Касперский раскрыл кибершпионаж Equation Group
А почему все так радостно утверждают, что это US программа? Делая морду Лаврова, прошу показать мне спутниковые снимки или другие неопровержимые свидетельства.
На самом деле, это тайная организация английских луддитов, которые в начале 19 века ушли в подполье и с тех пор лелеят идею вернуть человечество в каменный век и к ручному труду...
Бери выше, это ZOG!
Короче, доказательств связи с NSA найти будет проблематично. Остаются аргументы типа никому больше такое не по зубам.
Короче, доказательств связи с NSA найти будет проблематично. Остаются аргументы типа никому больше такое не по зубам.
Все сложнее:
ZOG посредством луддитов, хочет ввергнуть мир в каменный век, потом, как технологический монополист и спаситель человечества, выйдет из тени, полностью захватив контроль над человеческими ресурсами, природными ископаемыми и продовольствием, тысячелетия тьмы и рабства грядут...
ZOG посредством луддитов, хочет ввергнуть мир в каменный век, потом, как технологический монополист и спаситель человечества, выйдет из тени, полностью захватив контроль над человеческими ресурсами, природными ископаемыми и продовольствием, тысячелетия тьмы и рабства грядут...
Короче, доказательств связи с NSA найти будет проблематично. Остаются аргументы типа никому больше такое не по зубам.да ладно. как будто быть героем паяльника и ассемблера можно только на службе анб.
А прога обращается к процу или чему-нибудь вне ЖД? И в этот момент ее засечь нельзя? Что значит фирмваре не читаемо? Оно исполняется внутри ЖД?
да ладно. как будто быть героем паяльника и ассемблера можно только на службе анб.Ну как. Большое количество 0day уязвимостей. Т.е. это не широко известные дыры. В особенности уязвимости железа (харды в обиходе такие вещи называют закладками. Средства работы с параноидальными air-gapped сетями, которые с интернетом не связаны. Шпионские штучки: участникам научной конференции раздали зараженные диски с троянчиками. Точнее в какой-то момент их подменили при доставке.
Короче там много такого, что рядовому красноглазику с дизассемблером не по зубам. Да и не нужно.
Перехват и подмена заказанных почтой драйвов еще.
А прога обращается к процу или чему-нибудь вне ЖД? И в этот момент ее засечь нельзя? Что значит фирмваре не читаемо? Оно исполняется внутри ЖД?Вот честно говоря, для меня эти особенности чтения/записи прошивки стали откровением. Может специалисты по железу скажут?
Что касается обращения к процу, возможно его и нет. Если я правильно понял, там не исполняемый код для процессора, а подпорченый жестяк, который не дает удалить вредоносный код.
An extreme level of persistence that helps to survive disk formatting and OS reinstallation. If the malware gets into the firmware, it is available to “resurrect” itself forever. It may prevent the deletion of a certain disk sector or substitute it with a malicious one during system boot.
> Что касается обращения к процу, возможно его и нет. Если я
> правильно понял, там не исполняемый код для процессора, а
> подпорченый жестяк, который не дает удалить вредоносный код.
>> An extreme level of persistence that helps to survive disk
>> formatting and OS reinstallation. If the malware gets into
>> the firmware, it is available to "resurrect" itself forever.
>> It may prevent the deletion of a certain disk sector or
>> substitute it with a malicious one during system boot.
Может быть и исполняемый код для процессора. Никто не запретил.
Судя по описанию, они намекают на гипервизор, загружающийся
до основной операционной системы и перехватывающий общение
по сети. Это достаточно легко, про такие возможности говорят
уже десяток лет где-то.
Некстати, это наглядно показывает необходимость военным и
"росатым" иметь доступ к полному циклу производства, а не
отдавать всё на откуп малайцам.
---
...Я работаю антинаучным аферистом...
> правильно понял, там не исполняемый код для процессора, а
> подпорченый жестяк, который не дает удалить вредоносный код.
>> An extreme level of persistence that helps to survive disk
>> formatting and OS reinstallation. If the malware gets into
>> the firmware, it is available to "resurrect" itself forever.
>> It may prevent the deletion of a certain disk sector or
>> substitute it with a malicious one during system boot.
Может быть и исполняемый код для процессора. Никто не запретил.
Судя по описанию, они намекают на гипервизор, загружающийся
до основной операционной системы и перехватывающий общение
по сети. Это достаточно легко, про такие возможности говорят
уже десяток лет где-то.
Некстати, это наглядно показывает необходимость военным и
"росатым" иметь доступ к полному циклу производства, а не
отдавать всё на откуп малайцам.
---
...Я работаю антинаучным аферистом...
Большое количество 0day уязвимостей. Т.е. это не широко известные дыры.Все кроме анб пользуются готовыми дырами? Люди просто берут их и ищут.
В особенности уязвимости железа (харды в обиходе такие вещи называют закладками.закладками называют то что заложено специально. я знаю, что многие программисты для микро-контролеров просто кладут болт на безопасность. им надо чтоб быстро и без сбоев работало, а не чтоб прошивку нельзя было похачить.
Средства работы с параноидальными air-gapped сетями, которые с интернетом не связаны.ну так потому что вирус явно для промышленного саботажа и диверсий, где такой метод защиты очень популярен.
Шпионские штучки: участникам научной конференции раздали зараженные диски с троянчиками.лол. банальная социальная инженерия. мне один пентестер московский рассказывал, что это его любимый способ - тупо под любым предлогом раздаёт сотрудникам компании бесплатные флэшки.
Точнее в какой-то момент их подменили при доставке.да они же брендированные наверняка были. так что на них можно было записать что угодно в конторе, что брендировала за скромную взятку девочке, которая их в принтер засовывает.
После таких новостей по-другому начинаешь смотреть на многочисленные посты про IT шников в армии на хабре, типа такого:
http://habrahabr.ru/post/238427/
И особенно такого:
http://habrahabr.ru/post/237641/
"Сослуживцы ходили и клянчили, чтобы я им все это скинул, всем надоело играть в косынку. Способов сделать это я не знал. Порты USB отключены аппаратно. Но, как выяснилось, все компьютеры были объединены в локальную сеть. Запустив через Excel командную строку, я смог зайти на соседний компьютер и скинуть туда необходимые файлы. И тут меня осенило… Excel, VBA, чтение/запись файлов, локальная сеть… Смекаете?"
То есть там у них в секретных службах - 1) Windows 2) Excel 3) USB Флешки 4) Локальная сеть - все необходимые компоненты, чтобы всё описанное в новостях успешно функционировало.
Victims-map:
http://cdn.arstechnica.net/wp-content/uploads/2015/02/Victim...
http://habrahabr.ru/post/238427/
И особенно такого:
http://habrahabr.ru/post/237641/
"Сослуживцы ходили и клянчили, чтобы я им все это скинул, всем надоело играть в косынку. Способов сделать это я не знал. Порты USB отключены аппаратно. Но, как выяснилось, все компьютеры были объединены в локальную сеть. Запустив через Excel командную строку, я смог зайти на соседний компьютер и скинуть туда необходимые файлы. И тут меня осенило… Excel, VBA, чтение/запись файлов, локальная сеть… Смекаете?"
То есть там у них в секретных службах - 1) Windows 2) Excel 3) USB Флешки 4) Локальная сеть - все необходимые компоненты, чтобы всё описанное в новостях успешно функционировало.
Victims-map:
http://cdn.arstechnica.net/wp-content/uploads/2015/02/Victim...
Остаются аргументы типа никому больше такое не по зубам.чувак на коленках похачил диск
http://spritesmods.com/?art=hddhack
Вот честно говоря, для меня эти особенности чтения/записи прошивки стали откровением. Может специалисты по железу скажут?да так оно и есть. Сейчас любая переферия - это мини-компьютер. Кстати, все называют Столмана параноиком, а он эту дыру уже давно предсказывал.
Лже-патриоты любят задавать вопросы "если не путин, то кто", на что им отвечают, что путин сам и зачистил политическое поле россии, лишив её перспектив развития. Так вот, у США есть такой же грех по отношению к развитию информационных технологий. США воспользовалось привелегией первооткрывателя и постаралась сделать отрасль максимально недружественной по отношению к конечному пользователю. И продолжает стимулировать закрытые и шпионящие решения на всех уровнях. И весь мир играет по этим правилам. В результате мы больше не можем доверять нашим инструментам производства. Впервые за историю человечества. Мы вступили в эпоху злой и непонятной магии, создав её сами.
Впервые за историю человечества.Как будто раньше можно было доверять изделиям другим.
Потайные ходы в замках,
троянский конь,
смазанные/пропитанные ядом - одежда, вещи, свечи, еда, благовония и т.д.,
оспа в одеялах,
и т.д.
на самом деле до появления соответствующих технологий использовались люди, а им вообще нельзя доверять
Ну во-первых, я о средствах производства. А во-вторых, для всего этого были способы проверки и очистки. Прокипяти одеяло (минут 10) и ты его продезинфицируешь.
А во-вторых, для всего этого были способы проверки и очистки. Прокипяти одеяло (минут 10) и ты его продезинфицируешь.Методы проверки безопасности изделий и простые способы по ликвидации угроз появились значительно позже, чем сами угрозы и их использование.
В данном случае, всё будет тоже самое - сейчас появились угрозы, а лет через 20-50 появятся способы по борьбе с этими угрозами.
средствах производстваОни когда успели стать безопасными? Всё свое существование - они травили, жгли, взрывали, калечили, пускали по миру работников и окружающих.
чё делать-то в итоге, как спасаться простым смертным? 
чё делать-то в итоге, как спасаться простым смертным?Не использовать компьютер (и его аналоги) в своей работе и в личной жизни.
ну а если использовать, то чем грозит? например, заклеивание видеокамеры на ноуте - паранойя, или реально большой брат отследить может? или если вайфай типа выключить, то всё равно у большого брата к компу доступ есть?
Шапочка из фольги, говорят, помогает.
Они когда успели стать безопасными?Я говорил не про безопасность, а про контролируемость и возможность понять, чего от него ждать. Одно дело паровой котёл, у которого низкая прочность, и который иногда взрывается в присутствии рабочих. И другое дело котёл, запаса прочности которого хватает на 100 лет работы, но он взрывается в присутствии определённого человека из совета директоров, например.
ну а если использовать, то чем грозит? например, заклеивание видеокамеры на ноуте - паранойя, или реально большой брат отследить может?Для обычного человека проблема не в большом брате, а в хакерах средней руки. И в том, что можно попасть в сферу их интересов.
заклеивание видеокамеры на ноуте - паранойя, или реально большой брат отследить может? или если вайфай типа выключить, то всё равно у большого брата к компу доступ есть?По отдельности - эти меры ничего не решают. В комплексе же уменьшают вероятность попадания в неприятную ситуацию, но не гарантируют этого.
Я говорил не про безопасность, а про контролируемость и возможность понять, чего от него ждать.Это постоянная борьба между мощностью технологий и их предсказуемостью. Был, конечно, очередной краткий миг - когда предсказуемость вырвалась вперед, но затем мощность технологии выросла и предсказуемость опять отстала.
Приручил человек огонь и только много позже научился предсказывать его распространения, и использовать профилактику по защите от него.
Приручил животных - и много позже появилась предсказуемость и профилактика.
Придумал простейшую химию - и много позже научился предсказывать ее поведение и профилактику.
Начал строить дома - и много позже научился предсказывать их поведение и использовать профилактику.
и т.д.
Да, ну. Все эти диски и прочая байда отличаются серьезно даже внутри одной фирмы, самое неблагодарное дело анализировать эту байду. Типичная ситуация, когда нужна очень высокая квалификация исполнителя в то время как задача исключительно тупая. Ну да может ЦРУ может хакнуть десяток моделей заранее зная, что стоит у путина в кабинете, но что-то другое мало вероятно.
Только ужасный ИИ справится с этой задачей.
Только ужасный ИИ справится с этой задачей.
Ну да может ЦРУ может хакнуть десяток моделей заранее зная, что стоит у путина в кабинете, но что-то другое мало вероятно.ну типа как с иранскими центрифугами, знали примерно какие модели контроллеров там могут быть
и сейчас могли посмотреть по закупкам, какие сервера покупают в компаниях X Y и Z которые являются целью, и там конечное число моделей дисков
ну а если использовать, то чем грозит?тебе, как и большинству, ничем - потому что нахуй никому не нужны
ну разьвечто рекламу впихнут
тебе, как и большинству, ничем - потому что нахуй никому не нужныа как же старое доброе вымогательство? и воровство с банковских счетов?
каков процент пользователей пострадавших от такого рода действий?
сложно сказать какой процент, надо считать например среди тех, у кого есть заметные деньги, и кто при этом пользуется ими через онлайн-сервисы
понятно, что если денег нет, то их и не отберут
понятно, что если денег нет, то их и не отберут
Вот честно говоря, для меня эти особенности чтения/записи прошивки стали откровением. Может специалисты по железу скажут?Любой специалист по восстановлению данных может записать сотню мегабайт кода в прошивку любого почти драйва пользуясь доступным софтом. Ну и оттрейсить набор этих команд для доступа к прошивке очень просто. Маловероятно что производители как-то поучаствовали. Скорее всего прошивка тут используется только как хранилище данных, защищенное от чтения и форматирования.
Что касается обращения к процу, возможно его и нет. Если я правильно понял, там не исполняемый код для процессора, а подпорченый жестяк, который не дает удалить вредоносный код.
Сурс: я девелоплю этот самый софт для компаний по восстановлению данных.
может записать сотню мегабайт кода в прошивку любого почти драйва
ну расскажи что тебя так порадовало
мб в прошивку любого драйва, когда в большинстве дисков 64мб или меньше
Твои 64мб это кэш. Сама прошивка лежит на блинах, и под нее выделено несколько сотен мегабайт.
raushan27
Stuxnet - цветочки.Касперские недавно раскрыли (опубликовали) очередной арсенал кибершпионажа "Equation group" по крайней мере такое называние этим кулхацкерам придумали в Касперском.
Что в этих кулхацкерах такого особенного?
Возможности поражают. Они могут записывать зловредный код в прошивку жестких дисков крупнейших производителей (western-digital, seagate ит.п.) после этого бесполезно форматировать диск. Заражение прошивки происходит с помощью нескольких уязвимостей нулевого дня.
К тому же, считать информацию из прошивки проблематично - т.е. определить заражен ли диск сложно.
Затем средства доступа/передачи команд в сети не подключенные к интернетам. Достаточно зараженной флэшки, которая периодически втыкается в компы во внутренней сети и во внешней.
Короче, работают явно не любители, а учитывая сложность кода, интерес к закрытым сетям - весьма вероятно спецслужбы.
Тот факт, что уязвимы прошивки 12 ведущих производителей хардов, позволяет допустить мысль, что эти самые производители сотрудничали. Впрочем, доказать этого нельзя.
Много интересного текста на английском:
Касперский
scribd
reuters