Vlákno názorů k článku
Bude předveden nový SMM rootkit
od shadowmaster - Me by spis zajimalo, jak tento neviditelny rootkit...
-
Řekl bych, že to asi nepůjde, když to běží přímo někde na úrovni hardwaru, ještě "za" operačním systémem, tudíž v systému to vlastně vůbec není (tedy tak jsem to alespoň pochopil). V tom případě mě ale zajímá, jak ten kód do procesoru nahrát - z BIOSu, nebo musí být někde zapsán přímo ve firmwaru v čipsetu, či jak je to?
Jednoznačně je to ale krásná ukázka toho, že vše lze obejít a bezpečnost není nikdy 100%, protože tenhle svět prostě není 100% bezpečný ;-). -
Bezi to normalne na procesoru, prerusi to operacni system. Ulozeno je to v pameti, ktera je za normalnich okolnosti zakryta videopameti. Bezny zpusob nahrani spociva v tom, ze nejakym chipset-dependend zpusobem tuto zakrytou pamet odkryjes (zmenis mapovani pameti uvnitr severniho mostu) aniz bys vstoupil do SMM modu. A ano, provadi to BIOS, pokud to tedy nekdo dela protoze to taky muze zustat prazdne.
Bezpecnost neni nikdy 100%. Zarizeni pripojene pres vhodnou sbernici - PCI-X, AGP, PCI, ale treba i firewire - muze primo cist i zapisovat libovolnou cast pameti bez ohledu na to co dela operacni system na procesoru aby ji ochranil. -
Bilbo (neregistrovaný)To neni az tak uplne pravda. Viz:
http://invisiblethings.org/papers/cheating-hardware-memory-acquisition-updated.ppt
Idea je takova, ze se premapuji na Northbridge registry tak, ze CPU nadale vidi primo fyzickou pamet, ale co jde ze sbernice se bud premapuje na nejake neexistujici zarizeni (= pri HW cteni vznikne deadlock a sbernice se kousne) nebo na nejake existujici zarizeni (napr. kus pameti graficke karty), kde pak podstrcim vlastni "obsah pameti". I proti tomuhle existuji protiutoky (pichne se do sbernice zarizeni, ktere bude odpovidat na pozadavky na "neexistujici" zarizeni, cimz se vyhne deadlockum), ale nic neni cernobile. Navic je tu "utok" primo na pametove cipy - cipy se postrikaji sprejem, rychle se ochladi na -50 stupnu a pocitac se vypne. Takhle podchlazena pamet pak udrzi informaci i par minut, pokud se hodi do tekuteho dusiku tak i mnoho hodin. Pamet se strci do jineho pocitace nebo zarizeni a tam se v klidu precte jeji obsah. Hardware ani software pocitace ze ktereho byla vyskubnuta nema sanci na obranu - i kdyz tady je zase pomerne dobrou obraznou mit na casu detektor otevreni, ktery pri otevreni casu pocitac okamzite vypne. -
Ano, pokud severni most nejake takove registry ma, jdou na tuhle ochranu pouzit. Jeste uzitecnejsi je virtualizace AMD (Pacifica), ktera rovnez obsahuje moznost jak PCI zarizenim zabranit v pristupu do pameti a navic je primo v procesoru (v integrovanem radici pameti) takze pomerne siroce rozsirena. Nezabrani to ovsem neprimym utokum, kdy budete zapisovat do pameti ktera byla povolena pro pristup proto, ze do ni OS cte napriklad neco z disku (treba kod programu su, v horsim pripade modul). Takove utoky je sice tezsi provest a teoreticky se proti nim jde branit, ale ....
Detektor otevreni nepomuze, pokud misto primeho strikani na chipy pouzijete vetsi mnozstvi dusiku ktere dostanete dovnitr pres vetraky nebo vyfukovaci otvory. Myslim, ze maloktery pocitac je usporadan tak aby byl proti necemu takovemu odolny (slo by, kdyby byly vsechny diry zakryty vetraky ktere se v chladu rozpadnou nebo tak neco...). V pripade chlazeni vodou jeste snazsi, proste do chladiciho okruhu primichate dusik ...
Zakladni nevyhodou utoku na pametove chipy je, ze je mozne ho provest pouze jednou - pokud potrebujete z pameti dostat tri klice a OS pracuje tak, ze v kazdem okamziku je v pameti v otevrene forme jen jeden, zatimco druhe dva jsou zasifrovany klicem ktery je v registru procesoru ... z procesoru nedostanete nic ani podchlazenim, protoze jakmile pripojite napajeni tak se registry smazou. To jsou ovsem zase jen teoreticke varianty, v normalnim provozu nepouzitelne.
Dobra metoda je taky detektor otevreni spolu s detektorem teploty pripojeny nikoliv na vypnuti pocitace ale na bombu. Nemusi to byt nic velkeho. Podchlazene pametove cipy vydrzi hodiny, ale kdyz budou rozlamane na strepy ... -
Lael Ophir (neregistrovaný)Já bych oddělil bezpečnost kódu, bezpečnost HW, a bezpečnost fyzickou. Kód můžeme dnes (s nezanedbatelnou výjimkou bezpečnostních chyb a kernelových rootkitů) označit za "bezpečný". HW je méně bezpečný, zvláště když jsou rozšiřující karty programovatelné. Minimálně u některých kousků zřejmě nebude problém updatem jejich firmwaru způsobit pěknou paseku. No a fyzická bezpečnost, to je specifický problém. Dnes platí, že pokud se záškodník dostane ke stroji fyzicky, je třeba ho považovat za potenciálně kompromitovaný. Pěkné řešení s autodestukcí stroje tu už někdo popsal, ani to není moc náročné. Ovšem je třeba říci, že pokud se už někdo dostane fyzicky ke stroji, zásadním způsobem selhaly další prvky zabezpečení.
