Страшное !

Примерно третью неделю на сайтах и форумах по компьютерной безопасности идет весьма эмоциональное обсуждение «новой» суперугрозы под названием badBIOS. Как это часто бывает, диапазон мнений и оценок тут довольно широк: от «параноидальная чушь» до «все это очень и очень серьезно»

 
 

О том, почему данную компьютерную напасть следовало бы называть «новой» лишь в кавычках, будет рассказано чуть далее. Сначала же — для общего представления о масштабах проблемы — надо хотя бы в общих чертах обрисовать обстоятельства, при которых вредонос badBIOS был обнаружен. А заодно и познакомиться с человеком, который ЭТО обнаружил, не первый год с изумлением изучает — и вот теперь вынес свои наблюдения на широкое обсуждение коллег и публики.

#Невероятно, но факт

Примерно года три назад, когда известный канадский консультант по инфозащите Драгош Руйу (Dragos Ruiu) занимался текущими делами в своей лаборатории, он вдруг заметил нечто в высшей степени необычное. Один из множества его компьютеров, на который он только что установил новый релиз операционной системы, вдруг сам по себе — без команды хозяина — обновил прошивку микрокода, обеспечивающего начальную загрузку системы. Что не менее странно, когда Руйу попытался загрузить эту машину не с внутреннего диска, а с внешнего привода CD-ROM, компьютер наотрез отказался это делать. Ну а затем чередой последовали и другие неприятные открытия, свидетельствующие, что его машина начала жить собственной жизнью. То есть она могла, к примеру, сама уничтожать файлы с данными. Или, скажем, возвращаться к таким установкам параметров в конфигурации системы, которые хозяин уже было пытался поменять.

Это не портрет Драгоша Руйу, это химера. Как и Bad BIOS...

(Это не портрет Драгоша Руйу, это химера. Как и badBIOS... — прим. ред.)

Короче говоря, Руйу обнаружил у себя не просто новый, невиданный прежде комплекс взаимосвязанных программ, но и кое-что похуже. Постепенно вредоносы этого семейства — получившего имя badBIOS — расползлись чуть ли не по всем машинам его лаборатории. Причем засели они в компьютерах настолько прочно, что вычистить эту заразу оказалось практически невозможно даже для специалиста.

Три года безуспешной борьбы с инфекцией badBIOS привели Руйу к такому заключению, которое для многих выглядит совершенно неправдоподобным. Судя по всему, это вредоносное ПО является гибким и полиморфным до такой степени, что оно способно распространяться по компьютерам тотально, заражая на своем пути буквально все. Начиная с системы BIOS/UEFI и далее всюду, вне зависимости от сложности подсистем: сетевые, видео- и аудиокомпоненты, PCI-платы расширения, жесткие диск, DVD/CD-приводы и тому подобное.

Исследования показали, что заражение машин инфекцией badBIOS происходит не только по сети, но и в тех случаях, когда компьютеры отгорожены от любых сетевых коммуникаций с помощью, как выражаются специалисты, airgap, или «воздушного зазора». То есть, попросту говоря, когда машина для связи с другими компьютерами не имеет других каналов, кроме внешних накопителей типа USB-флешки. При этом любые USB-модули памяти, вставленные в зараженную систему, не только оказываются инфицированными переносчиками badBIOS, но и не несут в своей памяти никаких файлов с признаками заражения. Иначе говоря, очень похоже на то, что заражение тут происходит непосредственно через USB-контроллер.

Кроме того, для связи между airgap-разделенными, но находящимися по соседству зараженными машинами выявлен и еще один, довольно экзотический канал — типа акустического. И без того озадаченный своими открытиями Руйу однажды обнаружил, что обмен зашифрованными пакетами между двумя его машинами неслышно для человека происходит в ультразвуковом диапазоне — через динамики и микрофоны ноутбуков.

Ну и что, наконец, можно назвать самой, пожалуй, необычной особенностью вредоноса BadBIOS — это его, как кто-то выразился, ОС-агностицизм. Говоря подоходчивее, для BadBIOS по большому счету несущественно, под управлением какой операционной системы работает заражаемый компьютер. Насколько это удалось установить Драгошу Руйу, данное вредоносное ПО чувствует себя как дома и в машинах под ОС Windows, и под xBSD, и в продукции Apple под OS X...

При обсуждении всех этих открытий — для большинства звучащих фантастически невероятно — один из наиболее эмоциональных комментариев выглядел примерно так:

Если все это не выдумки, а происходит реально, то почему же тогда в лаборатории у Руйу не толпятся ни эксперты по инфобезопасности, ни изготовители аппаратного обеспечения, ни тем более правительственные спецслужбы — чтобы заполучить у него образцы этого удивительного вредоноса для изучения?

Вопрос, как говорится, очень интересный. Однако ответы на него, увы, хотя и известны, но выглядят куда менее интересно. Что касается безразличия со стороны «изготовителей аппаратного обеспечения», то здесь очень к месту, пожалуй, будет напомнить, откуда пошла известность хакера Драгоша Руйу в мировом сообществе инфобезопасности.

Наиболее знаменитой, пожалуй, инициативой Руйу можно считать популярный ныне конкурс Pwn2Own («хакни, чтобы поиметь»), в рамках которого хакеры на время взламывают по сети защиту новых компьютеров с новым ПО — получая в награду и сам компьютер, и немалую денежную сумму от спонсоров. Так вот, затеян был этот конкурс в свое время как реакция хакера Руйу на то полнейшее безразличие, которое корпорация Apple упорно демонстрировала в ответ на его и коллег наглядные демонстрации совершенно никудышной защиты в «яблочных» компьютерах. В ту пору с подобного рода угрозами безопасности в Apple обходились исключительно как с проблемами пиара. Ныне, как принято считать, подходы практически всех корпораций к защите информации выглядят существенно иначе. Однако по собственной воле привлекать внимание к слабостям своих продуктов, ясное дело, никто не любит и сегодня.

Что же касается остальных частей вопроса — о недостаточном интересе к BadBIOS со стороны спецслужб и коллег по цеху инфозащиты — то на этот счет имеется следующая история.

#Надо уметь ждать

Лет эдак 14-15 тому назад, когда на страницах отечественной компьютерной прессы начал публиковаться новый автор под вызывающе нерусским псевдонимом kiwi byrd, попутно в одной из наших секретных спецслужб — что-то вроде российского варианта АНБ США — происходил тихий микроскандал.

Некий далеко не рядовой сотрудник разведки (к 39 годам ставший полковником просто за работу — без всяких там карьерных гамбитов и влиятельных папиков со связями), категорически отказался — вопреки всем давно утвердившимся у чекистов правилам — выполнять довольно специфические руководящие указания от управления кадров.

Аргументируя свой отказ тем, что это именно он занимается непосредственным делом разведки, а разные вспомогательные — кадровые, финансовые и тому подобные — подразделения существуют лишь для того, чтобы обеспечивать нормальную работу ведомства и его сотрудников. Но никак не для того, чтобы давать руководителю линейного подразделения некие «распоряжения», которые тот якобы обязан беспрекословно исполнять...

В чем там была причина конфликта, давно уже не суть важно. А важно лишь то, что в итоге спецслужба страны потеряла еще одного квалифицированного специалиста — с большим опытом работы в области OSINT, то есть разведки открытых источников информации. Ну а российская ИТ-пресса и Рунет, соответственно, обрели нового журналиста — с профессиональными познаниями в тайнах криптографии и с довольно странными взглядами как на мир, так и на все в нем происходящее.

Осваивая непривычную для него поначалу журналистскую профессию, человек попытался было работать «как тут принято» — напрямую по email обращаясь за комментариями к тем людям и ведомствам, о которых готовились очередной репортаж или расследование. Однако вскоре это прошло, причем по довольно простой причине. Поскольку фирмы и персонажи для статей выбирались не совсем обычные (зачастую тесно соприкасающиеся с зарубежными спецслужбами), то и реакция на неудобные вопросы прессы не всегда оказывалась стандартной... Так что довольно скоро начинающий, но въедливый журналист обнаружил в своем компьютере отчетливые — для профессионального аналитика — признаки шпионской инфекции, которую не то что не лечил, но и вообще не выявлял ни один из известных на рынке антивирусов.

Тут же сразу надо отметить, что автор никоим образом не может считаться специалистом в компьютерах, в сетевых технологиях и в их защите от вредоносных программ. Но с другой стороны, «шпион и журналист» в общей совокупности имеют дело с персональными компьютерами уже около 30 лет. То есть на уровне продвинутого пользователя «им» (или, иначе, мне) доводилось бесчисленное количество раз разбирать-собирать компьютеры для установки и замены всяких железок, не говоря уже об инсталляции и настройке ПО с последующими проверками работоспособности машины после апгрейда. Иными словами, автор очень давно и отчетливо представляет себе, как должен работать новый и/или полностью исправный компьютер. И как, соответственно, работает машина, в которой что-то идет не так.

Так вот, с тех пор как в компьютерной технике журналиста завелся этот неискоренимый жилец-вредонос, ни одна из новоприобретенных с тех пор машин (общим числом около полудюжины как минимум) не работала «как положено» больше нескольких часов или дней. В зависимости от того, как скоро машина обменивалась данными с другими компьютерами в доме и/или подключалась к Интернету.

В первые годы, естественно, ваш покорный слуга предпринимал многократные попытки вычистить заразу из машины — переформатированием дисков, перепрошивкой BIOS, полной заменой особо глючных железок (винчестеров, видеоплат, CD-приводов) и так далее (включая переходы с ОС Windows на Linux и даже на экзотическую BeOS). Абсолютно безрезультатно. В условиях любой новой конфигурации постепенно восстанавливались все характерные признаки «закладки».

Разные этапы этих своих «исследований» автор данного материала неоднократно описывал в компьютерной прессе с 2001 по 2004 год — в надежде привлечь внимание к феномену со стороны профессиональных специалистов по защите компьютеров. В подавляющем большинстве случаев реакцией экспертов было либо откровенное недоверие (с выразительным покручиванием пальцем у виска), либо раздраженные сетования на некомпетентных журналистов, которые обычные и известные всем глюки компьютерной техники раздувают до «неуловимых программ-супершпионов». Было, правда, несколько писем от действительно понимающих предмет людей, внимательно прочитавших описания проблемы и признавших, что все это выглядит и правдоподобно, и достаточно серьезно. Но: «Тут своих-то дел по горло, не разгрести, а всерьез браться за изучение этой химеры — времени совершенно нет...»

Короче говоря, давным-давно жесткие попытки избавиться от этой шпионской инфекции в компьютерах были прекращены как бесперспективные. (Если вредоноса не изнурять борьбой на уничтожение, он ведет себя довольно тихо и почти незаметно. Разве что добиться работы всякой новой железки обычно крайне непросто, если вообще удается. Плюс безобразно тормозит все, что связано с подключением к Интернету. Да еще нужные файлы с информацией порой пропадают. Ну так именно для того и придумано резервное копирование.)

При этом, однако, регулярно отслеживая ситуацию в мире с развитием шпионских программ, автор этой статьи ничуть не сомневался, что рано или поздно кто-то из компетентных специалистов по инфозащите неизбежно и сам столкнется с этой шпионской ерундой — что называется, «испытает на собственной шкуре». Просто надо спокойно несколько лет подождать. Конечно же, то, что придется ждать еще с десяток лет — до конца 2013 года, предположить было вряд ли возможно. Но как бы там ни было, нужный момент сегодня таки настал.

#Симптомы в подробностях

Для более ясного понимания относительно того, что представляет собой семейство вредоносов BadBIOS по наблюдениям Драгоша Руйу, вот как выглядит краткий перечень его особенностей.

Данное вредоносное ПО заражает аппаратное обеспечение компьютеров на уровне флеш-прошивок. Вредонос умеет перепрошивать системный BIOS и очень гибко сопротивляется уничтожению, размещая свои фрагменты не только в микрокодах прошивок, но и в служебных разделах жесткого диска. Даже после заливания в память BIOS законной прошивки вместе с полной зачисткой диска BadBIOS все равно вновь обнаруживается в системе.

Вредонос BadBIOS имеет свой собственный гипервизор, или «монитор виртуальных машин». То есть программу, которая позволяет запустить одновременно несколько операционных систем на одном и том же компьютере. Гипервизор обеспечивает изоляцию ОС друг от друга и разделение ресурсов машины между различными запущенными ОС. Фактически гипервизор сам по себе является минимальной операционной системой.

Среди очень гибких коммуникационных возможностей BadBIOS выявлены способности коммуникаций через «что-то типа SDR» (программно задаваемое радио) — для организации моста связи через «воздушный зазор» (airgap). Как результат, BadBIOS способен дистанционно передавать/принимать информацию даже в тех ситуациях, когда от компьютера отсоединены кабели сети и питания, а карты беспроводной сетевой связи и Bluetooth физически удалены из системы.

Тем исследователям, кто заметил проблемы с BIOS и хотел бы поискать признаки BadBIOS у себя, Руйу рекомендует в сетевых коммуникациях повнимательнее присмотреться к пакетам DHCP. По его наблюдениям, в поле HostOptions этих пакетов вредонос, похоже, передает зашифрованные команды TLS.

Когда BIOS системы заражен, он в большинстве случаев не позволяет администратору машины загружаться с внешних устройств, вне зависимости от установок системы. Как правило, загрузка переводится на внутренний диск.

BadBIOS обнаружен в компьютерах, работающих под всеми версиями ОС Windows вплоть до восьмой, но при этом вредонос явно продемонстрировал платформенную независимость, поскольку с тем же успехом способен заражать и системы под ОС BSD, и машины под разными версиями OS фирмы Apple.

BadBIOS перепрошивает все USB-диски и флешки, вставленные в зараженную систему, включая внешние USB CD-приводы. Инфекция никак не затрагивает файлы на USB, а поражает напрямую прошивку.

Просто вставить зараженную USB-флешку в чистую прежде машину — даже не монтируя накопитель в систему — уже достаточно, чтобы инфицировать очередной компьютер. Причем срабатывает инфекция и в тех случаях, когда, скажем, флешка от Windows-машины вставляется в прежде чистую систему под xBSD.

USB-накопитель, который извлечен из зараженной системы небезопасным образом, ведет себя как «убитый», если попытаться вставить его в чистую машину. Однако мертвое устройство «оживает», если вставить его обратно в зараженный компьютер...

И что, наконец, осталось для Драгоша Руйу совершенно неясным даже после трех лет исследований неискоренимой заразы — какова же, собственно, цель этого повсюду расползающегося в его лаборатории вредоноса?

#Что говорят специалисты

Относительно последнего вопроса — о цели подсаживания невредящего вредоноса — наиболее содержательно могли бы, в принципе, рассказать нам компетентные люди из государственных разведслужб. Но они, как известно, никогда не дают комментариев по вопросам своей оперативной работы.

Кое-что по существу, впрочем, можно найти в самых первых заявлениях широко известного ныне человека по имени Эдвард Сноуден. Который выразил свое категорическое несогласие с тем, что АНБ США и близкородственные разведки стран вроде Канады или Британии методами продвинутого хакинга массово берут под свой контроль фактически все мало-мальски интересные для них компьютерные системы — до которых только могут дотянуться. На всякий случай, дабы, если что, был бы уже готовый плацдарм на будущее. По убеждению Сноудена, эта глубоко укоренившаяся в национальных спецслужбах позиция — «сделать всех, потому что мы это можем» — является в корне ошибочной. А общество, уверен он, должно достоверно знать о подобного рода вещах, которые власти делают в тайне и якобы во имя общественных интересов.

От этого пассажа знаменитого диссидента самое время перейти к реакции того самого общества, которому Драгош Руйу ныне в подробностях пытается рассказать, до какой степени беззащитными являются в действительности все наши компьютеры. Так вот, если почитать комментарии почти в любом онлайновом обсуждении новостей о BadBIOS, то в массе своей добрый народ либо называет известного компетентного исследователя просто идиотом, либо делает вывод, что у него паранойя от переутомления, либо, наконец, предполагается, что это он так неудачно шутит. Короче говоря, широкая публика совершенно не готова принять неприятную новость как эмпирически установленный факт.

Самые же здравые комментарии на данный счет звучат, естественно, от людей действительно сведущих в проблемах компьютерной безопасности. Причем, как правило, чем больше компетентность говорящего, тем больше он склонен доверять информации от Руйу. Потому что действительно знающие специалисты сообщества инфобезопасности давно, в общем-то, в курсе, что каждая из выявленных в BadBIOS особенностей, если рассматривать ее отдельно от прочих, отнюдь не является невероятной. Более того, все это реально уже наблюдалось в природе — либо на хакерских конференциях, либо в гуляющих по Сети вредоносах, либо, наконец, в кибервоенном инструментарии спецслужб — типа небезызвестных программ Stuxnet, Duqu и Flame. Другое дело, что обнаружить теперь сразу все эти изощренные и крайне трудно искоренимые угрозы вот так — в одном флаконе — это и вправду шок, и воистину поразительно даже для людей искушенных. И если (как говорит один из таких комментаторов) всей этой истории уже три года, то даже подумать страшно, как может выглядеть сегодняшняя версия подобного монстра...

#Экскурс в хронологию

Дабы стало яснее, что эта невеселая сага в действительности тянется вовсе не три года, а по меньшей мере уже лет пятнадцать, полезно напомнить кое-какие специфические факты из общей истории компьютерной индустрии, государственных разведслужб и соответствующих изысканий профессионалов в области инфобезопасности.

Про этапы развития разведки в этом направлении говорить проще всего, потому что никаких конкретных документов на данный счет пока что практически нет. А имеется лишь свидетельство от Эдварда Сноудена, которому есть все основания доверять и который в июне 2013-го сообщил, что США уже как минимум полтора десятка лет занимаются широкомасштабными компьютерными проникновениями как против Китая, так и против множества других разных стран, включая собственных союзников.

О том, как это происходило с технической точки зрения, нам может в общих чертах поведать история компьютерной индустрии за соответствующий период. Благо она известна гораздо лучше, чем новейшая история секретных спецслужб. А по документам от того же Сноудена уже все прекрасно знают, в сколь тесном альянсе работают американская ИТ-индустрия и разведка США...

Если начинать с момента рождения, то, как свидетельствуют предания из совсем глубокой старины, в конце 1970-х годов разработчики легендарной машины IBM PC считали BIOS вовсе не фундаментально важным компонентом своей конструкции, а лишь временной мерой, рассчитанной от силы на 250 тысяч первых персональных компьютеров. Но жизнь, как известно, распорядилась иначе, и на несколько десятилетий «базовая система команд ввода/вывода» (Basic Input Output System), зашитая в микросхему на системной плате, стала главным связующим звеном между «железом» и ПО, которое стартует сразу при включении компьютера.

На протяжении своей долгой истории система BIOS, как и сопряженные с ней технологии, претерпевали, естественно, всевозможные доработки и модификации, некоторые из которых здесь следует упомянуть особо.

Год 1996-й. Тогда впервые стало известно о новой, практически никак не документируемой «совокупной особенности» BIOS и процессоров Intel под названием BIOS Update. Суть ее в том, что начиная с модели Pentium Pro во всех чипах архитектур IA-32 и IA-64 имеется специфическая возможность «обновления BIOS» — позволяющая изменять микрокоды процессоров в уже работающих компьютерах.

Несмотря на все старания Intel сохранить в тайне информацию о подробностях технологии, кое-какие данные все же в прессу просочились. Фактически BIOS Update позволяет модифицировать проданные потребителям процессоры, исправляя, скажем, баги путем латания микрокодов внутри чипа. Новые микрокоды-патчи, поставляемые фирмой Intel, прописываются в специальный «блок обновления данных BIOS» и загружаются в процессор при запуске машины. Загружается этот блок обновлений специальным «загрузчиком», который поставщики систем BIOS обязаны зашивать во все свои чипы, предназначенные для работы с процессорами Intel.

Хотя столь остроумная процедура ремонта процессоров через флеш-память BIOS выглядит действительно заманчиво, с точки зрения безопасности здесь имеется весьма серьезная проблема, на которую специалисты указали сразу, как только появилась информация о BIOS Update. Загрузка обновлений BIOS устроена так, что не предусмотрено фактически никакой проверки «законности» микрокодов, загружаемых из «блока обновления». Иначе говоря, грамотный злоумышленник, в принципе, получил здесь возможность через BIOS загружать в микропроцессор все что угодно. И никакая операционная система не в силах помочь с выявлением такого рода троянца.

Год 1998-й. В этот год международный Технический комитет T13, отвечающий за выработку единых стандартов на жесткие диски и их интерфейсы, определил в спецификациях ATA то, каким образом на винчестере можно выделять (резервировать) особую область, защищенную от постороннего вмешательства и от обычных данных конечного пользователя. Спецификации, получившие название P.A.R.T.I.E.S. (Protected Area Run Time Interface Extension Services), позволили фирмам-сборщикам компьютеров еще перед продажей помещать в особый раздел жесткого диска образ предустановленной ОС и другие полезные программы, что дает возможность быстрого восстановления системы в случае ее обрушения у покупателя.

Эта скрытая область получила название HPA (Host Protected Area), по разным причинам ее существование не афишируется, а технически резервирование HPA осуществляется довольно просто, с помощью особой ATA-команды SETMAX Address, которая прописывает в флеш-память винчестера адрес последнего доступного пользователю сектора на диске. Ну а все остальное дисковое пространство после этого адреса как бы «исчезает» — становится физически недоступным и невидимым для операционной системы. Понятно, что новой любопытной возможностью активно заинтересовались компетентные спецслужбы, однако в коммерческом секторе спецификации P.A.R.T.I.E.S. несколько лет не вызывали интереса, поскольку на рынке не было программы для удобной работы с этой технологией.

Год 1999-й. Лидирующая в своем секторе американская корпорация Phoenix Technologies стала владельцем конкурирующего бренда BIOS Award. Это слияние привело к абсолютному доминированию Phoenix на рынке систем BIOS с общей долей их продукции на уровне 80%.

Одновременно, в конце 1990-х годов корпорации Intel и Phoenix — пока как конкуренты — весьма агрессивно взялись за разработку продвинутых технологий на смену явно устаревшей BIOS. У Intel, в частности, соответствующий проект получил название EFI, или «наращиваемый программно-аппаратный интерфейс» (Extensible Firmware Interface) — размещаемый, по мысли создателей, между ПО и аппаратной платформой компьютера.

По сути дела, EFI изначально был задуман как небольшая самостоятельная операционная система, хранящая свои команды не только во флеш-памяти, но и в специальном, защищенном от обычного доступа разделе на жестком диске. Благодаря этому EFI не скован драконовскими ограничениями BIOS по объему занимаемой памяти и имеет достаточно развитые сетевые возможности, позволяющие без загрузки основной ОС подключиться к Интернету или организовать дистанционное тестирование системы и устранение неполадок. На уровне EFI можно решать множество самых разных задач — от разметки жесткого диска до загрузки разных операционных систем. Наконец, он просто может играть роль BIOS.

Нечто очень похожее — но с особым упором на «новый уровень безопасности компьютеров уже на уровне железа» — взялась создавать и Phoenix Technologies. Здесь обобщенная линия продуктов получила название cME, или «Среда управления ядром» (Core Management Environment). В основу же Phoenix cME — эдакого супер-гипер-BIOS — был заложен мощный комплекс программ FirstWare. По сути, и здесь проект в итоге свелся к компактной самостоятельной ОС, хранящей свои команды как во флеш-памяти чипа, так и в скрытом разделе на жестком диске.

Тогда же, в 1999-м, по компьютерам планеты побродил и первый BIOS-вирус CIH, или «Чернобыль». Уже эта инфекция неуклюже пыталась манипулировать BIOS'ами зараженных машин, однако в подавляющем большинстве случаев все подобные атаки имели разрушительный эффект. При некорректных попытках записи BIOS оказывался убитым, так что компьютер вообще переставал загружаться.

Год 2001-й. Летом этого года в индустрии заметно изменилась ситуация с интересом к HPA, «защищенной хостом области диска». Причиной стало то, что небольшая американская фирма-разработчик StorageSoft начала продавать корпоративным клиентам набор своих дисковых утилит Area51, специально заточенных под работу с HPA. Продукт явно оказался интересным и начал было набирать популярность, но уже менее чем через полгода фирму StorageSoft купила куда более крупная BIOS-корпорация Phoenix Technologies. Пакет Area51, соответственно, из продажи изъяли.

Год 2004-й. Запущенная на рынок годом ранее, в 2003-м, линия продуктов Phoenix cME не смогла стать хитом продаж и в конечном итоге, можно констатировать, уступила аналогичному проекту Intel, ныне известному как UEFI (Unified Extensible Firmware Interface, теперь уже универсальная BIOS-система, применяемая во всех новых моделях ПК, включая и продукцию Apple).

Куда более успешным можно считать другой проект Phoenix Technologies — родившийся как итог стратегического альянса, заключенного весной 2004-го между этой корпорацией и канадской фирмой Absolute Software. Данная компания считается лидером продаж в нише так называемого «противоугонного ПО» для компьютеров, известного под названиями Computrace и LoJack.

В двух словах суть программ типа Computrace можно описать как «законный бэкдор». А если чуть подробнее, то трудно выводимая из компьютера и незаметная для антивирусов/файерволов программа регулярно и скрытно передает о себе информацию в Сеть (что — в случае кражи компьютера — помогает быстро его найти), а также работает в качестве троянского коня, открывая для хозяина удаленный доступ к компьютеру. Благодаря тайному «черному ходу» хозяин машины может не только модифицировать, выкачать или уничтожить все ценные для него файлы на украденном компьютере, но и вообще сделать его неработоспособным.

Ну а с 2004 года, благодаря инициативе Phoenix, вся эта бэкдор-функциональность Computrace стала зашиваться на уровне BIOS — то есть в самое глубокое нутро машины (наряду с освоенными ранее скрытыми разделами жестких дисков). Иначе говоря, уже на этапе производства интегрированный в компьютер бэкдор ComputracePlus удалить из машины становится практически невозможным.

Для уверенности владельцев новых компьютеров в том, что никакой вор их закладку не обнаружит, участники альянса заверили, что с антивирусами тут все уже надежно схвачено: «Программа ComputracePlus успешно протестирована на "невидимость" со всеми основными пакетами подобного рода, включая последние версии McAfee VirusScan, Norton Anti-Virus, Kaspersky Anti-Virus, Dr. Solomon Anti-Virus, Sophos Anti-Virus, Trend Pc Cillin & OfficeScan и eTrust EZ Antivirus».

Кроме того, один из президентов Phoenix, комментируя их новую, совместную с Absolute Software инициативу, отметил, что подобный тип технологии впервые включен в качестве стандартной опции BIOS, прежде же в этой области у них «были лишь совместные разработки с другими партнерами, в расчете на коммерциализацию проекта в перспективе». Что это за «другие партнеры» Phoenix, президент, естественно, не уточнил.

Год 2005-й. Этот год особо интересен здесь историей с «руткитом Sony». В своей неумной борьбе с копированием музыки, напомним, корпорация Sony наглядно продемонстрировала всем — и сообществу безопасности, и широкой публике, — что даже совсем неискушенный в бэкдорах разработчик запросто может изготовить и внедрить в миллионы компьютеров такого вредоноса-шпиона, которого в упор не видит ни одна антивирусная программа.

Года 2006-2009-й. Особо обильный на неприятные открытия период, когда специалисты по защите информации обнаружили в компьютерах целые классы невидимых руткитов-вредоносов. Так, скажем, британский исследователь Джон Хисмен (John Heasman) в 2006 году продемонстрировал новую, неведомую прежде угрозу со стороны BIOS. В современных компьютерах имеется достаточно развитый набор функций управления питанием, известный как ACPI (Advanced Configuration and Power Interface) и обладающий своим собственным интерпретируемым языком высокого уровня. Хисмен показал, что возможности ACPI можно использовать для написания кода руткита и прописывать главные функции атаки (повышение привилегий, считывание содержимого памяти и так далее) непосредственно во флеш-память BIOS. Опора программы на машинный язык делает такой руткит по сути платформенно-независимым и легко переориентируемым как под Windows, так и под Linux или любую другую ОС.

В том же году польская хакер-дама Джоанна Рутковска представила прототип невидимого руткита Blue Pill, работавшего на основе монитора виртуальных машин и никак не выявляемого средствами операционной системы.

Год спустя, в 2007-м, уже знакомый нам Джон Хисмен продемонстрировал еще один серьезный вектор «атаки аппаратных вредоносов» — на этот раз угроза обнаружилась в невидимых и неискоренимых по сути своей кодах внутри PCI, аппаратной архитектуры расширения функциональности компьютеров.

Летом 2009 года пара аргентинских хакеров, Альфредо Ортега и Анибал Сакко (Alfredo Ortega, Anibal Sacco), представила весьма продвинутый и работоспособный концепт руткита, умеющего заражать BIOS компьютера вне зависимости от того, работает он под ОС Windows, Linux или вообще под управлением виртуальной машины. Но самым интересным в исследованиях Сакко и Ортеги оказалось даже не это. Когда они решили опробовать свои идеи и наработки в реальных условиях перепрограммирования BIOS, то с удивлением обнаружили, что в коде чипа уже и без них живет кто-то посторонний. Поковырявшись с кодом, исследователи установили, что неведомым жильцом является весьма популярное на сегодняшний день «противоугонное средство» для ноутбуков, известное под названиями Computrace и LoJack.

Изучив работу этой закладки, Сакко и Ортега продемонстрировали, что Computrace реально является чрезвычайно опасным и неискоренимым BIOS-руткитом, который могут брать под контроль и использовать в своих целях криминальные хакеры. Опасность тут представляют не только каналы и места в компьютере, полностью недоступные для контроля со стороны владельца. Поскольку данный руткит считается заведомо законным, он прописан в «белых списках» общераспространенных антивирусных программ, а значит, и вредоносные модификации Computrace могут оставаться совершенно незамеченными в предположительно защищенной системе…

Интересно, что там же и тогда же, на конференции Black Hat в Лас-Вегасе летом 2009, сотрудниками фирмы Джоанны Рутковской, Invisible Things Lab, было представлено еще два доклада в тему — о BIOS-руткитах на материнских платах Intel. Александр Терешкин и Рафал Войчук не только продемонстрировали руткиты, работающие на процессоре чипсета, но и обнаружили способ их установки в "боевых условиях", в обход проверки цифровых подписей прошивок Intel.

Годы 2010-2011-й. Эти годы уже вошли в историю как период, когда были впервые обнаружены и исследованы программы-«супершпионы» — типа Stuxnet, Duqu и Flame. То есть образцы в высшей степени изощренного кибернетического оружия, разработанного спецслужбами США и Израиля для крупномасштабных проникновений и атак против любых компьютеров всех потенциальных неприятелей. Об этих вещах на страницах компьютерной прессы уже рассказано более чем достаточно, здесь же следует подчеркнуть лишь один принципиально важный момент. Все эти шпионские суперинфекции, имеющие размер до десятков мегабайтов, на протяжении многих лет работали в сотнях тысяч, а может, и в миллионах компьютеров словно тихие невидимки — абсолютно неведомо для всех имеющихся на рынке разновидностей антивирусного ПО. И это даже не упрек. Просто констатация медицинского факта.

Год 2012-й. В завершение этой грустной хронологии осталось упомянуть лишь очень показательную историю о тотальном хакинге осенью 2012-го компьютерной сети, обеспечивающей работу The New York Times (NYT) — самой известной и самой крупной, наверное, газеты США. Обычно подобные рассказы сопровождают изречениями народной мудрости типа «За что боролись, на то и напоролись». Ибо хакнули NYT — что сомнений, в общем-то, не вызывает — специалисты китайских спецслужб. А уровень обстоятельного подхода к задаче здесь продемонстрирован практически такой же, как и в ситуациях с разработками американской разведки. Подробности этой большой и поучительной истории можно найти в материале «Мечты о защите». Особого же внимания заслуживают здесь три таких момента.

Во-первых, хотя в NYT заранее знали о неприятностях, грозящих их сети, и даже специально предупредили специалистов по защите, дабы те повысили бдительность, когда атаки реально пошли, то противопоставить им оказалось, в общем-то, нечего. Во-вторых, штатные антивирусные средства смогли выявить и изолировать лишь одного из 45 отмеченных вредоносов. Иначе говоря, по меньшей мере 98% атак прошли в систему таким образом, словно никакой антивирус-защиты здесь не было вообще. В-третьих, наконец, когда после 4 месяцев атак было решено зачистить систему от вторжения неприятеля, то единственно эффективным средством была сочтена полная замена всех скомпрометированных машин новыми. Потому что — по признанию опытной фирмы Mandiant, специализирующейся на такого рода проблемах, — иного средства для удаления подобных вредоносов специалистам неизвестно: остается только сменить компьютеры и уповать, что других зараженных машин в системе больше нет...

Если требуются дополнительные пояснения к сказанному, то итог здесь вполне очевиден: вся антивирусная индустрия в подобных ситуациях оказывается абсолютно бесполезной. Однако крайне сомнительно, что найдется хоть один компьютерный пользователь, считающий такое положение дел нормальным...

#У всех нас большие проблемы

Еще летом 2001 года системный блок компьютера, что называется, выше крыши набитого всякой экзотической шпионской хренью, был поставлен для изучения на стол перед Евгением Касперским. Поставлен лично автором данного текста.

В этом компьютере уже тогда наблюдались многие из ключевых признаков той разноликой инфекции, которая ныне совокупно именуется badBIOS: неискоренимо зараженная прошивка чипа BIOS; видоизмененная (относительно спецификаций изготовителя) геометрия жесткого диска; таблица размещения файлов (FAT) в скрытом разделе диска; признаки работы виртуальной машины, забирающей под себя ощутимую часть ресурсов системы. Ну и так далее по списку...

Ведущий эксперт Kaspersky Lab (не лично Евгений, естественно) проверил машину комплексом стандартных антивирусных средств этой фирмы и не обнаружил в компьютере абсолютно ничего подозрительного. Было бы странно, конечно, если бы сразу что-то нашлось, коль скоро машина и притащена-то была в «Лабораторию» именно для того, чтобы разобраться с невидимой для антивирусов инфекцией. Но разбираться, однако, с этой занятной штукой в Kaspersky Lab никто не захотел. Вероятно, чего-то не хватило — то ли профессионализма, то ли интуиции, то ли элементарного человеческого любопытства. В общем, ничего не хватило. На этом «ничего», собственно, стороны и разошлись.

Журналист — он же владелец машины — лично и наглядно убедился в полнейшей импотенции антивирусной индустрии во всем, что касается борьбы с действительно серьезными шпионскими программами. Ну а что там решили в Kaspersky Lab относительно странного журналиста и его еще более странных идей, то это, естественно, ведомо лишь самим борцам с компьютерными вредителями. Да и не помнит там уже никто, наверное, про тот давний визит. Столько лет прошло...

Зато теперь появится большущий повод вспомнить. И специалистам Kaspersky Lab, и всем прочим антивирусным компаниям уже хочешь не хочешь, а придется, наконец, разбираться и с разработкой средств лечения от инфекций в firmware, то есть в кодах прошивки микросхем, и вообще со всеми прочими «фантастическими» особенностями BadBIOS. Ведь сколько бы ни подвергали ныне сомнению открытия Драгоша Руйу, исследователь абсолютно уверен, что вот уже три года он изучает чрезвычайно серьезную вещь:

Я все еще занимаюсь анализом, но я уверен, что здесь у нас ВСЕХ большая проблема. У меня есть и другие данные, и еще информация, которой я могу поделиться с теми людьми, кто заинтересуется...

У автора данного текста, естественно, тоже хватает пораженных очень похожей проблемой компьютеров, и он вполне готов что-то из них отдать для изучения — по эквивалентному обмену, ясное дело (все машины находятся в работе). Вот только прошлый опыт показывает, что у нашего народа как всегда «и своих дело по горло, невпроворот»...