Дежавю, или хождение по кругу

(Сентябрь 2011)

В новостях в который раз всплыли две специфические темы: опять про неискоренимый вирус в BIOS и опять про авиатеракт Локерби. Абсолютно никакой связи, казалось бы, между темами нет. Но это как посмотреть…

rootkit-blog

Новость # 1

Новость первая – про китайский руткит Mebromi, который в очередной раз напомнил всем о часто забываемой опасности вирусов в BIOS, то есть в базовой системе ввода / вывода компьютера.

Забывчивость на данный счет принято объяснять тем, что BIOS размещается в программно-аппаратной прошивке специального чипа на системной плате, а для перепрограммирования таких чипов не существует универсального средства. Иначе говоря, для множества компьютеров на рынке существует не только великое множество несовместимых файлов-прошивок, но и куча разных программ для их записи во флеш-память чипа BIOS.

А это значит, по идее, что злоумышленникам и вирусописателям просто нет смысла возиться с проникновением в столь неудобную для инфицирования подсистему. Но это в теории.

На практике же китайская антивирусная фирма Qihoo 360 недавно обнаружила гуляющий по компьютерам вредоносный код, который в качестве главного места базирования использует BIOS компьютера. Там, в силу перечисленных выше технических причин, он остается вне досягаемости для общераспространенных антивирусных программ-сканеров. И при этом вирус, получивший от китайских исследователей название Mebromi, способен проникать в BIOS великого множества компьютеров самых разных фирм и моделей. Читать «Дежавю, или хождение по кругу» далее

Троянские микрокони Intel

(Ноябрь 2000)

О технологии обновления микрокодов ― «тайном оружии» корпорации Intel и других производителей аппаратного компьютерного обеспечения.

Intel_Inside

В дискуссионных интернет-форумах, посвященных вопросам компьютерной безопасности, достаточно регулярно поднимается вопрос о всяких укромных и недокументированных местах машины, не поддающихся контролю со стороны ОС и потенциально дающих приют для упрятывания троянских коней, скрытых лазеек и прочих «черных ходов» в компьютер.

Одним из недавних поводов для такой дискуссии стала публикация в онлайновом (с некоторых пор) журнале BYTE, посвященная малоизвестной технологии Intel, применяемой для обновления микрокодов процессоров Pentium (http://www.byte.com/column/BYT20001016S0006 ).

Основное предназначение технологии ― быстро исправлять и подлатывать баги, обнаруженные в процессорах после их выхода в продажу. В ноябре 1994 года корпорация Intel в избытке хлебнула неприятностей в связи с обнаружением в ее новых процессорах знаментиого «бага с плавающей точкой», поэтому начиная с модели Pentium Pro во всех чипах архитектур IA-32 и IA-64 реализована так называемая возможность «обновления BIOS».

Несмотя на все старания компании сохранить в тайне информацию о подробностях этой технологии, кое-какие данные все же просачиваются и содержат они не всегда приятные открытия. На сегодняшний день о технологии «BIOS Update» известно следующее. Читать «Троянские микрокони Intel» далее