Bude předveden nový SMM rootkit

to je ta kretenska architektura novejsich intel procesoru, kterou kritizoval Theo de Raat z OpenBSD? moc tomu teda nerozumim :) http://undeadly.org/cgi?action=article&sid=20070628134608

SMM mod maji x86 procesory uz minimalne od Pentii.

SMM měla pevně mobilní verze 386.

Me by spis zajimalo, jak tento neviditelny rootkit na systemu zviditelnit (myslim tim moznosti detekce takovehoto bordelu)...

Řekl bych, že to asi nepůjde, když to běží přímo někde na úrovni hardwaru, ještě "za" operačním systémem, tudíž v systému to vlastně vůbec není (tedy tak jsem to alespoň pochopil). V tom případě mě ale zajímá, jak ten kód do procesoru nahrát - z BIOSu, nebo musí být někde zapsán přímo ve firmwaru v čipsetu, či jak je to?

Jednoznačně je to ale krásná ukázka toho, že vše lze obejít a bezpečnost není nikdy 100%, protože tenhle svět prostě není 100% bezpečný ;-).

Bezi to normalne na procesoru, prerusi to operacni system. Ulozeno je to v pameti, ktera je za normalnich okolnosti zakryta videopameti. Bezny zpusob nahrani spociva v tom, ze nejakym chipset-dependend zpusobem tuto zakrytou pamet odkryjes (zmenis mapovani pameti uvnitr severniho mostu) aniz bys vstoupil do SMM modu. A ano, provadi to BIOS, pokud to tedy nekdo dela protoze to taky muze zustat prazdne.

Bezpecnost neni nikdy 100%. Zarizeni pripojene pres vhodnou sbernici - PCI-X, AGP, PCI, ale treba i firewire - muze primo cist i zapisovat libovolnou cast pameti bez ohledu na to co dela operacni system na procesoru aby ji ochranil.

Děkuji za odpověď.

To neni az tak uplne pravda. Viz:

http://invisiblethings.org/papers/cheating-hardware-memory-acquisition-updated.ppt

Idea je takova, ze se premapuji na Northbridge registry tak, ze CPU nadale vidi primo fyzickou pamet, ale co jde ze sbernice se bud premapuje na nejake neexistujici zarizeni (= pri HW cteni vznikne deadlock a sbernice se kousne) nebo na nejake existujici zarizeni (napr. kus pameti graficke karty), kde pak podstrcim vlastni "obsah pameti". I proti tomuhle existuji protiutoky (pichne se do sbernice zarizeni, ktere bude odpovidat na pozadavky na "neexistujici" zarizeni, cimz se vyhne deadlockum), ale nic neni cernobile. Navic je tu "utok" primo na pametove cipy - cipy se postrikaji sprejem, rychle se ochladi na -50 stupnu a pocitac se vypne. Takhle podchlazena pamet pak udrzi informaci i par minut, pokud se hodi do tekuteho dusiku tak i mnoho hodin. Pamet se strci do jineho pocitace nebo zarizeni a tam se v klidu precte jeji obsah. Hardware ani software pocitace ze ktereho byla vyskubnuta nema sanci na obranu - i kdyz tady je zase pomerne dobrou obraznou mit na casu detektor otevreni, ktery pri otevreni casu pocitac okamzite vypne.

Ano, pokud severni most nejake takove registry ma, jdou na tuhle ochranu pouzit. Jeste uzitecnejsi je virtualizace AMD (Pacifica), ktera rovnez obsahuje moznost jak PCI zarizenim zabranit v pristupu do pameti a navic je primo v procesoru (v integrovanem radici pameti) takze pomerne siroce rozsirena. Nezabrani to ovsem neprimym utokum, kdy budete zapisovat do pameti ktera byla povolena pro pristup proto, ze do ni OS cte napriklad neco z disku (treba kod programu su, v horsim pripade modul). Takove utoky je sice tezsi provest a teoreticky se proti nim jde branit, ale ....

Detektor otevreni nepomuze, pokud misto primeho strikani na chipy pouzijete vetsi mnozstvi dusiku ktere dostanete dovnitr pres vetraky nebo vyfukovaci otvory. Myslim, ze maloktery pocitac je usporadan tak aby byl proti necemu takovemu odolny (slo by, kdyby byly vsechny diry zakryty vetraky ktere se v chladu rozpadnou nebo tak neco...). V pripade chlazeni vodou jeste snazsi, proste do chladiciho okruhu primichate dusik ...
Zakladni nevyhodou utoku na pametove chipy je, ze je mozne ho provest pouze jednou - pokud potrebujete z pameti dostat tri klice a OS pracuje tak, ze v kazdem okamziku je v pameti v otevrene forme jen jeden, zatimco druhe dva jsou zasifrovany klicem ktery je v registru procesoru ... z procesoru nedostanete nic ani podchlazenim, protoze jakmile pripojite napajeni tak se registry smazou. To jsou ovsem zase jen teoreticke varianty, v normalnim provozu nepouzitelne.

Dobra metoda je taky detektor otevreni spolu s detektorem teploty pripojeny nikoliv na vypnuti pocitace ale na bombu. Nemusi to byt nic velkeho. Podchlazene pametove cipy vydrzi hodiny, ale kdyz budou rozlamane na strepy ...

Já bych oddělil bezpečnost kódu, bezpečnost HW, a bezpečnost fyzickou. Kód můžeme dnes (s nezanedbatelnou výjimkou bezpečnostních chyb a kernelových rootkitů) označit za "bezpečný". HW je méně bezpečný, zvláště když jsou rozšiřující karty programovatelné. Minimálně u některých kousků zřejmě nebude problém updatem jejich firmwaru způsobit pěknou paseku. No a fyzická bezpečnost, to je specifický problém. Dnes platí, že pokud se záškodník dostane ke stroji fyzicky, je třeba ho považovat za potenciálně kompromitovaný. Pěkné řešení s autodestukcí stroje tu už někdo popsal, ani to není moc náročné. Ovšem je třeba říci, že pokud se už někdo dostane fyzicky ke stroji, zásadním způsobem selhaly další prvky zabezpečení.

Taky diky.... :)
Jsem zvedav co vyleze z te predvadecky.... Co jsem tak cetl, bude se probirat i detekce, ale
tu porad drzi zatim pod poklickou.... (na neco nas musi nalakat)... :)))

jak tak tak ctu ty prispevky, k CEMU to je vsechno dobre???

KOMU tim prospejete?

Spis bych se ironicky ptal kdo tim prospeje nam..... myslim, az timto zpusobem prijde nekdo o masinu, a nebude o tom ani vedet... proste se ten system chova nejak podivne.... ano reinstall asi pomuze, ale jen do te doby, nez....
Odkazy me zavedli az na ty chyby ve vyvoji procesoru intel a amd, a abych rekl pravdu, ani jsem netusil, ze dokazali vytvorit takove mnoszstvi chyb ve vyvoji, nekdy i katastrofickych... a hromadu neopravenych... Nevim, vzdycky jsem si rikal, ze nekdo testuje, ze urcite zakladni testy ktere urcuji co lze a nelze z procesoru vyzdimat, neco rekne, ale jak je vidno lepsi se venovat rychlemu vyvoji, nez naproste spolehlivosti.....
Tesim se, az nekdy za par let nekdo rekne, ze vsechny vypocty ktere jsme udelali v nejakem moc hustem modelu jsou uplne k nicemu, protoze uz v implementaci procesoru byla chyba ktera vysledky nejakym zpusobem deformovala... ci neco podobneho...

A treba se to nestane.... :))) ale videl jsem uz dost... tak to necham osudu ;)

:-)
Ja jsem tu otazku samozrejme smeroval spise na ten Intel (a podobne).
Nejak nedokazu pochopit, k cemu jsou takove 'legracky' dobre...