Уязвимость нулевого дня Речь идет об уязвимости программного обеспечения. Самая заманчивая для хакера „дыра” в программном обеспечении – уязвимость нулевого уровня, или иначе ее называют еще "уязвимостью нулевого дня" - ZeroDay - ошибкой.
Любая уязвимость используется хакером для получения управления чужим компьютером. А уж после получения управления хакер может делать все, что хочет. Помните, как была взломана корпоративная сеть SONY PICTURES?
Корпоративные данные, бухгалтерия, переписка, контракты – это документы для внутреннего (служебного) пользования. Когда их предают огласке, - страшно, но пережить можно. А если банковские данные, персональные данные доступа к счетам? Этак можно всех сбережений лишиться в одно мгновение.
Все уязвимости – это ошибки программиста, ошибки в кодах программ. Как правило, ошибки выявляются при тестировании. Но не все. Проверенных на сто процентов программ не существует. Хакеры не дремлют. И к тому же, если они находят уязвимость, то не называют места, где именно она прячется. У каждого мастера взлома свой список неназванных программ с ошибками, которые разработчики не замечали с момента написания.
Сам термин "уязвимость нулевого дня" означает, что с момента обнаружения ошибки у разработчиков уже не было времени на ее исправление. То есть, править ее нужно было еще вчера, когда об уязвимости еще не было известно.
Исправить такую ошибку потом уже не представляется возможным в принципе.
Единственный способ ее убрать — выпустить "заплатку". Вот почему рекомендуется регулярно обновлять программы, как только разработчик присылает вам уведомление. Если конечно это надежный разработчик. ADOBE присылает вам обновления иногда чаще, чем раз в месяц. Но это надежный партнер и его игнорировать не стоит. Соглашайтесь. Тем более, что это бесплатно.
Надо помнить, что за время написания заплаток злоумышленники успевают не только воспользоваться уязвимостью, но и замести свои следы.
Пример. Известна знаменитая атака с названием — Stuxnet. Она была направлена против Ирана, — догадываетесь, кто бы мог выступать в роли Атакующего хакера? Атака использовала сразу несколько дырок в программном обеспечении госорганов Ирана. Как выяснилось позже все эти дыры были „уязвимостью нулевого дня”, а программы разрабатывались американскими компаниями.
Как же бороться с уязвимостью, если хакеры не заинтересованы их раскрывать? Самое эффективное оружие – подкуп! У каждой крупной корпорации, строящей бизнес на программном обеспечении, есть так называемые Bounty Programm — программы по выкупу информации об ошибках. Особенно дорого стоит информация об уязвимости нулевого дня. Платят за такую информацию все, больше всех платят Microsoft и Google. Размеры их вознаграждений формируют цены на „белом рынке уязвимости”. Цена варьируется от пяти до двухсот пятидесяти и более тысяч долларов — в зависимости от актуальности.
Но есть и черные рынки, там суммы могут быть как меньше, так и больше. Вы спросите, - а зачем черный рынок, если есть желающие заплатить по-белому? Это просто. Во-первых, есть такие дыры, информацию о которых продать невозможно. Стоит намекнуть о дыре, и ее тут же обнаружат сами производители. А есть такие знатоки, которые принципиально не ходят по белому рынку, боясь засветиться.
Надо заметить, что, помимо софтверных корпораций, за информацию о ZeroDay-ошибках охотно платят и госорганы. А еще известны случаи, кода одна легальная корпорация отказывается продавать другой информацию об „уязвимости нулевого дня". Например, некая торговая компания „VupEn” из Франции категорически отказалась продавать Google информацию об уязвимости, обнаруженной в браузере Google Chrome. И при этом „VupEn” раструбила в Forbes, - мол, мы не поделимся с Google даже за миллион долларов, а оставим эти данные нашим будущим клиентам".
В случае с SONY PICTURES хакерам тоже предлагался выкуп. Цена в прессе не называлась, но она была какой-то фантастически высокой. Хакеры отказались, из чего власти США сделали вывод, что за этим взломом стоит правительство другой страны. Провести такую операцию по силам разве что структурам, имеющим государственное финансирование.
Я читал где-то, что в атаке на Sony принимало участие до шести тысяч хакеров, причем операция началась за два месяца до обрушения серверов компании. По заявлению "Хранителей мира", они украли свыше ста терабайт данных. В Интернет было выложено лишь сто гигабайт.
Страшно не то, что стащили информацию, - в конце концов она стареет, а то, что хакеры стерли информацию.
Стерли все, до чего могли дотянуться, в том числе, и внешние диски сотрудников, подключенные к рабочим машинам во время атаки.
Сейчас продолжается тестирование новой операционной системы Windows-10. Тех, кто принял участие в тестировании и прислал замечания, успели поблагодарить, но дата официального выхода системы до сих пор неизвестна. Но знаете, что мне не дает покоя? Не то, что там в Майкрософте устраняют дыры первого дня, а то, что, скорее всего, эти ZeroDay - ошибки специально закладывают в систему, да так, чтобы никто их, кроме разработчиков, не обнаружил.
Кто контролирует компьютеры, тот контролирует Мир.
На фото Роберта Кампена (1422г.) Святой Иосиф взламывает компьютер в Нью-Йоркском Метролитен музее для установки ZeroDay ошибки. 
А совсем недавно лаборатория Касперского поделилась интересной новостью, взбудоражившей интернет и не только об обнаружении некоего доселе неизвестного вируса, которым заражены миллионы компьютеров по всему миру.
Цитата: „Российская компания "Лаборатория Касперского" идентифицировала вирус, созданный хакерской сетью The Equation Group. Наибольшее число жертв обнаружено в России и Иране. В России пострадали, в частности, компьютеры правительственных учреждений, исследовательских институтов, объектов энергетики, университетов, военных ведомств, аэрокосмической отрасли, компаний, работающих в сфере телекоммуникации и медицины.
Точное количество жертв вируса в России в "Лаборатории" назвать отказались.
Основная цель вируса The Equation Group - конфиденциальная информация. Заражение жестких дисков производилось в рамках целевой атаки на конкретных жертв. Хакеры могли заражать компьютеры конкретных сотрудников определенных организаций, обладающих важной информацией.
Специальный скрипт определяет, насколько пользователь интересен The Equation Group. Если пользователь соответствует заданным хакерами параметрам, на его компьютер попадает троянская программа DoubleFantasy, которая позволяет окончательно определить, действительно ли пользователь является подходящей целью хакеров.
Только после этого на компьютер жертвы внедряется сложная платформа, состоящая из набора вредоносного ПО, в частности, содержащая модуль, с помощью которого осуществляется перепрограммирование жесткого диска.
Из этого сообщения ясно было, что Вредоносное ПО размещалось на жестких дисках (были озвучены более 10 производителей, в том числе Seagate, Western Digital, Toshiba, Maxtor и IBM).
Т.е. речь идёт о технологии, способной перепрограммировать заводские прошивки жестких дисков. Избавиться от таких вирусов можно лишь сменив жесткий диск – форматирование и переустановка операционной системы не поможет.
Через мои руки прошло не мало дисков, кое-какие испорченные валяются на гаражных полках, сам не пойму, для чего. То, что заводские прошивки на дисках есть, известно. Стоит вам поставить на компьютер новый диск и операционная система тут же узнает, что это за диск, кто производитель, какой серийный номер и т.п. Но для этих данных много памяти не требуется, а какова реальная память этих прошивок, меня, например, никогда не заботило.
А тут вдруг заинтересовало. Решил я проверить, какой объем памяти используется для заводских прошивок в дисках. Или даже так, - каков потенциальный объём памяти, в которой могли бы быть размещены вредоносные программы.
Для этого потребовалось разломать контроллеры разных дисков, добраться до микрочипов, которые могут потенциально служить памятью для прошивок и по их идентификаторам определить объем памяти. Для тех, кто не забыл как держать паяльник, - это дело не сложное. Вот на фотографии стандартная плата хард-диска.
Что мы имеем:
- Номер-1 - микросхема DRAM. Интереса как такового не представляет. Память таких чипов колеблется от 8 до 64 Мб и соответствуют размеру кеша жесткого диска. Никаких программ и прошивок там не разместить.
- Номер -2. Контроллер двигателя вращения шпинделя. Отвечает за управление механикой, регулирует мощность и имеет внутри аналоговые/цифровые каналы. Иногда именно АЦП этого чипа и используют электронщики в своих самодельных гаджетах. Таких микросхем полно, а суть одна - стабилизация вращения, запуск вращения, остановка вращения.
- Номер - 3. Флеш-память. В некоторых дисках эта микросхема отсутствует, а память бывает встроена в чип контроллера диска. Размер в пределах от 64 до 256 Кб. Используется для хранения программы, управляющей контроллером жесткого диска. Но какую-либо вирусную программу сюда записать затруднительно.
- Номер-4. Самая любопытная часть — контроллер жесткого диска. Многие компании, производящие диски, делают свои собственные контроллеры. Например, Samsung и Western Digital ставят исключительно собственные чипы.
Наверное, Касперский со товарищи нашел нечто именно здесь. Вопрос, - как он это нашел?
Не смотря на то, что никогда не пользовался антивирусом Касперского, лаборатории его верю полностью, тем более, что ничего принципиально нового в данном случае она не открыла. Это же понятно, что производитель «железа», и производитель «софта» могут легко договориться и внедрить в свой продукт только ими известные программные коды, обнаружить которые сторонним исследователям будет невозможно потому, что изначально не ясно, что и где искать.
В связи с этим впомнилась история развала целой отрасли микроэлектроники. Чтобы иметь собственные аналоги, разбирались на кусочки западные микрочипы. Создавались виртуальные топологические схемы, а потом и реальные копии. Но потом появились многофункциональные программируемые контроллеры, и копирование копирование таких чипов стало делом бесполезным, - программу-то внутри на атомы не разобрать, а без нее даже точно скопированный чип – всего лишь пустышка.
И все-таки зря прекратилось „тупое копирование”. Навыки технологии копирования упущены, а вот способы читать программы внутри неизвестного контроллера появились. Мне даже в Интернете удалось отыскать примеры таких инструментов. Вот, например, один из них:
http://idle3-tools.sourceforge.net/ Информация найдена на форуме
http://forum.hddguru.com/ Там же приводится и описание одного из подобных контроллеров. Любители глубоких расковырок обнаружили в контроллере Western Digital три ядра подобных АРМ9. Одно ядро обрабатывает физические операции "чтение/запись" , другое управляет SATA интерфейсом, а вот третье выполняет не определенные функции. Исследователь взял и просто отключил его от схемы и ничего не произошло. Как работал диск, так и продолжал работать. Интересно реагировали участники форума. Их не интересовало, чем занимается это ядро контроллера, они стали делиться информацией, как отключить все ненужное. А сам умник на этом не остановился, стал копать глубже, разобрался в коде и даже предложил свой код взамен встроенному. Этим кодом поделился с другими. Его можно скачать вот по этой ссылке -
http://bit.ly/QVhqh4 Но чувствую, что забиваю головы не нужными никому подробностями.
Теперь становится более-менее понятно, как удалось Касперскому сделать своё „открытие”.
Вопрос - что дальше?
Если поиграть в шпионские страсти, то можно написать про успех российских спецслужб, которые сигналят типа: мы все знаем про ваши фокусы? А может наоборот – американские спецслужбы подкинули информацию, чтобы „российские мужики” покрылись холодным потом при мысли об американской технологической мощи.
Похоже, мы скоро действительно станем свидетелями кибер-войны, о которой все чаще стали упоминать в прессе.
В принципе, можно поверить в волшебную кнопку, которую стоит нажать и встанет все, - поезда, самолеты, светофоры, радио, телевидение…
Равно, как можно поверить и в ответ – большой болт мы, мол, клали на вашу электронику, - ваши истребители без компьютера не смогут сбить даже российский кукурузник времен войны в Испании.
А что касается дисков, вы можете легко проверить ваши устройства. Достаточно открыть заднюю крышку ноутбука и списать заводской номер диска. Потом на этом сайте ввести его и получите информацию, - кто, чего, сколько, когда.
https://apps1.seagate.com/downloads/request.html
- участник сейчас на форуме
- участник вне форума