Метка: руткиты

Posted on

Третья часть лотерейного балета

(Июль 2017)

По суммам многих миллионов долларов, что фигурируют вокруг этой аферы, компьютерное жульничество с заранее известными «случайными» номерами выигрышей в лотерейных тиражах уже вошло в историю как одно из крупнейших в США преступлений вокруг лотереи.

Однако история данная еще не закончилась, а существенные и прежде неизвестные детали продолжают всплывать по сию пору.

Главный фигурант этого громкого дела, Эдди Рэймонд Типтон, был арестован два с половиной года тому назад, в начале 2015. Тогда же, спустя несколько месяцев он был осужден по всей строгости американского закона и как закоренелый аферист получил 10 лет тюрьмы (подробности об этой колоритной истории – или «часть первую» – можно найти здесь).

Поскольку и сам обвиняемый, и его защита остались в высшей степени недовольны таким судебным решением, категорически настаивая на полной невиновности Типтона, оказавшегося своего рода удобной жертвой, на которую навесили чьё-то чужое жульничество, была затеяна небыстрая процедура пересмотра дела в апелляционном суде.

Ну а эффектным и для многих весьма неожиданным итогом этих дополнительных разбирательств стало то, что 29 июня 2017 года на слушаниях в суде Эдди Типтон полностью отказался от прежних заявлений о своей абсолютной невиновности. И теперь решил вдруг признаться в том, что он – используя своё служебное положение шефа инфобезопасности – действительно занимался манипуляциями с компьютером, вырабатывающим случайные числа для выигрышных номеров в лотерейных тиражах.

Читать «Третья часть лотерейного балета» далее

Posted on

Общество анонимных ассенизаторов

(Февраль 2011)

Красивые формулы социального протеста и сопротивления — типа «мы это народ, имя нам легион, поэтому нас не победить» — в специфических условиях интернета приобретают особо глубокий смысл.

feat-anonymous

Согласно давно уже утвердившейся традиции (теперь и не вспомнить, когда и кем установленной) на конференциях по компьютерной безопасности наиболее любопытными и значимыми событиями зачастую оказываются те, что по разным причинам были запрещены инстанциями или в последний момент отменены самими авторами докладов-презентаций.

Не стал тут исключением и только что закончившийся в Сан-Франциско форум RSA Conference 2011. Это масштабное и респектабельное мероприятие инфосекьюрити-бизнеса, конечно же, мало похоже на хакерские конференции, где чаще всего случаются тихие или громкие скандалы с блокированием разоблачительных презентаций, а бывало, и с арестом докладчика. Однако и здесь, как показывает жизнь, никто из участников не застрахован от больших неприятностей.

Правда, для героя нынешней истории, калифорнийской компании HBGary, источником всех этих гранд-проблем стали отнюдь не федеральные власти или – как это часто бывает – некая гигантская корпорация, разъяренная публичной компрометацией своих продуктов.

Тем не менее, и в данном случае руководители HBGary сочли целесообразным отменить заранее анонсированные доклады, а развернутый на выставке-конференции стенд своей компании (с гордым слоганом «Побеждая завтрашние вредоносные программы уже сегодня») оставить совершенно безлюдным и сиротливо заброшенным.

hbg-boot

Причину столь наглядного упадка и запустения своеобразно поясняет пошедшая гулять по Сети фотография этого стенда, к которому кем-то из посетителей мероприятия прикреплен от руки сделанный плакатик с надписью типа «Анонимусы  были тут – смеха ради»…

Смешно все это или же не очень, каждый понимает в меру своего чувства юмора, но то, что произошедшая с HBGary история в высшей степени поучительна и симптоматична – это представляется несомненным.

Читать «Общество анонимных ассенизаторов» далее

Posted on

Лотерейный балет

(Май 2015)

Криминально-хореографическое представление на тему хакинга компьютеров для азартных игр.

0_TV_Hot-Lotto-ticket-mystery
В этой истории тесно переплелись наиболее характерные черты современного общества тотальной слежки – где принцип презумпции невиновности уже давно и прочно подменен на принцип потенциальной виновности каждого, а потому власти с помощью компьютеров пытаются непрерывно собирать улики на всех. Точнее, почти на всех – кроме себя.

В подобных условиях выясняется, что наиболее серьезные угрозы обществу исходят от «инсайдерских атак». То есть от людей, которые непосредственно руководят и управляют работой компьютерных систем, хорошо представляют себе, как это устроено, а потому активно злоупотребляют своим особым положением в собственных корыстных целях.

Тот конкретный и поучительный пример, который рассматривается здесь, целиком закручен вокруг инсайдерского хакинга компьютеров большой государственной лотереи. Однако с тем же успехом это могут быть компьютерные системы банковско-финансовой индустрии. Или, скажем, компьютеры электронной системы выборов в органы власти…

По причине очень мощной закулисной компоненты, которая очевидно присутствует в данном сюжете, но о которой не говорится ни слова в комментариях прессы и официальных лиц, все происходящее напоминает как бы «действие без слов». Своего рода балетное представление, где публике предлагается лицезреть некие танцы властей и самим додумывать, что эта хореография может означать. При условии, конечно, что есть желание подумать.

Интродукция: Хоровод вокруг билета

Хотя наиболее важные и драматичные моменты истории происходили в первые месяцы 2015 года, начинать рассказ логично с 29 декабря 2010 – от дня очередного тиража Hot Lotto, весьма известной и популярной в США лотереи, охватывающей около полутора десятков разных штатов страны и столичный округ Колумбия. В тот предновогодний день участникам игры стали известны не только 6 выигрышных номеров, но и то, что среди их угадавших имеется счастливый обладатель «джекпота».

0_hot-lotto-win

Иначе говоря, у организаторов лотереи имелся документ о весьма редком событии – полагающаяся часть купленного кем-то билета со всеми точно угаданными позициями, а значит, этому неизвестному счастливчику достался солидный приз в размере 16 с половиной миллионов долларов (или точнее, 14,3 миллиона – за вычетом положенных налогов в государственную казну).

Хотя дело это действительно редкое, но лотереи тем и славятся, что кому-то время от времени тут и впрямь подваливает гигантская удача. Первая странность в нашей истории обозначилась практически сразу – когда владелец билета с джекпотом не пришел за своими миллионами ни в первые же недели, ни в первые месяцы, ни вообще в течение того года, пока имелась возможность получить приз.

И лишь в самый последний момент, всего за несколько часов до истечения крайнего срока 29 декабря 2011, произошла еще одна странность. Владелец выигрышного билета все-таки обозначился, заявил о своих правах и пожелал поскорее получить причитающиеся победителю наличные. Вот только денег никаких ему все равно не дали…

Читать «Лотерейный балет» далее

Posted on

Параноид-генератор

(Октябрь 2013)

В жизни порою случается так, что несколько отдельных и независимых, казалось бы, событий, одновременно происходящих в разных местах планеты, в совокупности вдруг складываются в единую цельную картину. Иногда картина эта бывает красивой-приятной, а иногда, увы, совсем наоборот.

spy-paranoia

Вообще-то данный материал изначально планировался как рассказ о новом и весьма любопытном исследовании из сугубо шпионской области «невидимых аппаратных закладок» в микросхемах.

Соответствующая работа была проделана группой ученых из университетов США, Нидерландов и Швейцарии, а доклад о ее результатах — одновременно впечатляющих и настораживающих — прозвучал на недавней конференции «Аппаратура и встроенные системы для криптографии», или CHES 2013 (Cryptographic Hardware and Embedded Systems, август 2013 года, Санта-Барбара, США).

Но события в мире инфобезопасности, однако, развиваются ныне довольно специфическим образом. И за то время, пока готовилась статья о данном исследовании, из текущих ИТ-новостей навалило настолько много событий «в тему», что проигнорировать такое совпадение оказалось совершенно невозможным.

Тем более что собственно тема — не просто редкая и экзотическая, а, можно даже сказать, «параноидальная». Потому что еще совсем недавно — в эпоху «до Эдварда Сноудена» — на людей, озабоченных угрозами невидимых и неуничтожимых бэкдоров в компьютерах, обычно смотрели не то чтобы как на полных психов, но — по меньшей мере — как на чуток свихнувшихся (автор знает — сам такой).

Читать «Параноид-генератор» далее

Posted on

BadBIOS, или Большие Проблемы

(Ноябрь 2013)

Третью неделю на сайтах и форумах компьютерной безопасности идет весьма эмоциональное обсуждение «новой» супер-угрозы под названием BadBIOS. Как это часто бывает, диапазон мнений и оценок тут довольно широк: от «параноидальная чушь» до «все это очень и очень серьезно».

bb

О том, почему данную компьютерную напасть следовало бы называть «новой» лишь в кавычках, будет рассказано чуть далее. Сначала же, для общего представления о масштабах проблемы, надо хотя бы в общих чертах обрисовать обстоятельства, при которых вредонос BadBIOS был обнаружен. А заодно и познакомиться с человеком, который ЭТО обнаружил, не первый год с изумлением изучает, и вот теперь вынес свои наблюдения на широкое обсуждение коллег и публики.

Читать «BadBIOS, или Большие Проблемы» далее

Posted on

Корень зла

(Январь 2006)

Что такое rootkit и как эта напасть появляется в жизни компьютера.

sony-rootkit

Один из главных и достаточно убедительных аргументов, применявшихся индустрией звукозаписи в борьбе с пиратским файлообменом, обычно звучал примерно так.

Люди, закачивающие бесплатную музыку из анархических пиринговых сетей, постоянно подвергают свои компьютеры угрозам заражения вирусами и шпионскими программами (spyware). Лишь законно приобретаемые аудиозаписи, заверяла индустрия, гарантируют пользователю полную безопасность в сочетании с высококачественным контентом.

Увы, как выяснилось на исходе 2005 года, слова эти — не то чтобы ложь, но скорее лукавство, нежели правда. Ибо стали известны убедительные свидетельства тому, что средства защиты контента от нелегального копирования, реализуемые в нынешних аудиодисках, могут таить в себе серьезные угрозы, ощутимо подрывающие безопасность и надежность всякого компьютера, эти диски воспроизводящего.

Читать «Корень зла» далее

Posted on

Угрозы на три буквы

(Май 2014)

Все знают, что выбор правильного названия для нового корабля, нового продукта или новой инициативы – дело очень важное. Особо же интересны такие случаи, когда тщательно подобранное название оказывается чем-то вроде «оговорки по Фрейду».

Malware-Trap

Ярчайший пример подобных казусов имел место весной 2003 года, когда госадминистрация США устроила международное военное вторжение в Ирак. Для общего именования этого мероприятия по свержению режима Саддама Хуссейна вашингтонские политтехнологи придумали специальное благородное название – Operation Iraqi Liberty, то есть «Операция Иракская Свобода».

Но затем красивое имя пришлось поспешно менять. Лишь после того, как исходное название уже было озвучено и растиражировано в средствах массовой информации, до лидеров великой державы дошло, наконец, что первые буквы их операции складываются в слово OIL или «НЕФТЬ». То есть в прямое указание на истинную цель новой войны, развязанной США абсолютно без всяких законных оснований и даже без сколь-нибудь убедительного повода.

История, о которой будет рассказано здесь, закручена вокруг совершенно других, казалось бы, вещей – типа цифровых мобильных устройств, компьютерной безопасности и тому подобного. Но если посмотреть на тему под определенным углом, то несложно заметить, что и здесь речь идет, в сущности, все о том же… Читать «Угрозы на три буквы» далее

Posted on

Против угона

(Июнь 2008)

В современные компьютеры очень энергично встраиваются неискоренимые «противоугонные средства». Иначе ту же самую технологию иногда называют «законный руткит». Может он, конечно, и законный, только вот с точки зрения безопасности – все равно – это очень опасный в потенциале руткит-вредонос.

laptop_chains

Современные компьютеры-ноутбуки имеют настолько заманчивое сочетание параметров типа размер / цена / рыночный спрос, что их кражи ныне стабильно занимают верхние строчки в полицейской статистике преступлений. По данным американского ФБР, сейчас по меньшей мере один из каждых 10 новых ноутбуков оказывается украден в течение первых 12 месяцев.

При несколько ином пересчете накопленных данных это означает, что за год лишь в одних США похищается порядка 2 миллионов ноутбуков. Откуда самоочевидно, насколько остра сегодня потребность в надежных и эффективных средствах для защиты от компьютерных краж.

На весеннем IDF, Форуме разработчиков Intel, в этом (2008) году проходившем в Шанхае, впервые прозвучало объявление об ATT или новой «противоугонной технологии» корпорации. Короткая аббревиатура расшифровывается как Anti-Theft Technology, а собственно подсистема, реализующая ATT, планируется к встраиванию непосредственно в чипы Intel и должна появиться на рынке уже совсем скоро.

По давно сложившейся традиции, всякий раз, когда речь заходит о новых технологиях безопасности, в Intel категорически не желают раскрывать подробности устройства и функционирования системы. Однако при этом весьма охотно рассказывают о том, какие цели планируется достичь с помощью новых разработок. Читать «Против угона» далее

Posted on

Чудеса с их разоблачением

(Октябрь 2007)

Руткиты на основе виртуальной машины и патологическая аудиофилия, скепсис иллюзиониста и тайны НЛО — что может быть общего между столь разными вещами?

magic

Всякий грамотный и образованный человек обычно хорошо себе представляет, как наука относится к так называемым чудесам. Если формулировать научную позицию предельно кратко, то никаких чудес в мире не бывает.

Но есть некие феномены, которые при надлежащей настойчивости и правильном подходе к делу вполне можно объяснить, сводя все к уже известным и освоенным наукой результатам. Либо — другой случай — выявить умышленный обман и наглядно разоблачить нечестных людей, дурачащих публику.

В реальной жизни, правда, эта простая и понятная схема может приводить к весьма двусмысленным итогам.

Вот, скажем, есть известный маг-иллюзионист Джеймс Ранди, к старости подуставший обманывать зрителей своими фокусами и посвятивший остаток жизни разоблачению всевозможной «паранормальщины». Учредив даже особый приз в 1 миллион долларов любому, кто в контролируемых по научным методикам условиях докажет обладание сверхъестественными способностями.

jRandi

За много лет никто так и не сумел этот миллион выиграть, из чего естественно должно вроде бы следовать подтверждение правоты мага, уверенного, что все экстрасенсы с их чудесами — это либо шарлатаны, либо погрязшие в самообмане люди.

Но есть, однако, и совсем другие примеры, вроде приснопамятной «комиссии Робертсона», в 1950-е годы созданной в США из авторитетных ученых с одной, по сути, целью — разоблачать так называемые «феномены НЛО» и растолковывать неразумной публике, что все это вполне обычные явления, объясняемые естественными причинами.

Лишь много лет спустя стало известно, что комиссия Робертсона была создана на тайные деньги ЦРУ и совсем с иной задачей — сбить в обществе обостренный интерес к непонятным объектам в небе Америки и всячески прикрывать пристальное внимание к этой проблеме со стороны спецслужб…

В контексте текущих ИТ-новостей столь длинная преамбула понадобилась для того, чтобы прокомментировать два вроде бы совсем разных, но кое в чем очень даже созвучных события.

Первая новость касается известной проблемы с трудностями выявления виртуальных машин (VM) в компьютере. Читать «Чудеса с их разоблачением» далее

Posted on

Дежавю, или хождение по кругу

(Сентябрь 2011)

В новостях в который раз всплыли две специфические темы: опять про неискоренимый вирус в BIOS и опять про авиатеракт Локерби. Абсолютно никакой связи, казалось бы, между темами нет. Но это как посмотреть…

rootkit-blog

Новость # 1

Новость первая – про китайский руткит Mebromi, который в очередной раз напомнил всем о часто забываемой опасности вирусов в BIOS, то есть в базовой системе ввода / вывода компьютера.

Забывчивость на данный счет принято объяснять тем, что BIOS размещается в программно-аппаратной прошивке специального чипа на системной плате, а для перепрограммирования таких чипов не существует универсального средства. Иначе говоря, для множества компьютеров на рынке существует не только великое множество несовместимых файлов-прошивок, но и куча разных программ для их записи во флеш-память чипа BIOS.

А это значит, по идее, что злоумышленникам и вирусописателям просто нет смысла возиться с проникновением в столь неудобную для инфицирования подсистему. Но это в теории.

На практике же китайская антивирусная фирма Qihoo 360 недавно обнаружила гуляющий по компьютерам вредоносный код, который в качестве главного места базирования использует BIOS компьютера. Там, в силу перечисленных выше технических причин, он остается вне досягаемости для общераспространенных антивирусных программ-сканеров. И при этом вирус, получивший от китайских исследователей название Mebromi, способен проникать в BIOS великого множества компьютеров самых разных фирм и моделей. Читать «Дежавю, или хождение по кругу» далее