forum.opennet.ru

Составление сообщения

Исходное сообщение

"Kernel.org подвергся взлому"
Отправлено Аноним, 02-Сен-11 23:43

> И тем не менее шороху наделал изрядно. Ведь для зловредов «массового поражения»
> не обязательно поддерживать всё.
Я склонен его считать просто удачным PoC`ом (и плосковатой шуткой над пользователями). Автор даже не пытался зарабатывать. Это лишь демо умений кодера и технических возможностей. В нем было сразу много чего необычного:
- Обход колец защиты i386, правда только в win9x. В НТях не работало, там изоляция юзера от кернела менее халявная.
- Прямой программинг железа под виндой. Олдскул показал что и на новых рельсах себя неплохо чувствует, сделав то что даже любители доса не осиливали.
- Флеш до этого момента никто сносить
> Это ведь бизнес.
Wrong. Такие вещи - делаются как искусство. Черная магия. От злых волшебников. Но все-таки, временами у них получаются довольно красивые штуки. Хоть и зловредные по природе своей.
> Разработка и прочие расходы должны банально окупаться доходами.
Не вижу как можно было поиметь денег за CIH. Наиболее реальное что там можно поиметь - увесистый срок в случае поимки, т.к. это вполне ощутимая порча оборудования будет суду более понятна чем эфемерное стирание пары файлов ;)
Те кого волнует бизнес - скорее всего покупают у хардкорных реверсеров свежий сплойт на 0day дыры для ишака (микрософт дыры не покупает, в отличие от гугла и мозиллы). Пишут свой троян на дельфе (дотнете, vb или какой там еще пакости любимой школьниками). Вгружают его сплойтом. И вот там уже имеют некий доход от краж паролей к популярным ресурсам (для спама), всякого там спама во всех видах, ддосов/флудов на заказ, etc. Особо элитные злодеи собирают свои ботнеты. Но, собственно, как шедевры кодерского искусства это фуфло из себя ничего такого не представляет. Ну может кроме сплойта, при том что реверсеры сами по себе обычно на бизнесе не ушиблены и продают все это вредителям только потому что кроме них никто не платит, а трудная работа - должна вознаграждаться. Мозилла и гугл умно вклинились в эту схему и по этой причине имеют на порядки меньше проблем со взломами через их браузеры. Тем более что ишак апдейтится не чаще раза в месяц. Есть время для, кхе-кхе, толкания бизнеса. Одно дело купленый сплойт будет месяц гарантированно работать блгодаря циклам патчинга и немного другое дело если гугл или мозилла его заткнут через сутки экстренным фиксом. Понятно чего перспективнее для этих бизнес-уродов.
> Если целевая платформа популярна, удельные затраты будут низкие, вот и всё.
Субъективно, бизнес-ориентированные трояны (lol!) отличаются довольно ламерским уровнем технической части. То что интересно бизнесменам - вызывает зевоту у технарей. Поэтому уровень реализации обычно понятно какой.
> Повторюсь, прототипы УЖЕ ЕСТЬ. Может, есть и боевые, но про то я не в курсе.
Прототип написать не настолько уж и сложно. Сложно сделать так чтобы оно стало более-менее массово работать.
> Своего кода — да. А как насчёт ACPI, например? В его километровых
> таблицах можно что угодно творить...
Можно, но насколько я помню, это не машинный код. А как, собственно, на машинный код управление то попадет без патчинга хоть небольшого кусочка основного BIOS? А если пропатчить - так чексумм или подпись на раз возбухнут и будет у юзера просто факап - биос выпадет в режим рекавери. Если он выпадет в этот режим на ровном месте, технарь который будет данный факап разруливать скорее всего заинтересуется вопросом "а какого черта, собственно?!". А на нотиках вообще биосы какие-то извращенские, с фирменными фичами ... и дебилизмами (типа блеклистинга "расово неправильных" карточек wi-fi).
> Говорит. Только проверяется не всё подряд. Потому что CMOS, например, или те
> же ACPI-таблицы никто подписывать не будет.
ACPI таблицы кстати вроде как чексуммами снабжены. И это не машинный код. От того что вы туда х86 команды записали, выполняться они там не начнут. А как туда управление то получить при старте биоса без хака части биоса с машинным кодом, у которой тоже чексумм или даже подпись? Не, ну наверное можно найти какой-то баг типа buffer overrun в парсере ACPI, но это уже как-то совсем изврат. Да и с учетом засилья кривых биосов - есть шансы что парсеры окажутся довольно дуракоустойчивы. Хотя это был бы крайне оригинальный и извращенский метод, безусловно :)
>>[оверквотинг удален]
> а лежит где-то в централизованном хранилище — и тогда объектом атаки
> будет становиться данное хранилище. Как это с HDCP было, например.
Как пример реализации такой схемы: у процов самсуня есть efuses. В них можно 1 раз зашить хеш. Это - хеш пубкея. Проц при старте читает из флешки пубкей. Считает его хеш и убеждается что ему дали верный пубкей. Далее читается первый загрузчик их флешки. И его подпись проверяется прочитанным ранее кеем. Этот загрузчик читает следующую часть (загрузчик, OS loader или что там еще) - и тоже проверяет их подпись. Я вот так сходу не вижу - чего предлагается в такой схеме сломать? _Однократно_ зашиваемые фьюзы? Не, там кто первый встал - того и тапки^W ключ. А остальные - ну вы в курсе, да? Не очень понятно - а что предлагается расхакать? Думается в х86 как самый максимум - могут позволить перезапись корневого ключа по аппаратному воздействию типа кнопки. Но подозреваю что софтварной халявы тут всяко не будет. И вообще, скажете еще спасибо, если сможете запускать другие системы кроме сами знаете какой.
> Боюсь, вы переоцениваете. Конечно, не все BIOS'ы одинаковые, но большая часть (т.е.
> под неё выгодно этими разработками заниматься) x86-материнок достаточно типовая.
Зависит от того что понимать под достаточностью. Я понимаю под достаточностью возможность автоматически утолкать в BIOS, не убив попутно комп, достаточно кода для того чтобы потом в автоматическом режиме патчить загрузчик какой-либо ОС для чего-то злонамеренного с учетом того что содержимое оного может заметно меняться у разных юзеров и версий ОС.
ИМХО это выглядит как довольно геморройное начинание, не несущее само по себе никакого очевидного профита, зато довольно рисковое и крайне геморройное в техническом плане.
> Более того, устройства от Apple, например, тоже становятся очень лакомой мишенью, т.к.
> количество моделей мало, а аппаратов — велико...
Думается их намного проще поиметь другими методами. Например, вбросив легиимному разработчику в код бэкдор. А тот пусть компилит и публикует в яблосторе, и вот уже миллионы ничего не подозревающих хомяков ставят себе прогу... и бэкдор.... И пропатчить текстовичок с сырцом - явно более просто чем с цифровыми подписями и низкоуровневыми особенностями чипсетов и разводки мамок долбаться :). Тем более что никто наверняка не проверяет детально что там в сторе. Ну потом то конечно вынесут, но энное время оно похулиганит, а потом и другого лоха можно найти. Под ифончик программит довольно много глуповатых гламурных тупиц, которые слыша "security" издают "wtf?" и вообще не греют свой мозг такой ерундой.
>> А после парочки неожиданных факапов вероятно вредитель будет обнаружен.
> Ну что ж, на его место придёт следующий. :)
Пока я для начала и первого не вижу толком (лабораторный PoC и работоспособная дикая зараза не ломающая дров в автоматическом самоходном режиме - немного разные вещи). Ну CIH разве что,  и тот - PoC такой злобненький по сути, просто так подгаданный что более-менее в майнстрим попал (процент компов на одном конкретном чипсете был большой). Сейчас нет такого единодушного засилия какого-то одного из чипсетов с точностью до модели. Интел и тот развел кучи подвидов и подтипов чипсетов на разные сегменты. Это тогда у них было все просто - один TX на все, и конкуренты как раз отстали.
>> за решетку угодить, пожалуй.
> Вы это скрипткидисам говорите, которые шальными эксплоитами роняют сайты быстро злящихся
> дядь и тёть. :)
Скрипткидисов - много. Каждый второй школьник - потенциальный киддис. Поэтому хотя их ловят пачками в силу тупизны, всех переловить нереально - тюрем не хватит. Зато всегда можно покозырять красивыми отчетами за счет этих олухов :). Тех кто может напрограммить код способный биос перещивать - намноооого меньше. Что здорово сужает круг подозреваемых.
> Ну и что, что не все — вполне достаточно для массового распространения.
Более реалистично - для факапа в стиле cih некоторого процента неудачников. Ну может попутно впихивания такого на пару компов на заказ за большие бабки.
>> - Ряд мамок, особенно от гигабайта - с двойным биосом. Чип с
>> базовой версией перешить проблематично, насколько я знаю.
> Дык до перепрошивки ещё дойти надо. Надо тварь обнаружить.
Она сама себя обнаружит. Попробовать грузануть операционку мало-мальски нестандартной версии/типа/с другим бутлоадером (у только линукса есть лило, груб1, груб2 и исолинукс, которые довольно существенно отличаются на уровне базовой анатомии) и пакость тут же обломится запатчить систему или сделает это крайне криво и вызовет уйму глюков, а то и просто покрешится все напрочь. Основная проблема руткита - в том что они себя демаскируют аномалиями. А тут еще ограниченность в месте и 100500 всяких факторов, которые надо учесть и которые усложняют жизнь. Оно очень быстро засветит себя имхо. Даже обычный то руткит вон попался на совершенно левом доступе к памяти + крахе процесса :)
> А чем? Ни одного надёжного способа, кроме исследования микросхемы BIOS
> в лабораторных условиях, нет по определению.
Да блин, грузим линя и дампаем флеху flashrom. Просто, брутально, доступно даже хомяку в принципе, когда прижало. Ну и вот скажи еще что руткит (которому надо втиснуться в кошкин зад места) будет знать как сие перехватить и себя убрать из дампа, ага. А еще он надурит и методы сохранения дампа родными флешерами мамки и что там еще, при том и в виндозе и в досе сразу, ага. В минимум трех разных режима проца. А он не припухнет такую эвристику таскать в сильно ограниченном по месту (как бы BIOS львиную долю флехи и так занимает) низкоуровневом коде? Кстати упомянутый тобой фокус с ACPI тоже наврняка вызовет массу глюков и кто-то с экзотичной осью непременно полезет дампить столь странную таблицу для изучения и багрепортов и сильно удивится тому что там есть по факту :)
> Не так уж и сложно, было бы желание. Прошивальщики-то обычно однотипные сами
> по себе у одного производителя. Сначала ищется, где в нём эти сведения зашиты,
> а потом для остальных моделей вытаскивается в полуавтоматическом режиме.
Угу, еще и полуавтоматический дизассемблятор нужен? Всего-то? Который сможет в результате осилить только несколько ревизий мамок и может несколько типов оных от 1 производителя? А то эти редиски имеют свойство дописывать под себя утилсы и биосы, особенно крупные фирмы.
>> и риск, если у вас есть рядом второй PC и программатор".
> А зачем мне-то пробовать? Я зловреды не пишу.
Ну как бы и добронамеренный флешер, который НИЧЕГО НЕ ПАТЧИТ может при просто обычной записи то все раздестроить, если производитель где-то отступил на миллиметр хоть в каком-то вопросе от того что ожидалось. А вы хотите еще и патчить что-то автоматически, и чтоб потом ничего не сдохло :)
> А авторы зловредов не будут сильно переживать, если что-то накроется...
Зато это их будет сильно палить а пользователи и фирмы-производители будут жаждать крови.
> Ну то есть, конечно, они заинтересованы в том, чтобы не накрывалось. Но не
> настолько, чтобы плакать горючими слезами над каждым убитым чужим BIOS'ом.
Просто у меня есть такое ощущение что затраты сил на этот гемор vs результативность - совершенно никакие. Собственно, тем кому денег надо - проще примитивные ламерские трояны крупным оптом через 0day вбрасывать. Ботнеты - они да, в цене. Как и услуги по спаму, ддосам и прочая. А впихивание в биос - гемора много, неуниверсально чуть более чем полностью. Проще, блин, отгрузить малварь хомякам через аппсторы и отослать 100500 смс на короткий номер.
[кусь]
> Мы о разных вещах говорим. Я-то про изменение уже имеющихся в системе
> файлов писал, а не установку «гнилого» пакета.
Дык откуда эти изменения возьмутся у например типового юзверга, кроме как из проги в пакете? Ну сплойты можно допустить, но все известные дыры как правило штопают быстро и массовых поимений как правило не происходит. Единственным исключением является винда, где апдейты по расписанию, при том хакерам почему-то впадлу ждать месяц и они обычно действуют иным методом: кто не спрятался - они не виноваты. И то сетевой софт типа браузеров и т.п. - научился апдейтиться оперативно (ну кроме IE, как обычно).
> Естественно. Это второй или третий, и отнюдь не последний, уровень обнаружения вторжений.
Просто когда речь идет о успешно установленном рутките - такое выглядит довольно странно. Руткит сразу же подразумевает что мы не доверяем операциям чтения и системным утилитам в работающей системе. Возможно я что-то недопонял и вы в отличие от меня имели в виду восстановительно исследовательские операции, когда заведомо чистая копия ос заружена с ридонли носителя для изучения ситуации.
> Дальше я убрал написанное, ибо - поверьте - в курсе. :)
Ну и ок :)
>> но чисто программно. Для отлова и изучения пакости сойдет, хотя реализовывать
>> чипсет с докой на ~1000 страниц немного утомительно, разумеется :).
> Это уже не обнаружение вторжений, а разбор полётов после...
Это скорее полужелезный трейсинг/логгинг странных операций. Никто не мешает его делать в run time, если сильно охота, прямо в run time сливая логи. Другое дело что опять же - все упрется в геморность реализации. Но если вы вознамерились всерьез охотиться за привидениями - вариант в принципе, и не то чтобы так уж дико сложный в реализации. Явно не сложнее самого руткита пишущего себя в флеху :) Тем более что полуаппаратная виртуализация железа - достаточно интересное упражнение для любого человека который находится между железом и софтом.
>> Ну как, теперь паранойя не даст вам спать? :)))
> Сплю как убитый. ;)
Ну вот :((. А у вас есть допустим привкеи которыми вы подписываете наиболее чувствительные операции? А где вы их храните? Допустим, хакеры готовы выложить несколько k$ или даже десятков k$ чтобы их спереть. Где бы вы их хранили, зная что на них будут всерьез охотиться не слишком глупые хаксоры?
> Да. Я в курсе. Возможно, я не совсем ясно выразился — приношу свои извинения.
Видимо так. Я почему-то так понял из вашей фразы что вы не учли этот момент.

>> Уж простите конечно, но ваши понятия о руткитах - на уровне пещерного
>> человека.
> Это было уже не об аппаратных руткитах, повторюсь, а о других попытках
> незаметно закрепиться в системе. Руткит — не обязан работать на уровне ядра. :)
Я знаю, но честно говоря, поделки меняющие системные утили я за серьезные руткиты вообще не считаю в силу относительной простоты поимки. Например простейшей прогой на си написанной за 5 минут или любым охотником на руткиты из репов даже.
> Конечно, он при этом легче отлавливается, но если уж
> другого способа нет — пусть так, чем никак. :)
Это весьма лайт версия руткита. И что значит - нет другого способа? Чисто физически оперативка - read/write, поэтому как минимум теоретически такой способ есть. Практически он может быть заметно загеморроен если ядро не грузит модули + метит область кода как ридонли а данных - как невыполнябельную. Тем не менее, кэп намекает что IOMMU например появился без году неделя и сильно местами. А без него - да, проц может и испытывает ограничения по доступу к оперативе, но железки с DMA могут и побеспределить. И как бы вся надежда на добропорядочность железяки :)))
>> подписаны и проверка при установке делается. Что пакетов с бинарями, что
>> с сырцами. И такие номера - не катят.
> Подписанные — сложнее, да. Впрочем, когда это было-то...
Ну да, мы не злопамятные. Но все-таки злые и память у нас хорошая. Поэтому злопыхать не буду, но выводы делать это не мешает. Если честно - как-то не ожилал настолько несерьезного администрирования от ЭТИХ людей.
> Ну звиняйте. Можно систематически бросать далеко не бесконечные ресурсы на собственный
> ftp.openbsd.org, а можно что-то исправлять и дополнять в самой системе. Ну да это отдельный разговор.
Я думаю что с учетом кол-ва юзеров openssh и важности задач - они бы включили совесть и скинулись бы на сервачок для openssh, если попросить их об этом.
> в нормальном датацентре? «Киньте клич»... Будьте реалистом.
Википедия так собирает несколько миллионов баксов в год. Куда уж реалистичнее?! И не надо пожалуйста рассказывать про дикие цены в ДЦах, нынче цены стали вполне культурные и по зубам уже чуть ли не для хоумпаг. И траффика дают - хоть залейся.
>> Sh... happens. Но по-моему, когда безопаснички отвечают за чужие FAILы - это
>> идиотизм чистой воды.
> Идиотизм — это когда утащили у конторы Самый Главный Электронный Сертификат, а
> контора вместо того, чтобы быстренько заиметь другой, ждёт у моря погоды,
> пока опростоволосившийся выпускатор сделает ей новый.
Что-то торможу, а это о каком инцеденте речь? И кто ждал выпуска сертификата от слившегося выпускатора? Что-то настолько махровая тупость мне даже не припоминается. Это кто так?
> А тут — тоже нехорошо, конечно, но, как показывает практика, FAIL'ы бывают у всех. Весь вопрос
> — насколько серьёзные и насколько долго. :)
Это тоже важный фактор, хрен поспоришь.

Исходное сообщение
"Kernel.org подвергся взлому" Отправлено Аноним, 02-Сен-11 23:43
> И тем не менее шороху наделал изрядно. Ведь для зловредов «массового поражения» > не обязательно поддерживать всё. Я склонен его считать просто удачным PoC`ом (и плосковатой шуткой над пользователями). Автор даже не пытался зарабатывать. Это лишь демо умений кодера и технических возможностей. В нем было сразу много чего необычного: - Обход колец защиты i386, правда только в win9x. В НТях не работало, там изоляция юзера от кернела менее халявная. - Прямой программинг железа под виндой. Олдскул показал что и на новых рельсах себя неплохо чувствует, сделав то что даже любители доса не осиливали. - Флеш до этого момента никто сносить > Это ведь бизнес. Wrong. Такие вещи - делаются как искусство. Черная магия. От злых волшебников. Но все-таки, временами у них получаются довольно красивые штуки. Хоть и зловредные по природе своей. > Разработка и прочие расходы должны банально окупаться доходами. Не вижу как можно было поиметь денег за CIH. Наиболее реальное что там можно поиметь - увесистый срок в случае поимки, т.к. это вполне ощутимая порча оборудования будет суду более понятна чем эфемерное стирание пары файлов ;) Те кого волнует бизнес - скорее всего покупают у хардкорных реверсеров свежий сплойт на 0day дыры для ишака (микрософт дыры не покупает, в отличие от гугла и мозиллы). Пишут свой троян на дельфе (дотнете, vb или какой там еще пакости любимой школьниками). Вгружают его сплойтом. И вот там уже имеют некий доход от краж паролей к популярным ресурсам (для спама), всякого там спама во всех видах, ддосов/флудов на заказ, etc. Особо элитные злодеи собирают свои ботнеты. Но, собственно, как шедевры кодерского искусства это фуфло из себя ничего такого не представляет. Ну может кроме сплойта, при том что реверсеры сами по себе обычно на бизнесе не ушиблены и продают все это вредителям только потому что кроме них никто не платит, а трудная работа - должна вознаграждаться. Мозилла и гугл умно вклинились в эту схему и по этой причине имеют на порядки меньше проблем со взломами через их браузеры. Тем более что ишак апдейтится не чаще раза в месяц. Есть время для, кхе-кхе, толкания бизнеса. Одно дело купленый сплойт будет месяц гарантированно работать блгодаря циклам патчинга и немного другое дело если гугл или мозилла его заткнут через сутки экстренным фиксом. Понятно чего перспективнее для этих бизнес-уродов. > Если целевая платформа популярна, удельные затраты будут низкие, вот и всё. Субъективно, бизнес-ориентированные трояны (lol!) отличаются довольно ламерским уровнем технической части. То что интересно бизнесменам - вызывает зевоту у технарей. Поэтому уровень реализации обычно понятно какой. > Повторюсь, прототипы УЖЕ ЕСТЬ. Может, есть и боевые, но про то я не в курсе. Прототип написать не настолько уж и сложно. Сложно сделать так чтобы оно стало более-менее массово работать. > Своего кода — да. А как насчёт ACPI, например? В его километровых > таблицах можно что угодно творить... Можно, но насколько я помню, это не машинный код. А как, собственно, на машинный код управление то попадет без патчинга хоть небольшого кусочка основного BIOS? А если пропатчить - так чексумм или подпись на раз возбухнут и будет у юзера просто факап - биос выпадет в режим рекавери. Если он выпадет в этот режим на ровном месте, технарь который будет данный факап разруливать скорее всего заинтересуется вопросом "а какого черта, собственно?!". А на нотиках вообще биосы какие-то извращенские, с фирменными фичами ... и дебилизмами (типа блеклистинга "расово неправильных" карточек wi-fi). > Говорит. Только проверяется не всё подряд. Потому что CMOS, например, или те > же ACPI-таблицы никто подписывать не будет. ACPI таблицы кстати вроде как чексуммами снабжены. И это не машинный код. От того что вы туда х86 команды записали, выполняться они там не начнут. А как туда управление то получить при старте биоса без хака части биоса с машинным кодом, у которой тоже чексумм или даже подпись? Не, ну наверное можно найти какой-то баг типа buffer overrun в парсере ACPI, но это уже как-то совсем изврат. Да и с учетом засилья кривых биосов - есть шансы что парсеры окажутся довольно дуракоустойчивы. Хотя это был бы крайне оригинальный и извращенский метод, безусловно :) >>[оверквотинг удален] > а лежит где-то в централизованном хранилище — и тогда объектом атаки > будет становиться данное хранилище. Как это с HDCP было, например. Как пример реализации такой схемы: у процов самсуня есть efuses. В них можно 1 раз зашить хеш. Это - хеш пубкея. Проц при старте читает из флешки пубкей. Считает его хеш и убеждается что ему дали верный пубкей. Далее читается первый загрузчик их флешки. И его подпись проверяется прочитанным ранее кеем. Этот загрузчик читает следующую часть (загрузчик, OS loader или что там еще) - и тоже проверяет их подпись. Я вот так сходу не вижу - чего предлагается в такой схеме сломать? _Однократно_ зашиваемые фьюзы? Не, там кто первый встал - того и тапки^W ключ. А остальные - ну вы в курсе, да? Не очень понятно - а что предлагается расхакать? Думается в х86 как самый максимум - могут позволить перезапись корневого ключа по аппаратному воздействию типа кнопки. Но подозреваю что софтварной халявы тут всяко не будет. И вообще, скажете еще спасибо, если сможете запускать другие системы кроме сами знаете какой. > Боюсь, вы переоцениваете. Конечно, не все BIOS'ы одинаковые, но большая часть (т.е. > под неё выгодно этими разработками заниматься) x86-материнок достаточно типовая. Зависит от того что понимать под достаточностью. Я понимаю под достаточностью возможность автоматически утолкать в BIOS, не убив попутно комп, достаточно кода для того чтобы потом в автоматическом режиме патчить загрузчик какой-либо ОС для чего-то злонамеренного с учетом того что содержимое оного может заметно меняться у разных юзеров и версий ОС. ИМХО это выглядит как довольно геморройное начинание, не несущее само по себе никакого очевидного профита, зато довольно рисковое и крайне геморройное в техническом плане. > Более того, устройства от Apple, например, тоже становятся очень лакомой мишенью, т.к. > количество моделей мало, а аппаратов — велико... Думается их намного проще поиметь другими методами. Например, вбросив легиимному разработчику в код бэкдор. А тот пусть компилит и публикует в яблосторе, и вот уже миллионы ничего не подозревающих хомяков ставят себе прогу... и бэкдор.... И пропатчить текстовичок с сырцом - явно более просто чем с цифровыми подписями и низкоуровневыми особенностями чипсетов и разводки мамок долбаться :). Тем более что никто наверняка не проверяет детально что там в сторе. Ну потом то конечно вынесут, но энное время оно похулиганит, а потом и другого лоха можно найти. Под ифончик программит довольно много глуповатых гламурных тупиц, которые слыша "security" издают "wtf?" и вообще не греют свой мозг такой ерундой. >> А после парочки неожиданных факапов вероятно вредитель будет обнаружен. > Ну что ж, на его место придёт следующий. :) Пока я для начала и первого не вижу толком (лабораторный PoC и работоспособная дикая зараза не ломающая дров в автоматическом самоходном режиме - немного разные вещи). Ну CIH разве что, и тот - PoC такой злобненький по сути, просто так подгаданный что более-менее в майнстрим попал (процент компов на одном конкретном чипсете был большой). Сейчас нет такого единодушного засилия какого-то одного из чипсетов с точностью до модели. Интел и тот развел кучи подвидов и подтипов чипсетов на разные сегменты. Это тогда у них было все просто - один TX на все, и конкуренты как раз отстали. >> за решетку угодить, пожалуй. > Вы это скрипткидисам говорите, которые шальными эксплоитами роняют сайты быстро злящихся > дядь и тёть. :) Скрипткидисов - много. Каждый второй школьник - потенциальный киддис. Поэтому хотя их ловят пачками в силу тупизны, всех переловить нереально - тюрем не хватит. Зато всегда можно покозырять красивыми отчетами за счет этих олухов :). Тех кто может напрограммить код способный биос перещивать - намноооого меньше. Что здорово сужает круг подозреваемых. > Ну и что, что не все — вполне достаточно для массового распространения. Более реалистично - для факапа в стиле cih некоторого процента неудачников. Ну может попутно впихивания такого на пару компов на заказ за большие бабки. >> - Ряд мамок, особенно от гигабайта - с двойным биосом. Чип с >> базовой версией перешить проблематично, насколько я знаю. > Дык до перепрошивки ещё дойти надо. Надо тварь обнаружить. Она сама себя обнаружит. Попробовать грузануть операционку мало-мальски нестандартной версии/типа/с другим бутлоадером (у только линукса есть лило, груб1, груб2 и исолинукс, которые довольно существенно отличаются на уровне базовой анатомии) и пакость тут же обломится запатчить систему или сделает это крайне криво и вызовет уйму глюков, а то и просто покрешится все напрочь. Основная проблема руткита - в том что они себя демаскируют аномалиями. А тут еще ограниченность в месте и 100500 всяких факторов, которые надо учесть и которые усложняют жизнь. Оно очень быстро засветит себя имхо. Даже обычный то руткит вон попался на совершенно левом доступе к памяти + крахе процесса :) > А чем? Ни одного надёжного способа, кроме исследования микросхемы BIOS > в лабораторных условиях, нет по определению. Да блин, грузим линя и дампаем флеху flashrom. Просто, брутально, доступно даже хомяку в принципе, когда прижало. Ну и вот скажи еще что руткит (которому надо втиснуться в кошкин зад места) будет знать как сие перехватить и себя убрать из дампа, ага. А еще он надурит и методы сохранения дампа родными флешерами мамки и что там еще, при том и в виндозе и в досе сразу, ага. В минимум трех разных режима проца. А он не припухнет такую эвристику таскать в сильно ограниченном по месту (как бы BIOS львиную долю флехи и так занимает) низкоуровневом коде? Кстати упомянутый тобой фокус с ACPI тоже наврняка вызовет массу глюков и кто-то с экзотичной осью непременно полезет дампить столь странную таблицу для изучения и багрепортов и сильно удивится тому что там есть по факту :) > Не так уж и сложно, было бы желание. Прошивальщики-то обычно однотипные сами > по себе у одного производителя. Сначала ищется, где в нём эти сведения зашиты, > а потом для остальных моделей вытаскивается в полуавтоматическом режиме. Угу, еще и полуавтоматический дизассемблятор нужен? Всего-то? Который сможет в результате осилить только несколько ревизий мамок и может несколько типов оных от 1 производителя? А то эти редиски имеют свойство дописывать под себя утилсы и биосы, особенно крупные фирмы. >> и риск, если у вас есть рядом второй PC и программатор". > А зачем мне-то пробовать? Я зловреды не пишу. Ну как бы и добронамеренный флешер, который НИЧЕГО НЕ ПАТЧИТ может при просто обычной записи то все раздестроить, если производитель где-то отступил на миллиметр хоть в каком-то вопросе от того что ожидалось. А вы хотите еще и патчить что-то автоматически, и чтоб потом ничего не сдохло :) > А авторы зловредов не будут сильно переживать, если что-то накроется... Зато это их будет сильно палить а пользователи и фирмы-производители будут жаждать крови. > Ну то есть, конечно, они заинтересованы в том, чтобы не накрывалось. Но не > настолько, чтобы плакать горючими слезами над каждым убитым чужим BIOS'ом. Просто у меня есть такое ощущение что затраты сил на этот гемор vs результативность - совершенно никакие. Собственно, тем кому денег надо - проще примитивные ламерские трояны крупным оптом через 0day вбрасывать. Ботнеты - они да, в цене. Как и услуги по спаму, ддосам и прочая. А впихивание в биос - гемора много, неуниверсально чуть более чем полностью. Проще, блин, отгрузить малварь хомякам через аппсторы и отослать 100500 смс на короткий номер. [кусь] > Мы о разных вещах говорим. Я-то про изменение уже имеющихся в системе > файлов писал, а не установку «гнилого» пакета. Дык откуда эти изменения возьмутся у например типового юзверга, кроме как из проги в пакете? Ну сплойты можно допустить, но все известные дыры как правило штопают быстро и массовых поимений как правило не происходит. Единственным исключением является винда, где апдейты по расписанию, при том хакерам почему-то впадлу ждать месяц и они обычно действуют иным методом: кто не спрятался - они не виноваты. И то сетевой софт типа браузеров и т.п. - научился апдейтиться оперативно (ну кроме IE, как обычно). > Естественно. Это второй или третий, и отнюдь не последний, уровень обнаружения вторжений. Просто когда речь идет о успешно установленном рутките - такое выглядит довольно странно. Руткит сразу же подразумевает что мы не доверяем операциям чтения и системным утилитам в работающей системе. Возможно я что-то недопонял и вы в отличие от меня имели в виду восстановительно исследовательские операции, когда заведомо чистая копия ос заружена с ридонли носителя для изучения ситуации. > Дальше я убрал написанное, ибо - поверьте - в курсе. :) Ну и ок :) >> но чисто программно. Для отлова и изучения пакости сойдет, хотя реализовывать >> чипсет с докой на ~1000 страниц немного утомительно, разумеется :). > Это уже не обнаружение вторжений, а разбор полётов после... Это скорее полужелезный трейсинг/логгинг странных операций. Никто не мешает его делать в run time, если сильно охота, прямо в run time сливая логи. Другое дело что опять же - все упрется в геморность реализации. Но если вы вознамерились всерьез охотиться за привидениями - вариант в принципе, и не то чтобы так уж дико сложный в реализации. Явно не сложнее самого руткита пишущего себя в флеху :) Тем более что полуаппаратная виртуализация железа - достаточно интересное упражнение для любого человека который находится между железом и софтом. >> Ну как, теперь паранойя не даст вам спать? :))) > Сплю как убитый. ;) Ну вот :((. А у вас есть допустим привкеи которыми вы подписываете наиболее чувствительные операции? А где вы их храните? Допустим, хакеры готовы выложить несколько k$ или даже десятков k$ чтобы их спереть. Где бы вы их хранили, зная что на них будут всерьез охотиться не слишком глупые хаксоры? > Да. Я в курсе. Возможно, я не совсем ясно выразился — приношу свои извинения. Видимо так. Я почему-то так понял из вашей фразы что вы не учли этот момент. >> Уж простите конечно, но ваши понятия о руткитах - на уровне пещерного >> человека. > Это было уже не об аппаратных руткитах, повторюсь, а о других попытках > незаметно закрепиться в системе. Руткит — не обязан работать на уровне ядра. :) Я знаю, но честно говоря, поделки меняющие системные утили я за серьезные руткиты вообще не считаю в силу относительной простоты поимки. Например простейшей прогой на си написанной за 5 минут или любым охотником на руткиты из репов даже. > Конечно, он при этом легче отлавливается, но если уж > другого способа нет — пусть так, чем никак. :) Это весьма лайт версия руткита. И что значит - нет другого способа? Чисто физически оперативка - read/write, поэтому как минимум теоретически такой способ есть. Практически он может быть заметно загеморроен если ядро не грузит модули + метит область кода как ридонли а данных - как невыполнябельную. Тем не менее, кэп намекает что IOMMU например появился без году неделя и сильно местами. А без него - да, проц может и испытывает ограничения по доступу к оперативе, но железки с DMA могут и побеспределить. И как бы вся надежда на добропорядочность железяки :))) >> подписаны и проверка при установке делается. Что пакетов с бинарями, что >> с сырцами. И такие номера - не катят. > Подписанные — сложнее, да. Впрочем, когда это было-то... Ну да, мы не злопамятные. Но все-таки злые и память у нас хорошая. Поэтому злопыхать не буду, но выводы делать это не мешает. Если честно - как-то не ожилал настолько несерьезного администрирования от ЭТИХ людей. > Ну звиняйте. Можно систематически бросать далеко не бесконечные ресурсы на собственный > ftp.openbsd.org, а можно что-то исправлять и дополнять в самой системе. Ну да это отдельный разговор. Я думаю что с учетом кол-ва юзеров openssh и важности задач - они бы включили совесть и скинулись бы на сервачок для openssh, если попросить их об этом. > в нормальном датацентре? «Киньте клич»... Будьте реалистом. Википедия так собирает несколько миллионов баксов в год. Куда уж реалистичнее?! И не надо пожалуйста рассказывать про дикие цены в ДЦах, нынче цены стали вполне культурные и по зубам уже чуть ли не для хоумпаг. И траффика дают - хоть залейся. >> Sh... happens. Но по-моему, когда безопаснички отвечают за чужие FAILы - это >> идиотизм чистой воды. > Идиотизм — это когда утащили у конторы Самый Главный Электронный Сертификат, а > контора вместо того, чтобы быстренько заиметь другой, ждёт у моря погоды, > пока опростоволосившийся выпускатор сделает ей новый. Что-то торможу, а это о каком инцеденте речь? И кто ждал выпуска сертификата от слившегося выпускатора? Что-то настолько махровая тупость мне даже не припоминается. Это кто так? > А тут — тоже нехорошо, конечно, но, как показывает практика, FAIL'ы бывают у всех. Весь вопрос > — насколько серьёзные и насколько долго. :) Это тоже важный фактор, хрен поспоришь.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> И тем не менее шороху наделал изрядно. Ведь для зловредов «массового поражения» >> не обязательно поддерживать всё. > Я склонен его считать просто удачным PoC`ом (и плосковатой шуткой над пользователями). > Автор даже не пытался зарабатывать. Это лишь демо умений кодера и > технических возможностей. В нем было сразу много чего необычного: > - Обход колец защиты i386, правда только в win9x. В НТях не > работало, там изоляция юзера от кернела менее халявная. > - Прямой программинг железа под виндой. Олдскул показал что и на новых > рельсах себя неплохо чувствует, сделав то что даже любители доса не > осиливали. > - Флеш до этого момента никто сносить >> Это ведь бизнес. > Wrong. Такие вещи - делаются как искусство. Черная магия. От злых волшебников. > Но все-таки, временами у них получаются довольно красивые штуки. Хоть и > зловредные по природе своей. >> Разработка и прочие расходы должны банально окупаться доходами. > Не вижу как можно было поиметь денег за CIH. Наиболее реальное что > там можно поиметь - увесистый срок в случае поимки, т.к. это > вполне ощутимая порча оборудования будет суду более понятна чем эфемерное стирание > пары файлов ;) > Те кого волнует бизнес - скорее всего покупают у хардкорных реверсеров свежий > сплойт на 0day дыры для ишака (микрософт дыры не покупает, в > отличие от гугла и мозиллы). Пишут свой троян на дельфе (дотнете, > vb или какой там еще пакости любимой школьниками). Вгружают его сплойтом. > И вот там уже имеют некий доход от краж паролей к > популярным ресурсам (для спама), всякого там спама во всех видах, ддосов/флудов > на заказ, etc. Особо элитные злодеи собирают свои ботнеты. Но, собственно, > как шедевры кодерского искусства это фуфло из себя ничего такого не > представляет. Ну может кроме сплойта, при том что реверсеры сами по > себе обычно на бизнесе не ушиблены и продают все это вредителям > только потому что кроме них никто не платит, а трудная работа > - должна вознаграждаться. Мозилла и гугл умно вклинились в эту схему > и по этой причине имеют на порядки меньше проблем со взломами > через их браузеры. Тем более что ишак апдейтится не чаще раза > в месяц. Есть время для, кхе-кхе, толкания бизнеса. Одно дело купленый > сплойт будет месяц гарантированно работать блгодаря циклам патчинга и немного другое > дело если гугл или мозилла его заткнут через сутки экстренным фиксом. > Понятно чего перспективнее для этих бизнес-уродов. >> Если целевая платформа популярна, удельные затраты будут низкие, вот и всё. > Субъективно, бизнес-ориентированные трояны (lol!) отличаются довольно ламерским уровнем > технической части. То что интересно бизнесменам - вызывает зевоту у технарей. > Поэтому уровень реализации обычно понятно какой. >> Повторюсь, прототипы УЖЕ ЕСТЬ. Может, есть и боевые, но про то я не в курсе. > Прототип написать не настолько уж и сложно. Сложно сделать так чтобы оно > стало более-менее массово работать. >> Своего кода — да. А как насчёт ACPI, например? В его километровых >> таблицах можно что угодно творить... > Можно, но насколько я помню, это не машинный код. А как, собственно, > на машинный код управление то попадет без патчинга хоть небольшого кусочка > основного BIOS? А если пропатчить - так чексумм или подпись на > раз возбухнут и будет у юзера просто факап - биос выпадет > в режим рекавери. Если он выпадет в этот режим на ровном > месте, технарь который будет данный факап разруливать скорее всего заинтересуется вопросом > "а какого черта, собственно?!". А на нотиках вообще биосы какие-то извращенские, > с фирменными фичами ... и дебилизмами (типа блеклистинга "расово неправильных" карточек > wi-fi). >> Говорит. Только проверяется не всё подряд. Потому что CMOS, например, или те >> же ACPI-таблицы никто подписывать не будет. > ACPI таблицы кстати вроде как чексуммами снабжены. И это не машинный код. > От того что вы туда х86 команды записали, выполняться они там > не начнут. А как туда управление то получить при старте биоса > без хака части биоса с машинным кодом, у которой тоже чексумм > или даже подпись? Не, ну наверное можно найти какой-то баг типа > buffer overrun в парсере ACPI, но это уже как-то совсем изврат. > Да и с учетом засилья кривых биосов - есть шансы что > парсеры окажутся довольно дуракоустойчивы. Хотя это был бы крайне оригинальный и > извращенский метод, безусловно :) >>>[оверквотинг удален] >> а лежит где-то в централизованном хранилище — и тогда объектом атаки >> будет становиться данное хранилище. Как это с HDCP было, например. > Как пример реализации такой схемы: у процов самсуня есть efuses. В них > можно 1 раз зашить хеш. Это - хеш пубкея. Проц при > старте читает из флешки пубкей. Считает его хеш и убеждается что > ему дали верный пубкей. Далее читается первый загрузчик их флешки. И > его подпись проверяется прочитанным ранее кеем. Этот загрузчик читает следующую часть > (загрузчик, OS loader или что там еще) - и тоже проверяет > их подпись. Я вот так сходу не вижу - чего предлагается > в такой схеме сломать? _Однократно_ зашиваемые фьюзы? Не, там кто первый > встал - того и тапки^W ключ. А остальные - ну вы > в курсе, да? Не очень понятно - а что предлагается расхакать? > Думается в х86 как самый максимум - могут позволить перезапись корневого > ключа по аппаратному воздействию типа кнопки. Но подозреваю что софтварной халявы > тут всяко не будет. И вообще, скажете еще спасибо, если сможете > запускать другие системы кроме сами знаете какой. >> Боюсь, вы переоцениваете. Конечно, не все BIOS'ы одинаковые, но большая часть (т.е. >> под неё выгодно этими разработками заниматься) x86-материнок достаточно типовая. > Зависит от того что понимать под достаточностью. Я понимаю под достаточностью возможность > автоматически утолкать в BIOS, не убив попутно комп, достаточно кода для > того чтобы потом в автоматическом режиме патчить загрузчик какой-либо ОС для > чего-то злонамеренного с учетом того что содержимое оного может заметно меняться > у разных юзеров и версий ОС. > ИМХО это выглядит как довольно геморройное начинание, не несущее само по себе > никакого очевидного профита, зато довольно рисковое и крайне геморройное в техническом > плане. >> Более того, устройства от Apple, например, тоже становятся очень лакомой мишенью, т.к. >> количество моделей мало, а аппаратов — велико... > Думается их намного проще поиметь другими методами. Например, вбросив легиимному разработчику > в код бэкдор. А тот пусть компилит и публикует в яблосторе, > и вот уже миллионы ничего не подозревающих хомяков ставят себе прогу... > и бэкдор.... И пропатчить текстовичок с сырцом - явно более просто > чем с цифровыми подписями и низкоуровневыми особенностями чипсетов и разводки мамок > долбаться :). Тем более что никто наверняка не проверяет детально что > там в сторе. Ну потом то конечно вынесут, но энное время > оно похулиганит, а потом и другого лоха можно найти. Под ифончик > программит довольно много глуповатых гламурных тупиц, которые слыша "security" издают > "wtf?" и вообще не греют свой мозг такой ерундой. >>> А после парочки неожиданных факапов вероятно вредитель будет обнаружен. >> Ну что ж, на его место придёт следующий. :) > Пока я для начала и первого не вижу толком (лабораторный PoC и > работоспособная дикая зараза не ломающая дров в автоматическом самоходном режиме - > немного разные вещи). Ну CIH разве что, и тот - > PoC такой злобненький по сути, просто так подгаданный что более-менее в > майнстрим попал (процент компов на одном конкретном чипсете был большой). Сейчас > нет такого единодушного засилия какого-то одного из чипсетов с точностью до > модели. Интел и тот развел кучи подвидов и подтипов чипсетов на > разные сегменты. Это тогда у них было все просто - один > TX на все, и конкуренты как раз отстали. >>> за решетку угодить, пожалуй. >> Вы это скрипткидисам говорите, которые шальными эксплоитами роняют сайты быстро злящихся >> дядь и тёть. :) > Скрипткидисов - много. Каждый второй школьник - потенциальный киддис. Поэтому хотя их > ловят пачками в силу тупизны, всех переловить нереально - тюрем не > хватит. Зато всегда можно покозырять красивыми отчетами за счет этих олухов > :). Тех кто может напрограммить код способный биос перещивать - намноооого > меньше. Что здорово сужает круг подозреваемых. >> Ну и что, что не все — вполне достаточно для массового распространения. > Более реалистично - для факапа в стиле cih некоторого процента неудачников. Ну > может попутно впихивания такого на пару компов на заказ за большие > бабки. >>> - Ряд мамок, особенно от гигабайта - с двойным биосом. Чип с >>> базовой версией перешить проблематично, насколько я знаю. >> Дык до перепрошивки ещё дойти надо. Надо тварь обнаружить. > Она сама себя обнаружит. Попробовать грузануть операционку мало-мальски нестандартной > версии/типа/с другим бутлоадером (у только линукса есть лило, груб1, груб2 и > исолинукс, которые довольно существенно отличаются на уровне базовой анатомии) и пакость > тут же обломится запатчить систему или сделает это крайне криво и > вызовет уйму глюков, а то и просто покрешится все напрочь. Основная > проблема руткита - в том что они себя демаскируют аномалиями. А > тут еще ограниченность в месте и 100500 всяких факторов, которые надо > учесть и которые усложняют жизнь. Оно очень быстро засветит себя имхо. > Даже обычный то руткит вон попался на совершенно левом доступе к > памяти + крахе процесса :) >> А чем? Ни одного надёжного способа, кроме исследования микросхемы BIOS >> в лабораторных условиях, нет по определению. > Да блин, грузим линя и дампаем флеху flashrom. Просто, брутально, доступно даже > хомяку в принципе, когда прижало. Ну и вот скажи еще что > руткит (которому надо втиснуться в кошкин зад места) будет знать как > сие перехватить и себя убрать из дампа, ага. А еще он > надурит и методы сохранения дампа родными флешерами мамки и что там > еще, при том и в виндозе и в досе сразу, ага. > В минимум трех разных режима проца. А он не припухнет такую > эвристику таскать в сильно ограниченном по месту (как бы BIOS львиную > долю флехи и так занимает) низкоуровневом коде? Кстати упомянутый тобой фокус > с ACPI тоже наврняка вызовет массу глюков и кто-то с экзотичной > осью непременно полезет дампить столь странную таблицу для изучения и багрепортов > и сильно удивится тому что там есть по факту :) >> Не так уж и сложно, было бы желание. Прошивальщики-то обычно однотипные сами >> по себе у одного производителя. Сначала ищется, где в нём эти сведения зашиты, >> а потом для остальных моделей вытаскивается в полуавтоматическом режиме. > Угу, еще и полуавтоматический дизассемблятор нужен? Всего-то? Который сможет в результате > осилить только несколько ревизий мамок и может несколько типов оных от > 1 производителя? А то эти редиски имеют свойство дописывать под себя > утилсы и биосы, особенно крупные фирмы. >>> и риск, если у вас есть рядом второй PC и программатор". >> А зачем мне-то пробовать? Я зловреды не пишу. > Ну как бы и добронамеренный флешер, который НИЧЕГО НЕ ПАТЧИТ может при > просто обычной записи то все раздестроить, если производитель где-то отступил на > миллиметр хоть в каком-то вопросе от того что ожидалось. А вы > хотите еще и патчить что-то автоматически, и чтоб потом ничего не > сдохло :) >> А авторы зловредов не будут сильно переживать, если что-то накроется... > Зато это их будет сильно палить а пользователи и фирмы-производители будут жаждать > крови. >> Ну то есть, конечно, они заинтересованы в том, чтобы не накрывалось. Но не >> настолько, чтобы плакать горючими слезами над каждым убитым чужим BIOS'ом. > Просто у меня есть такое ощущение что затраты сил на этот гемор > vs результативность - совершенно никакие. Собственно, тем кому денег надо - > проще примитивные ламерские трояны крупным оптом через 0day вбрасывать. Ботнеты - > они да, в цене. Как и услуги по спаму, ддосам и > прочая. А впихивание в биос - гемора много, неуниверсально чуть более > чем полностью. Проще, блин, отгрузить малварь хомякам через аппсторы и отослать > 100500 смс на короткий номер. > [кусь] >> Мы о разных вещах говорим. Я-то про изменение уже имеющихся в системе >> файлов писал, а не установку «гнилого» пакета. > Дык откуда эти изменения возьмутся у например типового юзверга, кроме как из > проги в пакете? Ну сплойты можно допустить, но все известные дыры > как правило штопают быстро и массовых поимений как правило не происходит. > Единственным исключением является винда, где апдейты по расписанию, при том хакерам > почему-то впадлу ждать месяц и они обычно действуют иным методом: кто > не спрятался - они не виноваты. И то сетевой софт типа > браузеров и т.п. - научился апдейтиться оперативно (ну кроме IE, как > обычно). >> Естественно. Это второй или третий, и отнюдь не последний, уровень обнаружения вторжений. > Просто когда речь идет о успешно установленном рутките - такое выглядит довольно > странно. Руткит сразу же подразумевает что мы не доверяем операциям чтения > и системным утилитам в работающей системе. Возможно я что-то недопонял и > вы в отличие от меня имели в виду восстановительно исследовательские операции, > когда заведомо чистая копия ос заружена с ридонли носителя для изучения > ситуации. >> Дальше я убрал написанное, ибо - поверьте - в курсе. :) > Ну и ок :) >>> но чисто программно. Для отлова и изучения пакости сойдет, хотя реализовывать >>> чипсет с докой на ~1000 страниц немного утомительно, разумеется :). >> Это уже не обнаружение вторжений, а разбор полётов после... > Это скорее полужелезный трейсинг/логгинг странных операций. Никто не мешает его делать > в run time, если сильно охота, прямо в run time сливая > логи. Другое дело что опять же - все упрется в геморность > реализации. Но если вы вознамерились всерьез охотиться за привидениями - вариант > в принципе, и не то чтобы так уж дико сложный в > реализации. Явно не сложнее самого руткита пишущего себя в флеху :) > Тем более что полуаппаратная виртуализация железа - достаточно интересное упражнение для > любого человека который находится между железом и софтом. >>> Ну как, теперь паранойя не даст вам спать? :))) >> Сплю как убитый. ;) > Ну вот :((. А у вас есть допустим привкеи которыми вы подписываете > наиболее чувствительные операции? А где вы их храните? Допустим, хакеры готовы > выложить несколько k$ или даже десятков k$ чтобы их спереть. Где > бы вы их хранили, зная что на них будут всерьез охотиться > не слишком глупые хаксоры? >> Да. Я в курсе. Возможно, я не совсем ясно выразился — приношу свои извинения. > Видимо так. Я почему-то так понял из вашей фразы что вы не > учли этот момент. >>> Уж простите конечно, но ваши понятия о руткитах - на уровне пещерного >>> человека. >> Это было уже не об аппаратных руткитах, повторюсь, а о других попытках >> незаметно закрепиться в системе. Руткит — не обязан работать на уровне ядра. :) > Я знаю, но честно говоря, поделки меняющие системные утили я за серьезные > руткиты вообще не считаю в силу относительной простоты поимки. Например простейшей > прогой на си написанной за 5 минут или любым охотником на > руткиты из репов даже. >> Конечно, он при этом легче отлавливается, но если уж >> другого способа нет — пусть так, чем никак. :) > Это весьма лайт версия руткита. И что значит - нет другого способа? > Чисто физически оперативка - read/write, поэтому как минимум теоретически такой способ > есть. Практически он может быть заметно загеморроен если ядро не грузит > модули + метит область кода как ридонли а данных - как > невыполнябельную. Тем не менее, кэп намекает что IOMMU например появился без > году неделя и сильно местами. А без него - да, проц > может и испытывает ограничения по доступу к оперативе, но железки с > DMA могут и побеспределить. И как бы вся надежда на добропорядочность > железяки :))) >>> подписаны и проверка при установке делается. Что пакетов с бинарями, что >>> с сырцами. И такие номера - не катят. >> Подписанные — сложнее, да. Впрочем, когда это было-то... > Ну да, мы не злопамятные. Но все-таки злые и память у нас > хорошая. Поэтому злопыхать не буду, но выводы делать это не мешает. > Если честно - как-то не ожилал настолько несерьезного администрирования от ЭТИХ > людей. >> Ну звиняйте. Можно систематически бросать далеко не бесконечные ресурсы на собственный >> ftp.openbsd.org, а можно что-то исправлять и дополнять в самой системе. Ну да это отдельный разговор. > Я думаю что с учетом кол-ва юзеров openssh и важности задач - > они бы включили совесть и скинулись бы на сервачок для openssh, > если попросить их об этом. >> в нормальном датацентре? «Киньте клич»... Будьте реалистом. > Википедия так собирает несколько миллионов баксов в год. Куда уж реалистичнее?! И > не надо пожалуйста рассказывать про дикие цены в ДЦах, нынче цены > стали вполне культурные и по зубам уже чуть ли не для > хоумпаг. И траффика дают - хоть залейся. >>> Sh... happens. Но по-моему, когда безопаснички отвечают за чужие FAILы - это >>> идиотизм чистой воды. >> Идиотизм — это когда утащили у конторы Самый Главный Электронный Сертификат, а >> контора вместо того, чтобы быстренько заиметь другой, ждёт у моря погоды, >> пока опростоволосившийся выпускатор сделает ей новый. > Что-то торможу, а это о каком инцеденте речь? И кто ждал выпуска > сертификата от слившегося выпускатора? Что-то настолько махровая тупость мне даже не > припоминается. Это кто так? >> А тут — тоже нехорошо, конечно, но, как показывает практика, FAIL'ы бывают у всех. Весь вопрос >> — насколько серьёзные и насколько долго. :) > Это тоже важный фактор, хрен поспоришь.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру