Jump to content
Калькуляторы

Китайские закладки в серверах Intel Craftway?

Баян. Вы лучше на http://ark.intel.com/ru/products/53560/Intel-Server-System-R1304BTLSFAN гляньте, оно вас совсем удивит, ибо отключить IPMI там нельзя. Ребутается через каждые 5-10 минут иначе.

 

И да, стараюсь не применять интеловскую виртуализацию.

 

Поправка: платформа ребутится, если выключен PXE-bootrom. Интересно, что там IPMI такого хранит?

Правка2, ссылку нашёл: http://communities.intel.com/message/193139

Edited by Aliech

Share this post


Link to post
Share on other sites

Тут как бы выбор невелик. Применяете ли или нет :)

Работает независимо от применения.

Share this post


Link to post
Share on other sites

Тут как бы выбор невелик. Применяете ли или нет :)

Работает независимо от применения.

Ну тык никто не мешает применять решения другого годного вендора, вы знаете о ком я)

По крайней мере, когда смотришь спеку AMD SVM, не кажется что оно разработано именно для бекдоров.

Share this post


Link to post
Share on other sites

Товарищ скинул интересную ссылочку.

http://www.xakep.ru/post/58104/

Что скажете?

Я может далек от всех эти виртуализаций, обладаю знаниями этой темы лишь на уровне дилетанта...

Но я думаю, что это сказка. И вот почему:

Для этого требовалось написать компактный гипервизор с нестандартным функционалом, главной особенностью которого было бы не разделение ресурсов единой вычислительной установки между разными ОС, а наоборот, объединение ресурсов нескольких вычислительных машин в единый комплекс, которым бы управляла одна ОС. При этом ОС не должна была даже догадываться, что имеет дело не с единой системой, а с несколькими серверами. Аппаратура виртуализации предоставляла такую возможность, хотя изначально не предназначалась для решения подобных задач.

...

Поскольку система виртуализации для этой цели получилась нестандартной и выглядела как полностью автономный компактный программный модуль (объем кода не более 40–60 Кб)

Что-то я не слышал, чтобы такого рода кластеры делались с помощью гипервизоров...

Уместить все это, включая еще и полноценный сетевой стек, в эти 40-60кб если и можно, то ИМХО эффективность всей этой конструкции будет такой, что сгодится она только на демонстрацию концепции, но никак не для реального применения. Особенно если учесть, что для ОС все прозрачно, и она не знает какой кусок памяти к какому процессору ближе.

 

Очевидно, что уследить за обрабатываемой информацией на основной вычислительной системе, используя только периферийный низкоскоростной процессор с частотой 60 МГц, невозможно. Таким образом, похоже, задача этой нелегальной системы состояла в съеме информации, обрабатываемой на основной вычислительной установке, с помощью средств аппаратуры виртуализации.

Ога, значит это некий софт с искусственным интеллектом, анализирует запущенный софт и, путем нехитрого анализа, понимает формат используемых этим софтом данных, после чего сливает их... фантастика. И что, в это правда можно поверить?

 

В какой точке сканировать, тоже понятно: на буферах ввода/вывода дисковых систем и сетевого адаптера. Сканирование буферов ввода/вывода — плевая задача для аппаратуры виртуализации. Сказано — сделано! Такой гипердрайвер размером около 20 Кб был прописан в биос материнской платы и оснащен функцией защиты от обнаружения. Он блокировал попытки его перезаписи при обновлении биоса и выполнял единственную функцию: обнулял флеш-микросхему биоса при поступлении команды на уничтожение.

Вот это уже правдоподобнее.

 

Причем узнал совершенно случайно, во время переговоров на фирме — лицензиате Центра, уполномоченной проверять биос на закладки. Технические специалисты этой фирмы, проводящие исследования биоса, рассказали

Что, биос действительно проверяют на закладки? Что-то с трудом верится... Ау, Прохожий, ты где? :)

 

Пришлось изобретать собственный метод для обнаружения аппаратного гипервизора. Потом, правда, оказалось, что я изобрел велосипед. Метод позволял контролировать время выполнения системных команд, требующих обязательной эмуляции в хосте гипервизора. В качестве таймера я использовал циклический счетчик фреймов в аппаратуре USB-контроллера, а программу написал для реального режима работы, чтобы минимизировать побочные и неконтролируемые прерывания, которые маскировали истинное время выполнения системных команд.

А код конечно же слабо приложить... чтоб мы тоже проверили )

Share this post


Link to post
Share on other sites

Ога, значит это некий софт с искусственным интеллектом, анализирует запущенный софт и, путем нехитрого анализа, понимает формат используемых этим софтом данных, после чего сливает их... фантастика.

Ну сразу видно, что ты никогда не сталкивался с реальными закладками. Это только голова, как в обычных троянах, только с виртуализацией.

И наличие таких недокументированных возможностей уже предполагают в довольно широком круге оборудования - АТС, MSC-BSC, системы управления технологическими процессами...

А ещё неплохо вспомнить проданные Францией истребители "Мираж", которые в один ответственный момент вдруг отказались взлетать.

Share this post


Link to post
Share on other sites

Ну сразу видно, что ты никогда не сталкивался с реальными закладками.

Я не спорю с тем, что закладки существуют. Я про то, что данная статья - художественный вымысел на тему закладок.

Share this post


Link to post
Share on other sites

Товарищ скинул интересную ссылочку.

http://www.xakep.ru/post/58104/

Что скажете?

автор статьи подошёл к вопросу не с того конца. Он пытался доказать наличие закладки косвенными методами, а надо было тупо купить у Intel отладочную плату с распаянным JTAG и анализатор. Перешить то что там было на закладочных платах в отладку и поставить hardware breakpoint на выполнение команд виртуализации во время исполнения BIOS. Да, вышло бы недёшево, в $30-40 k, зато намного показательнее. Это раз.

 

В РФ есть минимум две конторы, которые покупают исходники BIOS для зашивки в свои материнки, заточенные под всякие госструктуры, РЖД, Газпром. Вот их код BIOS 100% проверяется тем самым центром при фсб. Кто реально их потом покупает - хз. Это два.

Исходники на одну платформу (тип проца + тип чипсета) стоят ~$70k, либо есть вариант с роялти от выпуска, тогда чуть меньше.

 

Есть ещё такая вещь как microcode update. Одна версия зашита в проц, вторая (если свежее) грузится из биоса. Могло ломать всякие workaround'ы заставляющие гипервизор работать. Это три.

 

другие гипервизоворы, типа ESX как себя чувствовали?

Возможен и совсем уж другой вариант - биос-девелоперы крафтвея просто использовали эту штуку для каких-то своих задач, вроде проверки апдейтов на аутентичность. Да, закладка, но не зловредная.

 

В любом случае, без кода самого гипервизора и дампа "закладочных" флешек в паблике и их анализа в том числе в англоязычном комьюнити кого-то убедить вряд-ли получится.

Share this post


Link to post
Share on other sites
Уместить все это, включая еще и полноценный сетевой стек, в эти 40-60кб если и можно, то ИМХО эффективность всей этой конструкции будет такой, что сгодится она только на демонстрацию концепции, но никак не для реального применения.

Это только гипервизор. Он гарантирует что запустится основная ОС и ещё придаток от авторов.

Стёк в биосе обычно есть, хотя бы минимальный: вспоминаем что интельные сервера рулятся по сети даже без ОС.

Сам сетевой стёк, на самом деле, весит крайне мало, и в 128кб уместится запросто и ещё место останется.

Хз сколько там флешка, но дальше уже можно с сети тянуть в память хоть виртуалку с вендой.

 

Ога, значит это некий софт с искусственным интеллектом, анализирует запущенный софт и, путем нехитрого анализа, понимает формат используемых этим софтом данных, после чего сливает их... фантастика. И что, в это правда можно поверить?

Стандартные сигнатуры распространённых форматов опознать легко. Сложнее понять надо слать их содержимое или нет. Но есть у НАТО спец формат шифрованных файлов, их точно надо слать :)

Share this post


Link to post
Share on other sites

в 95% материнок под BIOS стоят 16-мегабитные флешки, т.е. 2 мегабайта кода. сам BIOS со всеми детектами-заполнением-ACPI-загрузками-с-USB-и-прочей-херней сейчас занимает от 800 Кбайт до 1,2 Мбайт. Практически всегда остаток добивают splash-screen логотипом фирмы-производителя материнок.

 

минимальный полноценный сетевой IP стек занимает примерно 320-360 кбайт. там только сокеты, ARP, резолвинг, и пинги.

 

Анализировать хостом-гипервизором действия? жесть и/или тормоза. Почитайте, какие танцы с бубном нужно проделать, чтобы в Linux полностью передать управление видео- или сетевой картой в guest operating system. а 5 лет назад про которые пишет автор статьи это сделать было просто невозможно.

Share this post


Link to post
Share on other sites

zurz в серверных материнках отдельная криптованная флешка(если судить по статье, мне самому лень колупать) для IPMI и его ARC4. А для IPMI _обязателен_ сетевой стек сам по себе.

Share this post


Link to post
Share on other sites

А для IPMI _обязателен_ сетевой стек сам по себе.

Сетевой стек на практике частенько равен по объему приложению, которое его использует ;-)

 

ARC4 есть во всех чипсетах с Active Management Technology.

http://www.blackhat.com/presentations/bh-usa-09/TERESHKIN/BHUSA09-Tereshkin-Ring3Rootkit-SLIDES.pdf

Ну и до кучи, про уязвимости в AMT/vPro много где писали, что это такой руткит, включенный по-умолчанию. ;-)

Share this post


Link to post
Share on other sites

Хорошая пдфка.

 

http://static.usenix.org/event/mobisys03/tech/full_papers/dunkels/dunkels_html/node28.html

Code size for uIP (AVR), bytes

Total: 5164

IP, ICMP and TCP

 

Я в последнее время атмегой много балуюсь, потому в курсе, что стек это не так и много :)

Share this post


Link to post
Share on other sites

от системы команд зависит, от наличия многозадачности... много от чего ещё.

у меня всё больше interniche в голове был, оттуда и цифры.

 

ещё в копилку про AMT

http://software.intel.com/en-us/articles/architecture-guide-intel-active-management-technology/

Share this post


Link to post
Share on other sites

uIP RTOS совместим, соответственно может быть многозадачен. Хотя это может быть нетривиально в некоторых случаях.

Конечно и сетевой драйвер еще тот вопрос, но опять же, думаю там места более чем достаточно.

В случае AMT это вообще смешной вопрос, там даже полноценный TLS есть.

Share this post


Link to post
Share on other sites

Что, биос действительно проверяют на закладки? Что-то с трудом верится... Ау, Прохожий, ты где? :)

Проверяют. С исходниками.

 

В РФ есть минимум две конторы, которые покупают исходники BIOS для зашивки в свои материнки, заточенные под всякие госструктуры, РЖД, Газпром. Вот их код BIOS 100% проверяется тем самым центром при фсб. Кто реально их потом покупает - хз. Это два.

Ну так их потом реально и покупают те, кого ты перечислил.

 

А вообще по теме - ссылаться на ксакеп это как-то ватненько. Сей гламурный журнал для подростков призван впечатлять, а не анализировать. На секуритилабе есть и куда интереснее материалы.

Share this post


Link to post
Share on other sites

Проверяют. С исходниками.

а сетевое оборудование? магистральные джуниперы какие-нибудь, сотовые базовые станции,..?

Share this post


Link to post
Share on other sites

а сетевое оборудование? магистральные джуниперы какие-нибудь, сотовые базовые станции,..?

Что заявишь на проверку - то и будут проверять. По запрошенному уровню подтверждения отсутствия НДВ и в соответствии с действующими нормами.

 

Надо понимать очень простую вещь. Область безопасности весьма формализована. Т.е. в ней очень отчетливо решены вопросы разграничения - кто за что отвечает. ФСБ отвечает за нормы и методики. То есть оно определяет что считать безопасным, а что нет. Это их право и обязанность.

 

Если ты владелец системы, обрабатывающей "литерную" информацию - то ты отвечаешь за соответствие этой системы действующим нормативам, причем 80% этих нормативов к коду внутри системы отношения не имеют, т.е. на одном и том же коде можно сделать как систему "правильную", так и "кривую", и вообще там эти 80% - оргмероприятия. Соответствие подтверждается специально обученными людьми, на основании бумажки от них ты можешь обрабатывать информацию. И если ты все сделал правильно - то даже в случае утечки к тебе вопросов нет. Вопросы к тем, кто писал эту нормативку, кто выполнял анализ и выпускал сертификаты на компоненты, кто выпустил аттестат на несоответствующую систему и т.д.

 

При этом, вот парадокс, вполне могут существовать не предусмотренные никакими нормативами новые угрозы, на которые вся система среагирует далеко не сразу.

 

Ну и не надо забывать, что "безопасность - это не состояние, а процесс" (с)

Share this post


Link to post
Share on other sites

Проверяют. С исходниками.

а сетевое оборудование? магистральные джуниперы какие-нибудь, сотовые базовые станции,..?

Нет. Прохожий очень правильно поставил акцент. Пока это "гражданка" никого ничего не интересует.

 

Но, "говорят" (с), есть одна довольно публичная платформа маршрутизации, которая прошла (и проходит постоянно с точки зрения обновлений) все необходимые процедуры и продается в рамках соответствующих заказов.

Конечно, не под "гражданским" лейблом. Но тем цифрам, что были озвучены (может и соврали ;) ) это было довольно долго, экономически затратно и муторно.

 

По поводу проверки на закладки. Толковый студент в свое время начинал трудовую деятельность, так ему при выходе из МИФИ (порядком времени прошло, но по-моему точно МИФИ) предложили аспирантуру - осваивать оборудование поиска физических закладок для уже известных и конкретных гос. заказчиков. Послойный анализ микросхем и все такое.

Share this post


Link to post
Share on other sites

При этом, вот парадокс, вполне могут существовать не предусмотренные никакими нормативами новые угрозы, на которые вся система среагирует далеко не сразу.

Ну и не надо забывать, что "безопасность - это не состояние, а процесс" (с)

ага на которые тратятся Огромные бабки при этом в итоге получается говно... Натекс 4Е1 порта+ езернет проверяют на "закладки" круто...Цена в 3 раза больше :)

А то что например в сервере чисто российского производства ИВК есть средства удаленного администрирования(ну взяли они НР наклеили свой лейбл) на который негде не написано по русски что они есть.. а берешь ПДФ от НР-этого же сервера... Причем все заклеено проверенно... а тут дефолт ип- дефолт логин/пассворд... и негде в методиках итд итп нету инструкции как подключатся/запретить подключатся к этому серваку...

Share this post


Link to post
Share on other sites

При этом, вот парадокс, вполне могут существовать не предусмотренные никакими нормативами новые угрозы, на которые вся система среагирует далеко не сразу.

Ну и не надо забывать, что "безопасность - это не состояние, а процесс" (с)

ага на которые тратятся Огромные бабки при этом в итоге получается говно... Натекс 4Е1 порта+ езернет проверяют на "закладки" круто...Цена в 3 раза больше :)

А то что например в сервере чисто российского производства ИВК есть средства удаленного администрирования(ну взяли они НР наклеили свой лейбл) на который негде не написано по русски что они есть.. а берешь ПДФ от НР-этого же сервера... Причем все заклеено проверенно... а тут дефолт ип- дефолт логин/пассворд... и негде в методиках итд итп нету инструкции как подключатся/запретить подключатся к этому серваку...

Причем 80% этих нормативов к железу внутри системы отношения не имеют, т.е. на одном и том же железе можно сделать как систему "правильную", так и "кривую", и вообще там эти 80% - оргмероприятия.

Ты, zoro, видимо даже боком не касался ИБ вообще, и гос ИБ в частности. Попробуй окунуться в этот дивный чистый мир.

Share this post


Link to post
Share on other sites

а сетевое оборудование? магистральные джуниперы какие-нибудь, сотовые базовые станции,..?

зависит от конкретной модели. Например, свой MX80 Juniper проверять просто не дал, а всякие там SRX220 или допотопные M10i - пожалуйста.

Share this post


Link to post
Share on other sites

Ты, zoro, видимо даже боком не касался ИБ вообще, и гос ИБ в частности. Попробуй окунуться в этот дивный чистый мир.

:) по поводу Окунуться Спасибо не надо...

Share this post


Link to post
Share on other sites

минимальный полноценный сетевой IP стек занимает примерно 320-360 кбайт. там только сокеты, ARP, резолвинг, и пинги.

Это вы размахнулись так. Наверно в UBoot не полноценный стек... А там много ещё разных пряников, бинарники много меньше. А если поработать напильником стек можно сделать компактней.

Share this post


Link to post
Share on other sites
минимальный полноценный сетевой IP стек занимает примерно 320-360 кбайт.

Скока-скока?

Стек TCP-IP под Intel это 40кбайт, если не чистить отладочную информацию и разную муть, оставляемую компиляторами. Если вычистить - будет ещё меньше. А можно и на ассемблере написать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this