"El rey desnudo"
La situación deplorable, el poder del estado, en la persona de las primeras personas, comenzó a entenderse solo después de que la información secreta fue descargada por el notorio Snowden, él es el muchacho que señaló lo obvio.
Y pronunció las sagradas palabras que finalmente escucharon los líderes del país.
Los profesionales saben lo que está sucediendo ahora en las estructuras estatales relevantes. Como siempre con nosotros, la campaña alcanza el marasmo, pero "tiembla" con frialdad, amenaza con oportunidades de organización y aterrizajes.
No diré nada más sobre temas globales, de lo contrario, seré "llevado" como el inolvidable Ostap. Permítanme pasar a un ejemplo concreto, espero que todos, incluso no profesionales, todo se vuelva obvio.
Negocios en ruso
En una ocasión, me topé con un artículo en Komsomolskaya Pravda, “¿Se entregan las libretas de spyware a Rusia?”, Se trataba de la libreta protegida Getac A790 de la compañía taiwanesa Getac Technology.
Aquí está este "guapo":
El artículo hablaba sobre la presencia en este equipo del programa preinstalado Computrace LoJack, desarrollado por la firma canadiense Absolute Software. Se argumentó que el programa viene en forma activada e inmediatamente intenta conectarse a servidores en Canadá. Además, el fabricante ha estimulado a los vendedores de equipos en Rusia para que le proporcionen información sobre los clientes de computadoras protegidas con datos.
En conclusión, se llegó a una conclusión inequívoca sobre la acción de un posible adversario y se argumentó que estas computadoras son ampliamente utilizadas en las fuerzas armadas rusas ...
Después de leer el artículo en Komsomolskaya Pravda, inmediatamente recordé un material de tres años dedicado al mismo programa en rom.by: "El troyano BIOS de Absolute Software". Describió en detalle el mecanismo para ubicar y trabajar en la BIOS del módulo de programa de este programa, por lo que el tema no es nuevo.
Interesado en visitar el sitio web del desarrollador y leer, realmente, el programa envía datos de geolocalización a un servidor remoto, tiene la capacidad de bloquear remotamente una computadora y borrar información de los discos mediante comandos de los servidores de Absolute Software. Además, es posible completar un ciclo de administración remota de computadoras portátiles a partir de la actualización del BIOS, la instalación, la eliminación de programas y la finalización de la reinstalación del sistema operativo. El propósito oficial del programa es prevenir la fuga de datos y el uso de una computadora portátil en caso de robo o pérdida.
La parte del software del sistema Computrace LoJack consta de dos módulos, el primero está escrito en el BIOS en la etapa de producción de la computadora y el segundo se carga desde la red en caso de que el propietario de la computadora decida utilizar el programa Computrace LoJack. Y este servicio no es gratuito, debe pagar aproximadamente $ 50 por una suscripción de un año a los servicios de Absolute Software.
El altruismo no es propio de los negocios, la activación gratuita de un servicio pagado sugiere que el beneficio obtenido de esto justifica los costos financieros (no significa gratis de forma gratuita). Quien paga por la información creo que también es comprensible ...
Al mirar la imagen del portátil protegido, Getac А790 recordó de inmediato una caja gris similar que se vio en el sitio de uno de los clientes, fue empujada en una esquina, cubierta de polvo, y no se había utilizado durante mucho tiempo. Quería “tocar” la máquina y en la siguiente visita a este cliente fui inmediatamente a la caja polvorienta que me interesaba.
Abro y no creo que mis ojos, esto no es un portátil Getac A790, a juzgar por la placa de identificación en el panel frontal, esta es la computadora rusa MVK-2, en la etiqueta todos los datos sobre el modelo y el fabricante, donde está escrito que este producto fue fabricado por InfoPro en 2010. Además, la etiqueta holográfica de inspección especial hace alarde de la computadora portátil.
Para aquellos que no saben, explicaré, la inspección especial y las investigaciones especiales son procedimientos necesarios (y muy costosos) para que el equipo aparezca en objetos secretos y en las tropas. Después de estas comprobaciones, el equipo se considera seguro en términos de fuga de información secreta y confidencial y se puede utilizar en objetos secretos y protegidos.
La caja intrigó y no la encendió, simplemente no pude, mis manos extendieron la mano hacia el teclado, se encendieron, apareció la pantalla de inicio de la inicialización y todo encajó en su lugar de inmediato: la versión clásica de "business in Russian".
La empresa rusa, que se hace llamar desarrollador y fabricante de MVK-2 (InfoPro), ni siquiera se molestó en registrar su propio protector de pantalla de inicialización gráfico en BIOS y el nombre Getac А2 aparece con orgullo en la computadora rusa MVK-790.
No fui perezoso y filmé este "milagro" en mi teléfono móvil, aquí está.
Inmediatamente se volvió más interesante, MVK-2 no es un tipo de Getac А790 “izquierdo” para usted. MVK-2 es un complejo de computación móvil, la principal computadora protegida de las Fuerzas Armadas de Rusia, el desarrollo nacional, en el ejército hay miles, si no decenas de miles ...
Bueno, sobre el desarrollo doméstico y la asamblea nacional, todo se me aclaró de inmediato, pero si hay algún programa de Absolute Software después de investigaciones especiales (como lo indica una etiqueta holográfica), me interesó el programa de Absolute Software. Aprovechando el tiempo libre, sin siquiera preguntar al cliente (lo confieso, es un pecador), escaneé el BIOS en busca de la firma del programa Computrace LoJack, que tomé de un artículo en rom.by. Y no me sorprendió cuando los encontré allí. Los ingenieros de InfoPro de la BIOS de sus computadoras no eliminaron nada, y todos los estudios especiales no revelaron la presencia de este "marcador" oficial en MVK-2.
La brusquedad y el descaro del "fabricante" es increíble, existen programas oficiales para ensamblar / desensamblar BIOS, ¿se puede quitar o insertar cualquier módulo de BIOS sin problemas, lo que impidió que los especialistas de InfoPro inserten su propio protector de pantalla y eliminen el módulo escandaloso de BIOS? Este procedimiento fue dominado por todos los coleccionistas nacionales, no es único ...
Chips "cantados"
Desafortunadamente, la máquina no estaba conectada a Internet o a la red local, por lo que no fue posible observar la actividad de la red en las direcciones IP para averiguar el estado del servicio de Absolute Software.
Lo único que hizo fue fotografiar las pantallas del administrador de dispositivos en el programa Sandra para tratar con el equipo dentro de MVK-2 en forma libre. Hubo la sensación de que los $ 50 por la activación del programa Computrace LoJack se pagan por una razón, todavía hay "milagros" en esta cosa.
Aquí hay una foto de la pantalla que me interesó específicamente:
Los chips de red Broadcom instalados en MVK-2 han disfrutado durante mucho tiempo de la fama como sitios potenciales para marcadores. Según los códigos del fabricante salieron en un chip específico Broadcom BCM 5752.
La compañía Broadcom tiene una línea completa de chips de la serie BCM 57xx. Los chips de esta familia se encendieron en muchos sitios de piratas informáticos, incluso nuestra revista doméstica Hacker escribió al menos dos veces el año pasado sobre marcadores en estos chips.
Hubo un artículo "Rootkit en una tarjeta de red: las fantasías de un programador sobre la creación de un rootkit invencible" y una descripción más específica. noticias Con referencia a la explotación exitosa: "Rootkit en el mapa de red". Por lo tanto, los piratas informáticos utilizan los chips VSM 57xx durante mucho tiempo, esto no es un secreto.
Los chips de la serie VSM 57xx tienen su propia memoria flash (también puede conectar una memoria flash externa en una interfaz SPI dedicada), su propia RAM y su propio procesador RISC.
Aquí está el diagrama de bloques oficial del chip BCM 5752 utilizado en el MC-2:
De hecho, esta es una computadora en una computadora, y los programas que se guardan en su memoria flash se ejecutan tanto en su propio procesador RISC incorporado como en el procesador central de la unidad de computación durante la inicialización del sistema (BIOS avanzado en los controladores periféricos).
De acuerdo con la documentación, solo hay 16Kbytes de memoria flash dentro del chip, pero en la interfaz externa puede colocar hasta 8Mbytes adicionales de programas y datos. ¿Imagina cuánto puedes "rellenar" allí?
Conjuntamente con el programa Computrace LoJack, tal chip de red puede hacer cualquier cosa. Puede averiguar el contenido de la memoria flash de este chip solo en el soporte de herramientas, y no es un hecho que funcionará. Nuevamente comencé un ataque de manía de espías, pero no virtual, sino en red.
La severidad de las leyes y la falta de su cumplimiento.
Miro de cerca el diagrama de bloques del chip, puedo decir que lo estoy perforando con los ojos y, finalmente, me parece: ¡TPM Security Core es el mismo módulo de TPM! Miro en la documentación y, exactamente, hay un módulo TPM incorporado en el chip VSM 5752 de esta familia. Estándar 1.2 conectado a la interfaz LPC.
La presencia de un módulo TRM en la computadora protegida rusa no tiene sentido, está legalmente prohibido incluso importar equipo con dichos módulos, y su uso en equipos militares es generalmente una cuestión de jurisdicción. La única opción, el chip puede estar presente en el tablero, pero debe estar físicamente desactivado en la etapa de producción y estar en un estado inoperable (desenergizado).
Formalmente, la prohibición se basa en el uso de algoritmos criptográficos desarrollados en el extranjero en estos módulos TPM. La verdadera razón de la prohibición es que los módulos TPM son un medio para generar y almacenar claves de cifrado y contraseñas con una clave única (PRIVEK) para la raíz de la cadena de confianza, que es la clave de cifrado raíz del algoritmo RSA (su parte secreta).
Los fabricantes de chips conocen esta clave, y en teoría, nadie más. Pero todos los fabricantes de herramientas criptográficas tienen contactos con servicios especiales sin falta. Creo que no es necesario explicar quién mantendrá duplicados de estas claves.
El conocimiento de la clave raíz para un módulo TPM particular permite descifrar el contenido de la memoria del módulo TPM y, además, localizar siempre con precisión la ubicación de una instalación de computación particular en el espacio de la red.
Quería verificar la presencia de la actividad del módulo TPM en MVK-2, fue fácil de hacer, para esto hay dos posibilidades. En las tablas ASPI del sistema hay un objeto especial que describe la presencia de un módulo TPM, pero esto es solo una marca en la memoria. El dispositivo puede estar presente y los registros en las tablas sobre su presencia pueden no estar.
Entonces, este método no es lo suficientemente confiable si no hay registros en las tablas del sistema, el sistema operativo tampoco lo verá.
El segundo método es mucho más confiable, cualquier dispositivo interactúa con otros componentes del sistema de computación a través de registros, si estos registros están activos (puede leerlos y escribir información en ellos), entonces el dispositivo está operativo. En teoría, el módulo que está deshabilitado en las condiciones de producción de la TRM no tiene registros viables. Es fácil de verificar, todos los registros TPM del módulo estándar 1.2 están en el bus del sistema en el espacio de direcciones fijo 0FED4_0000h - 0FED4_FFFFh, no fui yo quien lo inventó, está escrito en la norma.
Una vez más, incluyendo el MVK-2 que se está investigando, ya tenía un programa disponible para ver los registros en el bus del sistema (de mi propia producción, por supuesto), y no me sorprendió en absoluto descubrir la actividad del módulo TPM.
¿Qué pasa si no obedeces las leyes?
El resultado esperado fue confirmado, los registros TPM del módulo estaban en condiciones de funcionamiento, por lo que nadie desconectó el chip del módulo TPM. Solo aquí la información en los registros no cumplía con las especificaciones. En uno de los registros activos, se encontraron códigos de escaneo de pulsaciones de teclas ...
Parecía que la información sobre el código de escaneo de la última tecla presionada estaba almacenada en los registros TPM del módulo, y esto ya se parecía a lo que hay en un lenguaje profesional llamado marcador de hardware, el keylogger.
¿Es posible? Es bastante posible, ya que el controlador del teclado y el módulo TPM están ubicados en la misma interfaz, el LPC, y esta interfaz se realiza de acuerdo con el esquema de la conexión en serie de todos los dispositivos conectados a él. De hecho, el módulo TPM se convirtió en un rastreador, escuchando el bus y almacenando la información en sus registros desde el teclado. Por lo tanto, las tecnologías de piratas informáticos, que han sido discutidas en foros profesionales durante más de un año, ahora están hablando figurativamente al servicio de algún tipo de servicios especiales.
El keylogger de hardware en MVK-2 es "genial", me equivoco, por supuesto, ya que este es un resultado preliminar de una investigación externa. Si puedes entrar en esta máquina, puedes probarlo o refutarlo, en cualquier caso, debes comprenderlo, pero no tengo esa posibilidad.
Una pregunta lógica, y tal vez alguien ya se haya dado cuenta y haya llegado a la conclusión de que todo es normal, ¿puedes trabajar?
Dudo que los expertos que no pueden cambiar el protector de pantalla en la BIOS, que no conocen la pestaña en la BIOS del programa Computrace LoJack, apenas sepan nada acerca de los módulos de TPM, sin mencionar la comprensión de sus especificaciones.
Por lo tanto, este equipo no probado continúa fluyendo hacia Rusia bajo el orgulloso nombre de "Mobile Computing Complex MVK-2" y lleva en su tablero una pestaña obvia en BIOS y un registrador de teclas de hardware en un chip de red. Y estos complejos se completan con objetos y productos muy importantes, este es uno de los ejemplos descargados de Internet:
Secreto de Estado como mercancía
Y en conclusión, todavía no puedo abstenerme de generalizaciones globales, están tristes.
En nuestro país, la seguridad se ha convertido en un producto que se comercializa, nadie lo ha conseguido. Para no ser infundado, le daré una captura de pantalla específica del sitio de uno de los muchos intermediarios que ganan dinero en el secreto de estado:
Especialmente conmovedor es la franqueza de la redacción del texto en el sitio, como "La capacidad de comprar una licencia del FSB para la criptografía", se resalta en rojo en la captura de pantalla. Y esto no es una reserva, una vez más se deslizó la "verdad desnuda" sobre el "rey desnudo".
De lo que se ha hablado durante mucho tiempo en las habitaciones para fumadores (que los empleados del centro FSB 8 convirtieron la emisión de licencias en un "negocio en ruso") encontraron esa confirmación visual, independiente y pública.
Caballeros tristes ...
PD: No piensen solo que las autoridades no conocen esta situación, en absoluto.
Hace más de un año, todo lo que estaba escrito aquí se informó en "gabinetes muy altos", en particular, el Viceprimer Ministro D. Rogozin fue informado sobre esto.
El resultado es cero, pero después de eso tuve problemas, pero como dicen, el mundo no está sin gente honesta y decente, ha pasado.
información