Мы все под колпаком

Известный журналист Киви Бёрд сообщил нам на сайте 3dnews.ru чудесное:

Примерно года три назад, когда известный канадский консультант по инфозащите Драгош Руйу (Dragos Ruiu) занимался текущими делами в своей лаборатории, он вдруг заметил нечто в высшей степени необычное. Один из множества его компьютеров, на который он только что установил новый релиз операционной системы, вдруг сам по себе — без команды хозяина — обновил прошивку микрокода, обеспечивающего начальную загрузку системы. Что не менее странно, когда Руйу попытался загрузить эту машину не с внутреннего диска, а с внешнего привода CD-ROM, компьютер наотрез отказался это делать. Ну а затем чередой последовали и другие неприятные открытия, свидетельствующие, что его машина начала жить собственной жизнью. То есть она могла, к примеру, сама уничтожать файлы с данными. Или, скажем, возвращаться к таким установкам параметров в конфигурации системы, которые хозяин уже было пытался поменять.

Короче говоря, Руйу обнаружил у себя не просто новый, невиданный прежде комплекс взаимосвязанных программ, но и кое-что похуже. Постепенно вредоносы этого семейства — получившего имя badBIOS — расползлись чуть ли не по всем машинам его лаборатории. Причем засели они в компьютерах настолько прочно, что вычистить эту заразу оказалось практически невозможно даже для специалиста.

Три года безуспешной борьбы с инфекцией badBIOS привели Руйу к такому заключению, которое для многих выглядит совершенно неправдоподобным. Судя по всему, это вредоносное ПО является гибким и полиморфным до такой степени, что оно способно распространяться по компьютерам тотально, заражая на своем пути буквально все. Начиная с системы BIOS/UEFI и далее всюду, вне зависимости от сложности подсистем: сетевые, видео- и аудио-компоненты, PCI-платы расширения, жесткие диск, DVD/CD-приводы и тому подобное.

Исследования показали, что заражение машин инфекцией badBIOS происходит не только по сети, но и в тех случаях, когда компьютеры отгорожены от любых сетевых коммуникаций с помощью, как выражаются специалисты, airgap, или «воздушного зазора». То есть, попросту говоря, когда машина для связи с другими компьютерами не имеет других каналов, кроме внешних накопителей типа USB-флешки. При этом любые USB-модули памяти, вставленные в зараженную систему, не просто оказываются инфицированными переносчиками badBIOS , но и не несут в своей памяти никаких файлов с признаками заражения.

Всё это не случайно, умнейшие давно в курсе ситуации - еще в 1998 году была стандартизирована HPA (область на жестком диске, аппаратно закрытая от пользовательского доступа, но открытая для доступа специальными средствами - например, с уровня BIOS), затем в 2004 году в БИОСы начали вшивать законный бэкдор Computrace (якобы для поиска украденных компьютеров, однако на самом деле он позволяет получить доступ к любым файлам на компьютере, дистанционно их выкачать, стереть и так далее). Начиная с этого момента иллюзий не осталось. Но, как вы понимаете - все эти подробности публично не афишировались.

Например, на хакерской конференции Black Hat в Лас-Вегасе летом 2009 года Джоанна Рутковска намеревалась сделать доклад о BIOS-руткитах на материнских платах Intel. Однако сначала с сайта Black Hat по-тихому исчезла анонс-информация об этом докладе, а затем рассосалось и собственно выступление. Одновременно появился пресс-релиз Intel, в котором фирма выразила благодарность "за помощь в разработке" сотрудникам Invisible Things Lab, то есть фирме Джоанны Рутковской.

Умному - достаточно, ну а остальные продолжали думать о "приватности" и верить в свои компьютеры и антивирусы.

Но сейчас, похоже, дерьма накопилось столько, что оно начало переливаться через край. Вот и статейки пошли.

Рейтинг публикации:

5

Комментарии (2) | Распечатать

Добавить новость в: