LINUX.ORG.RU

Руткит в BIOS

 ,


0

0

Заражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики. Именно BIOS (Basic Input/Output System) отвечает за сохранение конфигурации системы в неизменном виде, а также за исполнение базовых функций ввода и вывода информации. Тем не менее, два аргентинских специалиста, Альфредо Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) из компании Core Security Technologies показали на конференции по информационной безопасности CanSecWest успешное введение в BIOS специальной программы для удаленного управления, или руткита (rootkit). В частности, им удалось на глазах зрителей заразить компьютеры с операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD на платформе VMware Player.

Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине, последствия такого заражения оказались просто ужасными – даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена. Подробнее об атаке на BIOS можно прочитать в блоге ThreatPost.

копипаста с http://teh-podderzhka.3dn.ru/news/200...

Данная работа основана на рутките от Джона Хисмана: http://searchsecurity.techtarget.com/...

>>> Подробности

★★☆☆☆

Проверено: Shaman007 ()

Мдя.. Очень показательно - Винда и опёнок. Смотрите-ка. То уязвимости в процессорах, то заражение биоса.. Что дальше? ) Надо начинать боятся.

GreyDoom ★★★★
()

Как страшно жить...(тм)

shaplov ★★★
()
Ответ на: комментарий от smvm

> даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена

И где же вирус в таком случае прячется? В блоке питания?

AleXP
()
Ответ на: комментарий от AleXP

Ну, руткит, не вирус. Или перепрошивка биоса под управлением этого руткита и осуществляется? А если программатором? :)

AleXP
()
Ответ на: комментарий от AleXP

>> даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена

>И где же вирус в таком случае прячется? В блоке питания?


http://bash.org.ru/quote/391301

Ъ>Приходит ко мне в отдел программист (якобы программист) с филиала нашего из какого-то поселка. И начинает рассказывать про свою нелегкую жизнь на работе:
ОН: У меня на компе вирусов было тьма..
Я: Ну, снес бы все и антивирь какой-нить поставил, чтоб в будущем их не было!
ОН: Да я сносил, а они (вирусы) в шлейфах сидят! А потом опять размножаются! .. Но я все равно выкрутился!
Я (сползая пацтол): .. как?
ОН: А я шлейфы прокипятил и все!
Я: o_0

Camel ★★★★★
()

>а также виртуальную машину OpenBSD на платформе VMware Player.

биос, виртуальная машина? эмм

stave ★★★★★
()

В лолксах уже всё обсудили

anonymoos ★★★★★
()

>Заражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики.

[]:|||||:[] кто это придумал? O_o потом пофиксили. теперь снова появилось. как-то.

gaux ★★
()

раньше были вири которые писали себя во флэш память. потом появился пункт в биосе:)

gaux ★★
()
Ответ на: комментарий от stave

>биос, виртуальная машина? эмм

А что не так? ВМ эмулирует компьютер, по-крайней мере Qemu имеет свой биос, который перепрошить можно. %)

feanor ★★★
()
Ответ на: комментарий от mrdeath

>а биос обнулить достав батарейку не?

Даешь прошивку матери программатором после каждого доставания батарейки.. мда

Klayman
()

А что тут такого нового? БИОС подвержен этому уже лет 10, когда его стали делать прошиваемым из ОС

aliens ★★
()
Ответ на: комментарий от GreyDoom

> Мдя.. Очень показательно - Винда и опёнок. Смотрите-ка. То уязвимости в процессорах, то заражение биоса.. Что дальше? ) Надо начинать боятся.

переходить на ОпенБИОС :)

fi ★★★
()

а как это, после перепрошивки остаётся заражён? т.е. руткит, типа, действительно контролирует и процесс прошивки?

хорошо, а разве не существует всяких модных технологий, где есть второй чип, неперезаписываемый, с которого всегда можно перезаписать первый?

vitalif ★★★★★
()
Ответ на: комментарий от aliens

НУ между прочим у асуса там какие-то ключи защиты в биосе (птому с асусами бывает акая жопа). После неудачной прошивки биос может прикинуться шлангом и отказаться на этой матери работать. Была у меня p5ld2 - неудачно прошил, и оно не врубается, взял у друг биос (у негокомп не юзался). ну и по приколу вставил свой биос ему (такая же мать) и оно завелось. Вот так мы биосами махнулись :))))) А ваще, вспомним чернобыль - очень веселый вирус, кстати...

rave
()

По рукам надавать этим экспериментаторам...

My_quest ★★★★★
()

BIOS'ы, конечно, тоже не нужны, да ☺

Deleted
()
Ответ на: комментарий от rave

>А ваще, вспомним чернобыль - очень веселый вирус, кстати...

А по подробнее? Действительно интересно. Там вроде-ж как в ручную систему защиты отключили...

iv_ru
()
Ответ на: комментарий от iv_ru

А поподробней - это был первый вирус, который вызвал эпидемию и который стирал биос (ну ноликами записывал). Кроме того, сам вирус был прикручен (на сколько я помню) к хорошему червю, и он во все бинарники подкапывался. Вот так то. То есть касторский проверял все, все лечил, а сам оставался зараженным и снова-здорово. http://www.viruslist.com/ru/viruses/encyclopedia?virusid=19775

rave
()

ме вспомнил вин.чих и прослезился, 26 апреля до сих пор вздрагиваю, включая комп

sid350 ★★★★★
()
Ответ на: комментарий от sid350

мне тогда было ваще 8 лет :) И вот 26ого я врубаю комп, что поиграть(ну по моему это была 98ая венда и я играл в "Хвастунчика и Бобра" xD) а комп не врубается :). Потом приехал папик, внял биос повез в универ, к мужичку в программатором. Такие дела. ;)

rave
()
Ответ на: комментарий от AleXP

> И где же вирус в таком случае прячется? В блоке питания?

Наверное, имеется ввиду перепрошивка не программатором, а на том же компьютере.

anonymous_incognito ★★★★★
()

омфг чернобыли повсюду!!! и счётчик гейгера шкалит! как быть как быть?!!! пофакту страшного ничего то и нет...

ggrn ★★★★★
()

Имея полный физический доступ к машине это уже и не требуется ломать что-то и заражать. А прошить биос из ОС под непривелигированным пользователем все равно нельзя. При доступе в настройки биоса тоже можно обломаться паролем. Что собственно ломают не понятно. Сам факт известен с ЧИХа. До Аргентины дошли компьютеры только чтоли?

Metallic
()
Ответ на: комментарий от Metallic

> Имея полный физический доступ к машине это уже и не требуется ломать что-то и заражать

На счет физдоступа меня тож смущало. Да-да- кувалдометр в руки и у вас ПОЛНЫЙ ДОСТУП :) PS в аргентине научились перепрошивать биос???

rave
()
Ответ на: комментарий от rave

>А поподробней - это был первый вирус

:-) а я то про тот самый настоящий Чернобыль-город :-)

iv_ru
()

Что характерно, ничего кроме идиотской фразы "после перепрошивки BIOS ... машина ... заражена" и столь же идиотской "We can put the code wherever we want" (ага, в блок питания ;-) в "Подробностях" информативного нет.

Т.е. очень похоже на очередное открытие "Британских Учёных". Как страшно жить!

constRS
()
Ответ на: комментарий от anonymous_incognito

>Наверное, имеется ввиду перепрошивка не программатором, а на том же компьютере.

Для любого BIOS, для любой мат. платы? Несколько сомнительно.

constRS
()
Ответ на: комментарий от constRS

>какая новость

это не повод для троллинга ;)

Dimanc ★★
()
Ответ на: комментарий от gaux

>раньше были вири которые писали себя во флэш память.

Емнип заражали они винду а по "особым дням" тупо забивали биос ноликами

DNA_Seq ★★☆☆☆
()

> Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине

Ждем новости: "Обнаружен новый руткит, полностью выводящий компьютер из строя. Хотя для этого надо иметь кувалду, пару рук и физический доступ к компьютеру оследствия такого заражения могут оказаться просто ужасными"

maverik ★★
()
Ответ на: комментарий от constRS

>Для любого BIOS, для любой мат. платы? Несколько сомнительно.

BIOS - это не сплошной линейный код. Он идёт отдельными блоками. И свободные места для вставки своего кода есть. так что, при желании, "внедриться" несложно, ИМХО на 80-90% матринок с универсальным рецептом это можно проделать.

Led ★★★☆☆
()

да... Весело...

>>> даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена.

Я так понимаю, что машину возможно повторно заразить? Это типа для работы вируса сначала нужно нашаманить в железе и каким-то чудом запустить программму с правами на перезапись биоса? гы)

Punk
()

Какого ужасного монстра они сотворили!!! мну в панике задумался о съемных бивисах.

splinter ★★★★★
()
Ответ на: комментарий от rave

>> Имея полный физический доступ к машине это уже и не требуется ломать что-то и заражать

>На счет физдоступа меня тож смущало. Да-да- кувалдометр в руки и у вас ПОЛНЫЙ ДОСТУП :) PS в аргентине научились перепрошивать биос???

ну не скажи! принес ты домой комп, а он уже заражен по самое не могу без права обнаружения. и все твои защиты, iptables-ы не стоят ничего, все они живут как в матрице - под контролем вируса. Это его главное отличие от чернополя! в общем руткит дело поганое. можно даже просто загрузиться с флешки и опа на - комп готов к заданиям.

Контроль дело тонкое, его кувалдометром не заменишь.

fi ★★★
()

и что, прям таки все БИОСы заражают? Или нашли какую-нить одну материнку, потыкались и побежали на конференцию?

Zitzy
()

Грядет великий компьютерокапец.

saturn721
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.