Birus-ы. Часть первая.

Эпиграф.
Апокалипсический сценарий. Недалёкое будущее. Birus-эпидемия.

Вы вбиваете в поисковике "тур на двоих Анталия", попадаете на какой-то сайт, кликаете страничку с ценами, небольшая заминка и появляется прайс. Через минуту, подбирая нужный вариант отдыха, вы ещё не знаете, что в одной из глобальных бирус-ботнетов добавился ещё один компьютер. Что включив утром ноутбук больше никогда не сможете избавиться от этой гадости. И что в случае даже минимальных требований к безопасности, единственным выходом является лишь вариант полностью отключить его от Интернета, оставив в качестве печатной машинки, несетевых игр и пасьянсов.
Через совсем непродолжительное время незаражёнными остаётся уже меньшая часть всех компьютеров, в основном это древние рабочие лошадки типа Pentium 3 и старше. Смысл понятия "работа в Интернет" да и просто "Интернет" - катастрофически меняется. Занавес.

Что такое birus?

Birus – сокращение от BIOS-virus (согласно голосования это слово было выбрано для термина "Вирус в BIOS-е" или "BIOS-ный вирус") - вирус, который располагается в микросхеме Flash/EEPROM. Т.е. принципиальным отличием его есть тот факт, что он находится в постоянной памяти компьютера и удалить его без перешивки (обновления прошивки BIOS) нельзя. В дополнение ещё и то, что и обнаружить его тоже крайне сложно вплоть до вообще невозможно. В остальном (зловредные действия) бирусы ни чем не отличаются от различных вирусных программ типа троянов сотоварищи.

Как работает birus?

Получив управление, бирус внедряется в BIOS (например, считав текущую прошивку и добавив в неё свой код) и перезагружает компьютер (либо пассивно ждёт, пока сам пользователь её осуществит). После очередной загрузки зловредный код становится совершенно невидим для любой работающей в операционной системе программы. Кроме того его код получает возможность одинаково работать в любой операционной системе – Windows, Linux, MAC OS и т.д.

Что может бирус?

  • Он может заразить (получить управление и/или выполнить другие зловредные действия) любое приложение для любой операционной системы.
  • Он может быть совершенно невидим - запретив возможность своего обнаружения.
  • Он может быть совершенно неудаляем – запретив возможность обновления BIOS.
  • Он может осуществлять зловредные действия в любое время и абсолютно прозрачно (т.е. его процесс активности нельзя заметить и остановить) в процессе работы компьютера.
  • Он имеет доступ ко всем устройствам компьютера, обладая всеми возможностями ОС и даже больше.

Можно ли защититься от заражения бирусом?

Можно. Но сначала перечислим, что ему не помешает:
  1. Установки любых паролей в BIOS никак не защитит от бируса.
  2. Прошивка нового BIOS «на самом компьютере» - может не помочь избавиться от бируса. Это верно для перешивки как под DOS, так и под Windows (или другой OS).
Реально защититься от бируса можно лишь на старых компьютерах, у которых есть перемычка для защиты BIOS от перешивки. Обычно это компьютеры Pentium II и старше.

Где доказательства, что бирусы вообще есть?

Доказательства известны и работают ещё с 2002-года, они доступны для скачивания на главной странице www.ROM.by. Называется этот бирус – BIOS Patcher. Характерный классический полуавтоматический представитель - это когда процесс прошивки происходит самим пользователем. Плюс, конечно, вместо зловредных он обладает исключительно полезными свойствами. Однако это не отменяет его природу. И тот факт, что вот уже столько лет он благополучно работает даже на самых ультрасовременных системах, которых близко не было при его разработке – ещё один показательный пример потенциала бирусов.

Лирическое отступление 1.

В 2004-м году, на излёте разработки BIOS Patcher-а мною были успешно закончены тестовые испытания одной из его возможностей – прошивки BIOS его же (BIOS-а) средствами. Сложно сходу осознать результаты этого опыта, однако после него я прекратил все разработки в этом отношении, лишь саркастически отрапортовав на форуме www.ROM.by банальным "Что бы ни делал человек – всё равно получается оружие."

Лирическое отступление 2.

В 2006-м году началась активная фаза других моих экспериментов - с SMM. И через год была успешно протестирована другая возможность патчера – универсально перехватывать управление под любой ОС (Windows, Linux, MAC и т.д.) Ситуация ещё раз доказала всё ту же истину - «Что бы ни делал человек…»
Молчание – золото.
Не сложно догадаться, что могут дать такие технологии, потому тогда было решено просто замять этот процесс и не создавать никакой особой огласки, даже намёками, о том, как такое может работать. Понятно, раз мне удалось до этого дойти, значит и другие смогут это повторить и усовершенствовать впоследствии. И действительно, уже через год стали всплывать заявления в стиле "Обнаружен супер-пупер руткит, использующий уязвимость таких-то процессоров сотоварищи". Ещё через год их стало много больше. Хотя в реальности абсолютное большинство новостей из данной области были (и остаются) чисто пиарными, лишь умно рассказывающими о том, в чём никто абсолютно не разбирается. И не раз хотелось вставить свои пять копеек... Не важно, в общем, недавнее сканирование по этому вопросу Интернета показало, что данную тему уже точно не замнут, потому нужно выходить из текущего пассивного состояния "созерцания происходящего" в активное - чтобы максимально приготовиться к надвигающейся эре бирусов. Нужно писать BIOS Patcher 8.0 – первый антибирус.

Аватар пользователя apple_rom

Цитата:
"типа Pentium 3 и старше" - вероятно, младше?

Речь о возрасте, а не производительности.:) Потому - старше, древнее, появившихся до.

Аватар пользователя S.A.N.

Я так понял, бут-блок не заражается? Тогда можно вызвать его и при помощи него перепрошиться.

Аватар пользователя savely

Цитата:
Я так понял, бут-блок не заражается?

Кто сказал? :)

А кому счас легко...

Аватар пользователя S.A.N.

Ну так никто ничего и не сказал. Пускай Роман прояснит этот момент.

Аватар пользователя savely

Ну, я отвечу в меру понимания, Роман поправит, если что.
Сначала читаем
rom.by/article/Birus-y_Chast_tretja

Никто не мешает заразить с первой команды. Единственное - такое решение есть определенная куча геморроя, платформа не инициализирована. Но явно есть решения, возможно, "грязноватые", но есть.


Вспоминаем - на ASUS после патча надо шить с boot-block :)

А кому счас легко...

Аватар пользователя rgt

По-моему, пора поворачивать дискуссию в "более другое" русло.
Спорить, возможно все это или нет, бессмысленно ,за очевидностью того, что как всегда аргументировано, показал Роман.
Думаю, имеет смысл обсуждать, какие меры стоило бы предпринять, чтобы максимально затруднить заражение системы. Пока, для простоты, рассматриваем вариант, при котором с завода выходит система в которой БИОС не заражен.


Уже было предложено вернуться к варианту с физической (перемычка, отпаянный вывод микросхемы, etc) блокировкой перезаписи содержимого флешки.
Как вариант, можно попробовать что-то вроде того, что реализовали в АСУСе, после появления WinChih-а. Т.е. процедура перешивки, которая ранее была у них стандартной, была изменена именно для того, чтобы не давать "гробить" БИОС стандартными методами.
Еще неплохо было бы от КС переходить к чему-то более серьезному. Например, каждый релиз и бета БИОСа должны быть подписаны производителем. Открытый ключи всех производителей общедоступны и сертефицированы тем же Твайтом, Верисайном и пр. Таким образом, если кто-то соглашается шить БИОС без проверки (нормальный флешер, в купе с нормальным пока еще БИОСом, естественно, в два голоса орут, что данный БИОС не имеет валидной подписи), то ССЗБ, каковых, правда, будет вполне достаточно, но это хоть как-то тормознет распространение прогнозируемого Романом поветрия.
Возможно, есть еще какие-то решения. Одно из них, в свете помянутого Романом опережающего роста объема микросхем над потребностями для хранения БИОСа тоже лежит на поверхности. При перешивке БИОСа старый не затирается, а остается на месте. Новый пишется в свободную область, при этом бут-блок позволяет выбрать версию, которая будет использована при включении. Для того, чтобы это заработало, необходимо реализовать защищенный от модификации бут-блок (не думаю, что это вызовет серьезные проблемы, особенно, если прогнозируемые Романом бедствия примут массовый масштаб). Таким образом имеем пусть старый и глючный, но гарантированно "родной" БИОС, с которым система вышла с завода и любой вариант, с всемы мыслимыми исправлениями, улучшениями и потенциальным риском огрести сюрприз, масштабы которого ограничены только талантами и фантазиями злоумышленника. Можно даже попробовать ограничиться одним неизменяемым бут-блоком, снабдив его процедурой восстановления БИОСа с проверкой подписи обновляемого и дампом текущего для дальнейшего анализа в "компетентных органах".
Думаю, есть еще ряд реализуемых вариантов, выдвижению и обсуждению которых и следует, по моему мнению, посвятить продолжение этой темы.

За несоответствие действительности Вашим о ней представлениям администрация форума ответственности не несет.

Назад, к ипромам стираемым уф! Врядли кто-то будет по своей воле переписывать биос больше сотни раз. Да и при нынешних технологиях наверняка можно такую сделать и на тыщи крат перезаписи?

Зачем УФ? OTP области будет вполне достаточно для защиты boot-блока. Да и вообще, есть множество способов защиты, было бы желание производителей железа...

Аватар пользователя Root

То что говорит rgt - это по сути организация системы доверия. Что-то подобное применено в современных технологиях типа TPM. Честно говоря, реализация хромает. И, боюсь, никогда нормальной не будет. Поэтому проблема перекладывается на плечи юзера.

Аццкий ромбовод {:€
Я пока не волшебник - я только учусь! :-P

Аватар пользователя apple_rom

Цитата:
Думаю, имеет смысл обсуждать, какие меры стоило бы предпринять, чтобы максимально затруднить заражение системы.

Это и есть главная цель начатого цикла о бирусах. Решения есть, просто хотел по-порядку - общий обзор, детали реализаций, способы защиты, детали реализаций защиты, возможный проект по реализации защиты.

Аватар пользователя apple_rom

Т.е. следующим будет цикл того, как это реализуется на практике. Не исходники, конечно, лишь часть, общий смысл. Если найдутся желающие для наглядной демонстрации - могу подправить биосы, чтобы заснять видеопримеры (в связи со сменой рода деятельности, железо было распродано - не на чем делать:) ). Желательно (проще вспоминать - два года прошло, всё забыл:) ) на Award BIOS. C возможностью, конечно, отшить в разе чего.

Коллеги, простите за наглость. Предлагаю к прочтению несколько статей на тему близкую к Birus-ам.
...


...
...
...
...
Возможно, что-то из этого уже попадалось и было прочитано, а возможно кому-то (таким как мне)позволит лучше понять или сильней «испугаться» shock Birus-ов.

Была еще интересная статья на ...
«Безопасность в сети - SMM и SMRAM или 128 Кб потусторонней памяти: исследовательская работа №6», но сайт к сожалению не доступен.
Cтановится понятно, что «общий» разум озадачился над проблемой Birus-ов и рано или поздно это во что-то выльется. Вот только во что …

Аватар пользователя icbook

> SMM и SMRAM или 128 Кб потусторонней памяти: исследовательская работа №6
Do chego ze znakomyj styl! Kazetsa, ya znau kto avtor! : - )

Цитата:
Уже было предложено вернуться к варианту с физической (перемычка, отпаянный вывод микросхемы, etc) блокировкой перезаписи содержимого флешки.
Но тогда будут хоть и маленькие, но все же проблемки с DMI и ESCD, они ведь тоже во flash пишутся...

Alles Luge...

Не скажу о всех флешках, но обычно WP# защищает только запись в статусный регистр, да и то это еще может настраиваться програмным образом у некоторых флешек, если я правильно помню. А уже в статусном регистре обычно обитали биты защиты, комбинация которых указывала на защищаемую область (начиная от верхних адресов).

Аватар пользователя DOS

Цитата:
В непожатом, соответственно - 2-5Мбайт для кода. В 32Мбитных и ширше... помолчим.

Дык с такими объемами туда можно DOS запихать! А если очень постораться, то и какойнить Win95 PE!!!

Лежит в постеле третьей ногой,
Виртуальной ногой,
Сексуальной ногой,
Да уж... (с) Ю. Шевчук, ДДТ

Аватар пользователя barmaley

а винты , видеокарты , сиди привода - тоже имеют шанс быть зараженными !!!:)))
еще лучше чем мать - вообще не обнаружить!!:)))
а также сетевое оборудование и т.д.

The bomb has been planted

Все упорно игнорируют возможность переклада 16 - битовой версии БИОС на 32 (64-шную). Забыли главное - БИОС позволяет ВСЁ!!! А смена режима влечет за собой.... Да сдавали ли ли вы экзамены? Сомневаюсь.

Создатель молодец. Только мы такие фокусы ещё в далеком 2К2 на Сименсах С35 проделывали. Ведь по существу мобильник это тоже компьютер. А по поводу материнских плат. Товарищи да это и ежу понятно что все эти вещи так организуются после распространения интернета чтобы добрый дядя из ЦРУ знал всё что вы подумаете и мог легко отключить или иным способом взять под контроль в случае "производственной необходимости" любую систему. Здрасти проснулись как говориться. Просто не кому в голову не приходило заниматься такими чисто умозрительными вещами как apple_rom потому и не обращали на это внимание.

Забавные истории, рассказанные гостем с ником Maba, перенесены сюда для более удобного надругательства:).

По поводу защиты BIOS от записи постороннего кода- в некоторых BIOS есть значение BIOS Flash Protection + установить пароль на изменение настроек BIOS. Поможет?
А если при загрузке BIOS выдает сообщение BIOS cheksum error, может ли это косвенно свидетельствовать о наличии постороннего кода?

ICQman2GO писал(-а):
есть значение BIOS Flash Protection + установить пароль на изменение настроек BIOS. Поможет?
Установка пароля однозначно не поможет:). А Flash Protection - в зависимости от того, какие области флешки будут защищаться.

ICQman2GO писал(-а):
если при загрузке BIOS выдает сообщение BIOS cheksum error, может ли это косвенно свидетельствовать о наличии постороннего кода?
Вам погадать:)?
Если посторонний код добавлен без коррекции контрольных сумм, то такое возможно. Но слишком сомнительно то, что такая операция (внедрение вредоносного кода) производилась без малейшего представления об свойствах объекта и "тренировок на кошках".

Мой компьтер при каждой перезагрузке требует в BIOS по новой настраивать дату и время. Что это может быть?

Это ОНО.. lol А если серьезно - поменяйте батарейку на мат.плате.

Соответственно операционная система не может узнать, что творится в биосе, но можно тем-же патчем реализовать контроль над биосом, если я ясно выразился.

Цитата:
Все упорно игнорируют возможность переклада 16 - битовой версии БИОС на 32 (64-шную). Забыли главное - БИОС позволяет ВСЁ!!! А смена режима влечет за собой.... Да сдавали ли ли вы экзамены? Сомневаюсь.

Влечёт как минимум технологические и софтовые глобальные изменения на производственной линии что безусловно безумно дорого и в общем то не очень нужно пока дело можно решить всего лиш добавив перемычку в нашем вопросе))

Интересная тема. Неплохо было бы создать мануал (для параноиков) по модификации флеш с разным интерфейсом на момент запрета прошивки!
в т.ч. паяльником

Maxxxx26 писал(-а):
Влечёт как минимум технологические и софтовые глобальные изменения на производственной линии что безусловно безумно дорого
Что-то сильно напоминает фантастику, особенно в плане оценки стоимости.

Для параноиков было бы неплохо подумать о том, что в процессе штатной работы во флешку записываются некоторые данные (это уже указывалось в этой теме).

Очень здорово! Наконец-то я отбросил некую неуверенность в себе, так как получил подтверждение моему давнему мнению:
можно заразить BIOS и, более того - существуют подобны средства!
А теперь по поводу того, почему такое в принципе возможно: опытные люди признайтесь себе - разве у Вас не возникало (многократно и в разные времена) ощущения, что вся эта "техника" и железо и ОС (Windows, да и MSDOS) и все, что посередине пострено для получения контроля?!

Аватар пользователя ADEPT707

WhAlex, возникало, давно...
но здесь разговор идет уже более конкретный, чем просто "ощущения"
да, микрософт рулит миром, да и мак ось тоже не без греха. того мало-они уже и для линукса предлагают свои "услуги" в виде разных программных пакетов (офис, серевер итд), так понимаю-для внедрения своей хромосомы :)

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Разрешённые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img>
  • You can use BBCode tags in the text. URLs will automatically be converted to links.

Подробнее о форматировании текста

Антибот - введите цифру.
Ленты новостей