UEFI как SNAFU

(Январь 2015)

Вольный перевод этих устоявшихся буквосочетаний на русский означает текущее состояние дел в одной конкретной области инфобезопасности: «С защитой BIOS в компьютерах ситуация нормальная – все профукано нафиг»…

snafu500

В компьютерной индустрии – также как в армии и в спецслужбах – страсть как любят применять всевозможные аббревиатуры. Любовь эта нередко бьет через край, и людей слабонервных доводит до бешенства. Ну а другим постоянно дает поводы поупражняться в остроумии.

Когда, скажем, на рынке появилось очередное чудо инфотехнологий под названием PCMCIA, то кто-то с юмором тут же расшифровал это спотыкучее буквосочетание так: People Cannot Memorize Computer Industry Abbreviations, то есть «Люди не способны запоминать аббревиатуры компьютерной индустрии». Шутка явно удалась, так что вскоре для той же самой вещи нашлось имя получше – просто «PC Card».

Но в общем и целом, впрочем, тучи всевозможных аббревиатур здесь были, есть и наверняка будут оставаться впредь. Ибо они неотъемлемой частью входят в технический жаргон профессионалов, а значит, пока есть специалисты, живет и этот птичий язык сокращений. Куда, кстати, органично входят не только технические, но и «ситуационные», так сказать, общечеловеческие крылатые выражения. Типа знаменитого SNAFU.

Местом и датой рождения этого не очень приличного термина принято считать американскую армию в начале 1940-х годов. Когда страна еще не вступила в войну, а скучающие призывники-резервисты на одной из баз развлекались тем, что для стандартных 5-буквенных групп в шифрованной телеграфной переписке придумывали свою собственную «расшифровку». Типа того, что сочетание букв НПЯСК в шифртексте следует читать как «Наш Полковник Ярдли Сущий Козёл».

Аналогично, для группы вида SNAFU придумали расшифровку «Situation Normal All Fucked Up» (ситуация нормальная – всем п***ц). Примерно тогда же случился разгром флота США в Пёрл-Харборе, подходящее новое словечко стало само вертеться на языке, пошло гулять по вооруженным силам, затем попало в прессу, а оттуда и в общий лексикон…

На сегодняшний день у термина «snafu» имеется собственная позиция практически в любом словаре современного английского языка – в культурно завуалированном, так сказать, значении «неразбериха, путаница». Однако, применительно к конкретной ситуации вокруг защиты компьютерной подсистемы BIOS и ее сравнительно новой инкарнации под названием UEFI, слово SNAFU куда больше подходит в своем грубо первозданном, очищенном от окультуривания виде.

Читать «UEFI как SNAFU» далее

Параноид-генератор

(Октябрь 2013)

В жизни порою случается так, что несколько отдельных и независимых, казалось бы, событий, одновременно происходящих в разных местах планеты, в совокупности вдруг складываются в единую цельную картину. Иногда картина эта бывает красивой-приятной, а иногда, увы, совсем наоборот.

spy-paranoia

Вообще-то данный материал изначально планировался как рассказ о новом и весьма любопытном исследовании из сугубо шпионской области «невидимых аппаратных закладок» в микросхемах.

Соответствующая работа была проделана группой ученых из университетов США, Нидерландов и Швейцарии, а доклад о ее результатах — одновременно впечатляющих и настораживающих — прозвучал на недавней конференции «Аппаратура и встроенные системы для криптографии», или CHES 2013 (Cryptographic Hardware and Embedded Systems, август 2013 года, Санта-Барбара, США).

Но события в мире инфобезопасности, однако, развиваются ныне довольно специфическим образом. И за то время, пока готовилась статья о данном исследовании, из текущих ИТ-новостей навалило настолько много событий «в тему», что проигнорировать такое совпадение оказалось совершенно невозможным.

Тем более что собственно тема — не просто редкая и экзотическая, а, можно даже сказать, «параноидальная». Потому что еще совсем недавно — в эпоху «до Эдварда Сноудена» — на людей, озабоченных угрозами невидимых и неуничтожимых бэкдоров в компьютерах, обычно смотрели не то чтобы как на полных психов, но — по меньшей мере — как на чуток свихнувшихся (автор знает — сам такой).

Читать «Параноид-генератор» далее

«Никто кроме нас»

(Август 2014)

Продукция корпорации Apple продолжает оставаться особенной во всем — и в элегантном дизайне, и в удобствах для пользователей, и в специфических хитростях, ослабляющих защиту их информации. Не успел затихнуть громкий скандал вокруг «ошибки кода #gotofail«, как в iOS обнаружился еще целый букет закладок-бэкдоров.

An illustration picture shows the logo of the U.S. National Security Agency on the display of an iPhone in Berlin

Ныне всем уже, наверное, известно, сколь сложной и практически невыполнимой задачей является надежная защита информации в компьютере. Невыполнимой по той, в первую очередь, причине, что в эпоху «после Сноудена» доверие к любым коммерческим средствам инфобезопасности оказалось подорвано в самом корне. На фундаментальной, можно сказать, основе.

Ну какое тут, в самом деле, может быть доверие, когда документально и достоверно стало известно, что любые средства инфобезопасности, имеющиеся на рынке, абсолютно целенаправленно и на постоянной основе искусственно ослабляются. Причем зачастую делают это сами же изготовители – дабы облегчать доступ к данным для тех, «кому надо». То есть для могущественных инстанций, представляющих закон и государство.

Конечно же, в обществе по сию пору идут горячие дебаты относительно того, где именно должна проходить грань между «законным» доступом к данным (строго по предписанию суда) и «незаконным» шпионажем (когда просто берут все, до чего могут дотянуться). Но как бы там ни было, умышленное и тотальное ослабление средств инфозащиты – это очевидный и неоспоримый факт.

Ну а поскольку прямо и честно в таких вещах признаваться не принято, всегда интересно разбираться, как именно подобного рода трюки с ослаблением безопасности и криптографии происходят в каждом конкретном случае. Особенно, когда речь идет о какой-нибудь супер-успешной и знаменитой ИТ-компании. Типа, скажем, корпорации Apple…

Читать ««Никто кроме нас»» далее

BadBIOS, или Большие Проблемы

(Ноябрь 2013)

Третью неделю на сайтах и форумах компьютерной безопасности идет весьма эмоциональное обсуждение «новой» супер-угрозы под названием BadBIOS. Как это часто бывает, диапазон мнений и оценок тут довольно широк: от «параноидальная чушь» до «все это очень и очень серьезно».

bb

О том, почему данную компьютерную напасть следовало бы называть «новой» лишь в кавычках, будет рассказано чуть далее. Сначала же, для общего представления о масштабах проблемы, надо хотя бы в общих чертах обрисовать обстоятельства, при которых вредонос BadBIOS был обнаружен. А заодно и познакомиться с человеком, который ЭТО обнаружил, не первый год с изумлением изучает, и вот теперь вынес свои наблюдения на широкое обсуждение коллег и публики.

Читать «BadBIOS, или Большие Проблемы» далее

Угрозы на три буквы

(Май 2014)

Все знают, что выбор правильного названия для нового корабля, нового продукта или новой инициативы – дело очень важное. Особо же интересны такие случаи, когда тщательно подобранное название оказывается чем-то вроде «оговорки по Фрейду».

Malware-Trap

Ярчайший пример подобных казусов имел место весной 2003 года, когда госадминистрация США устроила международное военное вторжение в Ирак. Для общего именования этого мероприятия по свержению режима Саддама Хуссейна вашингтонские политтехнологи придумали специальное благородное название – Operation Iraqi Liberty, то есть «Операция Иракская Свобода».

Но затем красивое имя пришлось поспешно менять. Лишь после того, как исходное название уже было озвучено и растиражировано в средствах массовой информации, до лидеров великой державы дошло, наконец, что первые буквы их операции складываются в слово OIL или «НЕФТЬ». То есть в прямое указание на истинную цель новой войны, развязанной США абсолютно без всяких законных оснований и даже без сколь-нибудь убедительного повода.

История, о которой будет рассказано здесь, закручена вокруг совершенно других, казалось бы, вещей – типа цифровых мобильных устройств, компьютерной безопасности и тому подобного. Но если посмотреть на тему под определенным углом, то несложно заметить, что и здесь речь идет, в сущности, все о том же… Читать «Угрозы на три буквы» далее

Трындец, приехали, или Йожик здох…

(Апрель 2014)

Технический прогресс и логика шпионской жизни довели наши компьютеры вообще, и подсистему BIOS-UEFI в частности, до очень интересного состояния. И как теперь из него выбираться, никто толком не знает.

yozhik-v-tumane

В застойные брежневские времена ходил среди советских студентов такой, помнится, грустный анекдот.

Жили-были в лесной чаще два маленьких ёжика. Один совсем слепой, другой одноглазый. И вот решили они однажды развлечься – сходить к девочкам. Взял одноглазый слепого за лапку, и отправились они в путь. Долго шли по лесу, устали уже, и тут вдруг наткнулся зрячий ёжик на сучок – и лишился последнего глаза… «Ну все, трындец, пришли», – мрачно сказал проводник. «Здравствуйте, девочки!» – радостно воскликнул слепенький…

Созвучная этой притче история, о которой пойдет речь здесь, тоже начиналась довольно давно, еще в середине 1990-х годов. Именно тогда стали появляться первые новости о манипуляциях с прошивками BIOS, то есть с «базовой системой команд ввода-вывода» ПК, обеспечивающей самые начальные этапы загрузки компьютера сразу после включения питания.

В первом десятилетии нового века на хакерских конференциях не раз отмечались доклады, демонстрирующие, что в принципе код прошивки чипа BIOS (а также флеш-память других компонентов, вроде видеокарты, накопителя, сетевой платы и т.д.) позволяет прятать там шпионские бэкдоры или вирусы. При этом ни одна из антивирусных программ на рынке в таких местах искать вредоносные программы не умеет.

Докладчиков слушали, с выводами их соглашались, однако ничего конкретного для исправления ситуация никто практически не делал. Потому что память в BIOS очень маленькая, каждый производитель компьютеров (точнее, материнских плат) имеет для программирования BIOS собственное ПО и прошивки, заточенные под особенности конкретной архитектуры, все эти прошивки разных фирм имеют закрытый код и вообще друг с другом несовместимы.

Короче говоря, универсальной угрозы «для всех» тут не просматривалось и близко, а  масштабы распространения и серьезности вирусов «обычных» настолько огромны, что тема борьбы с инфекциями в BIOS представлялась всем, мягко говоря, неактуальной. Читать «Трындец, приехали, или Йожик здох…» далее

#gotofail: Ошибка или Умысел?

(Март 2014)

Недавний гранд-прокол Apple с обеспечением безопасности своих ОС породил тучу весьма неудобных вопросов к корпорации. Важнейший из них звучит просто: была ли это случайность или же чье-то вредительство? И самое грустное, что действия Apple выглядят очень нехорошо фактически при любом варианте ответа на данный вопрос.

apple-fail

Почти идеальная закладка?

Когда мир вступил в «Эпоху Эдварда Сноудена», сообщество компьютерной безопасности оказалось, без преувеличения, шокировано и подавлено реальными масштабами того, насколько глубоко скомпрометированы спецслужбами чуть ли не все общераспространенные средства защиты информации.

По сути дела, оказалось так, что доверять тут нельзя никому и ничему, а изощренные шпионские закладки или «бэкдоры» спецслужб могут обнаруживаться в абсолютно любых компьютерных устройствах, программах и средствах связи.

Иначе говоря, теперь и независимым авторитетным экспертам по защите информации волей-неволей приходится ставить себя на место компетентных правительственных органов – дабы лучше представлять себе возможные модели атак и злоупотреблений, к примеру. И вот, один из таких широко известных специалистов, американский крипто-гуру Брюс Шнайер, осенью 2013 сформулировал в этом ключе следующую любопытную идею.

Рассуждая «как шпион» о наилучших путях к разработке и реализации программного бэкдора, Шнайер предложил три главных особенности-характеристики для «действительно хорошей закладки»:

  1. Низкие шансы на обнаружение;
  2. Минимальный уровень заговора для практической реализации;
  3. Высокая степень правдоподобности для отрицания умысла в случае обнаружения.

Об этой своей концепции Брюс Шнайер сразу же вспомнил ныне, когда миру стало известно о той критически серьезной уязвимости, что обнаружена в защите операционных систем Apple – мобильной iOS и OSX для десктопов и ноутбуков.

Потому что эта дыра – или даже скорее дырища – которую корпорация Apple латала в последнюю неделю февраля своими новыми релизами ПО, по компетентному мнению Шнайера представляет собой «превосходный пример» именно такой действительно хорошей закладки.

Читать «#gotofail: Ошибка или Умысел?» далее

Мечты о защите

(февраль 2013)

В области компьютерной безопасности вообще и в области антивирусного ПО, в частности, ныне стали звучать более адекватные оценки реальной ситуации с защитой. Особых перемен в связи с этим пока не происходит, однако и честное признание проблем – уже большое дело.

chess

Практически на протяжении всего февраля (2013) в американских СМИ одна за другой волнами проходят очень тревожные публикации. В стране, как выясняется, ужасная ситуация с защитой компьютерной инфраструктуры.

В сетях чуть ли не всех ведущих газет-журналов, многих правительственных ведомств США и неисчислимого множества корпораций уже орудуют или непрерывно пытаются туда проникнуть коварные и умелые китайские хакеры, работающие на военных КНР.

За этим тревожным набатом почти не слышно голосов независимых американских экспертов по защите информации, которые пытаются, как могут, спокойно объяснить народу, что все это, в сущности, политические игры. Что компьютерный шпионаж был всегда, сколько существуют компьютеры и сети. Причем активно участвуют в нем все, кто только может, включая в первую очередь и сами США.

Называть же это дело «кибервойной» вдруг стало очень важно по той причине, что под защиту страны от военной угрозы деньги из бюджета дают намного лучше и в несравнимо больших количествах, нежели под какие-то темные шпионские дела.

Но это все, так сказать, общие фразы для погружения в тему.

Конкретно же здесь имеет смысл рассказать, как началась нынешняя волна «кибервоенной истерии» – с публикации большой статьи в выпуске центральной газеты New York Times (NYT) от 31 января 2013 года. Потому что статья эта была объективно полезная и содержательная. Можно даже сказать, этапный получился материал.

Ибо в конечном счете он может послужить не только и не столько раскручиванию лишь очередного витка в пропагандистской политической кампании, но и куда более важному делу.

Есть вероятность, что именно благодаря таким необычным публикациям – а также их необычным последствиям и более реалистичному взгляду общества на вопиющую НЕэффективность стандартных антивирусных средств защиты – удастся добиться перемен в этой области.

Смена правил

Что же такого необычного было в статье NYT под названием «Хакеры из Китая атаковали Таймс на протяжении последних 4 месяцев»?

Во-первых, вопреки давно сложившимся и по умолчанию принятым в бизнесе правилам, газета честно и подробно рассказала, как стала жертвой широкомасштабной хакерской атаки. Обычно в бизнес-кругах считается, что рассказывать всем о подобных вещах – это компрометировать собственную репутацию и отпугивать потенциальных клиентов.

Руководство газеты в данной ситуации решило иначе, и проинформированное общество наверняка от этого решения только выигрывает.

Во-вторых, поскольку в статье NYT открытым текстом сказано, что для защиты редакционной сети изначально использовались антивирусные средства компании Symantec (оказавшиеся абсолютно бесполезными), данная фирма в ответ тоже нарушила общепринятые правила – не давать комментариев о своих клиентах – и заявила нечто неординарное.

Хотя в заявлении Symantec отчетливо видны скользкие формулировки пиара, общество в итоге все равно оказывается в выигрыше. Поскольку хотя бы часть правды о реальной «пользе» антивирусов становится известна непосредственно от их ведущего поставщика.

Ну и в третьих, тщательный анализ текста статьи NYT позволяет в общих чертах восстановить, каким образом ныне происходит реальная борьба с действительно серьезными компьютерными проникновениями злоумышленников в ваши компьютерные системы.

И постичь, что единственно эффективный на данный момент способ вернуть себе «чистую» систему в подобной ситуации – это полностью сменить зараженные компьютеры. И далее просто надеяться, что подобное не повторится.

Понятно, что ни один поставщик средств компьютерной безопасности в явном виде этого никогда не признает. Обществу же (т. е. и нам, пользователям, в конечном счете), однако, самое время задуматься над тем, как и почему все это с компьютерами произошло. И каким образом, главное, столь унылое положение дел можно было бы изменить. Читать «Мечты о защите» далее

DUQU, или скрытая угроза

(Октябрь 2011)

Новейшая шпионская программа государственных спецслужб как наглядная иллюстрация странных реалий нашей жизни.

duquv

Трудности шпионской работы

Среди множества интересных, но малоизвестных эпизодов второй мировой войны однажды имел место такой случай.

Совсем молодая по тем временам американская разведслужба OSS (из которой впоследствии получилось ЦРУ) по просьбе английских коллег занялась похищением криптографических ключей Испании. Ибо британцам было очень нужно регулярно читать шифрованную дипломатическую переписку генерала Франко, как одного из главных союзников Гитлера в Европе, а аналитическими методами испанские шифры вскрыть не удавалось.

Похищение криптоключей происходило совершенно тривиальным образом. В подходящую ночь умельцы по взлому из OSS просто проникали в испанское посольство в Вашингтоне и копировали нужный англичанам очередной комплект ключей. Правда, поскольку комплекты менялись каждый месяц, то и ночные визиты в посольство приходилось наносить тоже ежемесячно. И вот, при завершении четвертого из таких посещений, сотрудников американской разведки арестовало ФБР США…

Конечно же, произошло это совсем не случайно и отнюдь не по недоразумению. Просто глава ФБР Эдгар Гувер – в годы войны ставший еще и главным контрразведчиком страны – был абсолютно уверен, что подобного рода тайные дела на американской территории могут происходить только с его ведома и под его контролем.

А поскольку шеф внешней разведки Уильям Донован про операции в испанском посольстве не только с Гувером не советовался, но и вообще не считал нужным ставить его в известность, то директор ФБР решил как следует проучить зарвавшихся шпионов из смежного ведомства.

Ничего путного, впрочем, из этого урока не получилось. Разъяренный Донован (известный также под кличкой «Дикий Билл») велел своим сотрудникам собрать на Гувера компромат посерьезнее. А когда он вскоре был добыт, то все проблемы разведки с ФБР стали решаться легко и просто – элементарным методом под названием беспощадный шантаж. Но это, впрочем, уже совсем другая история… (подробности см. тут )

Предупреждения об угрозе

Вспоминается этот забавный эпизод сегодня вот по какой причине. Под конец октября (2011) сразу несколько государственных ведомств США, отвечающих за определенные аспекты национальной безопасности страны, выпустили информационные бюллетени с предупреждениями о новой компьютерной угрозе – вредоносной программе под названием DUQU (читать это буквосочетание в англоязычной среде предлагается как «дью-кью», однако для русского языка куда более естественно было бы просто «дуку»).

На общем фоне гигантского количества разнообразных вредоносных кодов, постоянно появляющихся в компьютерах и сетях, программа DUQU выделяется как особо опасная тем, что несет в себе бесспорные черты фамильного сходства и общего происхождения со знаменитым «червем червей» по имени Stuxnet (см. «Боевой червь Stuxnet«).

Этот супер-троянец, можно напомнить, в прошлом году просто-таки поразил антивирусную индустрию и сетевую публику в целом своей небывалой сложностью и изощренностью. А конкретно для Ирана Stuxnet стал проблемой, серьезно затормозившей прогресс в обогащении урана и национальную ядерную программу в целом.

И хотя документальных – или тем более официальных – подтверждений этому нет, среди специалистов практически никто не сомневается, что созданием кода Stuxnet занимались в секретных лабораториях государственных спецслужб. Более того, имеется достаточное количество свидетельств, которые недвусмысленно указывают, разведки каких именно государств наверняка приложили тут руку – США и Израиля.

Иначе говоря, налицо имеются следующие факты нашей странной жизни. В компьютерах множества разных государств объявляется новая, весьма изощренная шпионская программа, по своим ключевым признакам явно сработанная при участии разведки США. А в ответ американские органы безопасности, вроде DHS (Департамент госбезопасности) и ICS-CERT (Реагирование на киберугрозы в области систем промышленного управления) рассылают документы о том, как этой трудноуловимой напасти следует противостоять (в общем-то, никак, кроме регулярного обновления штатных антивирусов)… Читать «DUQU, или скрытая угроза» далее

Без срока давности

(Январь 2011)

О том, как ФБР и АНБ встраивали закладки-бэкдоры в криптографию OpenBSD, операционной системы с открытыми исходными кодами.

keyhole

Среди всего того разнообразия операционных систем, что в свое время отпочковались от ОС Unix, проект OpenBSD всегда отличался особо тщательным подходом к обеспечению защиты информации.

Именно по этой причине — ну и благодаря открытому исходному коду, конечно же — криптография, поначалу создававшаяся в рамках OpenBSD, ныне лежит в основе подсистем безопасности в неисчислимом множестве коммуникационных устройств и интернет-приложений, работающих под любыми операционными системами.

В подобных условиях вполне можно понять беспокойство, появившееся у специалистов по защите информации после того, как в середине декабря (2010) Тео де Раадт (Theo de Raadt), основатель и бессменный лидер проекта  OpenBSD, опубликовал через форум разработчиков этой ОС послание следующего содержания:

Я получил письмо относительно ранней стадии разработки стека IPSEC в OpenBSD. В этом письме утверждается, что некоторые экс-разработчики (и компания, на которую они работали) получали деньги от правительства США на встраивание закладок-бэкдоров в наш набор сетевых протоколов, в частности в [отвечающий за безопасность] стек  IPSEC. Происходило все это дело примерно в 2000-2001 годах.

Поскольку первый IPSEC-стек у нас был доступным бесплатно, то значительные фрагменты этого кода ныне обнаруживаются во множестве других проектов и программных продуктов. За минувшие более чем 10 лет данный код пакета IPSEC проходил через множество модификаций и исправлений, так что уже неясно, каковым может быть реальный эффект от этих утверждений.

Это письмо, поясняет далее де Раадт, пришло к нему частным образом от Грегори Перри (Gregory Perry) — человека, в свое время активно участвовавшего в становлении OpenBSD, но с которым они уже давно и совершенно никак не пересекались — примерно те же лет десять. Читать «Без срока давности» далее