nuclearcat Опубликовано 10 мая, 2013 · Жалоба Товарищ скинул интересную ссылочку. http://www.xakep.ru/post/58104/ Что скажете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aliech Опубликовано 10 мая, 2013 (изменено) · Жалоба Баян. Вы лучше на http://ark.intel.com/ru/products/53560/Intel-Server-System-R1304BTLSFAN гляньте, оно вас совсем удивит, ибо отключить IPMI там нельзя. Ребутается через каждые 5-10 минут иначе. И да, стараюсь не применять интеловскую виртуализацию. Поправка: платформа ребутится, если выключен PXE-bootrom. Интересно, что там IPMI такого хранит? Правка2, ссылку нашёл: http://communities.intel.com/message/193139 Изменено 10 мая, 2013 пользователем Aliech Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 10 мая, 2013 · Жалоба Тут как бы выбор невелик. Применяете ли или нет :) Работает независимо от применения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aliech Опубликовано 10 мая, 2013 · Жалоба Тут как бы выбор невелик. Применяете ли или нет :) Работает независимо от применения. Ну тык никто не мешает применять решения другого годного вендора, вы знаете о ком я) По крайней мере, когда смотришь спеку AMD SVM, не кажется что оно разработано именно для бекдоров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 12 мая, 2013 · Жалоба Товарищ скинул интересную ссылочку. http://www.xakep.ru/post/58104/ Что скажете? Я может далек от всех эти виртуализаций, обладаю знаниями этой темы лишь на уровне дилетанта... Но я думаю, что это сказка. И вот почему: Для этого требовалось написать компактный гипервизор с нестандартным функционалом, главной особенностью которого было бы не разделение ресурсов единой вычислительной установки между разными ОС, а наоборот, объединение ресурсов нескольких вычислительных машин в единый комплекс, которым бы управляла одна ОС. При этом ОС не должна была даже догадываться, что имеет дело не с единой системой, а с несколькими серверами. Аппаратура виртуализации предоставляла такую возможность, хотя изначально не предназначалась для решения подобных задач. ... Поскольку система виртуализации для этой цели получилась нестандартной и выглядела как полностью автономный компактный программный модуль (объем кода не более 40–60 Кб) Что-то я не слышал, чтобы такого рода кластеры делались с помощью гипервизоров... Уместить все это, включая еще и полноценный сетевой стек, в эти 40-60кб если и можно, то ИМХО эффективность всей этой конструкции будет такой, что сгодится она только на демонстрацию концепции, но никак не для реального применения. Особенно если учесть, что для ОС все прозрачно, и она не знает какой кусок памяти к какому процессору ближе. Очевидно, что уследить за обрабатываемой информацией на основной вычислительной системе, используя только периферийный низкоскоростной процессор с частотой 60 МГц, невозможно. Таким образом, похоже, задача этой нелегальной системы состояла в съеме информации, обрабатываемой на основной вычислительной установке, с помощью средств аппаратуры виртуализации. Ога, значит это некий софт с искусственным интеллектом, анализирует запущенный софт и, путем нехитрого анализа, понимает формат используемых этим софтом данных, после чего сливает их... фантастика. И что, в это правда можно поверить? В какой точке сканировать, тоже понятно: на буферах ввода/вывода дисковых систем и сетевого адаптера. Сканирование буферов ввода/вывода — плевая задача для аппаратуры виртуализации. Сказано — сделано! Такой гипердрайвер размером около 20 Кб был прописан в биос материнской платы и оснащен функцией защиты от обнаружения. Он блокировал попытки его перезаписи при обновлении биоса и выполнял единственную функцию: обнулял флеш-микросхему биоса при поступлении команды на уничтожение. Вот это уже правдоподобнее. Причем узнал совершенно случайно, во время переговоров на фирме — лицензиате Центра, уполномоченной проверять биос на закладки. Технические специалисты этой фирмы, проводящие исследования биоса, рассказали Что, биос действительно проверяют на закладки? Что-то с трудом верится... Ау, Прохожий, ты где? :) Пришлось изобретать собственный метод для обнаружения аппаратного гипервизора. Потом, правда, оказалось, что я изобрел велосипед. Метод позволял контролировать время выполнения системных команд, требующих обязательной эмуляции в хосте гипервизора. В качестве таймера я использовал циклический счетчик фреймов в аппаратуре USB-контроллера, а программу написал для реального режима работы, чтобы минимизировать побочные и неконтролируемые прерывания, которые маскировали истинное время выполнения системных команд. А код конечно же слабо приложить... чтоб мы тоже проверили ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 12 мая, 2013 · Жалоба Ога, значит это некий софт с искусственным интеллектом, анализирует запущенный софт и, путем нехитрого анализа, понимает формат используемых этим софтом данных, после чего сливает их... фантастика. Ну сразу видно, что ты никогда не сталкивался с реальными закладками. Это только голова, как в обычных троянах, только с виртуализацией. И наличие таких недокументированных возможностей уже предполагают в довольно широком круге оборудования - АТС, MSC-BSC, системы управления технологическими процессами... А ещё неплохо вспомнить проданные Францией истребители "Мираж", которые в один ответственный момент вдруг отказались взлетать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 12 мая, 2013 · Жалоба Ну сразу видно, что ты никогда не сталкивался с реальными закладками. Я не спорю с тем, что закладки существуют. Я про то, что данная статья - художественный вымысел на тему закладок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 12 мая, 2013 · Жалоба Товарищ скинул интересную ссылочку. http://www.xakep.ru/post/58104/ Что скажете? автор статьи подошёл к вопросу не с того конца. Он пытался доказать наличие закладки косвенными методами, а надо было тупо купить у Intel отладочную плату с распаянным JTAG и анализатор. Перешить то что там было на закладочных платах в отладку и поставить hardware breakpoint на выполнение команд виртуализации во время исполнения BIOS. Да, вышло бы недёшево, в $30-40 k, зато намного показательнее. Это раз. В РФ есть минимум две конторы, которые покупают исходники BIOS для зашивки в свои материнки, заточенные под всякие госструктуры, РЖД, Газпром. Вот их код BIOS 100% проверяется тем самым центром при фсб. Кто реально их потом покупает - хз. Это два. Исходники на одну платформу (тип проца + тип чипсета) стоят ~$70k, либо есть вариант с роялти от выпуска, тогда чуть меньше. Есть ещё такая вещь как microcode update. Одна версия зашита в проц, вторая (если свежее) грузится из биоса. Могло ломать всякие workaround'ы заставляющие гипервизор работать. Это три. другие гипервизоворы, типа ESX как себя чувствовали? Возможен и совсем уж другой вариант - биос-девелоперы крафтвея просто использовали эту штуку для каких-то своих задач, вроде проверки апдейтов на аутентичность. Да, закладка, но не зловредная. В любом случае, без кода самого гипервизора и дампа "закладочных" флешек в паблике и их анализа в том числе в англоязычном комьюнити кого-то убедить вряд-ли получится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 мая, 2013 · Жалоба Уместить все это, включая еще и полноценный сетевой стек, в эти 40-60кб если и можно, то ИМХО эффективность всей этой конструкции будет такой, что сгодится она только на демонстрацию концепции, но никак не для реального применения. Это только гипервизор. Он гарантирует что запустится основная ОС и ещё придаток от авторов. Стёк в биосе обычно есть, хотя бы минимальный: вспоминаем что интельные сервера рулятся по сети даже без ОС. Сам сетевой стёк, на самом деле, весит крайне мало, и в 128кб уместится запросто и ещё место останется. Хз сколько там флешка, но дальше уже можно с сети тянуть в память хоть виртуалку с вендой. Ога, значит это некий софт с искусственным интеллектом, анализирует запущенный софт и, путем нехитрого анализа, понимает формат используемых этим софтом данных, после чего сливает их... фантастика. И что, в это правда можно поверить? Стандартные сигнатуры распространённых форматов опознать легко. Сложнее понять надо слать их содержимое или нет. Но есть у НАТО спец формат шифрованных файлов, их точно надо слать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 12 мая, 2013 · Жалоба в 95% материнок под BIOS стоят 16-мегабитные флешки, т.е. 2 мегабайта кода. сам BIOS со всеми детектами-заполнением-ACPI-загрузками-с-USB-и-прочей-херней сейчас занимает от 800 Кбайт до 1,2 Мбайт. Практически всегда остаток добивают splash-screen логотипом фирмы-производителя материнок. минимальный полноценный сетевой IP стек занимает примерно 320-360 кбайт. там только сокеты, ARP, резолвинг, и пинги. Анализировать хостом-гипервизором действия? жесть и/или тормоза. Почитайте, какие танцы с бубном нужно проделать, чтобы в Linux полностью передать управление видео- или сетевой картой в guest operating system. а 5 лет назад про которые пишет автор статьи это сделать было просто невозможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 12 мая, 2013 · Жалоба zurz в серверных материнках отдельная криптованная флешка(если судить по статье, мне самому лень колупать) для IPMI и его ARC4. А для IPMI _обязателен_ сетевой стек сам по себе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 12 мая, 2013 · Жалоба А для IPMI _обязателен_ сетевой стек сам по себе. Сетевой стек на практике частенько равен по объему приложению, которое его использует ;-) ARC4 есть во всех чипсетах с Active Management Technology. http://www.blackhat.com/presentations/bh-usa-09/TERESHKIN/BHUSA09-Tereshkin-Ring3Rootkit-SLIDES.pdf Ну и до кучи, про уязвимости в AMT/vPro много где писали, что это такой руткит, включенный по-умолчанию. ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 12 мая, 2013 · Жалоба Хорошая пдфка. http://static.usenix.org/event/mobisys03/tech/full_papers/dunkels/dunkels_html/node28.html Code size for uIP (AVR), bytes Total: 5164 IP, ICMP and TCP Я в последнее время атмегой много балуюсь, потому в курсе, что стек это не так и много :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 12 мая, 2013 · Жалоба от системы команд зависит, от наличия многозадачности... много от чего ещё. у меня всё больше interniche в голове был, оттуда и цифры. ещё в копилку про AMT http://software.intel.com/en-us/articles/architecture-guide-intel-active-management-technology/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 12 мая, 2013 · Жалоба uIP RTOS совместим, соответственно может быть многозадачен. Хотя это может быть нетривиально в некоторых случаях. Конечно и сетевой драйвер еще тот вопрос, но опять же, думаю там места более чем достаточно. В случае AMT это вообще смешной вопрос, там даже полноценный TLS есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 13 мая, 2013 · Жалоба Что, биос действительно проверяют на закладки? Что-то с трудом верится... Ау, Прохожий, ты где? :) Проверяют. С исходниками. В РФ есть минимум две конторы, которые покупают исходники BIOS для зашивки в свои материнки, заточенные под всякие госструктуры, РЖД, Газпром. Вот их код BIOS 100% проверяется тем самым центром при фсб. Кто реально их потом покупает - хз. Это два. Ну так их потом реально и покупают те, кого ты перечислил. А вообще по теме - ссылаться на ксакеп это как-то ватненько. Сей гламурный журнал для подростков призван впечатлять, а не анализировать. На секуритилабе есть и куда интереснее материалы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 13 мая, 2013 · Жалоба Проверяют. С исходниками. а сетевое оборудование? магистральные джуниперы какие-нибудь, сотовые базовые станции,..? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 13 мая, 2013 · Жалоба а сетевое оборудование? магистральные джуниперы какие-нибудь, сотовые базовые станции,..? Что заявишь на проверку - то и будут проверять. По запрошенному уровню подтверждения отсутствия НДВ и в соответствии с действующими нормами. Надо понимать очень простую вещь. Область безопасности весьма формализована. Т.е. в ней очень отчетливо решены вопросы разграничения - кто за что отвечает. ФСБ отвечает за нормы и методики. То есть оно определяет что считать безопасным, а что нет. Это их право и обязанность. Если ты владелец системы, обрабатывающей "литерную" информацию - то ты отвечаешь за соответствие этой системы действующим нормативам, причем 80% этих нормативов к коду внутри системы отношения не имеют, т.е. на одном и том же коде можно сделать как систему "правильную", так и "кривую", и вообще там эти 80% - оргмероприятия. Соответствие подтверждается специально обученными людьми, на основании бумажки от них ты можешь обрабатывать информацию. И если ты все сделал правильно - то даже в случае утечки к тебе вопросов нет. Вопросы к тем, кто писал эту нормативку, кто выполнял анализ и выпускал сертификаты на компоненты, кто выпустил аттестат на несоответствующую систему и т.д. При этом, вот парадокс, вполне могут существовать не предусмотренные никакими нормативами новые угрозы, на которые вся система среагирует далеко не сразу. Ну и не надо забывать, что "безопасность - это не состояние, а процесс" (с) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lovetc Опубликовано 13 мая, 2013 · Жалоба Проверяют. С исходниками. а сетевое оборудование? магистральные джуниперы какие-нибудь, сотовые базовые станции,..? Нет. Прохожий очень правильно поставил акцент. Пока это "гражданка" никого ничего не интересует. Но, "говорят" (с), есть одна довольно публичная платформа маршрутизации, которая прошла (и проходит постоянно с точки зрения обновлений) все необходимые процедуры и продается в рамках соответствующих заказов. Конечно, не под "гражданским" лейблом. Но тем цифрам, что были озвучены (может и соврали ;) ) это было довольно долго, экономически затратно и муторно. По поводу проверки на закладки. Толковый студент в свое время начинал трудовую деятельность, так ему при выходе из МИФИ (порядком времени прошло, но по-моему точно МИФИ) предложили аспирантуру - осваивать оборудование поиска физических закладок для уже известных и конкретных гос. заказчиков. Послойный анализ микросхем и все такое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 13 мая, 2013 · Жалоба При этом, вот парадокс, вполне могут существовать не предусмотренные никакими нормативами новые угрозы, на которые вся система среагирует далеко не сразу. Ну и не надо забывать, что "безопасность - это не состояние, а процесс" (с) ага на которые тратятся Огромные бабки при этом в итоге получается говно... Натекс 4Е1 порта+ езернет проверяют на "закладки" круто...Цена в 3 раза больше :) А то что например в сервере чисто российского производства ИВК есть средства удаленного администрирования(ну взяли они НР наклеили свой лейбл) на который негде не написано по русски что они есть.. а берешь ПДФ от НР-этого же сервера... Причем все заклеено проверенно... а тут дефолт ип- дефолт логин/пассворд... и негде в методиках итд итп нету инструкции как подключатся/запретить подключатся к этому серваку... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 13 мая, 2013 · Жалоба При этом, вот парадокс, вполне могут существовать не предусмотренные никакими нормативами новые угрозы, на которые вся система среагирует далеко не сразу. Ну и не надо забывать, что "безопасность - это не состояние, а процесс" (с) ага на которые тратятся Огромные бабки при этом в итоге получается говно... Натекс 4Е1 порта+ езернет проверяют на "закладки" круто...Цена в 3 раза больше :) А то что например в сервере чисто российского производства ИВК есть средства удаленного администрирования(ну взяли они НР наклеили свой лейбл) на который негде не написано по русски что они есть.. а берешь ПДФ от НР-этого же сервера... Причем все заклеено проверенно... а тут дефолт ип- дефолт логин/пассворд... и негде в методиках итд итп нету инструкции как подключатся/запретить подключатся к этому серваку... Причем 80% этих нормативов к железу внутри системы отношения не имеют, т.е. на одном и том же железе можно сделать как систему "правильную", так и "кривую", и вообще там эти 80% - оргмероприятия. Ты, zoro, видимо даже боком не касался ИБ вообще, и гос ИБ в частности. Попробуй окунуться в этот дивный чистый мир. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 13 мая, 2013 · Жалоба а сетевое оборудование? магистральные джуниперы какие-нибудь, сотовые базовые станции,..? зависит от конкретной модели. Например, свой MX80 Juniper проверять просто не дал, а всякие там SRX220 или допотопные M10i - пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 13 мая, 2013 · Жалоба Ты, zoro, видимо даже боком не касался ИБ вообще, и гос ИБ в частности. Попробуй окунуться в этот дивный чистый мир. :) по поводу Окунуться Спасибо не надо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 14 мая, 2013 · Жалоба минимальный полноценный сетевой IP стек занимает примерно 320-360 кбайт. там только сокеты, ARP, резолвинг, и пинги. Это вы размахнулись так. Наверно в UBoot не полноценный стек... А там много ещё разных пряников, бинарники много меньше. А если поработать напильником стек можно сделать компактней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 14 мая, 2013 · Жалоба минимальный полноценный сетевой IP стек занимает примерно 320-360 кбайт. Скока-скока? Стек TCP-IP под Intel это 40кбайт, если не чистить отладочную информацию и разную муть, оставляемую компиляторами. Если вычистить - будет ещё меньше. А можно и на ассемблере написать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...