A PCI-os kártyák lehetnek a rootkit-ek barátai

Biztonsággal összefüggő kutatásokkal foglalkozik az a John Heasman, aki olyan dokumentumot publikált a minap, amely leírja annak módját, hogy hogyan lehet ártó kódokat elrejteni úgy video és hálózati kártyákban, hogy azok túléljenek minden felismerésre irányuló keresést és teljes operációs rendszer újratelepítést is.

A múlt hét szerdán kiadott munka azon a dokumentumon alapul, amelyet Heasman az év korábbi szakaszában mutatott be, és amely leírja, hogy hogyan lehet szinte az összes számítógépen megtalálható ACPI funkcióit felhasználni arra, hogy rootkit-et tároljunk és futtassunk a rendszeren úgy, hogy az képes túlélni egy rendszerújraindítást is.

A munkát (PDF) publikáló szakember nem hiszi, hogy a technikát széles körben használják majd. Szerinte ennek az az oka, hogy elegendő felhasználó van, aki nem alkalmazza rendszerén a biztonsági frissítéseket, aki nem futtat antivírus szoftvert, ezért számos egyszerűbb módja van annak, hogy a rendszerére az ártó kódok visszakerülhessenek.

Bővebben a SecurityFocus cikkében itt.

Hozzászólások

"Szerinte ennek az az oka, hogy elegendő felhasználó van, aki nem alkalmazza rendszerén a biztonsági frissítéseket, aki nem futtat antivírus szoftvert, ezért számos egyszerűbb módja van annak, hogy a rendszerére az ártó kódok visszakerülhessenek."

Tehat, tessek a kasszahoz faradni Holgyeim es Uraim es venni szep "biztonsagot"! (lehetoleg a szponzortol) :-)

Legalabbis egyelore ez jott le nekem elsore. Mindettol fuggetlenul nem zarom ki, hogy ne lenne lehetseges (majd este elolvasom a doksit).

Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.

Logikus. :) Nem mondom hogy a dolognak nem lehet realitása, természetesen lehet, sőt. De mindenesetre ez a legkevésbé sem következik öcséd programjából, nem gondolod?

Btw, mi van ha kikapcsolod a floppy driveot is? Vagy az nem szokás? :) Btw2, azok voltak csak a szép idők, emlékszem egy programra ami Mandelbrot-fraktált számolt és úgy tudott a leggyorsabb lenni hogy a floppy drive processzorát is használta. Valahol még mindig megvan a 64er magazin amiből bepötyögtem...

Hát persze az már jelentõs upgrade volt, amikor már minden játék 2-4-6 darab kétoldalas lemezen volt akkor mit lehetett csináni ugye. Huh, hogy adagoltuk a lemezeket....

Másik kedvenc sztorim, elsõ találkozás a számítógépekkel, általános iskola ötödik osztály, az iskola fel volt szerelve kb. 3-4 C+4 és C16 géppel, de valahogy a szakértés hiányzott. Számítógépes szakkör, elsõ alkalom, a tanár azt mondja hogy 'a számítógép semmit sem tud, csak azt amit megtanítanak neki'. Emiatt egy hétig nem bírtam aludni. Nem bírtam elképzelni hogy tanítani ha 'semmit' sem tud, 'valamit' csak tudnia kell, pl. tanulni. Aztán következõ héten bepötyögtem vagy két órán keresztül egy programot a C16-ba ami valami primitív zenét játszott. Volna, mert persze valamit elgépeltem valahol. Tanár azt mondja, hát akkor nincs mit tenni, az egészet be kell gépelni újra. Vazz, és begépeltem újra a következõ héten. És zenélt!

Errol a "begepelni ujra" dologrol jut eszembe, anno mikor mar nagyon untam a c64 basic-et, irtam egy assembler forditot de inkabb a monitorprogikra hasonlitott, soronkent be kellett irni a progit assemblyben, es irta a memoriaba a bytekodot. Na az volt olyan hogy ha elb.tam akkor kezdhettem elolrol az egeszet :) Igy vegul papiron irtam meg eloszor mindent aztan johetett a begepelosdi...
meg megvan valahol a scanner driverem 3 oldalas kodja papiron :)

A'rpi

Hehe, én is. Csak különféle verziójú linux kernelekhez adott bináris drivereknél. :) (is) És anno az ATI bináris drivere is hexaeditorral vevődött rá, hogy fusson egy Radeon7500-ös kártyán, mikor azt mondták, hogy csak r8500-től jó. :)

De volt olyan is, hogy egyik SW-t hexadumppal kellett megjavítani, mert már sehol nem volt a forrása... mint a régi szép időkben...

---
pontscho / fresh!mindworkz

Ja, ilyesmit én is írtam c64-re, mert azon ugye nem volt beépítve mint a +4-en a suliban.... valami hasonló lehetett mint a tiéd mert ez is kicsivel tudott többet mint egy hagyományos monitor, voltak benne szimbolikus cimkék, de arra pl. nem emlékszem hogy elõre hivatkozásnál mi volt.... aztán nagy nehezen szereztem valahonnan egy "rendes" assemblert, elég nehéz volt mert az ismerõsök közül mindenki csak játszott. Ja, mire készen lettem a monitor programmal már lényegében hexaban is tudtam programot írni néhány egzotikus utasítást leszámítva. :) Úgy berögzült hogy ma is kb. emlékszem hogy a9 00 8d 20 d0 60 teljesen értelmes program és feketére állítja a keret színét... ugye? :)

És a non-documented utasítások is megvoltak? Mi évfolyamtársammal kb 2 délutánt/éjszakát eltöltöttünk vele, míg kiderítettük, hogy pontosan hogyan lehet azokat használni, asszem 1 v 2 volt, amire nem sikerült rájönni, mert látszólag se direkt, se indirekt címzést nem használtak (de legalábbis nem úgy, mint a többi parancs). Pár éve dobtam ki a felokosított, fénymásolt, utasításokat tartalmazó lapot. Szép A4-es Excel tábla külsejű izé volt.

Hja emlexem 3000 schilling volt a c64, 3500 a floppy es 4000 a printer anno 1988-ban :)
Ugy kellett becsempeszni mindent Becsbol...

Persze kesobb megertettem miert dragabb a floppy, benne van gyakorlatilag minden ami a c64-ben (cpu stb) plusz meg egy kis mechanika is...

A'rpi

Lehet... Ennek ellenére valóban tény, hogy ha ezeket a dolgokat elhanyagoljuk windows alatt, akkor annak nagyon gyorsan nagyon csúnya vége lesz... ezt hívják ők egymás között reinstall-nak. :)

Én meg ezt hívom windows fixációnak... ;)
A leírásban szereplő eljárások platform-függetlenek, nem csak MS oprendszer alatt kivitelezhetőek, hanem akár _Linux_ (;P) alatt is.