Мне это очень напоминает бытовавшие одно время сказки о вирусах-вандалах, которые якобы физически разрушали компьютеры. Люди верили. Особенно когда им начинали приводить такие же псевдонаучные рассуждения о способности вируса позиционировать головки жесткого диска на резонансной частоте так, что компьютер начинал раскачиваться и рассыпался на части.
Конечно, не раньше момента когда вирус фокусировал поток электронов в одну точку и медленно перемещал её по экрану монитора, выжигая по дороге весь люминофор... »
Тихий ужас просто :lol: … Я, конечно, тоже слышал разные байки, но не настолько страшные.

NIST принимает стандарт для защиты BIOS (http://habrahabr.ru/company/group-ib/blog/150218/) (2012 год)
NIST называет четыре ключевые функции безопасности BIOS:
— Аутентификация при апдейте BIOS с использованием цифровых подписей для проверки аутентичности новой прошивки.
— Опциональный безопасный механизм локального апдейта, которые требует обязательного физического присутствия администратора возле машины для обновления BIOS без цифровой подписи.
— Защита цельности прошивки для предотвращения её изменения способом, который не соответствует двум вышеперечисленным.
— Функции защиты, которые гарантируют, что не существует механизма для процессора или другого системного компонента, чтобы обойти защиту BIOS.
Второй пункт непонятен. Т.е. биос требует цифровую подпись, но если её нет, то можно и без неё?

По ссылке на хабре есть ещё ссылки на статьи о биосовских вирусах. И если AMDBulldozer не нашёл их исходников, это ещё не значит, что их не существует. Что касается "банк-клиента", то это является ценностью для жертвы потребительской цивилизации. А для кого-то научный интерес выше материального.

Теория всемирного заговора? Вы должны быть в курсе, что виной проникновения оказалось обычное человеческое головотяпство и безалаберность. Никаких высоких материй и внедрений в BIOS. »
"Если у вас нет паранойи, это не значит, что за вами не следят" :) Про тот вирус я читал. Да, там без глубокого внедрения обошлось. Я бы не сказал, что проблема только в головотяпстве. Просто очень крутой вирус получился. В совокупности и срослось.

Да я особо и не волнуюсь, просто интересно... »
Могу Вас заверить: никаких "бирусов" в природе не существует. И существовать по ряду очевидных причин не может. поэтому их эпидемия абсолютно исключена.
Дело в том, что в BIOS просто нет достаточно свободного места для размещения там кода вируса. А вирус, по определению, должен уметь размножаться. Как ему размножаться. если ему негде хранить собственный код?
Поэтому речь идет совсем о другом. О возможности создать "черный ход" (backdoor) путем модификации BIOS. Автор гипотетического (существующего только в виде нескольких примитивных строк на ассемблере в качестве proof-of-concept) кода реализующего "черный ход" и названного автором "Ракшаса" по вот этой ссылке, в которой всё как обычно переврали:
http://www.securitylab.ru/news/427820.php »
одним из способов взлома компьютера с помощью его "Ракшасы" видит нахождение злоумышленника неподалеку от взламываемого компьютера, который должен иметь WiFi-адаптер с которым злоумышленник должен установить прямую связь.
Согласитесь, для мировой эпидемии понадобятся миллионы злоумышленников с ноутбуками...
Смысл в том, что мифический "вирус в BIOS" должен делать одно из двух: либо полностью подменять существующий BIOS поддельным (представляю какое удивление это вызовет у человека, попытавшегося войти в BIOS Setup после того как половина устройств перестала работать и обнаружившего, что весь интерфейс мистическим образом изменился :wink:),
либо создавать возможность установить несанкционированное соединение с инфицированным компьютером из сети.
В последнем случае этот класс вредоносного ПО вообще нельзя отнести к вирусам - это типичный троян. Да, в возможность существования таких троянов я верю. И даже вижу простой и доступный способ заражения - изготовителем в процессе производства.
Скажем, Lenovo постоянно подозревают в подобных действиях и компьютеры их производства даже запрещены к приобретению государственными учреждениями ряда стран.
Но это ведь совсем не тот мифический "бирус", которым пугают обывателей, правда? Он не может распространяться и не способен вызвать эпидемию. К тому же, активизировать его могут только производители или спецслужбы.

нельзя отнести к вирусам - это типичный троян »
вирусы, трояны, черви и прочее, по мне всё одно - зловреды. конечно к каждому, возможно, свои подходы безопасности и прочего.

Второй пункт непонятен. Т.е. биос требует цифровую подпись, но если её нет, то можно и без неё? »
Да, я знаком с этим документом. Кстати, это не стандарт, а рекомендация и выпущена она не в 2012. а в апреле 2011.
Смысл там очень прост: с одной стороны, пользователь может захотеть модифицировать BIOS. К примеру, заменить SSDT на собственную, с другими частотами процессора (package 0x06). В этом случае, программа модификации выдаст ему сообщение о том, что подпись неверна и предложит подтвердить команду.

которые требует обязательного физического присутствия администратора возле машины для обновления BIOS без цифровой подписи. »
Так и видится измождённый системный администратор, изнемогающий от голода и жажды, прикованный толстой ржавой цепью к машине. На экране видна картинка зависшего обновления.

Я бы не сказал, что проблема только в головотяпстве. Просто очень крутой вирус получился. »
В безалаберности — не устанавливались обновления и не ужесточались ограничения. В головотяпстве — ничего не проверялось на входе. А после того, как код получил управление — уже не важно насколько «крут» вирус. По поводу же самого кода — это именно то самое «точечное» проникновение. И тем не менее, несмотря на явный межгосударственный уровень кода, на высокую квалификацию создателей — он пошёл-таки «в массы» и был обнаружен.

И даже вижу простой и доступный способ заражения - изготовителем в процессе производства. »
И помнится, однажды такое уже случалось у какого-то производителя (непреднамеренно).

Дело в том, что в BIOS просто нет достаточно свободного места для размещения там кода вируса. А вирус, по определению, должен уметь размножаться. Как ему размножаться. если ему негде хранить собственный код? »
http://www.gigabyte.ru/products/page/mb/ga-970a-d3rev_30
Микросхемы ПЗУ 32 Мбит = 4 МБ. Образ биос для этой платы - 2.8 МБ. Т.е. ещё хватит места на целую DOS, которая, заметьте, не на ассемблере написана.

В безалаберности — не устанавливались обновления и не ужесточались ограничения. »
Ставить дополнительный софт на работающую систему, управляющую такими процессами, гораздо опаснее, чем оставить работать как есть (с моей точки зрения). Зачем туда с флэшкой полезли - другой вопрос.

Ставить дополнительный софт »
Только обновления и ограничения, которые заложены самим производителем ОС.

Зачем туда с флэшкой полезли - другой вопрос. »
Так это ж всегда так и бывает: самое слабое звено — человек, самый эффективный метод проникновения — социальная инженерия. И с каждым годом всё хуже и хуже: чем шире круг людей охватывается, тем всё ниже и ниже становится их общий уровень знаний.

Микросхемы ПЗУ 32 Мбит = 4 МБ. Образ биос для этой платы - 2.8 МБ. Т.е. ещё хватит места на целую DOS, которая, заметьте, не на ассемблере написана. »
Так это не образ. Это самораспаковывающийся архив. Который содержит образ BIOS длиной 4,194,304 байта.

Так это не образ. Это самораспаковывающийся архив. Который содержит образ BIOS длиной 4,194,304 байта. »
Да, действительно... Впрочем, в этом файле несколько огромных пустых зон, где можно сохранить кучу всего вредного.

Coutty, да, конечно. Но учтите, что если там еще достаточно места на реализацию полноценного (поддерживающего не только BOOTP) TCP стека, чтобы можно было подгрузить из сети дополнительный код, то для реализации полноценного вируса или сетевого червя этих пустых участков уже не хватит.
BIOS, как Вы понимаете, это очень специфичный код. В отличие от любого исполняемого файла, Вы не можете просто передать управление с точки входа на код вируса, а потом вернуть его обратно. Надо сначала дождаться пока выполнится инициализация регистров процессора, контроллера памяти, будет передано управление на BIOS сетевой карты при его наличии...
Причем мы сейчас говорим о некоем вредоносном коде, который уже получил привилегии супервизора. Он может проверить версию BIOS, взять имеющийся у него модифицированный файл и попробовать перезаписать его в надежде, что пользователь ничего не заметит. Это непросто, но в принципе можно себе представить. Ведь не всегда BIOS вообще доступен для перезаписи из-под работающей в защищенном режиме ОС. Но найти в BIOS свободное место еще и для самого этого вредоносного кода (который должен содержать множество вариантов кодов различных BIOS хотя бы в виде patch-файлов+код для перезаписи+код для распространения на другие компьютеры+код для получения на этих других компьютерах системного уровня привилегий).... Нет, это из области фантастики. По крайней мере, до тех пор, пока объемы микросхем BIOS не сравняются с объемами SSD :wink:

Некоторые BIOS, при загрузке с внешних носителей и работе прог. типа Volkov Commander , попискивают.
И это настораживает :)

AMDBulldozer, а если так:
1. Патчим MBR, обновляем BIOS перед загрузкой ОС, исправляем MBR.
2. Поиск пустого места - мне это не кажется слишком сложной задачей. Это ж тупой поиск нулей или некоего шаблона. Останется только пропатчить повторяющуюся часть кода BIOS.
3. Код вируса запускать не напрямую из BIOS, а подкладывать к ОС. Привилегий должно хватать. Тогда и реализовывать TCP/IP не понадобится. Итого: вредоносный код для ОС + код для его загрузки в ОС.

Это по одной из ссылок выше подхватил. Хотя всё равно сложно. Но в некоторых фильмах и не с такими задачами справлялись)

Тем, кому нравится курить шишки читать статьи на тематику страшных неуловимых и невидимых троянов в BIOS вот ещё BadBIOS, или Большие проблемы (http://www.3dnews.ru/777783)

Amigos, Зачем ругаешься?! Эта статья еще страшнее... :)

Эта статья еще страшнее... »
Ага. А главное, описанные в ней "угрозы" столь же реальны, как и изображенные там животные...
Интересно, автор хоть какое-нибудь отношение к компьютерам имеет?

я даже не стал читать статьи. современные нормальные биосы защищены от перезаписи. если конечно криворукий админ не отключил защиту

CrashTest, тогда прочтите следующее:
для одарённых: Не читал, но осуждаю! — Википедия (http://ru.wikipedia.org/wiki/%D0%9D%D0%B5_%D1%87%D0%B8%D1%82%D0%B0%D0%BB,_%D0%BD%D0%BE_%D0%BE%D1%81%D1%83%D0%B6%D0%B4%D0%B0%D1%8E !);
для альтернативно одарённых: Не читал, но осуждаю — Lurkmore (http://lurkmore.to/%D0%9D%D0%B5_%D1%87%D0%B8%D1%82%D0%B0%D0%BB,_%D0%BD%D0%BE_%D0%BE%D1%81%D1%83%D0%B6%D0%B4%D0%B0%D1%8E ).

Iska, биос защищен от перезаписи. что еще нужно знать?

Iska, биос защищен от перезаписи. что еще нужно знать? »
Мда… «Рация на бронепоезде».