Stuxnet и другие промышленные вирусы

Серокой> Потому что чтобы записаться вирусу, ему надо уметь стирать микросхему.
И это ты еще продемонстрировал старый МФМ диск - дай бог памяти, вначале они что-то 10 или 20 Мб имели памяти в 80-е, я сталкивался с Макстором на 120 Мегабайт.
А вообще за исключением мини-эвм и больших эвм персоналки пользовались вообще дискетами, если не кассетами и контроллер там вообще аппартный был - вообще ничего не сотрешь

ccsr> Ну и специально для вас Сноуден сообщил:

Ну если только для ccsr, который ни в зуб ногой в защите информации. Профессионалы же знают еще о истории с алгоритмом A5, а так же то, что в России - свое производство сим-карт для сотовых телефонов. Так что ключик от вашей сим-карты в цепких лапах твоей Родины .

В целом сотовая телефония относится к системам связи общего назначения и не предназначена для передачи конфиденциальной информации. Уже за сам факт обсуждения по сотовому тем содержащих государственные секреты ты получишь уголовное дело за разглашение гостайны, если Контора про это узнает.

ccsr> Тридцать лет назад умные люди, понимая что техника будет совершенствоваться, использовали термины, которые позволяли понять откуда может исходить опасность - например "несанкционированные режимы работы вычислительной техники"

Такая степень прозорливости мне лично кажется сомнительной. Это всё равно как предугадать, что холодильники сами смогут заказывать продукты или что следующий вирус запишется в блок питания компа (ну а чего нет-то? по неизвестному пока что принципу). Но то, что тот же Касперский и прочие ативирусописатели не имели защиты от того же знаменитого "чиха Чернобыля" CIH95, хотя, казалось бы, все исходные данные по принципу работы уже были на руках, это не гипотетическая возможность, которой ещё нет даже физически, говорит о том, что спецслужбы просто запрещали для использования всё, что более-менее сложное. От греха, так сказать. Лучше прикрыться, запретив, чем потом огребать, что не заметили.

S.I.> Всё ли стирается ультрафиолетом или есть не стираемая таким образом часть памяти?
Вопрос с подвохом. Но подвох сам себя под монастырь подвёл — нестираемая часть будет и не записываемой.

S.I.> Совсем необязательно, что журналист под прошивкой диска понимает то же что и ты. Скорее всего имелись ввиду неформатируемые участки диска.
И? Как же он с них загрузится?

PS Занимался защитой инфы от копирования. И форматировал дискетки своим методом, изучив, как работают многие контроллеры при выдаче спецификаций на формат, которые переполняют ёмкость дорожки. Читал, писал — зависило от того, как читать (если сделать структуру, которая многократно ложиться на дорожку по кругу, то можно получить совершенно неожиданные вещи, даже учесть, что перезапись не всегда идёт точно на то же место , а, значит, сохранив инфу в простых секторах на другой дорожке, всегда можно сравнить и сказать, если кто-то пробовал перезаписывать или это копия). Это я к тому, что, чтобы прочитать таким образом записанную инфу, надо этот процесс уже иметь выполняющимся. От того, что ты прсото запишешь чего-то там на диск — ничего не случится.

Mishka> И? Как же он с них загрузится?
Контроллер тебе вместо MBR даст что-то другое
Он даже на диск не полезет - возьмет что-то из себя и выдаст в ОЗУ.

yacc> Контроллер тебе вместо MBR даст что-то другое
yacc> Он даже на диск не полезет - возьмет что-то из себя и выдаст в ОЗУ.
Для этого надо не просто сохранится, а вплестись в цепочку. Ну и всё остальное поддерживать, что фирмваря делает. Иначе быстро обнаруживается.

Mishka> Для этого надо не просто сохранится, а вплестись в цепочку.
Ну так это и будет перепрошивка контроллера.
Пока контроллеры были относительно глупые и тем более аппаратные это было проблематично, а если там быстродействующий АРМ и достаточно памяти - почему бы нет?

yacc> Ну так это и будет перепрошивка контроллера.

Тогда не приходится говорить о том, что на новые харды будет устанавливаться.

yacc> Пока контроллеры были относительно глупые и тем более аппаратные это было проблематично, а если там быстродействующий АРМ и достаточно памяти - почему бы нет?

Потому, что железо знать надо. А оно сильно разное бывает. Даже в одной серии хардов бывают отличия. И поддерживать такой режим для вируса очень затратно. Да и размер будет таким, что ...

Mishka> Тогда не приходится говорить о том, что на новые харды будет устанавливаться.
Вот неизвестно - можно ли подменить по пути к потребителю

Mishka> И поддерживать такой режим для вируса очень затратно. Да и размер будет таким, что ...
Разумеется. Но в некоторых случаях игра может стоить свеч.

yacc> Вот неизвестно - можно ли подменить по пути к потребителю

Ну, мы (когда был в аспирантуре, то с группой товарищей компиляторщиков и ОСевиков) прорабатывали вопрос ради интереса. В том числе внедрение в компиляторные и системные библиотеки, изменяемость на лету (чтобы по сигнатурам не могли отыскать) — порождение новых штаммов при заражении и прочее. Так что тема немного знакомая.

yacc> Разумеется. Но в некоторых случаях игра может стоить свеч.
Ты понимаешь, что ты должен работать с очень большим количеством постоянно меняющейся аппаратуры, firmware и прочего. И тебе не докладывают об этих изменениях. Ты всегда отстаёшь. Ты представляешь, о каких штатах высокообразованных (и очень специализированных) людей ты говоришь? Т.е. найти драйверописателя для той же винды или линя — это проблема. И очень большая. А тут ты говоришь и о таких, и embedded, и о дизаземблистах — всё в одном флаконе.

ccsr>> Тридцать лет назад умные люди, понимая что техника будет совершенствоваться, использовали термины, которые позволяли понять откуда может исходить опасность - например "несанкционированные режимы работы вычислительной техники"
Серокой> Такая степень прозорливости мне лично кажется сомнительной.
И напрасно - вы просто плохо знаете то время. Лет тридцать назад уже шли исследовательские работы по управлению вычислительными комплексами не традиционной командами с устройств ввода, а при помощи съема информационных команд с головного мозга. Не думаю, что те, кто этим занимался, обладал меньшей прозорливостью, чем нынешние авторы форума.

Серокой>Но то, что тот же Касперский и прочие ативирусописатели не имели защиты от того же знаменитого "чиха Чернобыля" CIH95, хотя, казалось бы, все исходные данные по принципу работы уже были на руках, это не гипотетическая возможность, которой ещё нет даже физически,
Вы сами себя опровергаете или же недопонимаете, что раз нет физического проявления возможностей этого вируса, то зачем раскрывать то, что мы уже знаем как с этим бороться. Так что не факт, что Касперский не был готов к появлению этого вируса, а может он просто сделал вид что ему это незнакомо.

Серокой>говорит о том, что спецслужбы просто запрещали для использования всё, что более-менее сложное.От греха, так сказать. Лучше прикрыться, запретив, чем потом огребать, что не заметили.
Вы видимо не подозреваете, кто их консультировал по вопросам безопасности, перед тем как они вводили ограничения на использование той или иной техники. И сложность здесь не причем - можете к урану обратится, он возможно вам расскажет, какие силы к этому привлекались, т.к. он любит про спецслужбы заливать, причем иногда и не врет.

Mishka> Потому, что железо знать надо. А оно сильно разное бывает.
Вот потому и пользуются стандартом, если в стандарте АТА-2 есть функция перепрошить ПЗУ - оно и прошьётся. Одинаково для любого производителя.

ccsr> Вы сами себя опровергаете или же недопонимаете, что раз нет физического проявления возможностей этого вируса, то зачем раскрывать то, что мы уже знаем как с этим бороться. Так что не факт, что Касперский не был готов к появлению этого вируса, а может он просто сделал вид что ему это незнакомо.
Нет проявления для свежего вируса, для CIH95 же возможность была, только антивируса не было. Я до сих пор помню, отключили весь корпус от инета, оставили одну машину, которая качала свежий патч к доктору ве** - ну или к касперскому, не суть важно.
Нельзя объять необъятное. Даже если в то время были богатыри, не мы.

ccsr> Вы видимо не подозреваете, кто их консультировал по вопросам безопасности, перед тем как они вводили ограничения на использование той или иной техники. И сложность здесь не причем - можете к урану обратится, он возможно вам расскажет, какие силы к этому привлекались, т.к. он любит про спецслужбы заливать, причем иногда и не врет.
Тут не та аналогия... Даж не знаю, какую предложить. Ну, вот Терминатор-2 фильм помните? Когда мужик сквозь решётку просачивается? Ну вот примерно то же самое, как заменить решётку в психушке коридоре на сплошную стену, предполагая, что появится некто в человеческом обличье, кто сможет сквозь неё просачиваться.
Просто на все такие потенциально-фанастические дыры никаких затычек не хватит. Точнее, затычка будет одна - не использовать вообще, про что я и говорю.
Ну пусть мне Уран расскажет.

Mishka> Ты понимаешь, что ты должен работать с очень большим количеством постоянно меняющейся аппаратуры
Миша, ты не понял - мы после покупки винта ( конкретного ) ретейлером, перед продажей его требуемому покупателю, меняем прошивку на свою. Нет у нас задачи весь рынок такими винтами забить
Сколько помню админов, у них обычно вкус есть на определенные марки - они не стараются все подряд покупать.

Серокой> Вот потому и пользуются стандартом, если в стандарте АТА-2 есть функция перепрошить ПЗУ - оно и прошьётся. Одинаково для любого производителя.

Стандарты — хорошо. Я их люблю. Толкьо часть этих ф-ций выполняется тем же firmware. И, если делать то, что предложил yacc, то выходит, что это всё надо делать своими ручками. А сверху ещё и то, что подменять шило-на-мыло.

yacc> Миша, ты не понял - мы после покупки винта ( конкретного ) ретейлером, перед продажей его требуемому покупателю, меняем прошивку на свою. Нет у нас задачи весь рынок такими винтами забить

Это ты не понял. Они хотят проникать и внедрятся везде. Потому, как отследить у кого куплена партия, кому пойдёт — очень трудно.

yacc> Сколько помню админов, у них обычно вкус есть на определенные марки - они не стараются все подряд покупать.

Гы, просто админы тут не при делах. В больших конторах вовсе не они определяют типы закупаемых устройств, машины и прочее.

Mishka> Стандарты — хорошо. Я их люблю. Толкьо часть этих ф-ций выполняется тем же firmware.
Какая часть, к примеру? Ну то есть какая, оно как-то так понятно, но что именно столь критично, что вирус может не завестись на другом винте?

Серокой> Какая часть, к примеру? Ну то есть какая, оно как-то так понятно, но что именно столь критично, что вирус может не завестись на другом винте?

Сейчас не скажу, а вот контроллер флопиков от Фуджицу до фига команд ATA выполнял через фирмвварю. У меня где-то даже был ассемблер этого дела. На видеокарточках — сам знаешь. Кстати, ещё одно интересное место для хранения выирусов.

Mishka> Кстати, ещё одно интересное место для хранения выирусов.

Ну, тут, я полагаю, можно запустить сам вирус на GPU. А ПДП от него - вещь такая, она границ и защищённых страниц в памяти не признаёт. Ну то есть есть попытки... У того ж Эльбруса-3, насколько я помню, но не у PC.

S.I.>> Скорее всего имелись ввиду неформатируемые участки диска.
Серокой> А это как раз известная вещь, причём очень давно.

На этом принципе (только для 5'25 дискет) знакомые ребята некогда написали вирус под СР/М

Mishka> Сейчас не скажу, а вот контроллер флопиков от Фуджицу до фига команд ATA выполнял через фирмвварю.

Я может чего не понимаю... но разве те контроллеры не вообще всё через firmware собственного контроллера делали?

Клапауций> Я может чего не понимаю... но разве те контроллеры не вообще всё через firmware собственного контроллера делали?
Вначале — да. Но потом стали автоматизировать. Я знаю только потому, что писал защиту от копирования и приходилось разбираться иногда с версиями, которые не работали.