※ 本文為 npc 轉寄自 ptt.cc 更新時間: 2013-11-05 00:03:32
看板 Gossiping
作者 標題 [新聞] 拔掉網路線、Wi-Fi、藍牙,依然可以發號
時間 Mon Nov 4 16:11:18 2013
1.媒體來源:
T客邦 http://www.techbang.com/
![[圖]](http://i.disp.cc/web/img4/cdn0.techbang.c-og-b76d3a5b024aa96d8d6564d8d17703db.png)
2.完整新聞標題/內文:
拔掉網路線、Wi-Fi、藍牙,依然可以發號施令!詭異病毒 BadBios 嚇駭頂尖資安專家
在拔掉網路線、Wi-Fi、藍牙之後,竟然還有電腦病毒可以繼續發號施令,聽起來就像是
科幻小說的故事一樣。但是,這種病毒已經在三年前就出現了,而且資安專家到現在還無
法確認到底要如何清除它,以及它真正的擴散原因是什麼。
科幻小說的故事一樣。但是,這種病毒已經在三年前就出現了,而且資安專家到現在還無
法確認到底要如何清除它,以及它真正的擴散原因是什麼。
安全專家,同時也是Pwn2Own駭客挑戰賽的創辦人Dragos Ruiu,前幾天在接受Ars
Technica 訪問的時候,透露了一件這三年來一直困擾他的怪事。事情離奇的程度,對於
任何關心資訊安全的人聽起來,簡直就像是資訊版的僵屍電影一樣恐怖離奇。
三年前,Dragos Ruiu在他的實驗室裡頭,才剛剛幫他的MacBook Air更新了OS X,之後沒
多久他就注意到一件奇怪的事情:他的筆電在自動更新BIOS。然後當他嘗試要從光碟機啟
動電腦的時候,被電腦拒絕了。他同時也發現他的電腦會自動刪除某些資料,並且在沒有
任何提示的情況下,把一些原本弄好的設定給恢復回來。事情雖然古怪,但當時因為時間
已經很晚了,加上他想或許是新灌好的系統哪裡步驟出了錯,也不以為意,就去睡覺了。
結果在接下來的幾個月,發生在Dragos Ruiu身上的事情簡直就是科幻恐怖片的情節:他
實驗室中一台執行Open BSD系統的電腦也開始自作主張地刪除資料,以及自動調整設定;
他發現網路內有些資料透過IPv6在傳輸數據,甚至是從那些原本已經把電腦的IPv6協定關
閉的電腦;最離奇的是,這些被感染的機器,就算是拔除了網路線、移掉了Wi-Fi、藍芽
卡,依然還是能對實驗室中其他的電腦發號施令,而且還橫跨了 Windows 、Linux 等不
同的平台。
多久他就注意到一件奇怪的事情:他的筆電在自動更新BIOS。然後當他嘗試要從光碟機啟
動電腦的時候,被電腦拒絕了。他同時也發現他的電腦會自動刪除某些資料,並且在沒有
任何提示的情況下,把一些原本弄好的設定給恢復回來。事情雖然古怪,但當時因為時間
已經很晚了,加上他想或許是新灌好的系統哪裡步驟出了錯,也不以為意,就去睡覺了。
結果在接下來的幾個月,發生在Dragos Ruiu身上的事情簡直就是科幻恐怖片的情節:他
實驗室中一台執行Open BSD系統的電腦也開始自作主張地刪除資料,以及自動調整設定;
他發現網路內有些資料透過IPv6在傳輸數據,甚至是從那些原本已經把電腦的IPv6協定關
閉的電腦;最離奇的是,這些被感染的機器,就算是拔除了網路線、移掉了Wi-Fi、藍芽
卡,依然還是能對實驗室中其他的電腦發號施令,而且還橫跨了 Windows 、Linux 等不
同的平台。
最後,Dragos Ruiu做了所有資安專家都會做的事情:他將實驗室中所有的系統都重新清
除再安裝。但是,在接下來的這三年間,這個感染依然斷斷續續地發生,就像是細菌增生
一樣。他只好一遍又一遍地重複這樣的動作。
除再安裝。但是,在接下來的這三年間,這個感染依然斷斷續續地發生,就像是細菌增生
一樣。他只好一遍又一遍地重複這樣的動作。
病毒最明顯的徵兆是被感染的電腦都無法從光碟機開機啟動,不過為了偵測出更多關於病
毒的行為,他採用了一些類似Process Monitor的工具,用來觀察病毒的行為。由這裡他
發現更驚人的是,他採用了「airgaps」的設計來隔絕受感染以及可能受感染的電腦,「
airgaps」的意思就是將這些電腦完整地隔絕在實驗室的網路之外,不管是有線或是無線
的,就算採取這樣的措施,這些病毒似乎還有自我治療的能力。
毒的行為,他採用了一些類似Process Monitor的工具,用來觀察病毒的行為。由這裡他
發現更驚人的是,他採用了「airgaps」的設計來隔絕受感染以及可能受感染的電腦,「
airgaps」的意思就是將這些電腦完整地隔絕在實驗室的網路之外,不管是有線或是無線
的,就算採取這樣的措施,這些病毒似乎還有自我治療的能力。
「有一台受感染的電腦採用了airgaps的措施,我們重裝了他的BIOS,全新沒有任何資料
的硬碟也剛裝上去,透過原版Windows安裝光碟裝上了系統。」Ruiu對採訪的記者表示,
「沒有多久,當我們要安裝我們的Process Monitor工具時,我們發現這台電腦的
的硬碟也剛裝上去,透過原版Windows安裝光碟裝上了系統。」Ruiu對採訪的記者表示,
「沒有多久,當我們要安裝我們的Process Monitor工具時,我們發現這台電腦的
registry編輯器被disabled了。這時我們不由得想:嘿,這真是太不科學了!這台電腦怎
麼可能去攻擊我們正準備要用來攻擊他的程式?我的意思是說,這是一台已經採用過
airgaps隔絕的機器,然後就當我們正準備透過registry編輯器去搜尋病毒特徵的時候,
所有的搜尋功能就被禁止了!」
遇到這種事,就連資安專家Ruiu也無計可施。他在接下來的兩週在他的Twitter、
Facebook、Google+上都描述了他對於這個病毒的調查,而這也引起世界上其他的頂尖資
安專家的注意。
Ruiu認為這個病毒是透過USB裝置感染了電腦的底層硬體,攻擊了電腦的BIOS、UEFI,也
可能感染了其他的韌體裝置。這個病毒可以攻擊多種的平台,逃避一般的偵測方式,以及
從各種企圖毀滅它的行為中存活下來。其中,最困擾Ruiu的一點是,當所有的網路都被隔
絕之後,這個病毒到底是用什麼方式擴散傳染給其他的電腦?
可能感染了其他的韌體裝置。這個病毒可以攻擊多種的平台,逃避一般的偵測方式,以及
從各種企圖毀滅它的行為中存活下來。其中,最困擾Ruiu的一點是,當所有的網路都被隔
絕之後,這個病毒到底是用什麼方式擴散傳染給其他的電腦?
但是隨著這個事件繼續的偵察下去,Ruiu在一次意外中發現,隨著他移除了電腦內部的揚
聲器以及麥克風之後,電腦的感染狀況竟然奇蹟似停止了。在他嘗試了幾台電腦都得到這
樣的結果之後,他判斷,病毒是利用揚聲器發出一種人耳偵測不到的高頻聲音,而透過另
一台電腦的麥克風接收到這個高頻,以此來進行病毒之間溝通的方式。
聲器以及麥克風之後,電腦的感染狀況竟然奇蹟似停止了。在他嘗試了幾台電腦都得到這
樣的結果之後,他判斷,病毒是利用揚聲器發出一種人耳偵測不到的高頻聲音,而透過另
一台電腦的麥克風接收到這個高頻,以此來進行病毒之間溝通的方式。
是網路謠言嗎?
一開始,很多資訊媒體都懷疑這則離奇的故事是網路謠言、資訊界的鄉野傳說,或是只是
一些對病毒不瞭解的人的誤解。而且,Ruiu也詢問了好幾個資安專家,沒有一個人發現過
類似的病毒。
一些對病毒不瞭解的人的誤解。而且,Ruiu也詢問了好幾個資安專家,沒有一個人發現過
類似的病毒。
雖然Ruiu身為資安領域的專家,以及駭客挑戰賽的創辦人,他毫無疑問當然是駭客攻擊的
目標。但是他並沒有比其他上千位的同領域專家更值得成為獨立的目標,而至今這個案例
三年來只有發生在他身上,也讓人感到懷疑。
目標。但是他並沒有比其他上千位的同領域專家更值得成為獨立的目標,而至今這個案例
三年來只有發生在他身上,也讓人感到懷疑。
不過,也有很多安全專家站在他這一邊。網路犯罪專家Alex Stamos,就在他的Twitter上
寫著「所有在資安圈子的朋友,都該Follow @dragosr,並且看他怎麼分析#badBIOS」。
寫著「所有在資安圈子的朋友,都該Follow @dragosr,並且看他怎麼分析#badBIOS」。
Jeff Moss,美國知名Hacker,「Defcon and Blackhat security conferences」創辦者
,同時也是美國國土安全局資安顧問。他也對這件事情感到關切:「毫無疑問的,這是一
件很嚴重的事情。」
資安學者Arrigo Triulzi則在接受採訪時表示:「Dragos絕對是一個值得信任的朋友,我
不懷疑他講的內容的真實性。他所描述的內容在科幻小說中並不特別,只是我們沒有在現
實生活中見過而已。」
不懷疑他講的內容的真實性。他所描述的內容在科幻小說中並不特別,只是我們沒有在現
實生活中見過而已。」
後續整理:關於BadBIOS該知道的4+1件事情
根據heavy tech整理的後續發展,關於被Ruiu稱為BadBios的這個病毒,有4件事情(原文
是5件,但是第5件可以略過不提)你應該要知道,最後我們再加上一個持不同意見的BIOS
專家的觀點連結:
是5件,但是第5件可以略過不提)你應該要知道,最後我們再加上一個持不同意見的BIOS
專家的觀點連結:
1.病毒可能是透過高頻或是高超頻聲波下指令
一般人覺得最感興趣,或是最驚悚的部分,就是病毒可以透過聲波來發號施令,實現自我
修復的功能,原理簡圖如下
http://ppt.cc/wbIm
![[圖]](http://cdn0.techbang.com.tw/system/images/139989/original/f565946ab80447d481d49752ea8250e4.png?1383465508)
(補充說明)
依照底下rho網友的留言,找出Ruiu的說法:
「No these machines were probably infected via traditional means or USB. Wish
folks would get off this infected by audio nonsense. The audio is only a c&c
channel between infected machines to bypass air gap.」
因此Ruiu在這裡定義了之前所謂了「散佈」,指的是病毒是透過高頻信號來傳遞指令,而
非感染。
2.有些人宣稱這在物理上不科學,他們錯了。
正如上面這位Eric Hill所說,他不相信有病毒能夠在airgap的隔絕之下,還能夠傳遞資
料的。任何讀過資訊相關科系的學生應該都有這種根深蒂固的印象,只要採取了這種隔絕
,在物理上病毒就不可能傳遞資訊。
料的。任何讀過資訊相關科系的學生應該都有這種根深蒂固的印象,只要採取了這種隔絕
,在物理上病毒就不可能傳遞資訊。
但事實上他錯了,我們以前學的資安理論關於airgap的部分也錯了。利用聲波來傳遞電腦
資料,原理就類似早期Apple II時代的磁帶機,將資料記錄在錄音帶上,如果你把磁帶拿
去一般的播放器播放,會傳出吱吱嘎嘎的聲音,那就是資料的聲音。
資料,原理就類似早期Apple II時代的磁帶機,將資料記錄在錄音帶上,如果你把磁帶拿
去一般的播放器播放,會傳出吱吱嘎嘎的聲音,那就是資料的聲音。
資料透過聲音來傳遞,在理論上是可行的。但是因為空氣中存在太多的干擾,隨便有其他
的聲音就會破壞資料的正確性,所以必須要反覆傳遞同樣的資料用來糾錯,傳輸率會變得
相當慢。但理論上的確可行。
的聲音就會破壞資料的正確性,所以必須要反覆傳遞同樣的資料用來糾錯,傳輸率會變得
相當慢。但理論上的確可行。
但是實際上利用BIOS那麼小的空間,來讓病毒實現這樣複雜的動作,是否做得到?這是大
家質疑的地方。
資安公司 Errata Security的CEO--Rob Graham表示:根據Dragos在報告中所描述的所有
事情,其實並非不能做到的。如果給我一年的時間,我想我可以寫出一個如他所描述的「
badBios」病毒所能做到的事情的軟體,透過超高頻聲波來傳遞,其實真的不是一件難事
。
事情,其實並非不能做到的。如果給我一年的時間,我想我可以寫出一個如他所描述的「
badBios」病毒所能做到的事情的軟體,透過超高頻聲波來傳遞,其實真的不是一件難事
。
3.禍首應該是來自USB隨身碟
Dragos表示,到目前為止他的調查懷疑BIOS在讀取USB隨身碟的時候,受到了某種buffer
overflow攻擊。這個程式會重寫flash controller,然後在BIOS table裡頭加了其它定義
的東西進去。
overflow攻擊。這個程式會重寫flash controller,然後在BIOS table裡頭加了其它定義
的東西進去。
4.Dragos有釋放出一部份遭到感染的文件檔案供人分析
他在10月25號於自己的Google+上,有放上一部份的檔案讓其它的專家來幫忙分析。
But,這些專家的想法可能全錯了
最後,還有一位對BIOS有研究的專家,認為上面這些病毒專家對於BadBios的分析全都錯
了,認為這些專家根本就不懂BIOS,並且將上述的論證加以反駁。但是,其中關於論證的
部分寫得太專業了,或許有資工背景的朋友,可以看懂他在說什麼,再來提供給大家參考
。
了,認為這些專家根本就不懂BIOS,並且將上述的論證加以反駁。但是,其中關於論證的
部分寫得太專業了,或許有資工背景的朋友,可以看懂他在說什麼,再來提供給大家參考
。
3.新聞連結:
http://ppt.cc/RYK5
拔掉網路線、Wi-Fi、藍牙,依然可以發號施令!詭異病毒 BadBios 嚇駭頂尖資安專家 - 第 2 頁 | T客邦 - 我只推薦好東西
![[圖]]()
在拔掉網路線、Wi-Fi、藍牙之後,竟然還有電腦病毒可以繼續發號施令,聽起來就像是科幻小說的故事一樣。但是,這種病毒已經在三年前就出現了,而且資安專家到現在還無法確認到底要如何清除它,以及它真正的擴散原因是什麼。 ...
![[圖]](http://i.disp.cc/web/img4/www.techbang.co0bfc4b3652e3031666d500c08.png_1383470947.png)
4.備註:
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 183.23.10.158
→ :end 沒重點1F 11/04 16:13
→ :不要插電就不會傳撥了,故得證是走電線感染(誤2F 11/04 16:13
推 :蘋果怎麼會中毒?一定是被__帶壞的3F 11/04 16:14
→ :大紀元: 發正念防病毒果然是真理4F 11/04 16:14
推 :好威啊5F 11/04 16:14
推 :理論上是發得出,但接收端怎麼知道要把聲音變1/0?6F 11/04 16:15
→ :結論是 他病了 該去看醫生了...7F 11/04 16:16
推 :結果最後是他夢遊...8F 11/04 16:16
→ :就不要開電腦啊 久了病毒就會餓死啦9F 11/04 16:17
推 :走電線感染 好像真的有可能 a端 b端 有辦法辨認 就gg10F 11/04 16:18
推 :這不就是M$嗎? win8綁bios 超肥大病毒11F 11/04 16:19
推 :金架跨丟鬼12F 11/04 16:19
推 :我是不太懂 感染BIOS可以修改OS設定嗎?13F 11/04 16:19
推 :天網14F 11/04 16:19
推 :電腦陰屍路15F 11/04 16:21
推 :天網~~16F 11/04 16:21
推 :資訊可以走 電線中的低頻進行 但是很容易被干擾17F 11/04 16:21
→ :一般電腦也不會有濾過的裝置拉 所以是白談xd
→ :一般電腦也不會有濾過的裝置拉 所以是白談xd
推 :天網19F 11/04 16:22
→ :應該不能說是感染bios 而是利用bios的空間 去擴散?20F 11/04 16:23
→ :樓上問題是輸入裝置,怎麼當成輸出? 訊號解析? 傳給誰?21F 11/04 16:23
推 :不要開電腦,餓死的是宅宅22F 11/04 16:24
→ :電線幾乎不可能,你寄信給我,我怎麼讓寄件者知道收件者23F 11/04 16:24
→ :拍電影了24F 11/04 16:24
→ :的訊息? 沒有發的能力就沒法25F 11/04 16:24
推 :訊號一過變壓器就GG 哪有辦法傳26F 11/04 16:24
→ :不能說是走電線拉 走電力網 比較正確27F 11/04 16:25
→ :那請問沒被感染的要怎樣從聲音decode?28F 11/04 16:25
推 :使徒嗎?29F 11/04 16:25
→ :所以才說是白談阿 一般連電表都過不去了還要同配電區30F 11/04 16:25
→ :walter0914突破盲點了 沒錯 走電力網不是重點31F 11/04 16:26
推 :寫這病毒的一定是天才32F 11/04 16:26
推 :那人類可以發音發出電腦病毒的code嗎33F 11/04 16:27
→ :樓上去看柯南電影版xddd 用聲音 拆炸彈xddd34F 11/04 16:28
![[圖]](http://i.disp.cc/web/img4/www.trendmicro.campaign_tw_blog_images_blogad_54090.gif)
→ :樓上有人沒看完文章... 裡面有一段是說, 已經感染的電腦36F 11/04 16:29
推 :拔電源~然後都不要用電腦 這樣病毒都不會作怪XDDDD37F 11/04 16:29
→ :利用聲音互相傳遞溝通... 不是說, 光用聲音去使一台正常38F 11/04 16:30
→ :的電腦受到感染
→ :的電腦受到感染
→ :收訊號是一回事,解讀是另一回事,不然哪要那麼多協定40F 11/04 16:30
→ :這是高招...41F 11/04 16:31
推 :總覺得哪裡怪怪的42F 11/04 16:31
→ :以前小時候有個節目好像叫做電腦超人的 主角變身跟病毒43F 11/04 16:33
→ :打鬥 壞人叫零壹魔王 病毒都在電線上跑來跑去的XD
→ :打鬥 壞人叫零壹魔王 病毒都在電線上跑來跑去的XD
→ :毛毛dery45F 11/04 16:34
推 :無感 我都在核彈碉堡裡重灌筆電的46F 11/04 16:34
→ :小時候一聽到有電腦病毒就很怕 連電線都不敢插上去XDDD47F 11/04 16:35
→ :如果有人架設一台高功率喇叭 把喇叭頻率用成人類聽不到48F 11/04 16:35
→ :這樣也可單向控制遠端的電腦執行事情
→ :這樣也可單向控制遠端的電腦執行事情
推 :所以沒抓到病毒本體? 這也太神50F 11/04 16:36
→ :前提對方要有內建麥克風 (筆電)51F 11/04 16:36
推 :人工智慧終於出現了!!52F 11/04 16:37
推 :太扯了 只有sky net辦得到53F 11/04 16:37
推 :前幾天有個中國進口的電熨斗內藏間諜晶片也很扯54F 11/04 16:40
→ :主要感染源應該是 USB 上面的晶片=>BIOS
→ :主要感染源應該是 USB 上面的晶片=>BIOS
推 :原來以前那個用電話重灌XP的故事都是真的(抖)56F 11/04 16:43
→ :被感染的檔案上面的應該不是病毒的本體57F 11/04 16:44
→ :放上來給其他人分析意義不大
→ :放上來給其他人分析意義不大
推 :剛看到有一篇 是講說 筆電電源拔除一樣中獎59F 11/04 16:58
推 :最大的一個疑點就是 實驗室裡的機器哪來的麥克風/喇叭?60F 11/04 16:58
→ :所以也排除 是走電力網了..61F 11/04 16:59
→ :筆電還勉強有可能, OpenBSD 誰會開音效啊62F 11/04 16:59
→ :透過喇叭麥克風傳送命令或許有可能, 但多數機器上不會裝
→ :透過喇叭麥克風傳送命令或許有可能, 但多數機器上不會裝
推 :還滿恐怖的64F 11/04 17:04
→ :只要電腦開機會beep,就有喇叭,mic就看機器65F 11/04 17:27
推 :現在很多機器只有 buzzer, 想發出聽力外的頻率有困難66F 11/04 17:39
→ :mic 就更難了 除了筆電外絕大多數的機器應該都沒有
→ :mic 就更難了 除了筆電外絕大多數的機器應該都沒有
→ :從陰謀論觀點,我比較懷疑有insider向他洩露NSA藉某普遍IC68F 11/04 17:44
→ :植入的木馬
→ :植入的木馬
→ :木馬/病毒想要進入系統沒那麼容易, BIOS 不是好途徑70F 11/04 17:46
→ :USB firmware 更難(廠牌型號眾多, 一般性攻擊幾乎不可能)
→ :裡面還扯到光碟機之類的, 那就扯的更遠了
→ :USB firmware 更難(廠牌型號眾多, 一般性攻擊幾乎不可能)
→ :裡面還扯到光碟機之類的, 那就扯的更遠了
→ :不是外在的,是在design階段就放進去的,所以才能跨多平台73F 11/04 17:47
→ :等於是個mini bootstrap loader,一旦觸發,就逐漸載入該CPU
→ :的malware
→ :等於是個mini bootstrap loader,一旦觸發,就逐漸載入該CPU
→ :的malware
推 :實驗室鬧鬼 結案76F 11/04 17:49
→ :從伊朗核電廠被駭之後,我就有此懷疑,這報導剛好符合假說77F 11/04 17:49
→ :"該cpu的malware"考慮裝置的位階 這種想法有點不切實際78F 11/04 17:49
→ :Stuxnet 攻擊的是特定的 PLC, 這是有計畫有目標的入侵
→ :Stuxnet 攻擊的是特定的 PLC, 這是有計畫有目標的入侵
→ :怎麼會不切實際?你listen bus,判斷某些pattern,就可以得到80F 11/04 17:50
→ :CPU/OS資訊,當然我這假說純陰謀論
→ :CPU/OS資訊,當然我這假說純陰謀論
→ :如果對象變成電腦 並不存在單一可攻擊的弱點82F 11/04 17:51
→ :listen 什麼 bus?
→ :ACPI BIOS 有點可能, 但是只要一拔下來 dump 就破功了
→ :這種東西藏不了的 不可能讓人研究個好幾年
→ :listen 什麼 bus?
→ :ACPI BIOS 有點可能, 但是只要一拔下來 dump 就破功了
→ :這種東西藏不了的 不可能讓人研究個好幾年
→ :我不是說BIOS層次,那都是軟體碼,容易被發現. 是microcode86F 11/04 17:54
→ :隨身碟 光碟機的 firmware 也是一樣, 那裡面空間非常狹小87F 11/04 17:54
→ :層次.我再強調一次,我這種說法純粹是陰謀論,沒有根據88F 11/04 17:54
→ :連必需功能都可能塞不進去要取捨(DVD 燒錄器時代常發生)89F 11/04 17:54
→ :microcode 一樣是軟體碼啊, 只是運作在系統之外
→ :ACPI BIOS rootkit 是實際上有可能的, 但是同樣藏不住
→ :microcode 一樣是軟體碼啊, 只是運作在系統之外
→ :ACPI BIOS rootkit 是實際上有可能的, 但是同樣藏不住
→ :簡單講,我剛假想的陰謀是,有某個IC,它有個可以盜用系統匯92F 11/04 18:00
→ :流排一定%,用於自己運作,就像一個系統有多一個隱藏的CPU一
→ :樣,這個hidden CPU在OS認知之外,平常可能也不運作,但一旦
→ :被觸發,就能偷偷幹事情,需要的code/data資源藉由外部指導,
→ :可以從該電腦本身取得.所以只需要最小的bootstrap loader
→ :即可.
→ :流排一定%,用於自己運作,就像一個系統有多一個隱藏的CPU一
→ :樣,這個hidden CPU在OS認知之外,平常可能也不運作,但一旦
→ :被觸發,就能偷偷幹事情,需要的code/data資源藉由外部指導,
→ :可以從該電腦本身取得.所以只需要最小的bootstrap loader
→ :即可.
→ :請參考 ACPI BIOS rootkit 一般連接方式不可能取得主控權98F 11/04 18:03
→ :你所謂主控權是什麼?99F 11/04 18:04
→ :每種系統的漏洞都要準備, 這隻木馬會比豬還要肥100F 11/04 18:05
→ :ACPI BIOS 至少還是由系統 CPU 在執行的
→ :ACPI BIOS 至少還是由系統 CPU 在執行的
→ :從外部load下來,不用在內部準備102F 11/04 18:05
→ :特定 event 下執行到木馬的程式, 然後還要判斷作業系統103F 11/04 18:06
→ :再執行對應的 exploit... 要拿到特權沒那麼容易哪
→ :再執行對應的 exploit... 要拿到特權沒那麼容易哪
→ :你是用主CPU想,我是假設有另一個寄生hidden 「CPU」105F 11/04 18:06
→ :寄生在哪裡? 能讓你接裝置的地方離核心都已經很遠了106F 11/04 18:08
→ :樓上兩位B大要不要考慮回一篇呢107F 11/04 18:09
→ :你有聽過 compiler trojan horse 嗎? 如果美國NSA能介入108F 11/04 18:10
→ :EDA廠商,是有可能在類似南北橋,甚至INTEL CPU都建置木馬,
→ :不過這個假設非常大就是了
→ :EDA廠商,是有可能在類似南北橋,甚至INTEL CPU都建置木馬,
→ :不過這個假設非常大就是了
→ :扯到這種陰毛論就失去討論的價值了 乾脆說外星人入侵好了111F 11/04 18:12
→ :http://cm.bell-labs.com/who/ken/trust.html112F 11/04 18:12
→ :我前面一開始就說了,我是陰謀論假設,你到這麼後面才翻臉XD
→ :因為我十幾年前看到上面那個提的compiler trojan horse,就
→ :我前面一開始就說了,我是陰謀論假設,你到這麼後面才翻臉XD
→ :因為我十幾年前看到上面那個提的compiler trojan horse,就
→ :這種猜想有個最大的問題 就是"generic exploit 並不存在"115F 11/04 18:14
→ :一直覺得這個是有可能被搞最深入的陰謀116F 11/04 18:14
→ :同一個系統新舊不同版本就快玩死人了117F 11/04 18:15
→ :你先看看上面那篇網址,你會發現一旦運用,無事不可能118F 11/04 18:15
→ :那篇其實很早就動搖信任的基礎,也就是除非你從根開始打造,
→ :那篇其實很早就動搖信任的基礎,也就是除非你從根開始打造,
→ :哪有無事不可能 對資安有點概念的都知道那只是起點罷了120F 11/04 18:16
→ :你現在的假設可是同一套木馬通吃了多種不同系統
→ :你現在的假設可是同一套木馬通吃了多種不同系統
→ :否則沒有任何事可以100%信賴,你只能無耐地信賴它而以122F 11/04 18:17
→ :現在的環境遠比 20 年前複雜 那個時候搞定 DOS 就橫著走123F 11/04 18:17
→ :你的觀點一直在大隻木馬一定是外來的,小隻做不了事.124F 11/04 18:18
→ :那是當然 除非有一般性的通吃解 都得個別準備125F 11/04 18:18
→ :hacking 是科學不是玄學
→ :hacking 是科學不是玄學
→ :我先問你有沒有聽過我上面提的那篇? 那篇和OS/CPU都無關127F 11/04 18:18
→ :我一直強調,我的說法是陰謀論,但絕非空想.你讀一下就知道
→ :我一直強調,我的說法是陰謀論,但絕非空想.你讀一下就知道
→ :你才是根本沒看懂 "攻擊"必須要有特定目標129F 11/04 18:20
→ :他舉的例子是 login, 和OS/CPU"怎麼會無關"
→ :他舉的例子是 login, 和OS/CPU"怎麼會無關"
→ :天啊,你連看都還沒看,不要太快下定論,先確定你看懂那篇在131F 11/04 18:21
→ :舉個例子 系統裡如果叫 logon, 這個"木馬"就當場失效了132F 11/04 18:21
→ :說什麼,login/unix只是example,適用於任何需要compiler的133F 11/04 18:21
→ :地方.
→ :地方.
→ :有什麼東西是"每個系統一定都有的弱點"?135F 11/04 18:22
→ :現在的IC設計,也需要compiler,所以也適用136F 11/04 18:22
→ :你一定要先看完且看懂那篇,否則真的沒交集
→ :你一定要先看完且看懂那篇,否則真的沒交集
→ :那篇只是在講觀念 看不懂的人不是我...138F 11/04 18:23
→ :就算讓你這樣進門 故事也才剛開始而已 要做的事情多著了
→ :國外原始討論就有人問了很簡單的問題: 你估計這程式多大
→ :就算讓你這樣進門 故事也才剛開始而已 要做的事情多著了
→ :國外原始討論就有人問了很簡單的問題: 你估計這程式多大
→ :我一直說我的假說是陰謀論,不代表一定是這次事件的起因,最141F 11/04 18:26
→ :不要說什麼空間不重要 空間重要的很 尤其是 microcode142F 11/04 18:26
→ :多只能說本事件符合陰謀論假說,這我是很清楚的143F 11/04 18:26
→ :你看懂那一篇,你這些所有的質疑都不會存在
→ :不過,仍然只能說完美符合陰謀論,而不能說陰謀論一定是本事
→ :件起因
→ :你看懂那一篇,你這些所有的質疑都不會存在
→ :不過,仍然只能說完美符合陰謀論,而不能說陰謀論一定是本事
→ :件起因
→ :前面提到的 ACPI BIOS rootkit, 技術上可行但實做極困難147F 11/04 18:27
→ :最大的問題正是在此, 只有放完 BIOS 剩下的空間可以用
→ :還得準備各種 OS 的 exploit 以及入侵以後實際運作的木馬
→ :最大的問題正是在此, 只有放完 BIOS 剩下的空間可以用
→ :還得準備各種 OS 的 exploit 以及入侵以後實際運作的木馬
→ :先看一看吧,不吃虧,你只要沒看懂之前,你還是會在老問題上150F 11/04 18:29
→ :打轉
→ :我會把我假想的陰謀論在推文寫出來,只是剛好因為知名資安
→ :專家被弄得團團轉3年,才覺得萬一是真的,那麼配得上大陰謀
→ :打轉
→ :我會把我假想的陰謀論在推文寫出來,只是剛好因為知名資安
→ :專家被弄得團團轉3年,才覺得萬一是真的,那麼配得上大陰謀
→ :看標題就知道是老東西 幾百年前就看過了好嗎154F 11/04 18:32
→ :我只能告訴你 從病毒/木馬實際上的演進 並沒有走這條路
→ :因為找出現有的漏洞並利用之, 比較起來要省事多了
→ :我只能告訴你 從病毒/木馬實際上的演進 並沒有走這條路
→ :因為找出現有的漏洞並利用之, 比較起來要省事多了
→ :幾百年前就看過? 看推文回應不像啊! 由其你說叫logon就沒157F 11/04 18:34
→ :用這點. 我想你沒真正搞懂,如果木馬埋在EDA工具中呢?
→ :用這點. 我想你沒真正搞懂,如果木馬埋在EDA工具中呢?
→ :"Such blatant code would not go undetected for long"159F 11/04 18:35
→ :這句話其實有個很簡單的隱喻 就是"你必須限縮好目標"
→ :否則你的 compiler 做出來的系統很可能根本不能跑
→ :這句話其實有個很簡單的隱喻 就是"你必須限縮好目標"
→ :否則你的 compiler 做出來的系統很可能根本不能跑
→ :從你回這句,我就知道你剛才看,請繼續往下看.另外,那是假設162F 11/04 18:36
→ :會去檢視C compiler source的人,本身不是insider,萬一EDA
→ :工具就是刻意被植入木馬,誰去檢視EDA tool source code?
→ :會去檢視C compiler source的人,本身不是insider,萬一EDA
→ :工具就是刻意被植入木馬,誰去檢視EDA tool source code?
→ :真實世界裡病毒/木馬不這樣做很簡單 因為既複雜又容易抓165F 11/04 18:37
→ :檢視C compiler source? 你得先確定做出來的東西能動
→ :檢視C compiler source? 你得先確定做出來的東西能動
→ :我簡單問你,有沒有想過INTEL CPU本身就是大木馬載體的可能167F 11/04 18:38
→ :從你的回推,我斷定不是沒看過,就是聽過沒搞懂,那篇是從信
→ :從你的回推,我斷定不是沒看過,就是聽過沒搞懂,那篇是從信
→ :埋在EDA工具中問題同樣存在 製作這個木馬的人必須事前就169F 11/04 18:38
→ :任基礎談起,簡單講,你必須信賴INTEL CPU沒有undocument的170F 11/04 18:39
→ :選定好目標 感染錯地方很可能就是被抓出來消滅171F 11/04 18:39
→ :功能,不然什麼都別談,不是嗎?172F 11/04 18:39
→ :Zzzz... 還有很多測試方法啊 例如 emulator/VM173F 11/04 18:39
→ :統一的攻擊方式聽起來就很沒說服力 病毒也從來不是這樣搞
→ :統一的攻擊方式聽起來就很沒說服力 病毒也從來不是這樣搞
→ :用VM去debug CPU HW內含的木馬,根本無法測出來好嗎?175F 11/04 18:41
→ :基本上這種論調是"在沒有缺陷的系統裡安插缺陷以供利用"176F 11/04 18:45
→ :你確定CPU HW內含的木馬在VM裡還能正常工作?
→ :真實世界裡根本沒必要這樣搞 大部份的系統都是漏洞百出
→ :你確定CPU HW內含的木馬在VM裡還能正常工作?
→ :真實世界裡根本沒必要這樣搞 大部份的系統都是漏洞百出
→ :為什麼會講陰謀論,前提就是強權婊強權,和我們小民有什麼關179F 11/04 18:47
→ :係,漏洞百出中俄英法德日大概都有能力防範,但從主要元件來
→ :的木馬,你只有選擇不用這一途,但目前顯然很難.
→ :係,漏洞百出中俄英法德日大概都有能力防範,但從主要元件來
→ :的木馬,你只有選擇不用這一途,但目前顯然很難.
→ :我不需要否定你 但是這種觀念本身就只會是種觀念罷了182F 11/04 18:48
→ :主要元件包括 INTEL CPU, Microsoft/Apple的OS183F 11/04 18:48
→ :我從很前面就講了,純粹是陰謀論,也不代表本次事件就一定是
→ :我說的
→ :我從很前面就講了,純粹是陰謀論,也不代表本次事件就一定是
→ :我說的
→ :你認為常見的市售 OS 需要植入漏洞才能入侵嗎? ZZzzz186F 11/04 18:50
→ :先進國家都有能力這樣做 但是明明有更簡單的方式為啥不用
→ :先進國家都有能力這樣做 但是明明有更簡單的方式為啥不用
→ :我不會這樣認為,但和我推文表達應該是無關的.我推文只是分188F 11/04 18:51
→ :享,不要認為把電腦弄成出廠狀態就一定乾淨
→ :那篇論文就明確說了,除非完整從零灌磁帶,否則無法消除該注
→ :入的木馬,但是萬一連磁帶都已經預裝好了呢?
→ :享,不要認為把電腦弄成出廠狀態就一定乾淨
→ :那篇論文就明確說了,除非完整從零灌磁帶,否則無法消除該注
→ :入的木馬,但是萬一連磁帶都已經預裝好了呢?
推 :為什麼不用酒精勒?192F 11/04 20:00
→ :這篇吵好久啊... 是說C compiler可不只一種喔...193F 11/04 20:12
噓 :放屁~沒感染的電腦如何可以從聲音接受訊息194F 11/04 20:21
--
2樓 時間: 2013-11-05 13:19:52
→
11-05 13:19
TO:linsmile 別忘了 視訊的麥克風原理..聲音藉由麥克風 傳到電腦轉換成01透過網路傳出去..
回列表(←)
分享