Articole şi teste interesante

Nene, am impresia că am citit pe diagonală, dar plm uite quote:

"We had an air-gapped computer that just had its [firmware] BIOS reflashed, a fresh disk drive installed, and zero data on it, installed from a Windows system CD," Ruiu said. "At one point, we were editing some of the components and our registry editor got disabled. It was like: wait a minute, how can that happen? How can the machine react and attack the software that we're using to attack it? This is an air-gapped machine and all of a sudden the search function in the registry editor stopped working when we were using it to search for their keys."
 
Neo, in citatul dat de tine Ruia vroia sa spuna ca nici dupa un reflash de BIOS nu a scapat de problema (ma rog, poate dupa reflash a folosit vre-un stick infectat), dar in nici un caz nu spune ca un calculator poate fi infectat prin microfon/difuzor.
 
Mă. Re-verificați-vă engleza că vă dă cu virgulă. Wtf.

Iti da tie cu plus. Nicaieri in citatul acela nu spune explicit ca sistemul ar fi fost infectat prin microfon/difuzor. Ca ai ajuns tu la concluzia asta e altceva.

Ascultarea microfonului nu cade in sarcinile BIOS-ului, iar daca o face, inseamna ca e deja infectat.
 
Nu are rost să analizezi fiecare frază, pentru că nenea ăla nu știe să scrie și nici nu e coerent. Când vorbește de USB-uri, când de sunete, când de alte alea... Totul e scris de parcă ar fi auzit de la alții și a scris și el ce a înțeles, inclusiv pozele și fișierele sunt la stilul "uite că a pus cineva fișierele, trebuie să aveți flash instalat ca să le luați, I'm a great security expert so I know shit" (plus, de ce avea altcineva imaginea de BIOS și nu el? cum a fost obținută?) sau "uite ce poze am primit, cu niște ceva-uri la 35kHz".
 
Neo, #2 care-ți zice să te culci. Tipul dădea exemplu că, cu un BIOS flashuit proaspăt și sistemul complet deconectat, virusul DEJA INSTALAT PE ACEA MAȘINĂ revenea, și nu înțelegea de unde. Iar explicația se pare că de-aici vine: se instalează nu doar în CMOS, ci și în alte componente hardware. Gen, controllerul ăla USB prin care intra de la bun început, și care probabil era modificat.

Cum ziceam, articolul e o varză alambicată, pe măsura prezentării autorului.

Și btw, pentru ca să se poată infecta prin microfon, trebuie ca ceva să ASCULTE la microfonul ăla. Cine să facă asta înainte de infectare, ba chiar conform unui întreg protocol? Nimeni. Doar DUPĂ instalarea virusului, PC-ului îi cresc „urechi” și „gură” și are cu ce să ciripească și să asculte în jur fără alte metode de comunicație, însă tot cu PC-uri infectate care să ajute la protejarea lui.
 
Virusul e mai vechi dar mai puțin cunoscut. Dacă nu ai backup-uri remote cu versionare (și nu simple network shares, că le criptează și pe alea) e nasol, pentru că până îți dai seama de problemă poți să ai totul criptat. Recomand în continuare CrashPlan, și versiunea free (pe un alt calculator, nu în cloud) face versionare, dar nu suportă setări specifice - cât să țină versiunile, cât de des să versioneze.

Din câte am înțeles, ca să fie rapid (că dacă ia la criptat câțiva TB de date o să-ți dai seama până la urmă), criptează doar începutul fișierelor, așa că unele nu-s foarte afectate - zicea cineva că jpeg-urile se vedeau, probabil prinsese la criptare doar vreun header.
 
Neo, #2 care-ți zice să te culci. Tipul dădea exemplu că, cu un BIOS flashuit proaspăt și sistemul complet deconectat, virusul DEJA INSTALAT PE ACEA MAȘINĂ revenea, și nu înțelegea de unde. Iar explicația se pare că de-aici vine: se instalează nu doar în CMOS, ci și în alte componente hardware. Gen, controllerul ăla USB prin care intra de la bun început, și care probabil era modificat.

Cum ziceam, articolul e o varză alambicată, pe măsura prezentării autorului.

Și btw, pentru ca să se poată infecta prin microfon, trebuie ca ceva să ASCULTE la microfonul ăla. Cine să facă asta înainte de infectare, ba chiar conform unui întreg protocol? Nimeni. Doar DUPĂ instalarea virusului, PC-ului îi cresc „urechi” și „gură” și are cu ce să ciripească și să asculte în jur fără alte metode de comunicație, însă tot cu PC-uri infectate care să ajute la protejarea lui.

Vă luați de gramatică și exprimare... Uitați că există profesioniști excelenți care nu prea știu să se exprime :smile: Nu pricep de asemenea de ce vă luați de mine :smile: În loc să discutăm decent o luați pe ulei.

Sunt convins că cineva trebuie să "asculte" și din câte văd au vehiculat de fapt o posibilă vulnerabilitate în sistemul de fonturi (cel puțin pentru Windows).

De ce sunteți în halul ăsta de closed-minded? Serios acum.
 
Ce s-a vehiculat până acum:
- afectează și mac, și linux, și windows
- controllere USB infectate
- controllere CD infectate
- BIOS-uri infectate
- nu bootează CD-uri
- comunicare prin audio de frecvență înaltă: 1) dacă a scos microfonul și boxele, nu s-au mai întâmplat niște comunicații neclare; 2) înregistrare cu ceva la 35kHz; 3) acum 2 săptămâni se plângea că aude "high frequency whining" și că era de la asta - bune urechi are tipul
- font-uri ciudate: 1) cu dimensiune mai mare decât normală; 2) câteva sute de font-uri care au apărut brusc și au dispărut pe un alt calculator, care a fost instalat pe curat cu kit-ul de w8.1 de pe MSDN (nu e prea clar dacă există o legătură între cele două, și cum au fost copiate între ele)
- dispariția de fișiere la scrierea pe CD: 1) fonturile de mai sus au "dispărut" când trebuiau scrise pe CD; 2) fișiere modificate în timpul scrierii, nu zice în ce fel au fost modificate și cum și-a dat seama
- erori 404 la accesarea unor site-uri: 1) cele care sunt legate de controllerele USB stick

mai nou (twitter):
- imagini de disc de pe un sistem infectat, uploadate undeva, au fost modificate ca prin minune exact acolo unde erau diferențe
- fișierele sunt publicate pe un site care necesită adobe flash pentru download, cunoscut pentru cârdul de vulnerabilități, și care cere permisiuni de stocare locală
 
In mod normal orice nou sistem de transmitere de virusi si orice tehnologie noua merita atentie, dar in cazul asta suma tuturor informatiilor imi da impresia de o teorie interesanta, dar lipsita de suport si atunci imbracata intr-o aiureala de poveste. Da, transmisia de date prin unde audio mi se pare o chestie ingenioasa (ca tot am trait epoca faxurilor si a modemurilor), dar aplicabilitatea e limitata si aici povestea incepe sa fie trasa de par.
- nu cred ca boxele de laptop pot emite la 35kHz si suficient de precis incat sa infiripe o comunicatie coerenta. Nu cred ca emit nici macar la 20kHz in mod intentionat, ci doar ca zgomot parazitic, dar cunostintele mele de radioelectronica sunt ignorabile
- nu orice desktop are microfon si nu cred ca majoritatea microfoanelor capteaza 35kHz, iar daca ar face-o nu cred ca raportul semnal util/zgomot de fond e suficient de bun ca sa procesezi informatia fara niste ASIC-uri specializate
- si boxele si microfoanele astea de calitate extrema trebuie sa fie pe orice computer de prin casa sau birou lui
- nu cred ca poti aduna suficiente informatii low level despre controllere USB de la fabricanti diversi ca sa le faci pe toate vulnerabile decat daca lucrezi in domeniu, nevasta la NSA si copiii cu norma intreaga pe la diverse servicii rusesti si chineze
- in BIOS ai putea sa pui un virus, dar nu unul care sa se multiplice in alte BIOS-uri de la alti fabricanti si sa fie si multi-platforma (Linux, Windows, Mac)

Deci, scenarii la limita, cam multe concidente si lipsa de probe. 1 la milion virus facut de un geniu, restul doar o poveste cu un pic de paranoia, poate si un virus cu dedicatie.
 
Eu nu prea cred povestea, dar am cateva argumente pro si contra in plus fata de ce s-a spus pana acum.

Pro:
- Producatorii de USB sunt doar cativa si am senzatia ca USB-ul este mult prea strict standardizat cat sa difere prea mult de la un producator la altul. Posibil ca si (parte din) firmware-ul cu care functioneaza sa fie inclus in licenta USB.
- Nu trebuie neaparat infectat BIOS-ul. E suficient sa infectezi un fimware din sistem si sa adaugi un modul ISA PnP sau PCI. BIOS-ul il va executa automat la bootare, fara ca BIOS-ul principal sa fie afectat.
- Daca nu se gaseste un ROM infectabil in sistem, se poate adauga un modul direct in cipul BIOS-ului, dar aici, intr-adevar, e mai complicat, dar nu din cauza diversitatii BIOS-urilor (LOL! Sunt doar 2 producatori.), ci din cauza ca unii OEM adauga CRC-uri si alte prostii la ele.
- Nu trebuie sa fie neaparat 35KHz. Spre exemplu modem-urile se adapteaza la calitatea liniei. Acela putea fi un caz particular unde microfonul/boxele puteau.
- Producatorii de cipuri audio sunt doar cativa, cu Realtek 70% si restul interfete standardizate gen HDMI, USB audio, etc.

Contra:
- Cineva ar fi trebuit sa aibe foarte mult timp liber (sau platit), echipamente foarte avansate, cunostinte hardware si software foarte low-level si multe multe calculatoare pe care sa testeze.
- Nu cred ca un stick USB poate livra un payload suficient de mare catre sistemul aflat in faza de POST incat sa infecteze BIOS-ul. Ar trebui sa aiba un scanner PCI, un program de flash-uit si imaginea de flash-uit care ar fi destul de mare daca trebuie sa faca toate lucrurile alea la bootare. Nu vorbesc de faptul ca un stick USB n-ar putea stoca datele respective, ci de faptul ca sistemul tinta nu ar avea in ce memorie sa le incarce si sa le execute, aflat fiind in timpul POST. Dar cine stie, poate ca UEFI nu are vechile limitari...
- Lucrurile pe care virusul ar trebui sa le faca sunt cam prea diverse pentru ca povestea sa fie credibila. Luate individual, da sunt posibile, dar luate la un loc nu prea suna plauzibil.
 
Se pare că eu distribui viruși la 36kHz mai ceva ca nenea ăla, dacă suflu spre laptop. Sau e doar un artefact de resampling. Mă duc acasă să caut un piezo.

PS: tot vorbind de viruși, a crăpat și xf-ul, nu mai pot să pun atașamente.
 
- Cineva ar fi trebuit sa aibe foarte mult timp liber (sau platit), echipamente foarte avansate, cunostinte hardware si software foarte low-level si multe multe calculatoare pe care sa testeze.
Nu pot pricepe de ce toată lumea crede că chestia asta ar fi fost făcută (if real) de o singură persoană, probabil și super nerd și never fucked?

Ca fapt divers, vă îndrept atenția spre acest articol. Lumea pare să uite foarte repede.
 
Neo, Stuxnet nu avea nici un efect pe alte calculatoare decât ținta, pentru că nu vrea nimeni să se deconspire. Pe când ăsta face toate chestiile posibile fără vreun motiv clar. Da, acum mult timp existau viruși care erau just for fun, da' mai nou se pot face mai multe, vezi ransomware-ul din post-ul lui Foxter :smile:.

Și poza de care ziceam mai sus...
suflat.png
 
Ce vremuri, mon cher, ce vremuri. Rulam un BBS pe OS/2 2.0 in 5 MB de RAM (da, in 4 facea ca toti dracii, in 5 mergea foarte bine, nu era nevoie de 8MB) si mai si foloseam calculatorul ala in acelasi timp. Era un 386, dar puteam juca un joc in timp ce BBS-ul rula in background, o chestie care in Windows a inceput sa mearga la fel de bina abia pe Win NT 4.
 
A fost postat articolul original in threadul de NAS. Ars nu face decat sa repovesteasca la mana a doua.
 
Back
Top