[Обсуждение] Backd00r'ы в железе. Кроссплатформенные малвари, badBIO$

Хочу поднять очень важную и актуальную тему, которая касается всех нас.
Бeкдoры в железе это не сказка, а ещё и легализованная платная фигня.

Я буду описывать один из легальных беков, Compu_trace, но судя по ссылкам ниже он может быть не один. (Вся информация базируется на ссылках ниже)
Вкратце: Похер linux, mac os, win, dos. У них (анб, инопланетяне,китайцы,хз) полный доступ ко всем компам (в т.ч. к вашим truecrypt, otr,pgp) через backdoor в биосе. Он инициирует соединение, скачивает полную версию троя и инжектить в любую ось. Если у компа нет интернета, то комп общается с другими инфицированными объектами через SDR (!!! Software-Defined-Radio, радиоволны), или через колонки и микрофон (ультразвук). Инфецированы также все смартфоны, и это всё друг друга пингует, походу всегда.
SDR может присутствовать где угодно, даже в аудиокарте. Интересно бы просканить.
Если это всё правда, то SDR и Ultrasound достаточно, чтобы передавать идентификационные данные, местоположение (фирма защитой от краж занимается), и возможно заинжектить новую малварь на асме размером в килобайт 5-10, или медленно вытягивать инфу. Хотя судя по размерам bluetooth (в спичечную головку) и его скорости, возможно и другое...

И эта херня ещё и полностью легализована и запатентована! на их сайте ab$olute_com всё описано, типа купи подписку и твой ноут или смарт не спиздят, гарантия 1000$. В вайфаях также встроен GPS и всё это легко отсылается даже без инета. С панели удобный доступ ко всему компу, камере, remote wipe.
Если выпилить из биоса, она залезет в прошивку харда, PCI, etc, и будет по флешкам передаваться (судя по первой ссылке).
Ещё одна легальная фигня это Intel vPr0 / AT, она идёт во всех новых процессорах и работает даже при выключенном ноутбуке. Эти две малвари хорошо общаются и дополняют друг друга.

Не у всех компов сразу активирован полноразмерный трой. Они все могут пинговать, а в случае получения команды активироваться.
Интересное расследование провели чуваки из касперского, они показывают хоть какие-то цифры
Судя по всему, это изчисляется миллионами компьютеров, и большая часть активирована в Рашке) попахивает чем-то знакомым... Не думаю, что наши люди заказывают больше всех американскую защиту от кражи.

Для участия в теме желательно:
Посмотреть фильм Враг Государства, ещё в 98 году об этом говорили, там чувак сидит в подвале в какой-то клетке фарадея, полностью изолирован от всего и об этом рассказывает. Вроде в 98 и начали делать эти bios'ы

Прочитать ссылки:
https://www.3dnews.ru/777783 #BadBIOS, или Большие проблемы
https://blog.kaspersky.ru/kogda-antivor-protiv-vas/ #исследование ребят из касперского
https://securelist.ru/analysis/obzor/19169/ugroza-iz-bios/ #Угроза из BIOS
https://www.google.co.in/patents/US20060272020 #патент с описанием
https://kiwibyrd.org/2014/04/24/1404/
https://kiwibyrd.org/2013/11/09/132/ #атака на NY Times
https://xakep.ru/58104/ #китайские закладки в процессорах Intel с гипервизором
Единственный вариант с открытым железом это фирма Lemote. У них есть четырёхядерная модель.
https://stallman.org/stallman-computing.html #как юзает stallman

Малварь стоит не везде, но в большинстве компов, где стоит Phoenix/Award BIOS, а это более 80%. Также возможно она заражает другие компы. На сайте ab$olute_com написан список вендоров, и туда входят все крупнейшие HP, Dell, Toshiba, Lenovo, Panasonic, Fujitsu, etc...
Как понять, стоит ли у вас малварь, есть пару утилит тут:
securelist.com/analysis/publications/58278/absolute-computrace-revisited/
Если есть где-то поблизости винда, может у соседей/бабушек, посмотрите, есть ли в процессах rpcnetp.exe или rpcnet.exe, и отпишите здесь.

Мои личные наблюдения:
+ Увидел опцию Compu_trace в биосе старого ноута Dell 2004 года. Там она была деактивирована (но кто его знает). Больше нигде особо в других биосах других компов он не встречается, т.е. возможно активирован
+ Распаковал пару прошивок биоса через upx. Открывал модули hex-редактором, и нашёл файл с compu_trace.

Если вы не верите и/или не готовы принять или допустить такую реальность, то прежде чем постить, прочитайте внимательно ссылки.

Я создал эту тему, чтобы вызвать интерес к этой проблеме и совместными усилиями что-то выяснить, протестировать, просканить, t*****dump'ить и т.п.
Также предлагаю обсуждать и предлагать новые варианты открытого железа, а также методы защиты от текущего.

Ради интереса, я провёл маленький эксперимент с вопроизведением и регистрацией звука свыше 20kHz.

swgen -v -t 10 -f -s 44100 -w us.wav 2 20000 22049 && play us.wav 

swgen -v -t 10 -f -s 44100 -w us.wav 2 21000 22049 && play us.wav 

swgen -v -t 10 -f -s 44100 -w us.wav 2 21000 21010 && play us.wav

swgen -v -t 10 -f -s 44100 -w us.wav 2 22030 22049 && play us.wav

P.S. Да, я параноик, и моя паранойа имеет место быть. Обращаюсь к таким-же.
Судя по тому, что телек отсылает переключения каналов в самсунг, макбук посылает сигнал в apple при подключении зарядки, а win посылает строчку поиска из пуска в мс, то техника изначально создана, чтобы всех трекить.
И все хотят это делать, это бизнес. Нас трекят сразу 10+ корпораций и тусуют нашу инфу как карты, перепродавая друг другу и корпоративным клиентам, ну и за ними всеми стоит nsa, который хочет владеть всем миром... Ну и китайцы тоже хотят....

Редактировался gerc (2014-11-16 08 ч.)

спасибо за инфу.
правда насчет sdr кажется уже слишком)
как-то это палевно все было бы)

Железо Столлмана ограждает по твоим словам от этого трекинга!? И не будет ли палевом использовать именно его, при окружении более распространенными фирмами, будешь как белая ворона среди стада мамонтов, ежели характеристики считываются и передаются куда следует.

Это заблуждение. Первичен коммерческий успех. Никто не делает закладки ради закладки, корпорациям важно знать чем вы дышите, чтобы продать вам еще что то. Им нужно знать что вы ищете и какой цвет предпочитаете, но им глубоко похую как вас зовут, и что у вас в данный момент в оперативке - для маркетологов нужна статистика, а не грязное белье. Все вышесказанное не более чем мое мнение.

Не совсем в тему, но вот инструмент для борьбы именно с отслеживанием внешними жучками (как раз теми самыми, что активно барыжат нашими треками). Для ТББ наверное не нужен, а на обычные броузеры стоит прицепить.

Очень стремная инфа....

Не стоит им пользоваться, имхо. Он был опенсурс, потом его перекупили и закрыли исходники, хотя он самый удобный. Теперь что там непонятно.
Лучше для этих целей Disconnect или httpswitchboard для chromium.
На TBB Disconnect есть смысл ставить, также как и adedge и self-destructing cookies
Google Analytics легко трекит ваши смены айпи, пока куки от них держатся.

В том то и дело. никуда ничего не передается (если конечно не включить skype или teamviewer), а последний ноут с дизайном от макбука. Остальные закошены под обычные нетбуки. Дизайн вроде та же контора делает, что и всем. Все дрова, микрокоды открыты, железо тоже, можно самому проверить, что где передаётся.

Нашел на их сайте такие ссылки
https://www.ghostery.com/ghosteries/
https://github.com/ghostery/
Вроде по первой обещают исходники, а по второй какие то другие проекты.
А disconnect то же самое делает? На сайте сразу бабла просят, а в бесплатной версии вроде обещают только визуализацию жуков.

А что с операционкой по умолчанию там стоит? Пингвины? И если не трудно, подскажи где есть неплохой выбор. На али или ебэй как то сомнительно. Хочется официального поставщика.

Да, тоже самое делает.
Это opensource, pay-as-you-want (заплати сколько хочешь, или нисколько)
https://addons.mozilla.org/en-US/firefox/addon/disconnect/ #Полная версия скачать бесплатно без смс

Некоторые пишут, что в Lemote 8133 проприетарная прошивка видеокарты. Я не уверен, надо проверить.
Операционка 100% Free Software: gNewSense, Trisquel GNU/Linux, и ещё множество других

Я пока что склоняюсь к quad core ARM, думаю попробовать что-то типа этого.

Скорее всего закладки есть не только в биосе,но и EFI ( аналог биос для mac), но его вроде бы можно заменить на rEFIt

https://puri.sm/products/

ZeroNights – международная конференция, посвященная практическим аспектам информационной безопасности.
2015.zeronights.ru/programma.html#matrosov

В программе:
"«Атаки на гипервизоры с использованием прошивок и железа»

Докладчик: Александр Матросов

В данной презентации мы рассмотрим область атак на современные гипервизоры с использованием уязвимостей в системных прошивках, включая BIOS, a также эмуляторах железа. Мы продемонстрируем несколько успешных атак на гипервизоры, начиная от VMM DoS, поднятием привилегий до уровня гипервизора, и далее, до уровня SMM изнутри виртуальной машины. Также мы покажем, как с помощью руткита в системной прошивке, встроенного с помощью эксплуатации данных уязвимостей, можно подвергнуть риску информацию из виртуальных машин, и объясним, как проблемы системного ПО могут быть использованы для анализа данных, защищенных гипервизором, включая VMCS-структуры, EPT-таблицы, HPA, IOMMU и т. д. Для упрощения тестирования безопасности гипервизоров, мы выложим в открытый доступ новые модули для фреймворка CHIPSEC."
------------------------
Александр Матросов

Александр Матросов – ведущий специалист по исследованиям в области безопасности в команде Advanced Threat Research в Intel Security Group. Ранее, на протяжении 4 лет руководил Центром вирусных исследований и аналитики в ESET. Александр обладает опытом в области анализа вредоносных программ и реверс-инжиниринга свыше 10 лет. Является соавтором многочисленных публикаций и исследований в области анализа сложных угроз, таких как "Stuxnet Under the Microscope", "The Evolution of TDL: Conquering x64", "Mind the Gapz: The Most Complex Bootkit Ever Analyzed?".

Open hardware компьютер
В процессоре можно скрыть невидимый бекдор
Уголок параноика(сылки)

----------------------------------------------------
28.12.2015 "Концепция stateless-ноутбука, защищённого от аппаратных бэкдоров "
https://www.opennet.ru/opennews/art.shtml?num=43596

Йоанна Рутковская (Joanna Rutkowska), известный польский исследователь в области компьютерной безопасности, выступила на конференции Chaos Communication Congress (32C3) с докладом о разработке ноутбука, защищённого от слежки и утечки данных. Рассматриваемый подход нацелен на предоставления защиты в случае применения бэкдоров, внедрённых на уровне прошивок и аппаратного обеспечения, трудновыявляемых и не удаляемых переустановкой ОС.

Для реализации данной идеи предложена концепция ноутбука, не сохраняющего состояние (stateless) и жестко отделяющего данные от оборудования, не давая аппаратным закладкам и Intel Management Engine (ME) получить скрытый доступ к информации пользователя. В рамках предложенной stateless-модели, все низкоуровневые программные компоненты stateless-устройства, такие как прошивки (включая SPI, прошивки беспроводных/сетевых чипов и различных контроллеров), избавлены от Flash-памяти, а сам ноутбук не имеет накопителя, доступного на запись.

Редактировался mturin (2016-11-18 19 ч.)

Общается комп с другими устройствами через SDR или не общается легко проверить детектором радиозакладок за 40 баксов. За ультразвук ничего не знаю но мое мнение что это нездоровая паранойя. Если все это правда почему мы все до сих пор на свободе?

Почитай Николая Шлея. Он вплотную этим вопросом занимается. Читать лучше списки рассылки уже не помню чего именно и за какой период. На хабре самое малое из того что он понаходил.

Где то у него и статья была как из биоса ненужное все выпилить, а подобное проживающее в чипсете сделать не функциональным.

Редактировался XZer0 (2016-11-19 19 ч.)

Выпилить все не нужно можно только из определенных материнок, ноутбуков, построенных на известном железе. Это железо, обычно, старое.  Например, i945 / GM45 чипсеты. Которые физически не поддерживают новые процессоры и ограничены 4/8 гигабайтами оперативки, что печально.

Многие BIOS и все виды UEFI - трояны. Это понятно.

Но что же делать? Девайсы на умышленно древнем железе - дорого и плохо. Это уже упомянули.

Вариант - хромобуки на базе uboot/coreboot.
http_://www.chromium.org/chromium-os/developer-information-for-chrome-os-devices/custom-firmware
http_://www.chromium.org/chromium-os/firmware-porting-guide
Это все довольно сложно. Но на выходе будет полностью прозрачная система.

В общем случае - искать устройства НЕ на основе x86/x64, использующие открытые загрузчики и позволяющие их обновлять.
Ставить на них самосборный загрузчик, самосборное ядро, самосборную систему. Никакого systemd! Все манипуляции строго в шапочке из фольги!

mr_anderson, любым поделкам гугла доверять нельзя от слова совсем, поэтому хромбук лучше отдать в детский дом или еще куда подальше от себя.

offline,
Безопасность - это не игра  в "верю, не верю". Верующим - в церковь молиться. 

Хромобуки делают те же hp, dell, samsung, что и другие ноутбуки. Отличаются мозги и экосистема. "Свои" решения перечисленных компаний закрытые полностью. В хромобуках мозги открытые и есть возможность их сменить.  Есть документация и исходные коды, без которых все тлен.  Гуглу трояны от производителей железа не нужны, потому что создают риски для бизнеса. Отсюда достаточно открытая система.