Rootkit w karcie sieciowej

To nie nowość!

Dlatego zawsze uważam, od kogo i w jakich opakowaniach kupuję sprzęt zawierający firmware.

To ładne kwiatki siedzą w linuksach od dawna, jakby tak dokładnie sprawdzić wszystko i ujawnić dziury_luki w linux to by blady strach padł na linuksiarzy i wszystko do wymiany na serwerach,ruterach i wszystkim gdzie badziew był instalowany.... 88 luk w Android ostatnio ujawnionych bo Google miało odwagę ujawnić i się przyznać do swojego distro OS potwierdza tylko ze wszystko z linux jest porażką od dawna...
Fakt że nie świadomi ludzie kupują takie urządzenia z linem i są ofiarami ataków...

Warto dodać, że:
- samo napisanie firmware zawierającego malware, odpowiedniego dla danej karty sieciowej to nie łatwe zadanie
- firmware karty sieciowej nie da się 'ot tak' zmienić, więc nie panikujcie ;]

PS. Skąd wiecie, że karty sieciowe pochodzące z Chin nie zawierają jakiegoś 'lewego' kodu, który cichaczem wysyła wasze maile czy hasła do 'małych żółtych hackerów' ?

PPS. Chcecie poznać BARDZO mało zabawny scenariusz ? Jeśli z jakiegoś powodu Chiny postanowią zrobić 'kuku' jakiemuś państwu, to mogą to zrobić właśnie w taki sposób - wysłanie odpowiedniej informacji do kompów podpiętych w danym kraju do Sieci. Zgadnijcie gdzie produkowana jest zdecydowana większość kart sieciowych ? :>

1. Może producenci pójdą po rozum do głowy i zaczną wreszcie produkować na tyle dopracowane urządzenia, żeby nie trzeba było (można było) aktualizować firmware.

2. Niech producenci wydają i pozwalają dodawać do dystrybucji dobre sterowniki, to nikomu nie przyjdzie do głowy czegoś w nich szukać.

Mnie osobiście przeraża to jakie możliwości daje taki rootkit.
Dzięki dostępowi do ramu zapewne mógłby nie tylko przechwytywać dane z pamięci ram ale zapewne dałoby się go tak zaprogramować aby je modyfikował co z kolei dało by mu teoretycznie nieograniczone możliwości infekowania systemu, infekowania firmware innych komponentów (np. poprzez funkcję aktualizacji biosu karty graficznej czy płyty głównej) czy nawet kompletnego przejęcia zdalnej kontroli na całym komputerem.

Nie mówiąc już o tym że tak zainfekowana karta sieciowa mogłaby zupełnie swobodnie atakować sieć.

Jedynym pocieszeniem jest fakt że ktoś mógł wykorzystać tą metodę ataku musiałby najpierw fizycznie zainstalować tak zmodyfikowaną siecówkę czyli dokonać najpierw fizycznego ataku na sprzęt.

Moim zdaniem to należy dokładnie sprawdzić i ujawnić ile dziur i zagrożeń siedzi w tym badziewnym systemie i tam gdzie został zainstalowany jak serwery,rutery i inne urządzenia a użytkownik nie ma pojęcia o zagrożeniach jakie mu linuksiarze wciskają z tym systemem_softem.
Na szczęście dzięki bogu mając wybór świadomy odrzucamy linux na laptopach i wybieramy MS.:)
Gorzej z wymianą natychmiast linux na ruterach i serwerach...

@Kris100
Myslisz ze jak Windows laduje sterowniki to niby czego uzywa do obslugi sprzetu?

@scripter1
"Jedynym pocieszeniem jest fakt że ktoś mógł wykorzystać tą metodę ataku musiałby najpierw fizycznie zainstalować tak zmodyfikowaną siecówkę czyli dokonać najpierw fizycznego ataku na sprzęt."

Wystarczy sprzedawać karty sieciowe jako używane albo jakieś tanie noname'y i klienci sami będę "fizycznie atakować" swój sprzęt.

Ech! czytanie ze zrozumieniem jest już w zaniku. Szczególnie dotyczy to ŁukaszMS, ale chyba za dużo od Ciebie wymagam.

Tak wiedziałem że prędzej czy później wyskoczy troll o małym rozumku...

@Kris100
W Linuksie można wszystko i dokładnie sprawdzić w przeciwieństwie do Windowsa. To dobrze, że Google miało odwagę ujawnić luki, tyle że te 88 luk to niewiele w porównaniu do luk które oferuje Windows. A Micro$hit jakoś nie za bardzo ma odwagę do tego, aby całkowicie ujawnić listę wszystkich błędów w swoim systemie. Zresztą - przypadki, w których M$ od wielu miesięcy/lat wiedział o jakiejś luce a się tym publicznie nie "chwalił" nie są już taką nowością.
W Linuksie przynajmniej nie ma tłumaczenia typu "This isn't a bug, this is a feature".

A teraz wracaj na lekcje bo już dzwonek zadzwonił! ;]

@ ŁukaszMS: twoja wypowiedź była na poziomie "dziecka MS".
W linuxie da się zrobić bardzo wiele ale do tego jest konieczna fachowa wiedza bo nic nie dzieje się tam samo.
A w Windowsie jest dokładnie na odwrót: bardzo wiele potencjalnie niebezpiecznych operacji jest wykonywana automatycznie i trzeba się mocno na trudzić aby to wyłączyć.

99% obecnie używanych instalacji windows da się zainfekować poprzez zwyczajne podłączenie zainfekowanego pendriva a w linuxie coś takiego nie jest możliwe.

"Zresztą - przypadki, w których M$ od wielu miesięcy/lat wiedział o jakiejś luce a się tym publicznie nie "chwalił" nie są już taką nowością. "

Pomimo tak wielkiej ilości niezałatanych dziur jak to twierdzisz to i tak używasz Windowsa :>

Co poniektórzy komentujący nie przeczytali tego newsa albo przeczytali go bez zrozumienia. Opisana sytuacja tyczy się jedynie firmware. Nawet jeśli komuś uda się opracować zainfekowany firmware za pomocą inżynierii wstecznej to jeszcze musi go jakoś wgrać na urządzeniu ofiary co jest chyba nawet jeszcze trudniejszym zadaniem.

[Do autora]
Co w tym moim komentarzu było takiego że go usunąłeś? - link do innego wortalu; że wszystkie systemy by byli narażone na atak przez malware.

Bosz, Kris100 i ŁukaszMS wykazali się tak totalnym brakiem myślenia że ręce opadają. Drogie trolle , on użył do budowy rootkita otwartego sterownika dla Linux ale zbudował firmware który wpuszczony w kartę działa bez względu na system operacyjny, to oznacza że nie ma znaczenia Windows, Linux czy Mac. Już łapiecie? Jedyne co z Linux'em ma to wspólnego to sterownik który ułatwił mu zrozumienie działania karty i tyle.

Na miejscu tego gościa nie przyznawał bym się publicznie do takich umiejętności...

@ G.Gn7Ex
Nie zgadzam się z takim rozumowaniem jak Twoje choć przyznaję, że jest bardzo powszechne. Oskarżanie twórców wszlekiego oprogramowania i czynienie ich winnymi czy odpowiedzialnymi za ataki przestępców jest postawieniem sprawy na głowie. Kierując się tą samą zasadą w życiu codziennym, to winą należało by obarczać ofiary przestępstw bo się słabo zabezpieczyły, a nie samych przestępców (morderców, złodziei itp.).
Dopóki Świat nie weźmie się na powążnie za ściganiem przestępców grasujących w sieci i odpowiednio ich karaniem, to będzie coraz gorzej. Póki co winą za przestępstwa sieciowe obarczamy ofiary, a nie przestępców na których patrzymy z podziwem, jacy to zdolni. Ciekawe jak to długo tak będzie.

Dziwi mnie jedno...- naczelny troll MS nie napisał że Norton2011 poradzi sobie z tym ;)
Na poważnie .Załóżmy że mam kartę sieciową z tym lipnym firmware ,ale mam włączone DEP dla wszystkich programów i usług- daje to jakieś zabezpieczenie ? Czy przez DMA wszystko jest pozamiatane ?
---
Z jednej strony to dobrze że publikowane są tego typu wyniki pracy ,z drugiej jednak strony te wyniki mogą otworzyć oczy co poniektórym zdolniejszym ,którzy jeszcze na to nie wpadli .Jedno jest pewne malware ewoluuje i będzie ewoluować.

@floyd
Chyba nie doczytałeś wyraźnie...
po pierwsze, to to miała być m.in odpowiedź na dowalenie troll'a
Po drugie, skoro jesteśmy przy tym...
Jak nie mówię o "twórcach wszelakiego oprogramowania", lecz o Micro$hicie - monopolistycznej firmie zadławionej kasą, mimo tego wciąż jej łaknącą!!
Tak, były przypadki, jak to wychodziło na jaw, że w ich oprogramowaniu był błąd, o którym nawet przez kilka lat tylko oni wiedzieli, mimo tego, nie załatali dopóty, dopóki nie wyszło to na jaw! I nawet okazywało się że hackerzy i stworzone wirusy od dawna te błędy wykorzystywali! Najwyraźniej, mimo świadomości istnienia takiego, czy innego błędu, woleli, aby publiczność nic o tym nie wiedziała a co za tym idzie - nie musieć poprawiać.
A jak wytłumaczysz, złośliwy napad ze strony M$ na pracownika Google, który odkrył i opublikował pewien błąd w Windowsie?

Tu nie chodzi o nieudolność(chociaż podobno M$ ma samych profesjonalnych programistów??), tylko o specjalne tuszowania i obijanie się, bo skoro publiczność nic nie wie o błędzie, to po co poprawiać??

Brzmi bardzo groźnie, bo w końcu ma dostęp do DMA.
W sumie taki fałszywy firmware mógłby jakimś sposobem dawać dostęp do roota aplikacji z userspace choć - to tylko moja teoria, w dodatku nie mogę jej potwierdzić więc nie krzyczcie ;-)

@Kris100 (niezalogowany), ŁukaszMS - to dotyczy w szczególności Windowsa, nie linuksa.

@floyd - a chorobom wenerycznym winne są zarazki?
W życiu tak jest, że trzeba stosować się do jakiś podstawowych zasad bezpieczeństwa, inaczej można sobie zrobić krzywdę.
W przypadku komputerów takich zasad nie ma zbyt dużo.

@MaRa - "W życiu tak jest, że trzeba stosować się do jakiś podstawowych zasad bezpieczeństwa, inaczej można sobie zrobić krzywdę.". Chodzisz w kasku po ulicach, żeby nie dostać pałą na przystanku? Wirusy? No właśnie tak właśnie nazwano żartobliwie szkodliwe programy i początkowo traktowano je nawet z przymróżeniem oka i coś na co nie mamy wpływu, jak na istnienie wirusów naturalnych. Ja widzę różnicę między wirusami naturalnymi a tymi komputerowymi, bo istnienie tych pierwszych nie zależy od nas, a te drugie tworzone są przez ludzi, i dopóki nie będziemy ich tworzenia traktować jak przestępczość to nie wiele się zmieni.
Rozumiem jednak niechęć wielu osób przed ściganiem tego typu przestępczości bo na ogół wiąże się to z ograniczeniami anonimowości w sieci.

@ŁukaszMS
"Moim zdaniem to należy dokładnie sprawdzić i ujawnić ile dziur i zagrożeń siedzi w tym badziewnym systemie i tam gdzie został zainstalowany jak serwery,rutery i inne urządzenia a użytkownik nie ma pojęcia o zagrożeniach jakie mu linuksiarze wciskają z tym systemem_softem."

W którym systemie? Program w firmware urządzenia jest wykonywany przez procesor tego urządzenia. Nie przez procesor komputera, na którym działa system operacyjny.

@floyd
"Ja widzę różnicę między wirusami naturalnymi a tymi komputerowymi, bo istnienie tych pierwszych nie zależy od nas"

Co do wirusów naturalnych, to owszem - na ich istnienie nie mieliśmy i nie mamy żadnego wpływu, ale na ich rozprzestrzenianie się już TAK!

@ŁukaszMS
Zawsze wiedziałem że jesteś inteligentny chłopak, ale że aż do tego stopnia żeby kartę sieciową mylić z komputerem LOL.

Gdyby nas nie podniecało niebezpieczeństwo,to wyłączylibyśmy
komputer z sieci.A jednak codziennie go włączamy,wiedząc o coraz to nowych zagrożeniach.Dlaczego?

@Kris100
Ach biedaku... ty nie masz zielonego pojęcia o czym jest ten news. Sterownik linuksowy został użyty, żeby zrozumieć działanie elektroniki karty sieciowej i wprowadzić do niej lewe oprogramowanie, które dla systemu jest niewidoczne... Także taka karta pod twoim ukochanym windowsem też będzie szpiegować.

@ŁukaszMS
Ty również nie wiesz o czym jest ten news :P czyta wyżej

A co do tematu... za to co się stało odpowiedzialny jest producent sprzętu, ale tak naprawdę... taki atak oznaczałby wymianę karty sieciowej w atakowanym kompie lub jej bezpośrednie zrootowanie przez osobę siedzącą przed tym kompem, więc mało istotne.

Bardziej ciekawym rozwiązaniem, było by obrócenie tego na korzyść użytkownika... jeżeli taki zmodowany firmware byłby w stanie wysyłać potajemnie pakiety przez sieć, to przez traceback można by np: zlokalizować skradzionego laptopa :)

ale to tylko kart sieciowych dotyczy? inny sprzęt nie ma firmware i dojścia do RAM poprzez DMA?

Ale raczej nie ma się czym przejmować - rozmiar eepromu jest dość mały, więc firmware ledwo się mieści. normalnie w świecie na rootkit nie ma miejsca [chyba że wywali się firmware, a to będzie łatwe do wykrycia]. Oczywiście rootkit na konkretną platformę się zmieści, ale coś bardziej uniwersalnego już nie.

Znów trzeba będzie dzwonić do Torvaldsa i kompilować jądra by ten trojan zadziałał na Linuksie?

Do MOD'ów, gdzie u diabła jesteście? Kto przepuszcza komentarze trolli?

Tu chodzi raczej oto że są dostępne źródła sterowników do karty sieciowych i jest możliwość dopisania kodu lub jego zmiany.
Niestety ten co przebudował jądro z tą jego poprawką może zainfekować tylko te komputery na których włoży płytę i uruchomi system, jednak większość pobiera dane ze znanych sobie źródeł na szczęście nie mam takiej płyty bo ściągam dane ze strony producenta.

@Anonim (niezalogowany)
Firmware to nie sterownik.