Вирус в биосе?
 

Попались на глаза интересные заметки:

Birus-ы. Часть первая.
Birus-ы. Часть вторая.
Birus-ы. Часть третья.

Неужели это, получается, реально ????? Если да - это еще одна веская причина не лезть в биос со всеми ненужными обновлениями...

И где эпидемии? Где вопли антивирусных компаний (которым только дай новый повод для очередного сравнительно честного способа отъёма денег у населения) о новом вселенском зле? Где куча готовых к употреблению «кирпичиков»?

Судя из заметок - смысла вопить нету, все равно ничего не сделают. Как по мне, "бирусом" в статьях назван корявый "фирменный" биос, который работает со сбоями, намекая на свое вирусное происхождение. Смутил факт описанный в статьях, что эта гадость может запретить обновление или перепрошивку биоса, а на форуме часто и густо создаются темы, мол " прошил биос от нефик делать, теперь все коряво работает. Хочу вернуть назад - не пускает". Вот и думаю после этого, может эта гадость все-таки существует???? :dont-know

ну видимо кроме как поломать биос этот "бирус" не на что не способен, но это можно и без него сделать

Вас не смущает этот факт:
?

Ничего принципиально нового сказано в статье не было. Никаких Америк не открыто. И ровно так же за прошедшие четыре с половиной года с момента публикации ничего не произошло.

Существует, и чем новей мать тем легче подгадить человеку - только это не актуально сегодня , актуальна лишь информация, выполнение действий слить\ залить нужное жертве

Значит, будем считать что статьи - утка. Просто тогда действительно, причины возгласов типа:
Заключается в исключительно в кривизне прошивки, либо рук прошивающего, а не хотелось бы так думать :)

Чё то мне такое чувство наши гости с таким родом проблем только на уровне "цветочки" прибывают к нам , дальше будет куда больше из за этой мании перешиться от нефик делать

http://www.securitylab.ru/news/442100.php
http://www.securitylab.ru/news/430306.php
http://www.securitylab.ru/news/427820.php
http://www.securitylab.ru/news/410128.php
http://www.securitylab.ru/news/266688.php
http://www.securitylab.ru/news/261707.php

Win.CIH - чем не эпидемия?
Нет смысла устраивать эпидемии с видимыми симптомами. Ведь если докопался до написания "бируса", то надо это знание потратить на что-то полезное. Вот, большая часть заражённых, может быть, и сидит, не высовываясь, чтобы в нужный момент передать нужные данные кому следует.

Вот для паранойи немного корма:
BadBIOS, или Большие проблемы
Всё логично. Если железка имеет перепрошиваемую память, значит её можно перепрошить под свои нужды. Вон, даже в процессорах есть программируемые модули. Подкорректировал немного, и генератор случайных чисел выдаёт уже совсем псевдослучайные.
Да мало ли применений можно найти? Вон, люди Eye-Fi карточку хакают. Можно же что-то туда полезное залить?

Кстати, про UEFI. Туда же можно свои приложения устанавливать. Т.ч. вообще раздолье.

freese, особенности перевода. я посмотрел прилагающуюся ссылку - не нашёл UEFI replace BIOS

Цитата:

Цитата freese ставлю винду8 и у меня вместо bios uefi »

если вы ставите Win 8 или Win 7 на UEFI, то вы будете использовать загрузчик ОС winload.efi. Если же система устанавливается на BIOS - winload.exe
собственно, во время загрузки вы этого и не увидите )
и эти гэ-ОЕМ-сборщики пользуются

Вот. Я про это и говорил. «Win95.CIH» — эпидемия налицо. А с озвученным — что? Тишина. Не слышно про эпидемии.

Всё равно не слышно.

Может быть. Сидит. Не высовывается.

Какой момент будет опознан как «нужный»? Почему именно «в момент»? Какие данные должны быть опознаны как «нужные»? Слишком много «если».


Подчеркну — я не исключаю саму принципиальную теоретическую возможность заражения. Но не более. Повторюсь: прошло четыре с половиной года. Что-нибудь слышно о напророченных эпидемиях?

С какого момента? Возможность перепрошивки биоса и влияния вирусов на биос существует гораздо дольше.
Ни одного "если") Одни сплошные "какой" и "почему". Так вот, нужный момент - это момент, известный тому, для кого он нужный. Неужто этот кто-то нам расскажет? Ослаблением криптографии занимаются уже достаточно давно. А ещё понадобится кому-то вывести из строя ваши центрифуги для обогащения урана - раз, и есть дырка под боком. Или лодку понадобится затопить, самолёт уронить, ракету в другую точку перенаправить, СМИ блокировать, в конце концов. Максимальное покрытие уязвимостями здесь было бы кстати.
Так это одного поля ягоды. Кто-то экспериментировал с возможностью записи в биос. Не всё получилось. Часть машин порушилась.
В мобильниках тоже вирусы не ожидались, но откуда-то появились.

ГЛОНАСС запускали, лишь бы вероятный противник GPS не блокировал в случае чего. А здесь вся информационная инфраструктура может быть выведена из строя. И, конечно, никто этим не воспользуется?
Возникает ещё вопрос о доставке управляющего сигнала к заражённому компьютеру. Но можно и просто таймер заранее подготовить.

Что касается гражданской опасности - тут да, пока не слышно. Хотя и непонятно почему. Может быть квалификации не хватает, может быть нужных людей быстро вычисляют и забирают себе. Впрочем, в последнее верится с трудом)

P.S. Наверное, с биосом всё-таки ничего нельзя сделать, раз до сих пор не сделали. Сойдёмся на этой точке зрения.

Кстати, хоть и не по теме - автор сей бациллы сейчас работает в Gigabyte. Может, он там щас промышляет писанием биосов, в свободное от работы времени. Тогда не удивительно, что прошивка официальным биосом вызывает эффект вируса :)

Не волнуйтесь, практически нереально. Обычные "интернет-страшилки". Особенно порадовала сказка про модификацию firmware CD-ROM'а, которая заражала бы всё вокруг из статьи по ссылке уважаемого exo (кстати, автор придумал это сам и приписал человеку действительно выступавшему на black hat с достаточно, кстати, идиотским докладом). :clapping:
Да и в тех статьях, которые Вы привели в исходном сообщении куча перлов.
Мне это очень напоминает бытовавшие одно время сказки о вирусах-вандалах, которые якобы физически разрушали компьютеры. Люди верили. Особенно когда им начинали приводить такие же псевдонаучные рассуждения о способности вируса позиционировать головки жесткого диска на резонансной частоте так, что компьютер начинал раскачиваться и рассыпался на части.
Конечно, не раньше момента когда вирус фокусировал поток электронов в одну точку и медленно перемещал её по экрану монитора, выжигая по дороге весь люминофор...

А еще раньше я помню как мне страшным шепотом рассказывали о ужасном и непобедимом DIR-вирусе для MS-DOS, которому для заражения компьютера было достаточно, чтобы дискету с ним вставили в дисковод и выполнилти команду "dir". Кстати, вирус с таким названием действительно существовал, но заразить подобным спомсобом, конечно, ничего не мог. Поскольку команда выдачи содержимого директории не передает управлению файлу, содержащему код вируса. Точно также мифическая модификация firmware cd-rom'а вероятно возможна... Просто никому не нужна - её код не исполняется CPU.

А то, что действительно можно сделать, сделать не проще, чем отправить человека на Луну. Я верю, что NSA на это способно (я про "черный ход" в BIOS, а не про космические полеты, конечно), но ни один хакер этого не сможет. Хотя бы потому, что это должна быть очень узко таргетированная атака, направленная конкретно на одну единственную версию BIOS одной единственной модели материнской платы и, с большой долей вероятности, ориентированная на одну единственную операционную систему.

Можно было бы более подробнно разобрать аргументы сторонников версии существования вирусов в BIOS, но. если честно, я не сумел найти ни одного, кроме примитивных кусков ассемблерного кода (на уровне школьника) с этой самой Black Hat, которые ни к какому вирусу отношения вообще не имели.
Кстати. очень часто прошиваемый файл BIOS содержит цифровую подпись, которая позволяет проверить его аутентичность. Ваши авторы "бирусов" не придумали способав подделывать такие подписи? Если да, им надо срочно завязывать с вируcами и переключаться на системы "банк-клиент". :wink:

С момента пророчества выхода статьи.

Ну, так, а я про что ;)?!

Теория всемирного заговора? Вы должны быть в курсе, что виной проникновения оказалось обычное человеческое головотяпство и безалаберность. Никаких высоких материй и внедрений в BIOS.

Да я особо и не волнуюсь, просто интересно... :blush2:

NIST принимает стандарт для защиты BIOS (2012 год)
Второй пункт непонятен. Т.е. биос требует цифровую подпись, но если её нет, то можно и без неё?

По ссылке на хабре есть ещё ссылки на статьи о биосовских вирусах. И если AMDBulldozer не нашёл их исходников, это ещё не значит, что их не существует. Что касается "банк-клиента", то это является ценностью для жертвы потребительской цивилизации. А для кого-то научный интерес выше материального.

"Если у вас нет паранойи, это не значит, что за вами не следят" :) Про тот вирус я читал. Да, там без глубокого внедрения обошлось. Я бы не сказал, что проблема только в головотяпстве. Просто очень крутой вирус получился. В совокупности и срослось.

Могу Вас заверить: никаких "бирусов" в природе не существует. И существовать по ряду очевидных причин не может. поэтому их эпидемия абсолютно исключена.
Дело в том, что в BIOS просто нет достаточно свободного места для размещения там кода вируса. А вирус, по определению, должен уметь размножаться. Как ему размножаться. если ему негде хранить собственный код?
Поэтому речь идет совсем о другом. О возможности создать "черный ход" (backdoor) путем модификации BIOS. Автор гипотетического (существующего только в виде нескольких примитивных строк на ассемблере в качестве proof-of-concept) кода реализующего "черный ход" и названного автором "Ракшаса" по вот этой ссылке, в которой всё как обычно переврали:
одним из способов взлома компьютера с помощью его "Ракшасы" видит нахождение злоумышленника неподалеку от взламываемого компьютера, который должен иметь WiFi-адаптер с которым злоумышленник должен установить прямую связь.
Согласитесь, для мировой эпидемии понадобятся миллионы злоумышленников с ноутбуками...
Смысл в том, что мифический "вирус в BIOS" должен делать одно из двух: либо полностью подменять существующий BIOS поддельным (представляю какое удивление это вызовет у человека, попытавшегося войти в BIOS Setup после того как половина устройств перестала работать и обнаружившего, что весь интерфейс мистическим образом изменился :wink:),
либо создавать возможность установить несанкционированное соединение с инфицированным компьютером из сети.
В последнем случае этот класс вредоносного ПО вообще нельзя отнести к вирусам - это типичный троян. Да, в возможность существования таких троянов я верю. И даже вижу простой и доступный способ заражения - изготовителем в процессе производства.
Скажем, Lenovo постоянно подозревают в подобных действиях и компьютеры их производства даже запрещены к приобретению государственными учреждениями ряда стран.
Но это ведь совсем не тот мифический "бирус", которым пугают обывателей, правда? Он не может распространяться и не способен вызвать эпидемию. К тому же, активизировать его могут только производители или спецслужбы.

вирусы, трояны, черви и прочее, по мне всё одно - зловреды. конечно к каждому, возможно, свои подходы безопасности и прочего.

Да, я знаком с этим документом. Кстати, это не стандарт, а рекомендация и выпущена она не в 2012. а в апреле 2011.
Смысл там очень прост: с одной стороны, пользователь может захотеть модифицировать BIOS. К примеру, заменить SSDT на собственную, с другими частотами процессора (package 0x06). В этом случае, программа модификации выдаст ему сообщение о том, что подпись неверна и предложит подтвердить команду.

Цитата:

Цитата Coutty которые требует обязательного физического присутствия администратора возле машины для обновления BIOS без цифровой подписи. »

Так и видится измождённый системный администратор, изнемогающий от голода и жажды, прикованный толстой ржавой цепью к машине. На экране видна картинка зависшего обновления.

В безалаберности — не устанавливались обновления и не ужесточались ограничения. В головотяпстве — ничего не проверялось на входе. А после того, как код получил управление — уже не важно насколько «крут» вирус. По поводу же самого кода — это именно то самое «точечное» проникновение. И тем не менее, несмотря на явный межгосударственный уровень кода, на высокую квалификацию создателей — он пошёл-таки «в массы» и был обнаружен.

И помнится, однажды такое уже случалось у какого-то производителя (непреднамеренно).

http://www.gigabyte.ru/products/page...-970a-d3rev_30
Микросхемы ПЗУ 32 Мбит = 4 МБ. Образ биос для этой платы - 2.8 МБ. Т.е. ещё хватит места на целую DOS, которая, заметьте, не на ассемблере написана.

Ставить дополнительный софт на работающую систему, управляющую такими процессами, гораздо опаснее, чем оставить работать как есть (с моей точки зрения). Зачем туда с флэшкой полезли - другой вопрос.

Только обновления и ограничения, которые заложены самим производителем ОС.

Так это ж всегда так и бывает: самое слабое звено — человек, самый эффективный метод проникновения — социальная инженерия. И с каждым годом всё хуже и хуже: чем шире круг людей охватывается, тем всё ниже и ниже становится их общий уровень знаний.

Так это не образ. Это самораспаковывающийся архив. Который содержит образ BIOS длиной 4,194,304 байта.

Да, действительно... Впрочем, в этом файле несколько огромных пустых зон, где можно сохранить кучу всего вредного.

Coutty, да, конечно. Но учтите, что если там еще достаточно места на реализацию полноценного (поддерживающего не только BOOTP) TCP стека, чтобы можно было подгрузить из сети дополнительный код, то для реализации полноценного вируса или сетевого червя этих пустых участков уже не хватит.
BIOS, как Вы понимаете, это очень специфичный код. В отличие от любого исполняемого файла, Вы не можете просто передать управление с точки входа на код вируса, а потом вернуть его обратно. Надо сначала дождаться пока выполнится инициализация регистров процессора, контроллера памяти, будет передано управление на BIOS сетевой карты при его наличии...
Причем мы сейчас говорим о некоем вредоносном коде, который уже получил привилегии супервизора. Он может проверить версию BIOS, взять имеющийся у него модифицированный файл и попробовать перезаписать его в надежде, что пользователь ничего не заметит. Это непросто, но в принципе можно себе представить. Ведь не всегда BIOS вообще доступен для перезаписи из-под работающей в защищенном режиме ОС. Но найти в BIOS свободное место еще и для самого этого вредоносного кода (который должен содержать множество вариантов кодов различных BIOS хотя бы в виде patch-файлов+код для перезаписи+код для распространения на другие компьютеры+код для получения на этих других компьютерах системного уровня привилегий).... Нет, это из области фантастики. По крайней мере, до тех пор, пока объемы микросхем BIOS не сравняются с объемами SSD :wink:

Некоторые BIOS, при загрузке с внешних носителей и работе прог. типа Volkov Commander , попискивают.
И это настораживает :)

AMDBulldozer, а если так:
1. Патчим MBR, обновляем BIOS перед загрузкой ОС, исправляем MBR.
2. Поиск пустого места - мне это не кажется слишком сложной задачей. Это ж тупой поиск нулей или некоего шаблона. Останется только пропатчить повторяющуюся часть кода BIOS.
3. Код вируса запускать не напрямую из BIOS, а подкладывать к ОС. Привилегий должно хватать. Тогда и реализовывать TCP/IP не понадобится. Итого: вредоносный код для ОС + код для его загрузки в ОС.

Это по одной из ссылок выше подхватил. Хотя всё равно сложно. Но в некоторых фильмах и не с такими задачами справлялись)

Тем, кому нравится курить шишки читать статьи на тематику страшных неуловимых и невидимых троянов в BIOS вот ещё BadBIOS, или Большие проблемы

Amigos, Зачем ругаешься?! Эта статья еще страшнее... :)

Ага. А главное, описанные в ней "угрозы" столь же реальны, как и изображенные там животные...
Интересно, автор хоть какое-нибудь отношение к компьютерам имеет?

я даже не стал читать статьи. современные нормальные биосы защищены от перезаписи. если конечно криворукий админ не отключил защиту

CrashTest, тогда прочтите следующее:

Iska, биос защищен от перезаписи. что еще нужно знать?