Для этого она должна знать, где он лежит.

Это действительно большая проблема.

А с IOMMU даже это ей не поможет.

Так и запишем: IOMMU запрещает доступ по физическим адресам к памяти, и вообще неподконтролен АНБ.

и вообще неподконтролен АНБ

Ты способен предоставить какие-либо доказательства своим воплям кроме «ЗА НАМИ СЛЕДЯТ ЖИДЫ»?

уметь расшифровать данные

зачем? Если собирать по сигнатуре, не понадобится. Кстати, в момент обращения есть теоретическая возможность получить любые нужные для расшифровки данные из оперативной памяти. Опять же, по сигнатуре. P.S. Линус продался — в Linux 4.0 будет добавлена поддержка TPM 2.0 (комментарий)

IOMMU запрещает доступ по физическим адресам к памяти

Устройство не имеет доступа к физическим адресам, а шинные адреса контролируются IOMMU.

и вообще неподконтролен АНБ.

При определенном градусе паранойи АНБ подконтрольны даже небо, даже аллах.

Какая еще сигнатура, если данные зашифрованы, причем с солью?! Ну допустим даже передаст троян кусок, хоть весь hdd сольет, что там с ним будут делать, те кто его получит. Каким-то образом такому трояну надо еще выцепить пароль из памяти, что по-моему, непросто без ОС и перехвата данных конкретной программы шифрования.

Что мешает вычислить софт и загрузить вместо него троян? Или у тебя есть какое-то специальное устройство чекующее софт в памяти?
Есть цель «съема информации с военных объектов, энергетических компаний и других государственных ведомств» то ты будешь иметь своего человека в штате и знать всю систему безопасности.

Пrостите пожалуйста, но таки действительно следим.

Что мешает вычислить софт и загрузить вместо него троян?

То есть ты не знаешь, что может этому помешать? %)

Касперскому тоже захотелось получить орден за борьбу с врагами и немного деньжат из фонда национального благосостояния.

Что мешает вычислить софт и загрузить вместо него троян? Или у тебя есть какое-то специальное устройство чекующее софт в памяти?

Как минимум, то что мы говорим о трояне, работающем мимо ОС вообще. Целевая атака на конкретную систему более чем возможна, а вот универсальная уже сомнительно.

Надо посмотреть, может они пруфы предоставят, например, фрагменты кода прошивки винчестеров.

Это если они зашифрованы. А защифрованы чем? Bitlocker? Ну, конечно…

что там с ним будут делать

В крайнем случае расшифруют ключём, который передаст агент. А вообще не проблема, если известно, что ищешь.

без ОС

зачем нужна ос, если фирмварь имеет больше контроля?

конкретной программы шифрования

у структур которой вполне определённые сигнатуры…

Что им помешало сделать это сразу?

А защифрованы чем? Bitlocker?

Ну битлокер это кхм :) Нет, имелось ввиду что-нибудь подоверенее.

зачем нужна ос, если фирмварь имеет больше контроля?

Ты из хостовой ОС в произвольной гостевой виртуалке можешь вычислить ключ (да еще на лету, желательно), используемый там какой-то наперед не известной программой?

Так вот это должна уметь делать фирмварь. Что-то сомневаюсь в универсальности, хотя уверен, что конкретные системы так атаковать можно.

Ну допустим даже передаст троян кусок, хоть весь hdd сольет, что там с ним будут делать, те кто его получит.

Смотри, допустим протроянили Gnome 3: через nautilus ему же доступны все расшифрованные данные, нет? Иными словами любая запущенная программа имеет доступ к расшифрованным данным.

Не знаю, может и сделали или еще сделают, я их официального заявления об этом не увидел в http://blog.kaspersky.ru/ и на офсайте.

Уж слишком громкое обвинение, чтобы просто трепом было.

Речь зашла о том, что фирмвари даже ОС не нужна, чтобы сливать данные. Я как раз и говорю о том, что напрямую без ОС ей это слишком сложно сделать. А так конечно, в ОС она будет иметь доступ.

Все лгут. (с) Хаус

Да ловили много кого на закладках. «Всем_неважно».

Пример: http://en.wikipedia.org/wiki/Sony_BMG_copy_protection_rootkit_scandal

И всегда же можно отмазаться ошибкой и оставшимся отладочным кодом и т.д. и т.п.

На хабре есть сообщение с пруфами касперского на технические подробности https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

https://securelist.com/blog/research/68750/equation-the-death-star-of-malware...

Что и как делает малварь:

Нет, дыры для проникновения там вполне традиционные: securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf#page=14 «8. What exploits does the Equation group use?»

браузер, Java, TTF, Firefox 17 (TOR), LNK эксплоит (для USB-флешек и преодоления воздушного зазора).

Часть из этих уязвимостей позже использовалась в Stuxnet, что свидетельствует как минимум о сотрудничестве авторов Equation и Stuxnet.

Из наиболее уникальных путей заражения: подмена CD-ROM носителей при рассылке материалов научных конференций (похоже на тактику перехвата и заражения оборудования от NSA's Tailored Access Operations (TAO)). securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf#page=15 «9. How do victims get infected by EQUATION group malware?»

The Equation group relies on multiple techniques to infect their victims. These include:

• Self-replicating (worm) code – Fanny

• Physical media, CD-ROMs

• USB sticks + exploits

• Web-based exploits

Заражение прошивок HDD производилось уже развернутым трояном и использовалось крайне редко. Оно позволяло лишь скрывать данные троянов и повторно заражать этот же компьютер после переустановки ОС.

Скажем так, необходимость вредоносного кода, запущенного непосредственно в ОС, несколько преувеличена. Просто это стандартный подход, который себя оправдывает. Для целевой атаки есть более интересные методы.

ОС не нужна

ОС нужна хотя бы чтобы получать комманды и выгружать данные. Можно использовать комбинированные методы заражения. Внедрять в HDD микрокомпьютеры со своим процем это из сферы фантастики [спец.служб или очень-очень крупного заказчика]. Т.к. на разработку и отладку уйдут годы, а уж про сложность физической подмены дисков и говорить нечего. Лихие 90-е прошли, это тогда Кевин звонил и представлялся сотрудником фирмы, а инженер на той стороне охотно верил ему и выдавал IP-адреса, отчеты и т.п.

И есть ли хоть один антивирус (спец. ПО), который в рантайме чекает эти изменения? Серьезно. А если есть, то сможет ли он себя защитить от подобного вторжения?

TPM же, ну!

от вторжения не защитит, но если что-то поменяется в «доверенной системе», то выйдет отказ.

Пример хороший, но какбэ прямо не совсем уж «всем_неважно». Суды были (раздел Legal and financial problems в этой же статье), отзыв продукции, компенсации, вот это все. Определенный ущерб понесен. То есть молча не сожрали. Понятно, что это как укус комара слону, но тем не менее. А вот как изменилась степень доверия, никто не знает. Может, и появилась маленькая армия донбайфромсонивцев. :)

Ты способен предоставить какие-либо доказательства своим воплям кроме

TRESOR-HUNT атака, не? DMA-атака с выковыриванием ключей из AES-NI.

Устройство не имеет доступа к физическим адресам, а шинные адреса контролируются IOMMU.

Лол. Можно с тем же успехом противопоставить, что всегда найдётся отрицающий, пока лично ему кто-то не докажет обратное.

Устройство не имеет доступа к физическим адресам, а шинные адреса контролируются IOMMU.

Я вижу, ты готов поручиться, что завтра кто-то не выкатит очередную атаку на IOMMU. Это хорошо, стране нужны такие люди.

TRESOR-HUNT атака, не? DMA-атака с выковыриванием ключей из AES-NI.

Тебе про IOMMU не просто так сказали.

напрямую без ОС ей это слишком сложно сделать

Тут ещё можно вспомнить UEFI, у которой в комплекте полный сетевой стек...

IOMMU

Оно наверное уже стоит на всех локалхостах мира, работает на всю катушку, и все дыры давно залатаны?

Устройство не имеет доступа к физическим адресам, а шинные адреса контролируются IOMMU.

Лол. Можно с тем же успехом противопоставить, что всегда найдётся отрицающий, пока лично ему кто-то не докажет обратное.

Copy-n-paste error detected.

Я вижу, ты готов поручиться

А мертвых людей ты не видишь?

кто-то не выкатит очередную атаку на IOMMU

Бывают и ошибки в железе, естественно. Правда, я не припомню успешных эксплуатаций ошибок в обычных MMU.

стране нужны такие люди.

Какой стране и сколько она платит?

Оно наверное уже стоит на всех локалхостах мира

Если тебе нужна безопасность, купи нужное железо. Если ты не можешь купить железо, выруби DMA и страдай. Помимо простыни и кладбища, другого пути нет.

я не припомню

То ли отмаза, то ли «аргумент». Наверное тоже самое говорили поставщики техники заказчикам, которые как-то пострадали от сабжевой атаки.

купи нужное железо

Тут раньше предлагали изготовить железо самостоятельно.

я не припомню

То ли отмаза, то ли «аргумент»

Не гни пальцы, пока сам не припомнишь.

Наверное тоже самое говорили поставщики техники заказчикам, которые как-то пострадали от сабжевой атаки.

Атака там была другая. И заказчики, которые могут пострадать от такой атаки, знают, как ей противостоять.

Пора переходить на перфокарты. Хотя нанотехнологии скоро позволят встраивать бэкдоры в бумагу. Noway.

на слаке это работает?

Найден некий «загрузчик прошивок» для HDD в одном из троянов

На днях, в треде про systemd, вспоминали BMC... ;-) Тьфу, то есть, в треде про eudev в Calculate.

http://www.ixbt.com/news/hard/index.shtml?18/65/18

Как страшно жить

Название треда говорит само за себя. Вопрос, каким образом у HP имеется возможность заливать свои прошивки на теже сигейты? Не мог ли админ/программист/злой дядя, которого сократило HP взять и вынести все спеки по прошиванию HDD? Мог! Аналогично и про собственные заводы.

Вопрос, каким образом у HP имеется возможность заливать свои прошивки на теже сигейты?

Ты не поверишь, HP продаёт эти диски под своим брендом, для своих серверов.

Это очевидная весчь. Вопрос в том, что все отрицают что отрицабельно. Мол сигейт готов дать слово за HP.

Шапочку из фольги носить нужно

А ещё Кашперовский (или Касперский, не путать с Крисом Касперски ака «мысшхЪ»!) сказал, что ZOG, Моссад, АНБ и ЦРУ придумали вирус, внедряемый непосредственно в мозг.

Только кипа из фольги может спасти от этого вируса.

Это еще что.

Лет 5-6 назад через торрент 9 фильмов скачивать поставили. Какого же было удивление - через 20 секунд они были закачаны. Все. Вещества не принимали.

Исходные данные такие:

Скорость по воздуху через dlink 524 со служебными данными максимум 50 Мбит/с, но такого не бывает - в реале 7-9 Мбит/с предел возможностей для данной модели. Скорость записи на hdd 25-35 Мб/с. Объем данных ~16 Гб. Скорость через провайдера 20 Мбит/с. Оперативки 2 Гб, т.е. в кеш не могло влететь.

В итоге получается что такая пропускная способность (~800 Мб/с) даже с предельными заявленными возможностями оборудования не соотносится.

Повторить подвиг впоследствии не удалось.

через 20 секунд они были закачаны

в смысле торрент клиент так показал, или их ещё и просмотреть все от начала до конца получилось? :)

Торрент-клиент показывал что сразу чекает их, но они никогда не скачивались ранее. После обозначил, что они закачаны. Не поверил, но все фильмы посмотреть получилось.

Может всё-таки были скачаны ранее? :)

Может всё-таки были скачаны ранее? :)

Я бы тоже так предположил, но ведь своими руками добавлял.

https://www.ibr.cs.tu-bs.de/users/kurmus/papers/acsac13.pdf
Вот еще в тему.
http://arstechnica.com/security/2015/02/password-cracking-experts-decipher-el...

Researchers for Moscow-based Kaspersky Lab spent more than two weeks trying to crack the MD5 hash using a computer that tried more than 300 billion plaintext guesses every second. After coming up empty-handed, they enlisted the help of password-cracking experts, both privately and on Twitter, in hopes they would do better. Password crackers Jens Steube and Philipp Schmidt spent only a few hours before figuring out the plaintext behind the hash e6d290a03b70cfa5d4451da444bdea39 was غير مسجل, which is Arabic for «unregistered.» The hex-encoded string for the same Arabic word is dbedd120e3d3cce1.

Я думаю, что все хотят свалить на Иран или террористов.

Переходим на перфокарты.

АНБ напишет вирус, который будет проедать дырки в перфокартах