Комментарии участников:
Это точно, в их профессии это единственный способ воровать. Ибо нету «вертикали» в которой достаточно состоять.
я конечно не специалист в этом, но думаю, что попытка записать что-то в биос должна пресекаться антивирусом или фаерволом на «раз-два». Если только разработчики не имели ввиду что сбособ заражения такой же сложный как и способ излечения.
Нет. Это не похоже на CIH (Чернобыль) который тоже работал с BIOS. Тут прошивка схем происходит в момент старта компьютера, до загрузки не то что ОС, но аж до загрузки интерфейсов. Перепрошить вручную в домашних условиях БИОС матери конечно фигня, но для всего остального потребуется выпаивать чип и тащить его на программатор — для сетевушки например. Либо выкручивать девайс и тащить на специально заточенный здоровый компьютер, с соотв. заглушками, во избежание распространения заразы.
Неясно только каким образом можно поселить код в системе изначально — пока работает ОС, да так, чтобы он при след. загрузке начал работу на низком уровне — пока даже харды не опросились. Предположу, что размер кода будет просто нано-крошечным, при современных скоростях передач засечь такой средствами антивирусных программ будет просто не под силу. Очень интересная новость, был уверен что такого ещё не было, хотя пишется что сей вирь не нов. Хотя самым шедевральным всё равно считаю червь Морриса.
И логически мысля, сей пёс невозможен
Хотя он жив, как не снилось нам мудрецам
Неясно только каким образом можно поселить код в системе изначально — пока работает ОС, да так, чтобы он при след. загрузке начал работу на низком уровне — пока даже харды не опросились. Предположу, что размер кода будет просто нано-крошечным, при современных скоростях передач засечь такой средствами антивирусных программ будет просто не под силу. Очень интересная новость, был уверен что такого ещё не было, хотя пишется что сей вирь не нов. Хотя самым шедевральным всё равно считаю червь Морриса.
И логически мысля, сей пёс невозможен
Хотя он жив, как не снилось нам мудрецам
Насчёт «нано-крошечного» — это что-то странное Вы сказали. Антивирус, определяющий действия вируса только после того, как он их произвёл — это какой-то хреновый антивирус. Но это неважно. За заражение отвечает другой компонент, который, естественно, можно модифицировать отдельно; речь о том, что сделан шаг вверх от руткитов (которые тоже пишутся в предположении, что их на компьютер как-то доставили и запустили, причём в нулевом кольце).
Формально Вы правы, но речь идёт о миллионах компьютеров рядовых home users — там все антивирусы хреновые, а что такое политика безопасности или даже фаервол — поди объясни…
На предприятии какой-нибудь АЭС вздрюченный админ конечно всё позакрывает, но их даже не миллион.
На предприятии какой-нибудь АЭС вздрюченный админ конечно всё позакрывает, но их даже не миллион.
получается мы все можем быть уже потенциально заражены!!! Единственный наверное признак этого вторжения, как мне думается, будут возможные глюки железа, поскольку вирус ещё не может в совершенстве эмулировать работу всех видов биоса… что думаете?
Трудно судить по обрывкам информации, но недавнее туманное высказывание Е.Касперского, что очень скоро мы получим совершенно новую картину интернета — это после того, напомню, как был обнаружен вирь похожий на тот, что был выловлен из компов иранского ядерного реактора. Спецы не могли понять даже на каком языке он написан, но сразу было ясно, что это оружие, и что писала его какая-то мрачная контора. Вирь ничего не делал, никак себя не проявлял — только собирал данные о реакторе. Дай Бог, чтобы речь шла об относительно безобидном промышленном шпионаже, в худшем нужно будет вспомнить, что реакторы, самолёты, стратегические ракеты, вплоть до МКС — всё потенциально пробиваемо.
А насчёт массового заражения БИОС очень возможно — парк «старых» компов на руках просто огромный, была как-то новость о вшитом в БИОС Линуксе. Самое главное, что сделать 100% рабочую заглушку типа «read only» в микросхему вряд ли возможно, нужно будет поменять саму микрушку. Хотя, например изгадить путём закрытия сессии какой-нибудь CDR-W получается у многих :)
А насчёт массового заражения БИОС очень возможно — парк «старых» компов на руках просто огромный, была как-то новость о вшитом в БИОС Линуксе. Самое главное, что сделать 100% рабочую заглушку типа «read only» в микросхему вряд ли возможно, нужно будет поменять саму микрушку. Хотя, например изгадить путём закрытия сессии какой-нибудь CDR-W получается у многих :)
«На каком языке написан» — сильно бессмысленная фраза. Что изрядно компрометирует остальную часть новости.
В принципе, только сравнительно узкий класс логических бомб и атак на протоколы опасен правильной, корректно спроектированной (в смысле архитектуры) и реализованной системе. Весь остальной зоопарк зловредов использует те или иные недочёты создателей системы и ему вполне можно противостоять всякими скучными вещами вроде анализа кода, автоматического тестирования, квалифицированных инженеров ПО и так далее. Да, министр энергетики не сможет управлять режимом АЭС с мобильника, какая жалость.
В принципе, только сравнительно узкий класс логических бомб и атак на протоколы опасен правильной, корректно спроектированной (в смысле архитектуры) и реализованной системе. Весь остальной зоопарк зловредов использует те или иные недочёты создателей системы и ему вполне можно противостоять всякими скучными вещами вроде анализа кода, автоматического тестирования, квалифицированных инженеров ПО и так далее. Да, министр энергетики не сможет управлять режимом АЭС с мобильника, какая жалость.
Может быть. Теоретически. В принципе, отлавливается независимой, лишённой даже теоретической возможности себя перепрошивать аппаратной платформой (если вирус посылает пакеты в сеть, а мы подключены через роутер — информация о пакетах остаётся в логах роутера). В принципе, сброс BIOS в «базовое» (установленное на заводе, неизменяемое в принципе) состояние решает проблему — не знаю только, насколько это распространено на тех или иных устройствах.
Практически же, как уже сказано, внедрение вируса (нехорошее слово… BIOS-руткита, так точнее) возможно только через уязвимость в системе (в том числе и уязвимость типа «пользователь растяпа»). Заражение же не святым духом происходит. Кроме того, если BIOS-руткит в принципе нельзя обнаружить, то он и достаточно безобиден. Реально он должен совершать какие-то действия, маскировать некоторые файлы на жёстком диске и так далее — и все эти следы так или иначе обнаруживаемы.
Практически же, как уже сказано, внедрение вируса (нехорошее слово… BIOS-руткита, так точнее) возможно только через уязвимость в системе (в том числе и уязвимость типа «пользователь растяпа»). Заражение же не святым духом происходит. Кроме того, если BIOS-руткит в принципе нельзя обнаружить, то он и достаточно безобиден. Реально он должен совершать какие-то действия, маскировать некоторые файлы на жёстком диске и так далее — и все эти следы так или иначе обнаруживаемы.
Возможно когда он совершит действия доступные для обнаружения — будет уже поздно. Представьте себе — «время Ч» и тут разом умирают все (или почти все) компьютеры. Ну или на более приземленном уровне — вирус спалится, но только после того как передаст злоумышленнику ваши данные.
Глобальный терроризм? И что значит — «умирают компьютеры»? Удалит загрузочный раздел? Отформатирует системный диск? Да пожалуйста, у меня образ есть.
Кража данных — это неприятно. Тем «счастливчикам», которые испытают это на себе первыми, определённо не повезёт. Но надо понимать, что базовая проблема здесь ровно та же, что и с классическими руткитами — их ведь тоже первый раз поди найди, если при создании применили какие-то новые идеи. Но вот после первого обнаружения комплекс можно проанализировать, придумать способ автоматического поиска и удаления и т.д. Ну и как только выловят что-то подобное рабочее, можно будет по той же схеме сделать необнаруживаемый BIOS-антивирус; антивирусы же по сути своей тоже развесистые руткит-комплексы, которым вдобавок и от пользователя прятаться не надо.
Кража данных — это неприятно. Тем «счастливчикам», которые испытают это на себе первыми, определённо не повезёт. Но надо понимать, что базовая проблема здесь ровно та же, что и с классическими руткитами — их ведь тоже первый раз поди найди, если при создании применили какие-то новые идеи. Но вот после первого обнаружения комплекс можно проанализировать, придумать способ автоматического поиска и удаления и т.д. Ну и как только выловят что-то подобное рабочее, можно будет по той же схеме сделать необнаруживаемый BIOS-антивирус; антивирусы же по сути своей тоже развесистые руткит-комплексы, которым вдобавок и от пользователя прятаться не надо.
И что значит — «умирают компьютеры»?Просто перестанут работать в нужный момент, пусть даже и на время.
необнаруживаемый BIOS-антивирус;На отдельном чипе с блокировкой перезаписи. Вирус точно себе такого позволить не сможет.
Это какая-то странная модель угрозы, если честно. Вообще, такое ощущение, что Вы считаете, что «вирус в BIOS» подразумевает какой-то более высокий уровень доступа к «железу». Это не так. Это просто ещё один уровень борьбы «брони и снаряда», изобретатели снаряда придумали новую интересную технику, помогающую справляться с бронёй (а не с мишенью, этой бронёй закрываемой). Конечный результат (вольно говоря, степень власти составителя вируса над заражённой машиной) при этом практически не изменился: всё, что позволяет в смысле действий Rakshasa, позволяет и какой-нибудь Rustock.C.
Вообще, вот
Вообще, вот
Продолжаем лесенка-тред :)
И что значит — «умирают компьютеры»Был такой, не помню как звать, вирь — «разгонял» частоту чего-то там (тоже не помню), проца всего скорее. Компьютеры выходил из строя, ясное дело что не все, но многим пришлось поменять оборудование.
Угу. Как раз Win95.CIH a.k.a. «Чернобыль» имеется в виду, по всей видимости. Просто «поджарить» процессор не так легко, даже старый — стоит аппаратная аварийная защита же. «Чернобыль» гробил именно (перезаписываемый) BIOS, и если после этого компьютер переставал грузиться, то надо было менять микросхему.
Вот только нынче компьютеры заметно поумнели в смысле способности восстанавливаться после подобных сюрпризов.
(странно… кто съел ссылку из предыдущего поста?)
Вот только нынче компьютеры заметно поумнели в смысле способности восстанавливаться после подобных сюрпризов.
(странно… кто съел ссылку из предыдущего поста?)
Win95.CIH a.k.a. «Чернобыль» цеплялся к небольшому числу микрух, зато крика было уйма. У страха глаза велики.
Что же до самого поста, то новость первоисточника технически неграмотная, т. к. не говорится об аппаратных ограничениях, а они должны быть существенными…
Начиная с мобильных платформ Intel i960/965 чипсетов можно навернуть что угодно и как угодно и удаленно, с помощью инженерных утилит от Intel или их открытых аналогов как в Windows, так и в Linux/Unix, причем даже при выключенном, но не отключенном от электрической сети, компе, по локальной сети. Так что ничего нового. Новость подустарела годика на 4, минимум.
Что же до самого поста, то новость первоисточника технически неграмотная, т. к. не говорится об аппаратных ограничениях, а они должны быть существенными…
Начиная с мобильных платформ Intel i960/965 чипсетов можно навернуть что угодно и как угодно и удаленно, с помощью инженерных утилит от Intel или их открытых аналогов как в Windows, так и в Linux/Unix, причем даже при выключенном, но не отключенном от электрической сети, компе, по локальной сети. Так что ничего нового. Новость подустарела годика на 4, минимум.
