BIOS и Руткиты

RootKit - под этим термином понимается набор утилит, которые хакер устанавливает
на взломанном им компьютере после получения первоначального доступа для
закрепления во взломанной системе и сокрытия следа своей порочной
деятельности. Первоначально руткиты появились в системах типа *nix, что и не
удивительно, так как ОС данного семейства были и будут наиболее успешными
сетевыми монстрами на рынке серверных систем. Однако несколько лет спустя,
путем страданий и метаний ищущего пролетариата хакерской сцены был получен
гибрид, способный работать и под win-системы. Над руткитами с момента их первого
появления создался необыкновенный таинственный ореал всё-могущности и
сложности в реализации, появились первые мечты, связанных с руткитами, о
тотальном превосходстве хакера над системами. Таким образом, в среде админов
закрепилась репутация руткита, как сложного и многогранного явления. Однако,
время лечит господа, и вот уже сегодня руткитом никого не напугаешь, существует
куча утилит предназначенных для безболезненного их устранения. Так что любой
уважаемый и добросовестный администратор сети имеет в своем арсенале
подобные утилиты.
Но по сообщениям иностранной прессы расслабляться пока рано, совсем недавно
эксперт по безопасности Джон Хисмен заявил, что в скором времени руткиты
достигнут небывалой сложности и наконец-то доберутся до BIOS:
"Руткиты становиться более угрожающими, BIOS - это только следующий шаг. Пока
это не угроза, но оглянуться вокруг надо и побеспокоиться уже сегодня -
необходимо" - заявил товарищ Хисмен на конференции Black Hat Federal.
Оказывается, что в состав набора функций для управления питанием (Advanced
Configuration and Power Interface - ACPI) входит язык высокого уровня, который может
потенциально использоваться для написания руткитов и хранения ключевых функций
нападений во флеш памяти BIOS.
Подробней о механизмах БИОСа с шутками и прибаутками:
rom.by
Спецификация ACPI можно достать здесь:
www.acpi.info
Каким образом, это можно осуществить Джон мило объяснил на конференции,
любезно сопроводив свои словесные изыскания слайдами с принципом работы
будущего руткита:
www.blackhat.com
Какие перспективы открываются перед хакером в случае использования БИОСа в
своих целях?
Сам эксперт выделяет 5 пунктов:
1.Руткит может пережить перезагрузку и выключение компьютера
2.Руткит не будет оставлять никаких записей на диске
3.Руткит сможет пережить переустановку ОС.
4.Руткит будет сложно обнаружить
5.Руткит будет сложно убрать
Как можете сами убедиться, БИОС - это лакомый кусочек, который просто так и
хочется стащить. Однако существует несколько проблем. Каким образом, даже
используя этот язык высокого уровня засунуть многообразные основные функции
любого современного руткита в БИОС, а тем более добиться его автономии
(самостоятельного функционирования) - это вопрос. Если же, как предлагает Джон
все-таки использовать операционную систему, значит из всех преимуществ сразу
улетают в теплые страны пункты 2,3,4 (его становиться вполне просто обнаружить
из-за наличия посторонних файлов или записей, которые к тому же еще и зависят от
принципа функционирования самой ОС). Его возможно будет сложно убрать, но я
думаю в большинстве случаев простая перепрошивка или замены чипсета BIOS на
аналогичный дело поправит. Кроме того, существует и другая более сложная
проблема, дело в том, что практически все современные материнские платы
содержат перемычку, которая позволяет физически запретить любую запись во
флеш память БИОСа, что ведет к полному краху каких либо надежд, по крайней мере,
в половине случаев.
Кстати, этот метод появился не вчера, стоит вспомнить, например, вирус WINCIH,
который в себе содержал функции по перезаписи флеш памяти БИОСа, чем и
приводил компьютерную систему к полному краху. Однако я не думаю, чтоб автор
вируса тогда задумывался над операциями посложнее банальной случайной
перезаписи, а тем более над реализацией руткита.
Поплакать над могилкой усопшего winCIHа можно тут:
www.viruslist.com
Подытожив можно огласить, что на сегодняшний момент, хотя бы и существует язык
высокого уровня, способного изменять флеш память БИОСа, описание и
компиляторы которого легко доступны, рано говорить о создании чудо-зверя
способного манипулировать всей системой через БИОС. Возможно можно
согласиться, что в недалеком будущем появятся руткиты, способные частично
внедряться и использовать БИОС в качестве инструмента, однако такой руткит будет
очень сложен в исполнении и вряд ли оправдан в большинстве случаев с
практической точки зрения.

Mobile Timere / Мобильный ужас

Часто ли вы пользуетесь мобильным телефоном? Каждый день, час или вам
названивают постоянно, не переставая, каждую минуту? Признайтесь, вы подсели на
это чудо технической мысли всеми своими частями тела, включая голову. Вы уже не
можете чувствовать себя комфортно, забыв телефон дома. Иногда это выводит вас
из себя, вы начинаете нервничать и трепать себе нервы.
Сегодня сотовый телефон такой же атрибут современной жизни, как и радио
пятьдесят лет назад в руке каждого собаковода. Пропорционально росту
потребностей появляются все новые и новые возможности в современных сотовых
телефонах, будь то записная книжка или фотокамеры, под такие возможности
требуются все более продвинутые и сложные ОС. А там где сложные ОС и
популярность, там всегда есть что? Правильно вирусы, вот та часть сегодняшнего
мира, которую нам так долго не хватало в мобильных телефонах.
История появления первого мобильного вируса проста до банальности. В 2004 году
в июне месяце, 14 числа, командой 29A, уже не раз упоминавшееся на страницах
этой рассылки, был реализован первый мобильный вирус Caribe, который и умел
только инсталлироваться, при этом сама ОС задавала куча вопросов, а потом с
большим пылом начинал рассылать себя любимого, используя стандарт Bluetooth,
причем целью атаки могло стать любое устройство вплоть до кофеварки или
принтера (Caribe не фильтровал устройства, посылая самого себя на все подряд и
работал только на телефонах от Нокиа), если там был выше обозначенный стандарт
связи.
Но это было только начало, в конце декабря 2004 та же команда решила сделать
небольшой новогодний подарок всей VX-сцене, выпустив свежий релиз своего
журнала, где мелким подчерком публиковался исходный код Caribe. Реакция не
заставила себя долго ждать и сцена мобильного вирусописательства рванула с
места так, как изголодавшийся котяра на крысу в подъезде. За последующие
месяцы появилось множество клонов, среди которых выделялся разве что только
Skulls. Это был первый Троян под мобильные телефоны, который умел портить
несколько приложений и безобразничал с системой. Серьезный разговор о
мобильных вирусах нужно начинать с Commwarriorа, который показал себя в марте
месяце 2005 года и использовал принципиально новый способ размножения MMS,
вирус кстати написан нашим соотечественником.
По сути, у любого современного вируса на мобильной платформе не так уж много
способов размножаться, их всего лишь три - это Bluetooth, MMS, 0-day релизы (на
подобии первых вирусов, которые распространялись на дискете, то есть вместе с
популярным софтом). Потенциально возможны так же способы, которые будут
использовать принципиально новые дырки в этих протоколах и ОС, но это всего лишь
продолжение тех трех методов. Если говорить в перспективах возможно так же
распространение через WI-FI, но это дело будущего, пока не реализованное.
Механизмы защиты у современных вирусов не так уж разнообразны, например,
зараза под названием Drever предпочитает тупо затирать все антивирусные
программы, какие найдет на просторах карты памяти мобильного телефона. Благо
для вирусов таких пакетов защит на сегодняшний день не так много, как под PC,
сказывается малая коммертизация развивающегося рынка вирусов под телефоны,
так что и такой способ годиться. Вирус Doomboot просто предпочитает не показывать
своего присутствия на телефоне, по-тихому устанавливаясь вместе с игрой (похожий
механизм и у Dampig) или CommWarrior, который в сообщение MMS шифруется
фантастическими программами или обновлениями от www.symbian.com ("Dr.Web!
New Dr.Web antivirus for Symbian OS. Try it!", "MS-DOS emulator for SymbvianOS. Nokia
series 60 only. Try it!", "SymbianOS update").
В последнее время часто участились случаи появления новых зараз под мобильники
(зараз зовут Sendtool, Pbstealer и Bootton), после затишья, которое длилось около
полугода(ну считайте с лета), но до сих пор иностранные собратья дальше MMS и
Bluetooth не продвинулись - на лицо упадок активности. Но ходят слухи господа, ходят
слухи, что скоро на свет появиться первый полиморфный вирус под мобильники, а
потом и до кроссплатформенности не далеко. Более подробно о мобильных вирусах в
моей статье в спецхакере, там же интервью с товарищем, написавшим Commwarrior:
xakep.ru

Прекрасное далеко не будь ко мне жестоко, жестоко не будь…

В то время, как жестянки, похожие на корабли бороздят просторы космоса, а Баба
Нюра из соседнего подъезда начинает готовить свой очередной холодец, так как
опять похолодело, на сетевом же фронте на фоне резко обострившейся язвы у
товарища Ильфа Петровича, соседа с верху, как всегда царит Хаус. В очередной раз
компания IBM представила мировому сообществу результаты своих исследований в
отчете Global Business Security Index Report, в котором сухим и клерковским языком
рассказала, что же ждет мировое сетевое сообщество в следующем году. Первым
делом из доклада следует, что мировая преступность, коя связанна непосредственно
с Интернетом, переключиться от глобальных атак к атакам, несущим более частный
характер. Иными словами, нынче преступнику не выгодно работать с толпой
малограмотных пользователей, а выгодно работать на заказ в отдельно взятых
компаниях. Кроме того, на фоне все более усложняющегося софта, который связан с
защитой данных, будущих хакер предпочтет работать не с этими программами,
выискивая в них новые уязвимости, а непосредственно с персоналом той
организации, на которую они нацелились. То есть товарищи, по прогнозам IBM,
будущий год будет годом возрождения великой хакерской эпохи 80-х, то есть годом
социальной инженерии. Преступнику необязательно разбираться в тонкостях
защиты, которую предполагается взламывать, сегодня легче работать
непосредственно с персоналом организации, заставив, например, отдельного
индивида такой организации невзначай запустить у себя на компьютере, вложенный
файл к письму или путем хитроумного запудривания мозгов сообщить
злоумышленнику конфиденциальную информацию. Правда цели нынешних хакеров
несколько отличаются от целей тогдашней сцены, да и характер преступлений уже не
тот, что был раньше. Ура товарищу Митнику, который твердил это в Москве еще год
назад, если же вы не успели услышать речи Митника тогда, предлагаю сделать это в
июне 21-23 на конференции Interop Moscow 2006, куда он торжественно обещал
приехать:
www.interop.ru
Если же до теплого времени ждать не хочется или не можется, предлагаю скачать
пиратскую версию видео той самой конференции по адресу:
www.mitnick.com.ru
Иной точки зрения придерживается независимый, но уважаемый эксперт по
безопасности, товарищ Dancho Danchev, исследования и прогноз которого вы
можете увидеть здесь:
www.packetstormsecurity.org
Друг сетевого пролетариата Д.Д. предлагает свой расклад событий. На фоне жуткой
монополизации софтверного рынка в лице той же Микрософт, он предполагает, что
следующий год, станет годом глобальных эпидемий, связанных с проблемами в
продуктах, таких Windows XP или IE7, новые дырки которых, если вы и не
почувствовали на собственной шкуре до сего момента, то обязательно, уверяю вас,
почувствуете в ближайшее время. Что же говорить о долгожданной грандиозной
премьере новой Windows в этом году, тут товарищ Д.Д. опускает руки и жалобно
трепещет о конце света.
С фишингом в следующем году, как говорит IBM, тоже будет не все в порядке,
конечно же, ожидается в большом количестве, исходя из общего прогноза, так
называемый, целевой фишинг, который направлен на конкретную организацию с
теми же целями, как и всегда (например, спам на почтовые адреса компании,
который имитирует служебную переписку).
Д.Д. и IBM сходятся в 2-х вещах, что не может не настораживать, первая из них это
угроза со стороны botnet сетей, на столпе которых держится весь преступный мир
интернета сегодня в виде спама, Ddos атак и прочая и прочая. И IBM и Д.Д.
соглашаются, что их количество будет неуклонно расти в следующем году и с этим
надо что-то делать. Правда, IBM несколько не логична, в той позиции, что позвольте
узнать, откуда ж будут пребывать сии ботнет сети, если не с помощью тех же
рядовых пользователей, на которых по прогнозам IBM в следующем году будет
меньше атак? (впрочем, это мое скромное мнение).
Ну а вторая позиция касается мобильных устройств, атаки на которых в году 2005
были активней некуда с изобретением нового направления вирусописательской
мысли. Хотя друг пролетариата и IBM соглашаются, что возможны вирусы и не были
столь опасны в 2005 году, однако утверждают, что опасность гораздо возрастет в
2006.
Товарищ Д.Д. использовал в своем исследовании опыт в области защиты
информации, и анализ тенденций рынка, добавил немного психологии, логику
бизнесмена, и личные мнения экспертов. Статистика, самая великая из наук, как
всегда на стороне IBM. Правда, как всегда, где-то по середине, решать, кому верить,
только вам.

Спасибо проектам:

Внимание:

Проект всегда готов к сотруничеству, если вам есть, что рассказать,
то мы всегда опубликуем ваши новости и аналитику, связанную с
миром безопасности - давайте работать вместе!
Вам лишь надо написать об этом на почтовый ящик networkscafee@tut.by