По-моему, пора поворачивать дискуссию в более другое

По-моему, пора поворачивать дискуссию в "более другое" русло.
Спорить, возможно все это или нет, бессмысленно ,за очевидностью того, что как всегда аргументировано, показал Роман.
Думаю, имеет смысл обсуждать, какие меры стоило бы предпринять, чтобы максимально затруднить заражение системы. Пока, для простоты, рассматриваем вариант, при котором с завода выходит система в которой БИОС не заражен.


Уже было предложено вернуться к варианту с физической (перемычка, отпаянный вывод микросхемы, etc) блокировкой перезаписи содержимого флешки.
Как вариант, можно попробовать что-то вроде того, что реализовали в АСУСе, после появления WinChih-а. Т.е. процедура перешивки, которая ранее была у них стандартной, была изменена именно для того, чтобы не давать "гробить" БИОС стандартными методами.
Еще неплохо было бы от КС переходить к чему-то более серьезному. Например, каждый релиз и бета БИОСа должны быть подписаны производителем. Открытый ключи всех производителей общедоступны и сертефицированы тем же Твайтом, Верисайном и пр. Таким образом, если кто-то соглашается шить БИОС без проверки (нормальный флешер, в купе с нормальным пока еще БИОСом, естественно, в два голоса орут, что данный БИОС не имеет валидной подписи), то ССЗБ, каковых, правда, будет вполне достаточно, но это хоть как-то тормознет распространение прогнозируемого Романом поветрия.
Возможно, есть еще какие-то решения. Одно из них, в свете помянутого Романом опережающего роста объема микросхем над потребностями для хранения БИОСа тоже лежит на поверхности. При перешивке БИОСа старый не затирается, а остается на месте. Новый пишется в свободную область, при этом бут-блок позволяет выбрать версию, которая будет использована при включении. Для того, чтобы это заработало, необходимо реализовать защищенный от модификации бут-блок (не думаю, что это вызовет серьезные проблемы, особенно, если прогнозируемые Романом бедствия примут массовый масштаб). Таким образом имеем пусть старый и глючный, но гарантированно "родной" БИОС, с которым система вышла с завода и любой вариант, с всемы мыслимыми исправлениями, улучшениями и потенциальным риском огрести сюрприз, масштабы которого ограничены только талантами и фантазиями злоумышленника. Можно даже попробовать ограничиться одним неизменяемым бут-блоком, снабдив его процедурой восстановления БИОСа с проверкой подписи обновляемого и дампом текущего для дальнейшего анализа в "компетентных органах".
Думаю, есть еще ряд реализуемых вариантов, выдвижению и обсуждению которых и следует, по моему мнению, посвятить продолжение этой темы.

Birus-ы. Часть первая.
  • Ну так никто ничего и не сказал. Пускай
  • Кто сказал? :-)
  • Я так понял, бут-блок не заражается? Тогда можно
  • Речь о возрасте, а не производительности. :)
  • "типа Pentium 3 и старше" - вероятно, младше?
  • Поступайте в профильный ВУЗ и учитесь, учитесь
  • Относительно отличий по интерфейсу не скажу.
  • Закончил 10-й. Как писали в 2006 на
  • Это отдельная (тоже печальная) история. Если вкратце/утрированно,
  • apple_rom Мегабайт и больше свободного места это уже интересно. А
  • В случае перехода к 4Мбитным - да (и
  • apple_rom А как так получилось, что производители материнских плат
  • как в свете выше (печального) изложенного смотрятся навороты
  • Во времена, "когда BIOS-ы ещё были маленькими"
  • Нельзя, CIH только разрушал будущее место
  • Не знаю можно ли отнести к бирусам вирус
  • apple_rom Интресно, а на какой размер свободной памяти в
  • Третью с четвертой ногой спаял - и спи(spi)
  • Ну так давайте на SPI-ках отпаивать вывод Write
  • Спс автору, что обращает наше внимание на такие
  • Можно. Только потом менять по гарантии зае...шься,
  • Можно ставить однократно прошиваемые флеш :) И там
  • небольшое отступление от темы: закралось сомнение по
  • Это отдельная тема. Будет затронута в последующих
  • у меня есть чисто китайский ноутбук-"Tsinghua-tongfang
  • Эта тема затрагивалась министерством обороны США, когда появились
  • Очень интересная статья!!! Автору спасибо! точно
  • +1 Даже QuadBIOS никак не изменит ситуацию.
  • Не знаю, потому и спрашиваю. :)
  • В свете достижений "великих виртуализаторов" бирус вообще
  • Типа залез к нему, переключился на Backup, выключил
  • Интересно, каким образом бирус сможет перехватить управление в
  • А Гигабайтовский DualBIOS сможет помочь, если что?
  • Следовало бы посоветовать производителям материнских плат на новых