Эпиграф.
Апокалипсический сценарий. Недалёкое будущее. Birus-эпидемия.
Вы вбиваете в поисковике "тур на двоих Анталия", попадаете на какой-то сайт, кликаете страничку с ценами, небольшая заминка и появляется прайс. Через минуту, подбирая нужный вариант отдыха, вы ещё не знаете, что в одной из глобальных бирус-ботнетов добавился ещё один компьютер. Что включив утром ноутбук больше никогда не сможете избавиться от этой гадости. И что в случае даже минимальных требований к безопасности, единственным выходом является лишь вариант полностью отключить его от Интернета, оставив в качестве печатной машинки, несетевых игр и пасьянсов.
Через совсем непродолжительное время незаражёнными остаётся уже меньшая часть всех компьютеров, в основном это древние рабочие лошадки типа Pentium 3 и старше. Смысл понятия "работа в Интернет" да и просто "Интернет" - катастрофически меняется. Занавес.
Что такое birus?
Birus – сокращение от
BIOS-v
irus (согласно
голосования это слово было выбрано для термина "Вирус в BIOS-е" или "BIOS-ный вирус") - вирус, который располагается в микросхеме
Flash/EEPROM. Т.е. принципиальным отличием его есть тот факт, что он находится в постоянной памяти компьютера и удалить его без перешивки (обновления прошивки BIOS) нельзя. В дополнение ещё и то, что и обнаружить его тоже крайне сложно вплоть до вообще невозможно. В остальном (зловредные действия) бирусы ни чем не отличаются от различных вирусных программ типа троянов сотоварищи.
Как работает birus?
Получив управление, бирус внедряется в BIOS (например, считав текущую прошивку и добавив в неё свой код) и перезагружает компьютер (либо пассивно ждёт, пока сам пользователь её осуществит). После очередной загрузки зловредный код становится совершенно невидим для любой работающей в операционной системе программы. Кроме того его код получает возможность одинаково работать в любой операционной системе – Windows, Linux, MAC OS и т.д.
Что может бирус?
- Он может заразить (получить управление и/или выполнить другие зловредные действия) любое приложение для любой операционной системы.
- Он может быть совершенно невидим - запретив возможность своего обнаружения.
- Он может быть совершенно неудаляем – запретив возможность обновления BIOS.
- Он может осуществлять зловредные действия в любое время и абсолютно прозрачно (т.е. его процесс активности нельзя заметить и остановить) в процессе работы компьютера.
- Он имеет доступ ко всем устройствам компьютера, обладая всеми возможностями ОС и даже больше.
Можно ли защититься от заражения бирусом?
Можно. Но сначала перечислим, что ему не помешает:
- Установки любых паролей в BIOS никак не защитит от бируса.
- Прошивка нового BIOS «на самом компьютере» - может не помочь избавиться от бируса. Это верно для перешивки как под DOS, так и под Windows (или другой OS).
Реально защититься от бируса можно лишь на старых компьютерах, у которых есть перемычка для защиты BIOS от перешивки. Обычно это компьютеры Pentium II и старше.
Где доказательства, что бирусы вообще есть?
Доказательства известны и работают ещё с 2002-года, они доступны для скачивания на главной странице
www.ROM.by. Называется этот бирус – BIOS Patcher. Характерный классический полуавтоматический представитель - это когда процесс прошивки происходит самим пользователем. Плюс, конечно, вместо зловредных он обладает исключительно полезными свойствами. Однако это не отменяет его природу. И тот факт, что вот уже столько лет он благополучно работает даже на самых ультрасовременных системах, которых близко не было при его разработке – ещё один показательный пример потенциала бирусов.
Лирическое отступление 1.
В 2004-м году, на излёте разработки
BIOS Patcher-а мною были успешно закончены тестовые испытания одной из его возможностей – прошивки BIOS его же (BIOS-а) средствами. Сложно сходу осознать результаты этого опыта, однако после него я прекратил все разработки в этом отношении, лишь саркастически отрапортовав на форуме
www.ROM.by банальным "Что бы ни делал человек – всё равно получается оружие."
Лирическое отступление 2.
В 2006-м году началась активная фаза других моих экспериментов - с SMM. И через год была успешно протестирована другая возможность патчера – универсально перехватывать управление под любой ОС (Windows, Linux, MAC и т.д.) Ситуация ещё раз доказала всё ту же истину - «Что бы ни делал человек…»
Молчание – золото.
Не сложно догадаться, что могут дать такие технологии, потому тогда было решено просто замять этот процесс и не создавать никакой особой огласки, даже намёками, о том, как такое может работать. Понятно, раз мне удалось до этого дойти, значит и другие смогут это повторить и усовершенствовать впоследствии. И действительно, уже через год стали всплывать заявления в стиле "Обнаружен супер-пупер руткит, использующий уязвимость таких-то процессоров сотоварищи". Ещё через год их стало много больше. Хотя в реальности абсолютное большинство новостей из данной области были (и остаются) чисто пиарными, лишь умно рассказывающими о том, в чём никто абсолютно не разбирается. И не раз хотелось вставить свои пять копеек... Не важно, в общем, недавнее сканирование по этому вопросу Интернета показало, что данную тему уже точно не замнут, потому нужно выходить из текущего пассивного состояния "созерцания происходящего" в активное - чтобы максимально приготовиться к надвигающейся эре бирусов. Нужно писать
BIOS Patcher 8.0 – первый
антибирус.
Всё хуже и хуже....
Товарищи, бирус - не миф. Расскажу свою историю.
К пользователю на компьютер с двумя операционками (WinXP Home и WinXP Professional) на профессиональную после установки МГТС-ного интернета каким-то странным мастером пролез WinLOCK. Я - ясное дело! - запустил из-под домашней курейта, отловил семерых "приятелей" троянского, рекламного и шпионского назначения. Гружсь под профессиональной - систему загрузил, а таскменеджера, експлорера и вообще ничего - рабочего стола, менеджера запуска (тот что по WIN+R запускается) - нету! изо всех попыток мне удалось запустить только менеджера специальных возможностей, который естественно нафиг не нужен, так как из-под него ничего кроме экранной лупы и клавиатуры не запустить. Чертыхаюсь, перезагружаюсь и из-под DOS пытаюсь запустить инсталляцию винды в режиме восстановления. Ноль эмоций - не доходит даже до синего экрана с надписью внизу "Программа проверяет текущую конфигурацию оборудования". Чертыхаюсь второй раз, перезагружаюсь и тыкаю "установка с файла ответов" - то же самое. Чешу затылок, пытаюсь подгрузить WinPortableEdition - не грузит!! Вынимаю диск из привода, минуты три тупо ищу царапины - их нет. вообще. Перезагружаюсь в режиме самопроверки CD-диска - он рапортует о полной исправности поверхности и данных. Ищу ругательства, повторно перезагружаюсь - уже в домашней пользовательской операционке и запускаю из-под неё инсталлятор. Тот скопировал файлы на хард, начал штатно перезагрузать - но после БИОСа комп отключил экран и заверещал динамиком будто я какую кнопку зажал и не отпускал. Взвыв как кулер процессора, отрубаю. питание и повторно гружу систему - и только тут смог выбрать в меню Boot.ini третью строчку с установкой. Восстановив систему, вторично проверил мой CD-диск - он чист, без бэдов и царапин. Ничем другим как бирусом я объяснить не могу - только ему под силу прерывать загрузку ДОС-овского установщика WINDOWS.
И - кстати, вопрос, когда и где появится первая версия АнтиБИРУСа? нутром чую: скоро он ох как понадобится...
news.drweb.com/show/?i=1879&lng=ru&c=14
Можно начинать бояться в полный рост. Что думают профи на счёт вышеприведенного ?
Так выше уже все написано...
А кому счас легко...
Вся эта хрень стала стала возможной благодаря лени и попустительству разработчиков материнских плат. Что им мешало сделать нестираемый загрузчик, опцию "запретить запись в BIOS в Cmos Setup" и т.п. Зло берет на все эти гадские выкрутасы.
R11 писал(-а):
опцию "запретить запись в BIOS" в Cmos Setup.
Подчеркнутое - бред.
Почему - бред. Смотря как запрещать. Можно использовать аппаратный триггер, взводится программно, сбрасывается аппаратно сигналом Reset. Аналогично и сам Cmos защитить от записи.
Т.е. предложение полностью бессмысленно.
Вы меня опять не поняли. В моем предложении по сути речь идет о возрождении перемычки запрета записи в микросхему BIOS, но в виртуальном виде. Раз пошла мода убирать физические перемычки с материнской платы (хотя обновление BIOS - такое редкое событие и чем она там мешала), то производители должны были позаботится о создании виртуальной перемычки (также как частота, питание) с помощью настроек в CMOS. Использование триггера - одна из возможных реализаций такой перемычки. Все настолько просто, что зло берет - почему не делают!!!
Программная работа с триггером уязвима.
А интерактивный режим с юзверем на таком уровне уязвим тем более..
-=Кто сказал что бесполезно биться головой об стену...=- (НП)
Пх’нглуи мглв’нафх Ктулху Р’льех вгах’нагл фхтагн
Хочешь сделать хорошо - сделай это сам
Конечно, надежнее старой доброй перемычки ничего нет. Но использование аппаратного триггера все-таки значительно надежнее применяемых сейчас сложных алгоритмов записи, которые рано или поздно все равно вскрываются. А работать с триггером и не надо - у него только одна команда "Поставить защиту от записи", снять поставленную защиту программно невозможно, она снимается сама сигналом Reset, т.е. холодной перезагрузкой. Родной не зараженный BIOS по опции "запретить запись в BIOS" каждый раз её снова ставит. У такого предложения тоже есть недостатки - если уж вирус по глупости пользователя в BIOS проник, то выковырять его оттуда можно будет только программатором. Тем не менее, это лучше чем сейчас - практически ничего. Легко придумать и кучу других действенных способов, но этого производители не делают. Вот чего и злит!
думаю гнилобайт чоньть придумает вскоре )) Они ж любили дуал совать... Вот и сообразят шо-то типа "песочницы", которая "смывается" при ребуте...
...ложки нет
1. Прошел POST.
2. Аппаратный триггер взведен в положение "никого не пущать" для CMOS и flash.
3. Запуск произвольной ОС произведен успешно.
4. Пользователю захотелось перепрошить BIOS новой версией от производителя с целью получить поддержку свежевыпущенных процессоров.
И тут пользователю сообщается, что он должен произвести перезапуск, заглянуть в BIOS Setup и найти флешер (или вызвать при прохождении POST), а затем разбираться с тем, что флешер не поддерживает ту или иную файловую систему на HDD, поэтому файл прошивки нужно скопировать на какой-нибудь другой носитель и только потом подсунуть флешеру. Можно спрогнозировать, куда отправят пользователи производителя подобной матплаты.
P.S. Придумывать можно много разных конструкций, но желательно не забывать об инертности как производителей, так и пользователей.
На этот раз вы абсолютно правильно меня поняли и расписали последовательность действий.
Насчет неприятия пользователей, я не считаю, что усложнение такого редкого действия как обновление BIOS, может многих оттолкнуть.
Обычные пользователи и слова BIOS не знают, а обновлять его самостоятельно им тем более не требуется. Продвинутый скорее предпочтет
материнскую плату с защитой от бируса, а выполнить хорошо расписанную в инструкции последовательность действий раз в полгода (а то и реже) ему будет даже интересно. Касательно носителей, то сейчас USB-флешки есть у всех (прямо как раньше дискета), её и можно использовать. Файловая система - чем плоха FAT32, пользователю Windows ничего не надо придумывать, линуксоид тем более справится.
А для особых эстетов, которым нужно автоматическое обновление BIOS, также есть известное решение - использовать подписанный образ BIOS.
Например, центральный процессор прямого доступа к управлению процессом записи в BIOS лишен. Записью занимается специальный контроллер, который получает от ЦП подписанный образ, проверяет подпись с помощью жестко вшитого в него ключа, сам принимает и выполняет решение - обновлять/не обновлять.
Инертность производителей - очень плохо, но я все же надеюсь, что такой опасный класс вирусов как бирусы, умрет не успев окрепнуть. Старые материнки уже никак не защитить, а новые должны иметь защиту.
P.S. Немного не по теме. Но все же. Переходят сотовые операторы на SIM-карты с алгоритмом comp128v2, не подверженные клонированию. Хоть опасности особой и нет.
Отправить комментарий