[Iska]

Цитата AMDBulldozer:

Мне это очень напоминает бытовавшие одно время сказки о вирусах-вандалах, которые якобы физически разрушали компьютеры. Люди верили. Особенно когда им начинали приводить такие же псевдонаучные рассуждения о способности вируса позиционировать головки жесткого диска на резонансной частоте так, что компьютер начинал раскачиваться и рассыпался на части. Конечно, не раньше момента когда вирус фокусировал поток электронов в одну точку и медленно перемещал её по экрану монитора, выжигая по дороге весь люминофор... »

Тихий ужас просто … Я, конечно, тоже слышал разные байки, но не настолько страшные.

[Coutty]

NIST принимает стандарт для защиты BIOS (2012 год)

Цитата:

NIST называет четыре ключевые функции безопасности BIOS: — Аутентификация при апдейте BIOS с использованием цифровых подписей для проверки аутентичности новой прошивки. — Опциональный безопасный механизм локального апдейта, которые требует обязательного физического присутствия администратора возле машины для обновления BIOS без цифровой подписи. — Защита цельности прошивки для предотвращения её изменения способом, который не соответствует двум вышеперечисленным. — Функции защиты, которые гарантируют, что не существует механизма для процессора или другого системного компонента, чтобы обойти защиту BIOS.

Второй пункт непонятен. Т.е. биос требует цифровую подпись, но если её нет, то можно и без неё?

По ссылке на хабре есть ещё ссылки на статьи о биосовских вирусах. И если AMDBulldozer не нашёл их исходников, это ещё не значит, что их не существует. Что касается "банк-клиента", то это является ценностью для жертвы потребительской цивилизации. А для кого-то научный интерес выше материального.

Цитата Iska:

Теория всемирного заговора? Вы должны быть в курсе, что виной проникновения оказалось обычное человеческое головотяпство и безалаберность. Никаких высоких материй и внедрений в BIOS. »

"Если у вас нет паранойи, это не значит, что за вами не следят" Про тот вирус я читал. Да, там без глубокого внедрения обошлось. Я бы не сказал, что проблема только в головотяпстве. Просто очень крутой вирус получился. В совокупности и срослось.

[AMDBulldozer]

Цитата WSonic:

Да я особо и не волнуюсь, просто интересно... »

Могу Вас заверить: никаких "бирусов" в природе не существует. И существовать по ряду очевидных причин не может. поэтому их эпидемия абсолютно исключена.
Дело в том, что в BIOS просто нет достаточно свободного места для размещения там кода вируса. А вирус, по определению, должен уметь размножаться. Как ему размножаться. если ему негде хранить собственный код?
Поэтому речь идет совсем о другом. О возможности создать "черный ход" (backdoor) путем модификации BIOS. Автор гипотетического (существующего только в виде нескольких примитивных строк на ассемблере в качестве proof-of-concept) кода реализующего "черный ход" и названного автором "Ракшаса" по вот этой ссылке, в которой всё как обычно переврали:

Цитата exo:

http://www.securitylab.ru/news/427820.php »

одним из способов взлома компьютера с помощью его "Ракшасы" видит нахождение злоумышленника неподалеку от взламываемого компьютера, который должен иметь WiFi-адаптер с которым злоумышленник должен установить прямую связь.
Согласитесь, для мировой эпидемии понадобятся миллионы злоумышленников с ноутбуками...
Смысл в том, что мифический "вирус в BIOS" должен делать одно из двух: либо полностью подменять существующий BIOS поддельным (представляю какое удивление это вызовет у человека, попытавшегося войти в BIOS Setup после того как половина устройств перестала работать и обнаружившего, что весь интерфейс мистическим образом изменился ),
либо создавать возможность установить несанкционированное соединение с инфицированным компьютером из сети.
В последнем случае этот класс вредоносного ПО вообще нельзя отнести к вирусам - это типичный троян. Да, в возможность существования таких троянов я верю. И даже вижу простой и доступный способ заражения - изготовителем в процессе производства.
Скажем, Lenovo постоянно подозревают в подобных действиях и компьютеры их производства даже запрещены к приобретению государственными учреждениями ряда стран.
Но это ведь совсем не тот мифический "бирус", которым пугают обывателей, правда? Он не может распространяться и не способен вызвать эпидемию. К тому же, активизировать его могут только производители или спецслужбы.

[exo]

Цитата AMDBulldozer:

нельзя отнести к вирусам - это типичный троян »

вирусы, трояны, черви и прочее, по мне всё одно - зловреды. конечно к каждому, возможно, свои подходы безопасности и прочего.

[AMDBulldozer]

Цитата Coutty:

Второй пункт непонятен. Т.е. биос требует цифровую подпись, но если её нет, то можно и без неё? »

Да, я знаком с этим документом. Кстати, это не стандарт, а рекомендация и выпущена она не в 2012. а в апреле 2011.
Смысл там очень прост: с одной стороны, пользователь может захотеть модифицировать BIOS. К примеру, заменить SSDT на собственную, с другими частотами процессора (package 0x06). В этом случае, программа модификации выдаст ему сообщение о том, что подпись неверна и предложит подтвердить команду.

[Iska]

Цитата Coutty:

которые требует обязательного физического присутствия администратора возле машины для обновления BIOS без цифровой подписи. »

Так и видится измождённый системный администратор, изнемогающий от голода и жажды, прикованный толстой ржавой цепью к машине. На экране видна картинка зависшего обновления.

Цитата Coutty:

Я бы не сказал, что проблема только в головотяпстве. Просто очень крутой вирус получился. »

В безалаберности — не устанавливались обновления и не ужесточались ограничения. В головотяпстве — ничего не проверялось на входе. А после того, как код получил управление — уже не важно насколько «крут» вирус. По поводу же самого кода — это именно то самое «точечное» проникновение. И тем не менее, несмотря на явный межгосударственный уровень кода, на высокую квалификацию создателей — он пошёл-таки «в массы» и был обнаружен.

Цитата AMDBulldozer:

И даже вижу простой и доступный способ заражения - изготовителем в процессе производства. »

И помнится, однажды такое уже случалось у какого-то производителя (непреднамеренно).

[Coutty]

Цитата AMDBulldozer:

Дело в том, что в BIOS просто нет достаточно свободного места для размещения там кода вируса. А вирус, по определению, должен уметь размножаться. Как ему размножаться. если ему негде хранить собственный код? »

http://www.gigabyte.ru/products/page...-970a-d3rev_30
Микросхемы ПЗУ 32 Мбит = 4 МБ. Образ биос для этой платы - 2.8 МБ. Т.е. ещё хватит места на целую DOS, которая, заметьте, не на ассемблере написана.

Цитата Iska:

В безалаберности — не устанавливались обновления и не ужесточались ограничения. »

Ставить дополнительный софт на работающую систему, управляющую такими процессами, гораздо опаснее, чем оставить работать как есть (с моей точки зрения). Зачем туда с флэшкой полезли - другой вопрос.

[Iska]

Цитата Coutty:

Ставить дополнительный софт »

Только обновления и ограничения, которые заложены самим производителем ОС.

Цитата Coutty:

Зачем туда с флэшкой полезли - другой вопрос. »

Так это ж всегда так и бывает: самое слабое звено — человек, самый эффективный метод проникновения — социальная инженерия. И с каждым годом всё хуже и хуже: чем шире круг людей охватывается, тем всё ниже и ниже становится их общий уровень знаний.

[AMDBulldozer]

Цитата Coutty:

Микросхемы ПЗУ 32 Мбит = 4 МБ. Образ биос для этой платы - 2.8 МБ. Т.е. ещё хватит места на целую DOS, которая, заметьте, не на ассемблере написана. »

Так это не образ. Это самораспаковывающийся архив. Который содержит образ BIOS длиной 4,194,304 байта.

[Coutty]

Цитата AMDBulldozer:

Так это не образ. Это самораспаковывающийся архив. Который содержит образ BIOS длиной 4,194,304 байта. »

Да, действительно... Впрочем, в этом файле несколько огромных пустых зон, где можно сохранить кучу всего вредного.