[ON] О возможности создания и внедрения аппаратного бэкдора

[rssbot]

Разработчики Ksplice, системы обновления Linux-ядра без перезагрузки, опубликовали любопытный документ, в котором показана техника имплантирования вируса в аппаратную часть компьютера. Подобный код в последующем будет очень сложно обнаружить и практически невозможно истребить (не поможет даже полная переустановка системы с нуля). Исследование содержит примеры работоспособного кода. Чтобы произвести подобную атаку, нужно сначала разобраться с начальной загрузкой компьютера. Во время запуска компьютера, первым этапом загрузки является прохождение BIOS'ом самопроверки (POST) и запуск ROM-кода различных устройств компьютера. Эти ROM-программы позволяют правильно инициализировать устройство или позволить BIOS'у общаться с железом, про которое он ничего не знает (например, данная функция позволяет BIOS'у загрузить ОС с жёсткого диска, подключенного к SCSI адаптеру). Для этого у BIOS есть таблица прерываний, которую можно переопределить. Суть атаки заключается в том, что атакующий записывает в ROM-память заданной платы компьютера вредоносный код, который производит следующие действия: он переопределяет прерывание, ответственное за чтение данных с жёсткого диска компьютера, что позволяет внедрить свой код в загружаемое Linux-ядро, путём переписывания части его кода. Поскольку ядро Linux является крайне сложной хорошо упакованной программой, нельзя переписать случайный кусок кода, ибо это может привести к неработоспособности системы. Поэтому зловредный код переписывает достаточно длинное сообщение об ошибке внутри ядра, при этом заменяя точку вхождения в ядро. Этот зловредный код в свою очередь устанавливает в ядре Linux модуль для обработки обычно неиспользуемого 163 протокола и изменяет точку вхождения в ядро, чтобы модуль автоматически запустился. Затем ядро продолжает обычную загрузку. Нужно отметить, что все эти операции происходят совершенно незаметно для пользователя. Данный модуль заставляет Linux отвечать на запросы при обращении по 163 протоколу, запуская нужное приложение, например, /bin/bash с правами суперпользователя. Чрезвычайная опасность этой атаки состоит в том, что найти зловредный код достаточно сложно, как и сложно отследить паразитный трафик, ведь он не принадлежит ни одному из популярных сетевых протоколов (ARP, TCP, UDP, ICMP). Другая не меньшая опасность состоит в том, что многие компоненты компьютера содержат так называемый firmware - ROM-программу, которую можно перезаписать, что позволит перевести обычный вирус в разряд необнаруживаемых. Хотя данное исследование нацелено на взлом ядра Linux, описанную технику гораздо проще реализовать против других операционных систем с более стабильным кодом, например, ядро Windows обычно не меняется на протяжении минимум трёх лёт, тогда как новые версии Linux выходят почти каждые три месяца.


Источник: http://www.opennet.ru/opennews/art.shtml?num=28481


оригинал на opennet.ru

[taaroa]

Суть атаки заключается в том, что атакующий записывает в ROM-память заданной платы

ROM aka read-only memory.

// terminated by signal 11 (Segmentation fault)

Ребята из конторки по имени Ksplice не застали злачных времен DOS.
С работами Рутковска они, судя по всему, не знакомы.

[Илуватар]

Да ладно придираться, конечно, всё новое это хорошо забытое старое, однако всё ж мне интересно, чем ответят на это производители ПО)

[taaroa]

мне интересно, чем ответят на это производители ПО)

...интересно, чем ответят производители железа. (;
Есть мнение, что первые вирусы на территорию СССР «приехали» внутри болгарских ПЗУ.

HyperBIOS

[watashiwa_daredeska]

ROM aka read-only memory.

Давно ли Вы видели настоящий ROM на консьюмерских железках? Везде, где можно и не можно стоит flash.

[taaroa]

ROM aka read-only memory.

Давно ли Вы видели настоящий ROM на консьюмерских железках? Везде, где можно и не можно стоит flash.

Да, в новости неточность, двусмысленность.
Речь, вероятно, идет о EEPROM, так ведь? (;
Но это мало что меняет.

[MrClon]

...интересно, чем ответят производители железа. (;

Блокировка записи в «ROM» аппаратным переключателем, хочешь прошить мамку, переткни джампер (кстати такое вроде раньше было).

[/dev/random]

Блокировка записи в «ROM» аппаратным переключателем, хочешь прошить мамку, переткни джампер (кстати такое вроде раньше было).

Если учесть опыт с флэшками, сомневаюсь. Раньше каждая вторая флэшка была с переключателем записи, а как пошли эпидемии авторанов, почти все производители _перестали_ выпускать такие флэшки (хотя должны были _начать_).

[MrClon]

Вроде они только на SD карточках были, а вирусы в основном на USB Stick путешествуют (просто потому что сами USB Stick больше путешествуют).
Ну и firmware и USB Stick это разные вещи, среднестатистическая Firmware за свою жизнь так ни разу и не перепрошивается.

[/dev/random]

Вроде они только на SD карточках были, а вирусы в основном на USB Stick путешествуют (просто потому что сами USB Stick больше путешествуют).

Это сейчас они только на SD. Раньше были и на USB. У меня такая ещё осталась.

[Ali1]

UPD
до кучи :

These processors are buggy as hell, and some of these bugs don't just
cause development/debugging problems, but will *ASSUREDLY* be
exploitable from userland code.

http://marc.info/?l=openbsd-misc&m=118296441702631