Так случилось, что за короткое время на глаза попалась разнообразная информация, доказывающая, что реальная информационная безопасность возможно, что и миф. Нет ее
Ну про возможные закладки в IPSEC в OpenBSD, тема сейчас "горячая" и даже на rsdn есть в КСВ обсуждение. Если кто не в курсе, вот исходная статья. Для тех кто не очень в теме и может даже почти ничего не слышал про OpenBSD, стоит знать, что разработки по безопасности из OpenBSD используются очень много где. От линуксов и до разных программ в Windows.
А вот еще парочка статей уже не новых, но показывающих, что обычный и даже не очень обычный пользователь компьютера вполне может быть "под колпаком у Мюллера".
BIOS-ный троян здесь про фичу, причем вроде как легальную фичу от Absolute Software типа для поиска украденных ноутбуков. Соль в том, что в BIOS многих(!) ноутбуков внедрено кое-что, что приводит к появлению в запущенной Windows специального процесса для управления извне.
Про аппаратную виртуализацию. Часть1. и Часть 2. Опять же вроде как и не совсем новость, но две статьи убедительно показывают, что при грамотной реализации фичи производителем оборудования, пользователю их оборудования практически ничего не светит в попытках вырваться из под контроля.
На современных серверных платформ Intel, используется три отдельных микросхемы флеш-памяти на своих выделенных SPI интерфейсах и присутствует аппаратура шифрования их содержимого. Обнаружить в них программный код гипердрайвера даже после выпаивания микросхемы флеш-памяти абсолютно невозможно без применения криптографических методов.
Технология, кстати, успешно обкатывается "на хомячках". Гипервизор у приставки Sony PS3 так и не сломали. Также как и у XBox, максимум только добились временных до следующей перепрошивки, возможностей по запуску программ в обход запретов. Можно еще сотовые телефоны-смартфоны вспомнить.
Вирус stuxnet, тоже кое-что показал на чего способны колапководы.
И это только то, что на поверхности и стало широко известным хотя бы и в узких кругах. А о чём мы ещё не знаем?
Хотя я привел ссылки на статьи, но не удержусь процитировать. Очень уж меня умиляет (недавно поспорил с одним таким наивным) надежды на официальную информационную безопасность и сертификаты разных там контор.
Согласно Положению о порядке ввоза на таможенную территорию криптографические средства, не имеющие Российского сертификата должны ввозиться в отключенном производителем состоянии. Если же они включены, то на них должна быть выдана лицензия (сертификат).
Согласно Российскому законодательству, сертификация возможна только для криптографических средств использующих Российские алгоритмы (постановление Правительства № 608, Система сертификации СКЗИ РОСС. RU. 0001.03000. пункт 3.2.4.)
Но во ВСЕХ серверных материнских платах INTEL в южный мост чипсета встроен блок менеджмента системы (ВМС), и в составе этого блока имеется криптографическая аппаратура, более того программы для сервисного процессора зашифрованы импортным алгоритмом.
Хе-хе
Серверов ввезено миллионы, кто-нибудь, когда-нибудь слышал об отключении блока ВМС на серверах? – Вопрос конечно риторический, сервер INTEL без этого блока не работает в принципе.
S>Ндя, такая солянка — а самое "страшное" забыли S>Анонимности тоже нет.
Да наложилось. Еще и с одним упертым товарищем поспорил, он так уверен, что раз у наших спецслужб есть исходные коды Windows и других систем и они ее сертифицировали, то значит это действительно безопасно. Я ему так и не доказал, что эта сертификация в смысле реальной безопасности абсолютный ноль.
Здравствуйте, Michael7, Вы писали:
M>Да наложилось. Еще и с одним упертым товарищем поспорил, он так уверен, что раз у наших спецслужб есть исходные коды Windows и других систем и они ее сертифицировали, то значит это действительно безопасно. Я ему так и не доказал, что эта сертификация в смысле реальной безопасности абсолютный ноль.
Сертификация и безопасность — ортогональные вещи. Сертификат ФСТЭК подтверждает, что:
...
Соответствует ЗБ MS.Win_XP.ЗБ и имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002).
...
Всё.
Все остальные страшилки (и реакция на них) — всё то же незнание матчасти. Страшный BIOS-троян представляет из себя банальный pci-rom, подменяющий autocheck.exe Любой нормальный антивирус (и даже троян-детектор аля Greatis RegRun Reanimator) ловит такие поделки на раз-два. Прочее к реальным проблемам с безопасностью относится примерно так же.
Более того, разрешение ввозить якобы отключенные ТРМ модули — это серьезная угроза для информационной безопасности страны, поскольку эти якобы «отключенные» ТРМ модули используются системами удаленного управления вычислительными установками от ноутбука до сервера включительно. В системах дистанционного управления они отвечают за разрешение удаленному узлу получить контроль над вычислительной установкой.
M>Серверов ввезено миллионы, кто-нибудь, когда-нибудь слышал об отключении блока ВМС на серверах? – Вопрос конечно риторический, сервер INTEL без этого блока не работает в принципе.
Читал, там непонятно про что вообще, не про сервера же?
На самом деле свой велосипед изобретать очень даже нужно. Для важнейших применений должна использоваться только и исключительно своя электроника, произведенная здесь и свое ПО. Было время (в 90-х) когда над такими требованиями смеялись, помню как Гайдар в Зеленограде объяснял глупым электронщикам ни хрена не смыслящим в финансах, что все что нам нужно гораздо дешевле и качественнее сделают те, кто имеет нужный опыт и технологии. Как-то в таком духе он вещал.
Сейчас похоже при всем желании не могут свое сделать и начинаются всякие танцы с бубном вокруг разных сертификаций и разрешений, которые сдается мне мало, что решают.
Здравствуйте, Michael7, Вы писали:
M>Так случилось, что за короткое время на глаза попалась разнообразная информация, доказывающая, что реальная информационная безопасность возможно, что и миф. Нет ее
Если под информационной безопасностью подразумевается отсутствие уязвимостей, то безопасных систем не существует в принципе. Но из этого не следует, что невозможно обеспечить информационную безопасность, т.к. ИБ — это не отсутствие опасностей, а понимание того, что делать в случае реализации каждой из них. Мы с DOOM'ом подробно рассказывали об этом тут: О баззвордности термина "безопасность"
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Если под информационной безопасностью подразумевается отсутствие уязвимостей, то безопасных систем не существует в принципе.
Похоже речь идёт даже не об отсутствии уязвимостей, а о том до какой планки можно считать себя (фирму и др.) "Неуловимым Джо" и начиная с которой можно опасаться чрезвычайно изощренных атак на ИБ, а с какой вообще стоит считать, что у вас нет секретов
KV> Но из этого не следует, что невозможно обеспечить информационную безопасность, т.к. ИБ — это не отсутствие опасностей, а понимание того, что делать в случае реализации каждой из них. Мы с DOOM'ом подробно рассказывали об этом тут: О баззвордности термина "безопасность"
По факту паранойя начинает говорить о том, что если кому-то сильно нужны, непонятно что делать, если скрытые уязвимости можно подозревать буквально во всем. И OpenSource тут хотя и имеет некоторое преимущество, но вовсе не такое большое, как могло бы показаться. Например, если возникают подозрения в отношении всего ключевого оборудования (маршрутизаторы, серверы и даже ноуты сотрудников). Утешает только то, что настолько серьёзным парням мало какая фирма может оказаться интересной и спать спокойно
[]
S>Все остальные страшилки (и реакция на них) — всё то же незнание матчасти. Страшный BIOS-троян представляет из себя банальный pci-rom, подменяющий autocheck.exe Любой нормальный антивирус (и даже троян-детектор аля Greatis RegRun Reanimator) ловит такие поделки на раз-два. Прочее к реальным проблемам с безопасностью относится примерно так же.
Здравствуйте, kig, Вы писали:
kig>А если BIOS-троян является гипервизором?
на практике основную опасность представляют тупые exe или даже pdf, которые легко обнаружить мозгами, но которые не обнаруживаются антивирусами, т.к. антивирусные компании не получили сэмпла. разумеется, когда какой-то отдельно взятый exe вызывает массовую вспышку заражения, он тут же обнаруживается.
а наличие гипервизора обнаруживается элементарно. если хотите спорить, что это не так -- код гипервизора, который я не смогу обнаружить плз
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, kig, Вы писали:
kig>>А если BIOS-троян является гипервизором? М>на практике основную опасность представляют тупые exe или даже pdf, которые легко обнаружить мозгами, но которые не обнаруживаются антивирусами, т.к. антивирусные компании не получили сэмпла. разумеется, когда какой-то отдельно взятый exe вызывает массовую вспышку заражения, он тут же обнаруживается.
М>а наличие гипервизора обнаруживается элементарно. если хотите спорить, что это не так -- код гипервизора, который я не смогу обнаружить плз
Дело не в коде, дело: во 1-х в месте, где он сидит, во 2-х он первый "в тапки встает".
Ес-но, речь о полной хард-виртуализации — AMD-V, VT-x... можно еще упомянуть "экзотику" типа zServer IBM ... без изъятия чипа на исследование.
В общем, задача сводиться к обнаружению Blue Pill из биоса (о чем Рутковска на всех конференциях толкует).
Здравствуйте, kig, Вы писали:
kig>Здравствуйте, мыщъх, Вы писали:
М>>Здравствуйте, kig, Вы писали:
kig>Дело не в коде, дело: во 1-х в месте, где он сидит, во 2-х он первый "в тапки встает".
ну вот давайте вы мне покажите гипервизор, который я обломаюсь обнаружить. типа вы пишите гипервизор, а я программу, которая говорит где она исполняется под гипервизором или без него (у программы ес-но есть права админа и она работает из-под ядра, но само ядро может работать под гипервизором, а может и на голом железе и мне нужно как-то _стабильно_ это обнаруживать). ничего если я попутно скажу SMM включен или нет? кстати, SMM я вам задетектирую даже удаленно. а локально — с прикладного уровня без прав админа. даже если вы меня под виртуалкой запустите.
kig>Ес-но, речь о полной хард-виртуализации — AMD-V, VT-x... можно еще упомянуть "экзотику" kig>типа zServer IBM ... без изъятия чипа на исследование.
всякая известная виртуализация легко обнаруживается. хотя уже по факту ограниченной поддержки вложенной виртуализации. хинт: есть уже есть гипервизор, то ему бедному придется рвать попу, чтобы проэмулировать моего гипервизора. и если мне не удается вообще войти в режим гипервизора (а он по документации есть) или удается, но тормозно, косячно и с ограничениями -- то, очевидно, нас поимели.
так же любая посторонняя активность проверяется через временные характеристики той же оперативной памяти. если я не под гипервизором и SMM вырублен -- картина одна. стоит врубить SMM -- картина резко меняется, что и неудивительно, т.к. с оборудованием не поспоришь.
kig>В общем, задача сводиться к обнаружению Blue Pill из биоса (о чем Рутковска на всех конференциях толкует).
элементарно обнаруживается по косячной эмуляции этот ваш blue pill. в смысле обнаруживается, что мы под гипервизором. что же касается обнаружения данного конкретного кода -- так во времена i386 тоже были вирусы, которые входили в защищенный режим и пускали DOS. и DOS'у было невозможно их обнаружить. так и сейчас. теоретически достаточно и 386-защищенного режима, чтобы выполнять 16-разрядный код, не давая ему обнаружить защищенный. толку с того? вынь даже не загузиться. так и тут. как только вынь станет активно использовать режим гипервизора...
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>всякая известная виртуализация легко обнаруживается. хотя уже по факту ограниченной поддержки вложенной виртуализации. хинт: есть уже есть гипервизор, то ему бедному придется рвать попу, чтобы проэмулировать моего гипервизора. и если мне не удается вообще войти в режим гипервизора (а он по документации есть) или удается, но тормозно, косячно и с ограничениями -- то, очевидно, нас поимели.
Достаточно убедить программу что она работает на проце, в котором нет поддержки аппаратной виртуализации.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, kig, Вы писали:
kig>А если BIOS-троян является гипервизором?
С описанным подходом к внедрению — не явится. Если оно запишется в MBR, то биос-троян, не биос — один фиг. Если интересует оценка серьёзости подобных угроз — это к специалистам. Например, к DOOM и Кочеткову (если кого забыл — извинииите ).
Да всё фигня это. Будет так — как в штатах с безопасностью: напыщенности много, а дела мало. Народу много, а слаженности нет. В итоге пронести кока-колу на борт нельзя, а взрывчатку в ботинке без билета на рейс — ЛЕГКО
Что касается закладок, то даже если они есть, их поди использовать не так просто. При нынешнем уровне программистов да даже в том же Микрософте они скорее потеряют документацию закладок , чем будут их реально использовать.
Здравствуйте, iHateLogins, Вы писали:
HL>Да всё фигня это. Будет так — как в штатах с безопасностью: напыщенности много, а дела мало. Народу много, а слаженности нет. В итоге пронести кока-колу на борт нельзя, а взрывчатку в ботинке без билета на рейс — ЛЕГКО
там не все так просто. но, поскольку меня из-за моего внешнего вида досматривают особо тщательно, то я уже в курсе как работает система и потому на внутреннем перелете в сша легко пронес то, что проносить нельзя (на спор), причем как всегда меня досматривали отдельно. и я простой пассажир, который знает о системе шмона постольку-поскольку.
HL>Что касается закладок, то даже если они есть, их поди использовать не так просто. При нынешнем уровне программистов да даже в том же Микрософте они скорее потеряют документацию закладок , чем будут их реально использовать.
вполне вероятно. а с учетом того, что код правит большое кол-во людей в разных местах нужно как-то предотвратить случайное выпиливание закладок (вдруг джон с иваном решат переписать 15 тыс строк модуля от 89 года?)
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, kig, Вы писали:
kig>>Здравствуйте, мыщъх, Вы писали:
М>>>Здравствуйте, kig, Вы писали:
kig>>Дело не в коде, дело: во 1-х в месте, где он сидит, во 2-х он первый "в тапки встает". М>ну вот давайте вы мне покажите гипервизор, который я обломаюсь обнаружить. типа вы пишите гипервизор, а я программу, которая говорит где она исполняется под гипервизором или без него (у программы ес-но есть права админа и она работает из-под ядра, но само ядро может работать под гипервизором, а может и на голом железе и мне нужно как-то _стабильно_ это обнаруживать). ничего если я попутно скажу SMM включен или нет? кстати, SMM я вам задетектирую даже удаленно. а локально — с прикладного уровня без прав админа. даже если вы меня под виртуалкой запустите.
Ок. Если рассматривать только AMD-V, т.к. VT-x в обозначенном (и не только) аспекте ущербна == не полная нард-виртуализация (ИМХО), определите виртуализацию SMM?
15.21
SMM Support
This section describes SVM support for virtualization of System Management Mode (SMM).
15.21.1 Sources of SMI
Various events can cause an assertion of a system management interrupt (SMI); ...
(AMD64 Architecture Programmer's Manual Volume 2 System Programming Rev 3.14)
kig>>Ес-но, речь о полной хард-виртуализации — AMD-V, VT-x... можно еще упомянуть "экзотику" kig>>типа zServer IBM ... без изъятия чипа на исследование. М>всякая известная виртуализация легко обнаруживается. хотя уже по факту ограниченной поддержки вложенной виртуализации. хинт: есть уже есть гипервизор, то ему бедному придется рвать попу, чтобы проэмулировать моего гипервизора. и если мне не удается вообще войти в режим гипервизора (а он по документации есть) или удается, но тормозно, косячно и с ограничениями -- то, очевидно, нас поимели.
VT-x рассматриваем, Ок?
А по оставшимся (AMD-V... ну и вместо z серии можно s370 вспомнить) есть вопросы:
1. В чем, по Вашему определению, ограниченная поддержка вложенной виртуализации (по подробнее можно?), и как это может помочь в реализации red pill. Как придется рвать попу гипервизору — конкретно — чего он должен эммулировать? Речь, случаем, не о shadow paging? Если о них — без аппаратной поддержки методика уже отработана аж с начала 70 годов прошлого века. Ну а с появлением аппаратной поддержки nested paging вообще проблемы не вижу.
2. Тормозно (косячно это вопрос реализации) — с чем сравнивать? С субъективным, навязанным гипервизором, временем?
3. Ограничения в чем?
М>так же любая посторонняя активность проверяется через временные характеристики той же оперативной памяти. если я не под гипервизором и SMM вырублен -- картина одна. стоит врубить SMM -- картина резко меняется, что и неудивительно, т.к. с оборудованием не поспоришь.
Временные характеристики из виртуального (гость) или реального (хост) мира?
kig>>В общем, задача сводиться к обнаружению Blue Pill из биоса (о чем Рутковска на всех конференциях толкует). М>элементарно обнаруживается по косячной эмуляции этот ваш blue pill. в смысле обнаруживается, что мы под гипервизором. что же касается обнаружения данного конкретного кода -- так во времена i386 тоже были вирусы, которые входили в защищенный режим и пускали DOS. и DOS'у было невозможно их обнаружить. так и сейчас. теоретически достаточно и 386-защищенного режима, чтобы выполнять 16-разрядный код, не давая ему обнаружить защищенный. толку с того? вынь даже не загузиться. так и тут. как только вынь станет активно использовать режим гипервизора...
Здравствуйте, Sinix, Вы писали:
S>Здравствуйте, kig, Вы писали:
kig>>А если BIOS-троян является гипервизором? S>С описанным подходом к внедрению — не явится.
А с таким, внедренный производителем?
Но во ВСЕХ серверных материнских платах INTEL в южный мост чипсета встроен блок менеджмента системы (ВМС), и в составе этого блока имеется криптографическая аппаратура, более того программы для сервисного процессора зашифрованы импортным алгоритмом.
Любой нормальный антивирус (и даже троян-детектор аля Greatis RegRun Reanimator) ловит такие поделки на раз-два. Прочее к реальным проблемам с безопасностью относится примерно так же.
кстати, SMM я вам задетектирую даже удаленно. а локально — с прикладного уровня без прав админа. даже если вы меня под виртуалкой запустите.
