Coreboot, оно же LinuxBIOS: компрометация ядра и его защита

(Июнь 2019, idb)

Агентство национальной безопасности США присоединилось к разработке одной из открытых подсистем, критично важных для общей безопасности компьютера. Имеет смысл отчетливо представлять, почему это плохо. И каким образом такие вещи лечатся.

Что происходит

В июне 2019 года стало известно, что крупнейшая в мире спецслужба, АНБ США, вполне официально подключилась к работам по развитию Coreboot, известного международного проекта ПО с открытыми исходными кодами. Суть этого проекта, если совсем кратко, сводится к созданию и продвижению свободно открытой альтернативы для закрытых проприетарных кодов в прошивках программно-аппаратного обеспечения BIOS/UEFI.

Если же чуть подробнее, то Coreboot, прежде известный под названием LinuxBIOS, – это большой и долгосрочный проект движения программистов за открытые исходные коды, нацеленный на то, чтобы всюду, где только возможно, заменять загрузочные системы BIOS или UEFI, характерные для подавляющего большинства нынешних компьютеров, на их более подходящие альтернативы. Под более подходящими имеются в виду существенно облегченные, простые и быстрые программно-аппаратные прошивки, разработанные для выполнения минимального количества задач, необходимых для загрузки и запуска современной операционной системы.

Поначалу эта задача развивалась как проект в рамках движения ОС Linux, однако к настоящему времени Coreboot превращен в универсальный инструмент, позволяющий очень быстро и безопасно загружать в машину не только ядро Linux, но и множество прочих операционных систем или исполняемых файлов «полезной нагрузки».

Нынешнее же подключение к проекту со стороны американской спецслужбы ознаменовало, в частности, такое событие. Специалист-программист АНБ Юджин Майерс (Eugene Myers) начал передавать в Coreboot исходные тексты своих программ, реализующих важную подсистему монитора-гипервизора STM или SMI Transfer Monitor для процессоров Intel x86. Согласно официальным данным с веб-сайта АНБ, Майерс работает там в составе Исследовательской группы доверяемых систем, задача которой декларируется как «проведение и спонсирование исследований в области таких технологий, которые будут защищать завтрашние инфосистемы Америки»…

Еще чуть ранее, в начале июня этого года, АНБ сделало другой щедрый жест – открыто опубликовав для всех и с исходными текстами свой инструментальный пакет ПО Ghidra, предназначенный для обратного инженерного восстановления программ по их исполняемому коду. Практически сразу же вслед за этим сообщество разработчиков Coreboot взяло этот инструментарий в использование, поскольку он сильно облегчает работы по восстановлению кодов в проприетарных прошивках микросхем.

С одной стороны, как можно видеть, здесь обозначился неожиданно благолепный процесс «единения профессионалов» из мощной государственной спецслужбы и из движения сторонников за свободное программное обеспечение. Глядя же со стороны другой, однако, нет абсолютно никаких оснований предполагать, что АНБ США делает свои щедрые подарки ради «всеобщего блага и безопасности».

Если же присмотреться к происходящему чуть более внимательно, то становится ясно, что у проекта Coreboot обозначились тут очень большие и неприятные проблемы…

Читать «Coreboot, оно же LinuxBIOS: компрометация ядра и его защита» далее

И вечный бой

(Сентябрь 2003)

Общие проблемы защиты смарт-карт на примере систем платного спутникового ТВ

sos_satel

Один в поле воин

В ночь с 30 июня на 1 июля 2003 г. компания НТВ-Плюс (www.ntvplus.com), фактически единственный в России национальный оператор платного спутникового телевидения, завершила переход на закрытие своих каналов новой системой шифрования Viaccess PC 2.4 (www.viaccess.fr).

Для телезрителей эта новость означала, что начиная с июля просмотр закодированного спутникового ТВ на русском языке с помощью широко распространенных в стране пиратских смарт-карт стал более невозможен. Как объявила компания, «теперь смотреть НТВ-Плюс могут только легальные абоненты, обладающие карточками нового поколения».

Смена системы шифрования – мероприятие весьма серьезное и дорогостоящее, требующее обмена смарт-карт у всех легальных подписчиков (на лето 2003 их у НТВ+ было около 165 тысяч). По сути дела – это крайняя антипиратская мера, к которой время от времени вынуждены прибегать все компании платного ТВ, поскольку раньше или позже всякую систему защиты вновь вскрывают, резко начинает расти число пиратских карт и соответственно уменьшаются доходы от законных абонентов. У НТВ+, в частности, после 1 июля число подписчиков всего за месяц сразу подскочило примерно на 35 тысяч (обычно прирост составляет около 5000 в месяц).

Читать «И вечный бой» далее

UEFI как SNAFU

(Январь 2015)

Вольный перевод этих устоявшихся буквосочетаний на русский означает текущее состояние дел в одной конкретной области инфобезопасности: «С защитой BIOS в компьютерах ситуация нормальная – все профукано нафиг»…

snafu500

В компьютерной индустрии – также как в армии и в спецслужбах – страсть как любят применять всевозможные аббревиатуры. Любовь эта нередко бьет через край, и людей слабонервных доводит до бешенства. Ну а другим постоянно дает поводы поупражняться в остроумии.

Когда, скажем, на рынке появилось очередное чудо инфотехнологий под названием PCMCIA, то кто-то с юмором тут же расшифровал это спотыкучее буквосочетание так: People Cannot Memorize Computer Industry Abbreviations, то есть «Люди не способны запоминать аббревиатуры компьютерной индустрии». Шутка явно удалась, так что вскоре для той же самой вещи нашлось имя получше – просто «PC Card».

Но в общем и целом, впрочем, тучи всевозможных аббревиатур здесь были, есть и наверняка будут оставаться впредь. Ибо они неотъемлемой частью входят в технический жаргон профессионалов, а значит, пока есть специалисты, живет и этот птичий язык сокращений. Куда, кстати, органично входят не только технические, но и «ситуационные», так сказать, общечеловеческие крылатые выражения. Типа знаменитого SNAFU.

Местом и датой рождения этого не очень приличного термина принято считать американскую армию в начале 1940-х годов. Когда страна еще не вступила в войну, а скучающие призывники-резервисты на одной из баз развлекались тем, что для стандартных 5-буквенных групп в шифрованной телеграфной переписке придумывали свою собственную «расшифровку». Типа того, что сочетание букв НПЯСК в шифртексте следует читать как «Наш Полковник Ярдли Сущий Козёл».

Аналогично, для группы вида SNAFU придумали расшифровку «Situation Normal All Fucked Up» (ситуация нормальная – всем п***ц). Примерно тогда же случился разгром флота США в Пёрл-Харборе, подходящее новое словечко стало само вертеться на языке, пошло гулять по вооруженным силам, затем попало в прессу, а оттуда и в общий лексикон…

На сегодняшний день у термина «snafu» имеется собственная позиция практически в любом словаре современного английского языка – в культурно завуалированном, так сказать, значении «неразбериха, путаница». Однако, применительно к конкретной ситуации вокруг защиты компьютерной подсистемы BIOS и ее сравнительно новой инкарнации под названием UEFI, слово SNAFU куда больше подходит в своем грубо первозданном, очищенном от окультуривания виде.

Читать «UEFI как SNAFU» далее

Параноид-генератор

(Октябрь 2013)

В жизни порою случается так, что несколько отдельных и независимых, казалось бы, событий, одновременно происходящих в разных местах планеты, в совокупности вдруг складываются в единую цельную картину. Иногда картина эта бывает красивой-приятной, а иногда, увы, совсем наоборот.

spy-paranoia

Вообще-то данный материал изначально планировался как рассказ о новом и весьма любопытном исследовании из сугубо шпионской области «невидимых аппаратных закладок» в микросхемах.

Соответствующая работа была проделана группой ученых из университетов США, Нидерландов и Швейцарии, а доклад о ее результатах — одновременно впечатляющих и настораживающих — прозвучал на недавней конференции «Аппаратура и встроенные системы для криптографии», или CHES 2013 (Cryptographic Hardware and Embedded Systems, август 2013 года, Санта-Барбара, США).

Но события в мире инфобезопасности, однако, развиваются ныне довольно специфическим образом. И за то время, пока готовилась статья о данном исследовании, из текущих ИТ-новостей навалило настолько много событий «в тему», что проигнорировать такое совпадение оказалось совершенно невозможным.

Тем более что собственно тема — не просто редкая и экзотическая, а, можно даже сказать, «параноидальная». Потому что еще совсем недавно — в эпоху «до Эдварда Сноудена» — на людей, озабоченных угрозами невидимых и неуничтожимых бэкдоров в компьютерах, обычно смотрели не то чтобы как на полных психов, но — по меньшей мере — как на чуток свихнувшихся (автор знает — сам такой).

Читать «Параноид-генератор» далее

Чума на ваши USB

(Август 2014)

Очередное открытие хакерского сообщества — угроза под названием BadUSB — совсем не случайно своим именем напоминает о BadBIOS. Природа у этих напастей, по существу, одна и та же.

badusb

По давней хакерской традиции на месяц август приходится один из главных ежегодных форумов этого сообщества — конференция Black Hat / Def Con в Лас-Вегасе, США. Среди множества докладов, как это повелось, непременно находятся и такие, о которых СМИ шумят особенно сильно — причем в данном случае практически всегда шум идет по делу, а не ради дешевой сенсационности.

В этом году еще за неделю до начала Black Hat USA особый резонанс в Интернете и компьютерной прессе получил анонс доклада под названием «BadUSB — об аксессуарах, обратившихся во зло». Авторами исследования являются германские хакеры Карстен Ноль и Якоб Лелль (Karsten Nohl, Jakob Lell) из берлинской фирмы инфобезопасности Security Research Labs.

Если в двух словах, то авторы работы тотально скомпрометировали повсеместно распространенную технологию USB — продемонстрировав такой самовоспроизводящийся вирус, который распространяется по каналам USB, невидим для стандартных средств антивирусной защиты, а самое главное, для которого сегодня в принципе нет эффективных средств борьбы и уничтожения.

Читать «Чума на ваши USB» далее

BadBIOS, или Большие Проблемы

(Ноябрь 2013)

Третью неделю на сайтах и форумах компьютерной безопасности идет весьма эмоциональное обсуждение «новой» супер-угрозы под названием BadBIOS. Как это часто бывает, диапазон мнений и оценок тут довольно широк: от «параноидальная чушь» до «все это очень и очень серьезно».

bb

О том, почему данную компьютерную напасть следовало бы называть «новой» лишь в кавычках, будет рассказано чуть далее. Сначала же, для общего представления о масштабах проблемы, надо хотя бы в общих чертах обрисовать обстоятельства, при которых вредонос BadBIOS был обнаружен. А заодно и познакомиться с человеком, который ЭТО обнаружил, не первый год с изумлением изучает, и вот теперь вынес свои наблюдения на широкое обсуждение коллег и публики.

Читать «BadBIOS, или Большие Проблемы» далее

Угрозы на три буквы

(Май 2014)

Все знают, что выбор правильного названия для нового корабля, нового продукта или новой инициативы – дело очень важное. Особо же интересны такие случаи, когда тщательно подобранное название оказывается чем-то вроде «оговорки по Фрейду».

Malware-Trap

Ярчайший пример подобных казусов имел место весной 2003 года, когда госадминистрация США устроила международное военное вторжение в Ирак. Для общего именования этого мероприятия по свержению режима Саддама Хуссейна вашингтонские политтехнологи придумали специальное благородное название – Operation Iraqi Liberty, то есть «Операция Иракская Свобода».

Но затем красивое имя пришлось поспешно менять. Лишь после того, как исходное название уже было озвучено и растиражировано в средствах массовой информации, до лидеров великой державы дошло, наконец, что первые буквы их операции складываются в слово OIL или «НЕФТЬ». То есть в прямое указание на истинную цель новой войны, развязанной США абсолютно без всяких законных оснований и даже без сколь-нибудь убедительного повода.

История, о которой будет рассказано здесь, закручена вокруг совершенно других, казалось бы, вещей – типа цифровых мобильных устройств, компьютерной безопасности и тому подобного. Но если посмотреть на тему под определенным углом, то несложно заметить, что и здесь речь идет, в сущности, все о том же… Читать «Угрозы на три буквы» далее