Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
10 мар
2017
 
 

Intel Security с нов инструмент за сигурност след теча от ЦРУ

1171 прочитания, 0 коментара

Intel Security пусна в обръщение нов инструмент, позволяващ на потребителите да проверят дали фърмуер от ниско ниво на техните компютри е модифициран и съдържа чужд код. Софтуерът идва дни след като публикация на WikiLeaks разкри, че ЦРУ е разработила EFI руткитове за Macbook на Apple.

Руткитовете представляват зловредни програми, които се изпълняват с висок приоритет, обикновено заедно с ядрото на операционната система (т.нар. kernel), като прикриват дейностите на други вредоносни дейности и компоненти.

Прочетете още: WikiLeaks ще помага на ИТ фирмите да обезоръжат хакерите на ЦРУ

Твърди се, че документите произхождат от отдел на ЦРУ наречен Embedded Development Branch (EDB). Съдейки по името там се занимават с разработка на приложения за „вграждане“ в чужди системи. В документите се споменава „имплант“ за OS X, наречен DerStake, съдържащ модул за инжектиране ядрото на ОС (Bokor) и EFI модул (DarkMatter).

EFI, познати още като UEFI (Unified Extensible Firmware Interface – Унифициран разширяем интерфейс за фърмуер) са софтуерни приложения от ниско ниво, работещи преди старта операционната система и позволяващи инициализиране на различните хардуерни компоненти по след включването на компютъра. Те заместват по-стария и примитивен BIOS в по-новите машини и на практика сами по себе си представляват мини операционни системи. Могат да съдържат стотици „програми“ за различни функции, имплементирани като и изпълняеми файлове.

Зловредно приложение, скрито в EFI, може да инжектира код в ядрото на ОС и да възстановява всеки отстранен от компютъра зловреден код. Това позволява на руткитовете да преживяват сериозни ъпдейти на системата и дори реинсталации.

В допълнение към DarkMatter в документите на ЦРУ се говори и за друг проект, наречен QuarkMatter, който е описан като „EFI имплант за Mac OSX, използващ драйвър съхраняван в системния дял на EFI, за осигуряване на устойчивост на произволен имплант в ярдото“.

Advanced Threat Research екипът на Intel Security е създал модул за своята рамка с отворен код CHIPSEC, който да открива зловредни EFI изпълними файлове. CHIPSEC предлага набор инструменти за команден ред, използващи интерфейси от ниско ниво за анализиране на хардуера, софтуера и компонентите на платформата на системата. Те могат да работят под Windows, Mac OS и Linux.

Новият инструмент позволява на потребителя да вземе чист EFI, идваш производителя на компютъра, да извлече неговите компоненти и да състави „разрешителен списък“ на изпълнимите файлове. След това резултатите могат да бъда сравнени с използвания системен EFI.

Ако инструментът открие компоненти, които не влизат в EFI списъка на производителя, е възможно машината да е заразена. Съмнителните файлове се предоставят на потребителя и могат да бъдат анализирани.

EFI ъпдейти за различни версии на Mac и Macbook пък са налични на страницата за поддръжка на Apple.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
ИТ ПРОЕКТ НА ГОДИНАТА

Фирмите представят

Слайдшоу
ИНТЕРВЮ
Едуард ван Лейнт: Твърде многото регулации убиват бизнесаЕдуард ван Лейнт: Твърде многото регулации убиват бизнеса

Едуард ван Лейнт е председател и главен изпълнителен директор на EPI Group of Companies. Има над 25 години международен опит в сферата на високите технологии и центрове за данни. Той е основният двигател зад успешното разрастване на EPI в...

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас