Форум на Kuban.ru (http://forums.kuban.ru/)
-   Компьютерное железо (http://forums.kuban.ru/f1023/)
-   -   Western Digital прячет американские вирусы в нестираемых разделах (http://forums.kuban.ru/f1023/western_digital_pryachet_amerikanskie_virusy_v_nestiraemyh_razdelah-6551444.html)

grom9000 28.02.2015 17:19
Western Digital прячет американские вирусы в нестираемых разделах
 
[url]http://lenta.ru/news/2015/02/17/nsavirus/[/url]
Агентство национальной безопасности США научилось прятать шпионское программное обеспечение в зонах жестких дисков, защищенных от удаления и форматирования. Речь идет о дисках крупнейших производителей, что теоретически позволяет спецслужбе незаметно считывать данные с большинства используемых в мире компьютеров, передает Reuters.

Речь идет об устройствах, поставляемых как минимум с 2001 года. Изучение «Лентой.ру» отчета «Лаборатории Касперского» показало, что в список продуктов, подверженных заражению, входят как классические жесткие диски, так и SSD — накопители на флеш-памяти.

Новые шпионские программы были обнаружены российской «Лабораторией Касперского». Разработчик антивирусов утверждает, что выявил инфицированные подобным методом компьютеры в 30 странах. На первом месте в этом списке он назвал Иран, затем Россию, Пакистан, Афганистан, Китай, Мали, Сирию, Йемен и Алжир.

Целью слежки, как уточнила лаборатория, были правительственные и военные учреждения, телекоммуникационные и энергетические компании, банки, атомные исследовательские центры, СМИ и исламские активисты. Хотя инициаторы шпионажа могли технически получить доступ ко множеству компьютеров, на самом деле они выбрали в «жертву» ограниченное количество — тех, кем они непосредственно интересовались.

Группа хакеров, осуществлявших эту атаку названа Equation group. Российская фирма прямо не назвала, какая именно страна ответственна за подобный шпионаж, однако уточнила, что эта схема тесно связана с вирусом Stuxnet, который по заказу АНБ был использован для атаки на завод по обогащению урана в Иране.

Бывший сотрудник АНБ подтвердил информагентству, что анализ «Лаборатории Касперского» является правильным. Другой бывший разведчик, в свою очередь, сообщил, что АНБ действительно разработало технологию сокрытия шпионских программ в жестких дисках.

Согласно выводам исследования, вредоносное ПО внедряется в прошивку диска, что позволяет вирусу сохраняться на нем, даже если будут удалены все файлы и выполнено форматирование. По ценности для хакера такой метод внедрения вируса стоит на втором месте, уступая только заражению BIOS.

Как отмечают исследователи, перед программой, внедряющейся в компьютеры подобным образом, уязвимы жесткие диски более чем десятка ведущих компаний, охватывающих практически весь рынок. Речь идет о таких известных брендах, как Western Digital, Seagate Technology, Toshiba, IBM, Micron Technology и Samsung Electronics.

Компании Western Digital, Seagate и Micron сообщили Reuters, что ничего не знают о шпионских программах в своей продукции. Toshiba и Samsung отказались от комментариев, а IBM не ответила на запрос. Western Digital подчеркнула в комментарии «Ленте.ру», что на данный момент внимательно изучает отчет «Лаборатории Касперского».

Проблема государственного кибершпионажа со стороны США стала актуальной после того как бывший сотрудник американских спецслужб Эдвард Сноуден передал журналистам ряд секретных документов об их деятельности. В частности, он сообщил о ведении масштабной слежки за телефонными разговорами и электронной перепиской как рядовых американцев, так и лидеров мировых держав. В США Сноудена обвиняют в шпионаже. В 2013 году российские власти предоставили ему убежище.

Spirit 07 28.02.2015 18:06
1.
[img]https://upload.wikimedia.org/wikipedia/ru/2/2c/Анатолий_Силин,_баян.jpg[/img]

2. спецы, скажите, может ли что-нибудь, сидящее в firmware девайса, [em]без использования специального софта, установленного на компе[/em], самостоятельно что-нибудь куда-нибудь передавать?

genuimous 28.02.2015 18:48
1-Spirit 07 > теоретически, наверное может, например методами стеганографии. и уж точно может поспособствовать съему информации с использованием иных средств.

alextech 28.02.2015 19:07
Не удивлюсь, если тоже самое найдут и в процессорах, а то и в оперативной памяти...)

Spirit 07 28.02.2015 19:32
стеганография - это хорошо, но вопрос не об этом.
мне интересно. как может (и может ли) технически ПО (прошивка) [em]самостоятельно[/em] что-то куда-то отправить, стеганографией или нагло в открытую.
в моём представлении это достаточно сложная процедура - преобразование считанной с блина информации в форму, пригодную для отправки [em]из компутера[/em] внаружу, в сеть, да ещё и нужному адресату.
нужна какая-нибудь хрень в системе.
как дополнение к уже сидящему в системе трояну - да, наверно.
соблюдайте гигиену, уважаемые пользователи.

Wlad 28.02.2015 20:00
Оригинал бреда Кошмарского желающие могут прочесть здесь. Я ж со своей колокольни скажу, что городить огород с доступом в SA, то есть запускать на пользовательской машине сидящий в SA вирус можно только через подачу суперона. А скинуть в служебку по стандартной АТА-команде WRITE LOG EXT можно и без всякого доступа к SA, точно так же как потом вычитать стандартной АТА-командой READ LOG EXT. Цльных 128 секторов, 64 кило при 512 байтном секторе. И без всякого суперона. Только вот сакральный смысл отсутствует. В SA спрятать теоретически можно либо очень много - без возможности активировать, либо нихрена объемного не спрячешь, если использовать стандартные АТА-команды. Вообще Кашпер[s]ов[/s]ский не там роет, точнее дует пузырь не в том месте где может действительно порыться американская собака. Причем порыться так, что ни один антивирус не тявкнет, да и возможностей контроля этой дырки в безопасности нету вообще никакой. Я говорю за Intel Management Engine, или если более простонародно за интеловские технологии АМТ и V-PRO. Вполне достаточно того что комп просто включен в розетку и на M/B подается дежурное питание. Фактически с 2005 года во всех вычислительных системах Intel находится дополнительно к основному оборудованию еще один полноценный компьютер с независимым подключением к сети неизвестным по функционалу ПО, доступ к которому владелец оборудования не имеет. Причем этот «теневой» компьютер может полностью контролировать все процессы происходящие на основной вычислительной установке.
Что на этом фоне шляпа Касперский и иже с ним может поделать? Ни отследить поскольку этот "теневой компьютер" не использует систему команд х-86, ни даже засечь активность! А вариантов через АМТ получить возможность доступа к данным уже на практике была использована китайцами. Желающих более подробно понять концепт отысаю к [url]https://xakep.ru/2011/12/26/58104/[/url]

Wlad 28.02.2015 20:03
+ к (5_ Вот ссылка на Кошмарского, чегось не вставилась в предыдущее сообщение: [url]https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf[/url]

Spirit 07 28.02.2015 20:05
5-Wlad >
ничё не понял, но именно это я хотел сказать.

grom9000 28.02.2015 20:36
Поддержу предыдущего оратора!

miher 28.02.2015 22:53
5-Wlad > на ромбае давно читал о бирусах: [url]http://www.rom.by/article/Birus-y_Chast_pervaja[/url]

miher 28.02.2015 22:54
9-miher > жуть ))

genuimous 28.02.2015 22:57
Есть лишь несколько людей во внешнем мире, которые могут украсть у вашей организации информацию, но врядли она им нужна. Также есть несколько людей в вашей организации, которые могут украсть организации информацию, и они это уже сделали. Как-то так : )

Wlad 01.03.2015 00:12
9-miher > Для того чтобы записаться в BIOS вирусу необходимо уметь очень дохрена. Во первых, уметь работать с абсолютно любыми типами Flash - как с параллельным так и с последовательным интерфейсом, имеющими разные размеры блоков, имеющими защищенные блоки, стираемые целиком или поблочно - в общем, с тем разнообразием, которое обеспечивает программатор, стоящий не одну сотку гринов - и при этом имеющий одних таблиц конфигурацций микросхем несколько сотен мегабайт. Так что универсальным такой вирус не может быть по определению. Если помнишь CIH95 - в его функционале тоже была закладушка для перепрошивки BIOS. Которая бездарно стирала на некоторых матерях BIOS, а на некоторых просто вообще ничего не мог этот "Чернобыль" ничего сделать с BIOS. Поскольку автор сего чЮда заточил своего зловреда исключительно для переписи-модернизации BIOS белых до усеру компов производства IBM, причем одной-единственной модели, и даже там не всем нагадить была возможность, ибо микросхемы BIOS были как интеловские BT002, так и АМДишные F010. Талантливо гадил лишь в мегабит, а двухмегабитные лишь тупо стирал, а записать в них ничего не мог. А всем остальным клонам пиэсдвушек максимум тер микросхему BIOS стандартной для большинства Flash первых поколений командой AllErase.
Во вторых, в подавляющем большинстве компов даже в соседних по номерам версиях BIOS различно как содержимое якобы не стираемого Boot так и тела. И при апгрейте BIOS стирается все, а потом все прописывается. Случаи действительно неизменного содержимого Boot и соответственно применение защиты блока от стирания я даже рассматривать не хочу, поскольку если уж на бут-блок наложена защита от его модернизации юзером то и вирусу ловить нечего. А при изменении содержимого вариабельной части ROM вирус уйдет как пыль под дождем поскольку содержимое блока куда он прописался будет заменено. А если на этот блок поставить защиту - опять таки шляпа случится, вылетит процесс перезаписи BIOS с ошибкой.
Так что в то что есть универсальный дерьмец, готовый пролезть куда угодно и как угодно это из набора фантастики.
Готов поверить что какой-то обиденый сисадмин решил насрать любимой конторе которая его кинула, и нарисовал зловреда, ориентированого на комп шефа-буха-секритутки, поскольку они были куплены в один вечер, на одинаковой комплектухе и с одинаковым вплоть до версий прошивок железом - и соответственно родил заточеного на эту узкую группу зловреда. Но универсала родить - это гораздо больше чем два раза сплюнуть, это нужно азбираться и в аппаратной части, и в биосах от различных производителей, и при это быть гением ассемблера. Посольку последние гении ассемблера ч-86 вымерли как мамонты к началу двухтысячных, задавленые всяким высокоуровневым объектоориентаризмом. Так что это даже не научная фантастика, а бред пьяного ежика в лунную ночь после принятия вдогондозы амфетамина.

miher 01.03.2015 00:35
12-Wlad > Да с Чернобылем было весело, доходило до абсурда, когда я на Красной купил СД заражённый, а продаван потом говорит - "а чо, он вебером легко лечется" )))
По бирусам - да, согласен, универсал врядли возможен. Но он и не нужен, раз есть АТМ ))
Особенно умилило "Изменения в AMT4.1:
Поддержка технологии "AntiTheft" - функционала "антивор", позволяющего блокировать компьютер удалённо при краже-утере с возможностью разблокировки в случае возврата"
А уж про удалённую "настройку и конфигурирование" и говорить не приходится.

miher 01.03.2015 00:36
13-miher > поправка АТМ - АМТ


Текущее время: 15:23. Часовой пояс GMT +3.