Heise - Tri mesece po hekerskem napadu na nemški parlament, za katerega so Nemci obtožili Rusijo, incident še vedno ni saniran. Mesec dni po napadu je bil trojanec še vedno aktiven, njegova odstranitev pa sploh ni enostavna, ker se skriva tudi v firmwaru in drugod. Omenjala se je celo radikalna možnost, da bo treba zamenjati celoten računalniški sistem. Sedaj je vmes prišla grška kriza in računalniški sistem ostaja neočiščen in ranljiv.
Konec julija so nemške poslance obvestili, da bodo veliki postopek čiščenja in zamenjave sistema začeli danes, zaradi česar bodo do ponedeljka brez dostopa do službenega omrežja in elektronske pošte, kasneje pa bodo morali ponastaviti vsa gesla. Ker do konca avgusta v Nemčiji trajajo parlamentarne počitnice, poseg ne bi smel preveč ovirati delovanja parlamenta. Situacijo je zapletla grška kriza, saj v teh dneh poteka dogovarjanje o novem posojilu tej državi. Zaradi tega so se v nemškem parlamentu odločili, da za nedoločen čas preložijo vzdrževalna dela na sistemu. Prihodnji teden se utegne primeriti izredno zasedanje nemškega parlamenta, kjer bo treba potrjevati nov paket pomoči, zato si ne morejo privoščiti izpada parlakoma (internega komunikacijskega sistema). Nemški parlament tako do nadaljnjega ostaja ranljiv.
Kdo je trojanca v resnici poslal nad Nemce, ni jasno. Je pa Die Weltlepo opisal dogajanje, ki je vodilo do odkritja vdora. Začelo se je kot rutinska preiskava spama oziroma normalnega poizkusa vdora 8. maja letos, štiri dni pozneje pa so dobili informacijo, da sta dva računalnika stopila v stik z IP-naslovom v Vzhodni Evropi, od koder se širijo virus in trojanci. Šlo je za računalnika dveh poslancev - enega iz CDU-ja in enega iz Levice.
Eh, stari dobri časi ROM-ov. Posodobitev taka, da pač zamenjaš rom čip in voila (kjer je možno). Ne razumem, zakaj se ne specializirajo na tovrstne rešitve, zdaj pa jim "custom firware" lepo najeda.
Računaj da imajo trojance verjetno na vsej opremi - če se dovolj potrudiš delajo na routerjih, switchhi, tiskalnikih, skenerjih, tipkovnicah in seveda desktop/prenosnikih/telefonih.
Slaba sala. Ce imas zadevo v firmwareu, ti tudi tist malware od linuxa nic ne pomaga.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Res je. Si pa vsaj varen pred EXE komerialnim malwareom. Drugače pa ne razumem, zakaj EU ne začne finančno podpirati Coreboot projekta... če se že gremo neko neodvisnost.
Coreboot bi bilo lažje očistiti, to se strinjam. Se pa bojim, da bi ga bilo tudi lažje okužiti? Ne vem, kakšne varnostne mehanizme so vgradili vanj, da se to nebi moglo zgoditi. Medtem ko je klasični BIOS napisan v ASM, je Coreboot v C-ju, pa še source je na voljo. Če potem zmanipuliraš payload..... noja, k sreči tega že lahko AV program preverja, če se ne motim? Hudir je samo to, da se na AV ne moreš zanesti, sploh ne, če si 'high value target', kot npr. Bundestag.
Coreboot bi bilo lažje očistiti, to se strinjam. Se pa bojim, da bi ga bilo tudi lažje okužiti? Ne vem, kakšne varnostne mehanizme so vgradili vanj, da se to nebi moglo zgoditi. Medtem ko je klasični BIOS napisan v ASM, je Coreboot v C-ju, pa še source je na voljo. Če potem zmanipuliraš payload..... noja, k sreči tega že lahko AV program preverja, če se ne motim? Hudir je samo to, da se na AV ne moreš zanesti, sploh ne, če si 'high value target', kot npr. Bundestag.
Na novih sistemih je BIOS zamenjal UEFI, ki je prav tako spisan v C.
Nisem želel poudariti v čem je pisan - to samo po sebi še ne predstavlja posebno ranljivost. Bolj sem mislil na to, da je source na voljo, kar pri UEFI (vsaj mislim) ni. Skratka, lažje je naštudirati, kje bi se dalo kaj 'doštukat', pa da sistem ne začne kreširat zaradi tega. Ker imaš source, ga lepo prevedeš in nekako spraviš na žrtvino mašino. Kot sem rekel - ne vem, kakšne mehanizme so vgradili, da se to nebi moglo naresti.
Če nimaš izvorne kode UEFI, je vseeno malenkost težje kaj doštrikat, sploh če se nekje preverja še checksum. Ampak očitno tudi to ni poseben problem zmanipulirati...
Boš sam napisal programček, ki bo periodično delal checksum in ga primerjal s shranjeno vrednostjo, pa boš nazadnje ugotovil, da je malware celo tako brihten, da se še za checksum zlaže....?
Po svoje je treba pisce tega malware-a občudovati. Škoda edino, da svoje znanje in fantazijo tratijo na napačni strani legalnosti.
Skratka, lažje je naštudirati, kje bi se dalo kaj 'doštukat', pa da sistem ne začne kreširat zaradi tega. Ker imaš source, ga lepo prevedeš in nekako spraviš na žrtvino mašino. ... Boš sam napisal programček, ki bo periodično delal checksum in ga primerjal s shranjeno vrednostjo, pa boš nazadnje ugotovil, da je malware celo tako brihten, da se še za checksum zlaže....?
Valjda se zlaže. Tukaj je potem edina rešitev TPM oz. da greš še za en nivo nižje in preverjaš integriteto BIOS-a/UEFI-ja.
Intel ima neko zadevo, ki se ji reče Intel Boot Guard in počne točno to - preverja integriteto BIOS-a.
