Курский Форум

[Void]

Тема посвящена информационной безопасности, но не совсем в привычном для нас ее понимании, а безопасности на аппаратном уровне.

Существует некоторая тенденция развития технологий дистанционного управления компьютерами на низком аппаратном уровне в целях безопастности и защиты от краж. Вот например концепция Intel'а по этому поводу: http://www.intel.com/cd/business/enterp ... 344997.htm
Однако, в свете сосредоточения разработки и производства "железа" в руках лишь нескольких государств это направление с другой строны может также иметь и угрожающий для всех характер.
Вот следующая цитата с сайта rom.by:

Представители АНБ (Агенстство Национальной Безопасности США) признали факт того, что большинство компьютеров, производимых на территории Китая напрямую угрожает государственной безопасности США, т.к. все предприятия подчиняются УИБГШНОАК (Управление Информационной Безопасности Генерального Штаба Народно-Освободительной Армии Китая) и потому не могут полностью контролироваться, в результате чего в BIOS новых компьютеров может находиться вредоносный код. Именно по этой причине некоторое время назад была отозвана крупная партия ноутбуков, предназначенных для модернизации систем в посольствах США, т.к. они имели чисто китайское происхождение.
Как известно, большинство производимых компьютеров имеют на борту BIOS от Phoenix - по некоторым оценкам это порядка 75%. В нём (Phoenix BIOS) уже на протяжении нескольких последних лет изначально встроен модуль, предназначенный для удалённого управления компьютером. С одной стороны, это может быть полезная функция - в плане возможности вернуть украденный компьютер (или, как минимум, удалённо стереть на нём важные данные), с другой - идеальная возможность для спецслужб. Недавно AMI BIOS тоже стал изначально содержать такие модули.

К слову важно понимать, что цитата и описанные технологии выше относятся прежде всего к ноутбукам. Также следует отметить, что само собой разумеется наша оборонка производит некоторые проверки в области электроники. Так, импортные микросхемы прежде чем использоваться на военном производстве анализируются на наличие внутри шпионских модулей. Однако очевидно, что подобные проверки не касается бытовой электроники и в частности ноутбуков.
Постановка вопроса такова: что вы об этом думаете/знаете? Как относитесь к этому?
З.Ы. Намеренно разместил тему в этом разделе, посколько хотелось бы обсудить вопросы с аппаратной стороны, в частности о реализации подобных технологий в железе. В то же время, эта тема может обсуждаться с позиций компьютерной безопасности, да и с политической стороны в общем то. Поэтому, если тема не получит здесь развития или примет другое направление, прошу модератора перенести ее в соответствующий раздел.

[BeteTest]

Void
БИОС это скорее софт, и внести в него код может кто угодно, если есть такая возможность.
Надо боятся иньекций на уровне микросхем плиск и мк.

Live Free or Die Hard

[Void]

BeteTest, угу, софт, но для абсолютного большинства пользователей компьютеров уровня firmware достаточно, кроме того такой подход будет проще и дешевле по сравнению с упомянутыми тобой инъекциями. Самое фиговое, что такие вещи отлично могут прикрываться под видом технологий защиты.
Если познакомиться с решениями интел, то возможность дистанционного управления компьютером осуществляется уже с привлечением дополнительных аппаратных средств и присутствует уже изначально в архитектуре компьютера (в EFI). Существует возможность дистанционного контроля, даже когда компьютер выключен (сетевой провод с интернетом правда пока что должен быть всунут в разъем:)).
Доцитирую немного rom.by (вчера не полностью скопипастил):

Какой из центров (АНБ или УИБГШНОАК) имеют серверную часть для управления клиентом в Вашем BIOS - сказать сложно.
Ещё два года назад подавляющее большинство было за АНБ, однако в последнее время, особенно с приобретением компанией Lenovo прародителя PC (компании IBM) - ситуация стала резко меняться не в пользу США. Кроме того, в последние время Евросоюз стал резко высказываться против подобных методов обеспечения безопасности - как одно из проявлений этого есть факт того, что компания Микрософт вот уже который год каждый день подвергается резкому прессингу и многомиллионным штрафам за неоткрытие своих исходных кодов.

Почитал по поводу встроенного модуля управления в Phoenix. Если функция на ноутбуке активирована, то в винде как сервис торчит файл rpcnet.exe, неудалямый никакими переустановками винды, форматированиями и переразбиениями диска. Файл можно удалить, только после удаления соответствующего модуля в биосе.

[kvaka]

проверки не касается бытовой электроники и в частности ноутбуков.
Постановка вопроса такова: что вы об этом думаете/знаете? Как относитесь к этому?

Пендосы сами создали эту проблему (И хорошо использовли в "Бурях в пустыне", а до этого во Второй мировой)
Те, кто думает/знает об этом ниче писать не будут.
Они работают.

[BeteTest]

проще и дешевле по сравнению с упомянутыми тобой инъекциями.

Я в том плане, что не стоит забывать что тема в хард разделе. Кончно проще софт на низком уровне забобахать, чем лезть в чип или его переферию.
Вот интересно, возмно за счет не док. функций включить трансляцию данных с портов сетевых девайсов? Если расмотреть док. по шине писиай и проследить линии, что по ним в дийствительности идет, например, реалтек производит монго чипов для сетевых карт, это конечно бред, но все таки.

[Void]

И хорошо использовли в "Бурях в пустыне", а до этого во Второй мировой

Если можно поподробнее (на правах небольшого оффтопа). В "Буре" компы иракские отрубили чтоли? а в мировой каким образом использовали?

Они работают.

Ох, надеюсь.

и проследить линии, что по ним в дийствительности идет

Вот это, имхо, осуществить немного сложновато. А Реалтек вроде типично тайваньская компания, хотя все может быть.

Разработки по внедрению в электронику подобных технологий ведет и довольно давно компания Absolute Software. В рунете есть сведения, что компания по крайней мере имеет договора с HP, Dell, а также с Apple. На сайтах с патентами, типа http://www.freepatentsonline.com/m, есть некоторые патенты данной компании, в частности довольно подробно описывающие их технологию сетевого мониторинга. Но пока что не было времени все хорошо изучить.
Ядро модуля может использовать SMM в защищенной области памяти, то есть ему в принципе по фиг на операционную систему.

[Void]

Микросхема TPM: это конец анонимности
http://www.webplanet.ru/news/internet/2 ... rivat.html

Анонимность всегда была неотъемлемой частью сетевой культуры. Сейчас этому приходит конец. Альянс под руководством AMD, Intel, IBM, Microsoft продвигает специальный ID-чип и софт для надежной идентификации сетеходов.

Вышеназванные корпорации прилагают максимальные усилия, чтобы ID-микросхема стояла в каждом компьютере каждого пользователя. Уже сейчас этот миниатюрный чип под названием Trusted Platform Module (TPM) установлен примерно на 20 млн компьютеров, сообщает MSNBC. Правда, в большинстве случаев от отключен. Просто до сих пор нет единой системы и стандартов идентификации пользователей. Но это дело времени.

Чип TPM — это идеальное устройство для электронной коммерции, юридических и финансовых организаций, для которых надежная и быстрая идентификация клиентов необходима как воздух. Они надеются, что TPM получит широкое распространение как можно быстрее. Но скептики вполне резонно напоминают, что подобные технологии могут (и будут) использоваться для ограничения гражданских свобод. Неужели мы хотим превратить интернет в полицейское государство?

Но поезд, похоже, уже ушел. К концу десятилетия микросхема TPM будет встроена в абсолютное большинство настольных и мобильных компьютеров, и даже почти во все мобильные телефоны.

Разработкой и продвижением TPM занимается технологический альянс, куда входят более сотни известных компаний, в том числе такие гиганты как AMD, HP, IBM, Microsoft и Sun.

Микросхема генерирует уникальный постоянный идентификатор для конкретного компьютера. Этот номер генерируется еще на этапе сборки компьютера и не может быть изменен. Данный идентификатор затем считывается различными веб-сервисами и программным обеспечением, которое установлено на компьютере. Подробнее о микросхеме TPM можно почитать в технической документации.

Сейчас компьютеры с TPM продаются в основном по корпоративным заказам для фирм, которые хотят обезопасить локальные сети. Однако уже со следующего года такие компьютеры поступят на массовый рынок.

Идентификация пользователя осуществляется просто. При загрузке компьютера человек должен подтвердить свою личность: ввести PIN-код или представить отпечаток пальца. Потом, если пользователь работает с веб-сервисами, которые поддерживают TPM, они уже не требуют его дополнительной авторизации, проверяя лишь номер микросхемы. Кроме того, такая система надежно защищает пользователя от фишинга, поскольку поддельные сайты просто не смогут получить номер TPM.

Микросхема TPM может применяться в криптографии как генератор закрытого и открытого ключей. Возможно, именно благодаря этой системе мы сможем когда-нибудь избавиться от спама.

Возможности использования аппаратной идентификации можно перечислять очень долго. Огромное количество сервисов и приложений в интернете основаны на идентификации пользователя, и микросхема TPM упростит и обезопасит ее. По крайней мере, в теории. Но есть и обратная сторона медали.

Соглашаясь на аппаратную идентификацию, мы жертвуем собственной анонимностью, а также получаем огромное множество проблем. Только представьте себе, что «защищенные» компьютеры откажутся работать с пиратским ПО и запускать мультимедийные файлы, не снабженные меткой DRM. С такой микросхемой вы должны будете лицензировать каждую программу и каждый файл, с которым хотите работать — а компьютер будет пристально за этим следить. И это только самое безобидное, что может с вами случиться. Если же за дело возьмется государство — мало вам точно не покажется. Например, если они запретят продажу в стране компьютеров, не защищенных TPM.

Технология TPM сама по себе не является чем-то хорошим или плохим. Все зависит от того, как ее будут использовать. Вообще говоря, Trusted Platform Module — это скорее политический и юридический инструмент, чем технологическая система. Как применять этот чип — будут решать политики.

Очень похоже, что анонимность в киберпространстве может навсегда уйти в прошлое. Наши дети с удивлением будут читать учебники истории, не веря, что такое когда-то было возможно.

Пока что на всех материнских платах TPM не встречается, однако почти на многих современных есть разводка или разъем для подключения данного модуля. В биосе как правило соответствующий скрытый раздел также присутствует. В общем заготовка уже есть. В рунете также бродят неподверженные слухи о том, что TPM в России запрещен.

[Dementor]

как сервис торчит файл rpcnet.exe, неудалямый

А если загрузиться с BartPE и удалить сей файл?

[Забанен]

..TPM будет встроена в абсолютное большинство настольных и мобильных компьютеров, и даже почти во все мобильные телефоны….

так имей эт и так идентификатор который нельзя сменить теоретически
еще тема прикольная про нициализаторы сотовых телефонов….т.е. удаленное включение…которое заложено в жсм стандарт якобы и нигде естественно не афишируется.

[Void]

А если загрузиться с BartPE и удалить сей файл?

При следующей перезагрузке соответствующий модуль в биосе проверит, на месте ли тот самый файл и запишет его снова на жесткий диск.

так имей эт и так идентификатор который нельзя сменить теоретически

Но имей не предоставляет средств для проверки правомочности действий пользователей. Так например софт сможет проверить свою лицензионность. Да и невозможность смены имея - тема тоже спорная.

[BeteTest]

удаленное включение…

Есть такое. Без ак. работать разумеется не будет.

В висте данный сип предполагают для зашифрования раздела использовать.
Интересно а можно чип использовать например с другой платы или на мк?

[Void]

Интересно а можно чип использовать например с другой платы или на мк?

Сложно сказать определенно. Все опять же будет зависеть от софта работающего с TPM. TPM может хранить контрольные суммы загрузчика, BIOS, MBR и какие угодно еще ключи. Если производители мат.плат начнут включать в биос соответствующую проверку, то при замене TPM и до загрузки ОС может дело не дойти.

[Void]

Те, кто думает/знает об этом ниче писать не будут.
Они работают.

Продолжение истории:
http://www.rom.by/blog/Birusy_3G_-_prod ... a_ot_Haker
В статье много технических терминов для большинства не представляющих интерес.
Суть сводится к тому, что в автор случайно обнаружил закладку в серверных материнках Интел родом из Китая. А в результате в наших органах безопасности ему не поверили (или сделали вид, что не поверили?)