inopressa.ru/article/20mar2015/standard/kasp.html

[link16] http://tjournal.ru/club/4583-laboratoriya-kasperskogo-udalila-statu-o-slezhke-za-polzovatelyami-interneta-v-moskovskom-metro

[link17] http://www.rbc.ru/rbcfreenews/558877d09a7947185cc08383