Архивы: по дате | по разделам | по авторам

Хакеры в законе

АрхивКолумнисты
автор : Берд Киви   14.08.2009

Хакеры неустанно ищут и находят уязвимости в системах, что больно бьёт по престижу корпораций-разработчиков. Но всё чаще стороны предпочитают договариваться по-хорошему...

О силовых запретах разоблачительных выступлений на конференции Black Hat/DefCon "КТ" писала не раз. Да, хакеры неустанно ищут и находят уязвимости в системах, что больно бьёт по престижу корпораций-разработчиков. Но всё чаще стороны предпочитают договариваться по-хорошему...

Среди множества интересных докладов на Black Hat 2009 выделим работу итальянцев Андрэ Баризани и Даниэле Бьянко (Andrea Barisani, Daniele Bianco) из фирмы Inverse Path1. Эта пара уже не впервые открывает всему исследовательскому сообществу новые грани необъятной темы TEMPEST. Напомним, что так принято именовать некогда сверхсекретную область компрометирующих побочных излучений, которой спецслужбы активно занимаются уже полвека.

Мало-помалу становилось известно, что побочные утечки секретной информации могут происходить по самым неожиданным каналам - вплоть до водопроводных труб и акустических сигналов аппаратуры. А Баризани и Бьянко показали, что для перехвата информации, вводимой с компьютерной клавиатуры, сгодятся даже розетки электропитания.

Усилия исследователей были сосредоточены на клавиатурах с PS/2-коннектором. Шесть проводов в кабеле PS/2, как правило, тесно соседствуют друг с другом, не имея экранирования. Это означает, что когда идет сигнал от нажатия той или иной клавиши, происходит утечка информации в провод заземления, идущий в том же кабеле. Через блок питания ПК "земля" связана с электрической вилкой, так что компрометирующая информация неизбежно попадает в электросеть. А поскольку данные в кабелях PS/2 передаются последовательно, бит за битом, и с частотой намного ниже, чем у других компонентов персоналки, это позволяет без особого труда засечь микроколебания напряжения, вызванные нажатием кнопок.

Итальянцы отмечают, что при использовании стандартного осциллографа сигналы прямоугольной формы от PS/2-клавиатуры хорошо выявляются и декодируются на расстоянии до полутора десятков метров от источника. Если же вооружиться более чувствительной аппаратурой, то снять с электросети нужную информацию можно с ещё большего расстояния.

Другой примечательный доклад сделали аргентинцы Альфредо Ортега и Анибал Сакко (Alfredo Ortega, Anibal Sacco) из компании Core Security Technologies2. Они продемонстрировали, что очень популярное сегодня "противоугонное средство" Computrace LoJack for Laptops на самом деле является чрезвычайно опасным BIOS-руткитом, который могут использовать в своих целях криминальные хакеры. Учитывая, что LoJack активно предустанавливают на новые ноутбуки такие крупные изготовители компьютерного оборудования, как HP, Dell, Lenovo, Toshiba, Gateway, ASUS и Panasonic, проблема носит далеко не теоретический характер.

Computrace LoJack for Laptops - это программный агент, устанавливаемый на уровне прошивки BIOS и периодически "звонящий домой", то есть связывающийся через Интернет с единым центром для получения инструкций в тех случаях, когда владелец заявляет о краже ноутбука. Такой механизм позволяет передать BIOS-агенту команду уничтожить всю информацию на жестком диске и даёт возможность отследить примерное местоположение пропажи.

Чтобы подобная технология стала высокоэффективным средством для борьбы с воровством техники, агенту предоставлен полный доступ к управлению системой. Кроме того, LoJack устойчив к попыткам его уничтожения, так что ни переустановка ОС, ни форматирование жёсткого диска избавиться от него не помогут.

Ортега и Сакко подчеркивают, что по сути LoJack - не что иное, как руткит. Пусть и законный, но всё же крайне опасный. Главная проблема кроется в том, что преступники могут манипулировать процессом "звонков домой". Это возможно по той причине, что технология использует метод конфигурации с конкретным IP-адресом, портом и URL-путём, которые при первом старте копируются в несколько разных мест системы.

Аргентинцы обнаружили, что при желании эти параметры нетрудно отыскать и модифицировать так, чтобы они указывали на подставные сайты. Это позволит незаметно для владельца загружать в ноутбук то или иное вредоносное ПО. Более того, поскольку данный руткит считается законным, он прописан в "белых списках" популярных антивирусных программ, поэтому даже его вредоносные модификации останутся незамеченными.

Ещё один созвучный по теме доклад - об уязвимостях BIOS на материнских платах Intel - заявила фирма Invisible Things Lab, основанная польской хакершей Джоанной Рутковской (Joanna Rutkowska). Однако информация об этой работе с сайта Black Hat по-тихому исчезла, а собственно о выступлении пресса ничего не написала. Зато Intel в дни конференции предупредила о серьёзном BIOS-дефекте, затрагивающем её платы, и поблагодарила за помощь сотрудников Invisible Things Lab.


1. www.blackhat.com/presentations/bh-usa-09/BARISANI/BHUSA09-Barisani-Keystrokes-PAPER.pdf. [назад]

2. www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf. [назад]

Из еженедельника "Компьютерра" № 29 (793)

© ООО "Компьютерра-Онлайн", 1997-2021
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.