Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
10 мар
2017
 
 

Intel Security с нов инструмент за сигурност след теча от ЦРУ

1350 прочитания, 0 коментара

Intel Security пусна в обръщение нов инструмент, позволяващ на потребителите да проверят дали фърмуер от ниско ниво на техните компютри е модифициран и съдържа чужд код. Софтуерът идва дни след като публикация на WikiLeaks разкри, че ЦРУ е разработила EFI руткитове за Macbook на Apple.

Руткитовете представляват зловредни програми, които се изпълняват с висок приоритет, обикновено заедно с ядрото на операционната система (т.нар. kernel), като прикриват дейностите на други вредоносни дейности и компоненти.

Прочетете още: WikiLeaks ще помага на ИТ фирмите да обезоръжат хакерите на ЦРУ

Твърди се, че документите произхождат от отдел на ЦРУ наречен Embedded Development Branch (EDB). Съдейки по името там се занимават с разработка на приложения за „вграждане“ в чужди системи. В документите се споменава „имплант“ за OS X, наречен DerStake, съдържащ модул за инжектиране ядрото на ОС (Bokor) и EFI модул (DarkMatter).

EFI, познати още като UEFI (Unified Extensible Firmware Interface – Унифициран разширяем интерфейс за фърмуер) са софтуерни приложения от ниско ниво, работещи преди старта операционната система и позволяващи инициализиране на различните хардуерни компоненти по след включването на компютъра. Те заместват по-стария и примитивен BIOS в по-новите машини и на практика сами по себе си представляват мини операционни системи. Могат да съдържат стотици „програми“ за различни функции, имплементирани като и изпълняеми файлове.

Зловредно приложение, скрито в EFI, може да инжектира код в ядрото на ОС и да възстановява всеки отстранен от компютъра зловреден код. Това позволява на руткитовете да преживяват сериозни ъпдейти на системата и дори реинсталации.

В допълнение към DarkMatter в документите на ЦРУ се говори и за друг проект, наречен QuarkMatter, който е описан като „EFI имплант за Mac OSX, използващ драйвър съхраняван в системния дял на EFI, за осигуряване на устойчивост на произволен имплант в ярдото“.

Advanced Threat Research екипът на Intel Security е създал модул за своята рамка с отворен код CHIPSEC, който да открива зловредни EFI изпълними файлове. CHIPSEC предлага набор инструменти за команден ред, използващи интерфейси от ниско ниво за анализиране на хардуера, софтуера и компонентите на платформата на системата. Те могат да работят под Windows, Mac OS и Linux.

Новият инструмент позволява на потребителя да вземе чист EFI, идваш производителя на компютъра, да извлече неговите компоненти и да състави „разрешителен списък“ на изпълнимите файлове. След това резултатите могат да бъда сравнени с използвания системен EFI.

Ако инструментът открие компоненти, които не влизат в EFI списъка на производителя, е възможно машината да е заразена. Съмнителните файлове се предоставят на потребителя и могат да бъдат анализирани.

EFI ъпдейти за различни версии на Mac и Macbook пък са налични на страницата за поддръжка на Apple.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
Фирмите представят
Димитрина Апостолова, регионален мениджър Корпоративни продажби – Бургас, във Виваком:

Димитрина Апостолова, регионален мениджър Корпоративни продажби – Бургас, във Виваком:

Телекомуникациите са двигател за развитие на умните градове
Цифров офис от ново поколение:

Цифров офис от ново поколение:

Как да постигнем свободно движение на информация и автоматизиране на процеси?
Емил Китанов, Старши консултант, Елит Софтуер:

Емил Китанов, Старши консултант, Елит Софтуер:

Някои детайли за Business Intelligence функциите на модерните ERP системи
Илия Кръстев, директор „Продажби“ на платформени решения в SAP България:

Илия Кръстев, директор „Продажби“ на платформени решения в SAP България:

Със SAP HANA банките могат да харчат 80% за иновации и само 20% за поддръжка

Слайдшоу
ИНТЕРВЮ
Предимствата на облачните ИТ услуги са достъпни за всеки бизнесПредимствата на облачните ИТ услуги са достъпни за всеки бизнес

Добромир Тодоров е главен директор „Облачни услуги“ на HeleCloud. Той е бил съосновател и е управлявал множество стартъпи в сферата на технологичните и финансови услуги. С опит в архитектурните решения, сигурността и инженеринг на...

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас