Компьютер спит, а злоумышленник

Слабые звенья

добавить в избранное

Компьютер спит, а злоумышленник – нет!

Прочитали: 11945 Комментариев: 72 Рейтинг: 168

18 апреля 2017

Никто не сомневается: для заражения компьютера нужно куда-то нажать, что-то запустить или хотя бы не устанавливать обновления, чтобы хакеры могли воспользоваться уязвимостями. Также общеизвестно, что если компьютер выключен, то ни один хакер не сможет проникнуть на него и что-то поменять (случаи физического доступа не считаем).

«Антивирусная правДА!» не раз выступала в роли разрушителя легенд. Настало время сделать это еще раз.

На самом деле записать что-то на выключенный компьютер вполне возможно.

Читатели наших выпусков вряд ли столкнутся с подобным, но кто знает – ведь когда-то и вирусы считались теоретическими изысками.

Дело в том, что в свое время компания Intel представила технологию Intel vPro:

Технология Intel vPro, а точнее, входящая в ее состав технология Intel AMT, предоставляет доступ к управляемому компьютеру даже в том случае, если он отключен.

Естественно, в этом состоянии данная система должна иметь активные компоненты, способные обеспечить такую возможность, – и на него должно подаваться дежурное напряжение, то есть система попросту должна быть подключена к электрической сети.

Чипсет Intel Q35 Express был специально создан с учетом названных требований и, имея ряд специализированных интегрированных компонентов — управляющее ядро (Management Engine, ME) и гигабитный сетевой контроллер, работающий в тандеме с чипом PHY-уровня Nineveh 82566DM), — позволяет получить удаленный доступ к информации и настройкам AMT, хранящимся в энергонезависимой памяти как при включенном, так и при выключенном компьютере.

http://compress.ru/article.aspx?id=18538

Технология была предназначена для системных администраторов. В частности, описанная выше возможность позволяла бы удаленным администраторам работать с компьютерами, которые вопреки некоему распоряжению выключили – или у которых были обнаружены проблемы, приводящие к невозможности запуска (скажем, произошло заражение или повреждение жесткого диска).

В качестве демонстрационного стенда выступали два ноутбука на базе процессоров Yonah, один из которых имитировал клиентский компьютер, второй – компьютер администратора. Оба ноутбука были соединены через сетевой интерфейс. Клиентская машина была заражена вирусом, который полностью парализовал работу операционной системы, – даже сетевые протоколы не работали.

Доступ к ресурсам зависшего компьютера по специально выделенной части сетевого канала обеспечила технология iAMT, которая поддерживается на аппаратном уровне, а потому не зависит от операционных систем. Главное условие – администрируемое устройство должно быть исправно на аппаратном уровне. Администратор в данном примере смог победить вирус и дистанционно отдать команду на перезагрузку клиентской системы. Более того, в корпоративной сети администратор может автоматически рассылать и устанавливать на клиентских компьютерах патчи и обновления – сотрудники даже не будут подозревать, что ведется какая-то фоновая работа.

https://www.overclockers.ru/hardnews/19175/Intel_demonstriruet_rabotu_iAMT_na_primere_Yonah.html

http://www.thg.ru/mainboard/intel_vpro/print.html

http://compress.ru/article.aspx?id=18538

Особенно приятно то, что можно подключиться к удаленной машине по VNC даже в том случае, если там слетели драйвера сетевой карты (ведь vPro работает на более низком уровне, чем ОС) и прямо через VNC поставить все драйверы.

Есть еще одна интересная возможность под названием IDE-R, которая позволяет загружаться с внешнего источника, как будто это внутренний жесткий диск. То есть можно подключиться по VNC, указать образ для загрузки и загрузиться в заведомо рабочей системе.

https://habrahabr.ru/company/intel/blog/138377

Последнее звучит просто замечательно – ведь даже если вы полностью настроили защиту своей ОС, некто может удаленно загрузиться с внешней системы и проанализировать ваши данные, а ваша защита даже об этом не узнает – ведь ОС не загружена!

#безопасность #удаленный_доступ #технологии

Антивирусная правДА! рекомендует

Защититься можно далеко не от всех угроз. Другое дело, что в некоторых случаях угрозы могут оказаться скорее теоретическими. Новые технологии появляются чуть ли не каждый день. Современные компьютеры, операционные системы и программы обладают многими возможностями, которые мы не используем. Считается, что обычный пользователь задействует не более 20% возможностей ПО или компьютера вообще. Но это означает, что оставшиеся 80% нам не нужны и, возможно, представляют угрозу – о чем мы уже неоднократно писали.

Отключить возможность использования Intel vPro (если она имеется на вашем компьютере) можно в настройках BIOS:

#drweb

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
13:51:16 2018-08-03

У меня в BIOS нету такого Intel vPro, и не надо.

Неуёмный Обыватель Собкор
03:19:46 2018-07-05

Вот так технологию, разработанную во благо теоретически можно применять в плохих целях

alex-diesel Собкор
18:09:03 2018-04-11

Ну что ж мы за существа такие гадкие...
Вот, казалось бы хорошая, прогрессивная правильная и полезная идея - так нет, обязательно найдутся гении, которые её извратят и сделают вредной и опасной!

vasvet
20:59:27 2018-03-27

Можно и комп с розетки выключать и инет тоже.

sola
10:52:46 2018-03-02

Только Intel проверять надо

Toma
17:26:47 2018-02-13

Обычный пользователь задействует не более 20% возможностей компьютера! Как и мозга!

Littlefish Собкор
21:21:23 2017-06-03

Скоро вредоносные программы смогут попадать на выключенные и включённые компьютеры через электрическую сеть в обход антивирусных решений и брандмауэров.

гном
20:17:20 2017-05-15

У меня стоит сетевой фильтр. Я всегда выключаю после работы компа.

ka_s
13:03:53 2017-05-08

Всё! С этого момента не только выключаю компьютер, но и шнур из розетки выдергиваю.

тоха
19:48:49 2017-04-20

не знала об этом, спасибо за вашу информацию!

Вячeслaв Собкор
17:57:27 2017-04-19

@Леонид, не так все просто. Во первых такая система в любом случае будет знать только известные уязвимости. Но это бы ладно. Как вы думаете - если пользователи не устанавливают заплатки на уязвимости от вендоров, то будут ли они устанавливать такие заплатки от антивирусов?

Вячeслaв Собкор
12:03:29 2017-04-19

@Dragstars, данная технология это фирменная фишка материнских плат от Интел. Может где она и еще есть, но лично я не встречал.

Dragstars
07:40:24 2017-04-19

Думаю, если установлена аппаратная часть не от Intel, то такое не прокатит?

razgen Собкор
01:08:13 2017-04-19

В настройки BIOS не полезу, считаю, что для высокопрофессиональных хакеров не представляю никакого интереса.

razgen Собкор
23:51:45 2017-04-18

<<....данная система должна иметь активные компоненты, способные обеспечить такую возможность, – и на него должно подаваться дежурное напряжение, то есть система попросту должна быть подключена к электрической сети.>>
**********
У меня системный блок и вся периферия подключены через сетевой фильтр, который по окончанию работы с ПК всегда отключаю клавишей. Ни какого дежурного напряжения.

Альфа
23:13:11 2017-04-18

Интересная новость!

orw_mikle
23:10:16 2017-04-18

Если физически отключена сеть, точно не получиться что-то записать.

deeppredator
23:07:28 2017-04-18

Всё таки проверить надо биос.

Любитель пляжного футбола Собкор
22:45:03 2017-04-18

Злоумышленники ещё немало найдут лазеек, тут уж недалеко от паранойи. :) Но большинству пользователей здесь опасаться нечего, такая возможность, полагаю, есть в суперпупернавороченных компьютерах, а у многих компьютеры явно поскромнее. Но прочие лишние сервисы и службы следовало бы у себя отключить.

iAFC
21:35:44 2017-04-18

Такая функция должна быть отключена по умолчанию. Те кому она нужна сами включат.

ek
21:23:57 2017-04-18

дело техники

НинаК
21:15:58 2017-04-18

Сколько нового

Dvakota
20:45:40 2017-04-18

Да , для меня это новость , не знал.

Б...а
20:36:37 2017-04-18

Да,получить удаленный доступ теперь не является серьезной проблемой.

Luger Собкор
20:29:06 2017-04-18

Поменьше паранойи )

vla_va
20:10:24 2017-04-18

Неожиданно

Раш КХ
19:57:44 2017-04-18

все новое интересно

В...а
19:42:22 2017-04-18

Никто не спит

kva-kva
19:23:55 2017-04-18

Интересная технология

L1t1um
19:11:13 2017-04-18

Благодарю за выпуск. Очень полезная информация!

mk.insta
19:00:23 2017-04-18

вот это новость!

ada
18:34:48 2017-04-18

Спасибо за интересный выпуск .

forrus
17:57:48 2017-04-18

Познавательная статья +. Шалтай болтай улыбнул.

Stalkerson
17:45:02 2017-04-18

Спасибо ))

djabax
17:39:35 2017-04-18

У AMD чего с этим?

AntonIT
17:36:11 2017-04-18

Сейчас все параноики с манией преследования, ( прочитав эту статью ) полезут в БИОС, отключать "ТО - НЕ ЗНАЮ ЧТО"!

Шалтай Александр Болтай Собкор
16:56:11 2017-04-18

Пока мы спим — враг не дремлет. Спите больше — изматывайте врага!

iiwanc
16:13:16 2017-04-18

полез в биос

AntonIT
16:05:51 2017-04-18

@Martin,
"Intel ME отключить обычным способом без нарушения функциональности оборудования крайне сложно,
если вообще возможно" - ПОВЕРЬ ЭТО ВОЗМОЖНО!!! И без всяких нарушений в работе "железа"! (нужно лишь обладать необходимой квалификацией).

GREII Собкор
15:47:47 2017-04-18

разработчики могут разработать кого угодно и антивирус вирус им будет только в помощь... чисто моё мнение. спасибо интересно проверим

Верните Неуёмного
13:47:35 2017-04-18

Забыли написать:
что пароль по умолчанию к Intel vPro - admin
что Intel vPro имеется только в особых версиях чипсетов и процессоров
что vPro нужно только обычным сисадминам, а "серые шляпы" спокойно пользуются возможностями Management Engine (ME) при желании получить доступ даже к выключенному устройству. Intel ME отключить обычным способом без нарушения функциональности оборудования крайне сложно, если вообще возможно. А vPro и Intel AMT всего лишь надстройки следующего уровня, имеющиеся не во всех системах.В отличии от Intel ME, которое есть практически во всех современных Intel системах. Получается, что статья вроде как и чтобы предостеречь, а с другой стороны успокоить: вам нечего бояться, если у вас нет vPro или вы его отключили.
На самом деле вам нечего бояться, только, если вы ни для кого не представляете никакого интереса.

vinnetou
13:13:02 2017-04-18

Спасибо за выпуск !!!

Molodit
12:56:52 2017-04-18

Спасибо позновательно

Ruslan
12:33:52 2017-04-18

Спасибо за интересный выпуск и советы!

Dzhetrou
12:17:49 2017-04-18

Есть такое дело

Alexander Собкор
12:15:30 2017-04-18

Ноутбук выключен, его встроенный аккумулятор подзаряжается, а в это время "злобный невидимый дух" инструментами от Intel vPro копается во внутренностях моего родного и очень интимного друга-ноута. А стало это возможным потому, что я забыл отсоединить сетевой кабель (или не выключил роутер). Кляня себя за невнимательность, я захожу в настройки BIOS и смело с торжествующей улыбкой отключаю возможность использования Intel vPro. Все, теперь я спокоен. И с "высоты" своего user-понимания сложности аппаратно-программного комплекса, коим и является ноутбук, даже не предполагаю, что выключая что-то одно, одновременно открываю нечто иное, о чем не имею никакого представления. Правильно пишет Dr.Web в рекомендациях: "Новые технологии появляются чуть ли не каждый день. Современные компьютеры, операционные системы и программы обладают многими возможностями, которые мы не используем". И я абсолютно уверен, что разработчики Intel, BIOS, UEFI, OS и других аппаратных и программных компонентов компьютеров, всегда имеют "туз в рукаве", - закладывают в свои "детища" некую для себя возможность по их скрытому управлению. Это не плохо и не хорошо, это данность, и оценку этого определяет каждая из сторон отдельно.
Эта статья дала мне новые знания, спасибо. Но главная радость статьи заключается в том, что раз Dr.Web поделился этими знаниями с нами, значит, Он в своей программной части продуктов учитывает "особенности" Intel vPro. И нам волноваться об этом не надо.
Знание - сила, но знания, превышающие интеллектуально-мировоззренческий уровень отдельного человека, могут стать гранатой в лапах обезьяны. Будьте человеком, пользуйтесь Знаниями осторожно.

Вячeслaв Собкор
12:15:04 2017-04-18

@a13x, мы обсуждали возможность создания продукта для проверки из БИОС. Тут две проблемы
1. Это не универсальный продукт - это часть биоса, которая может поставляться только с материнскими платами
2. как обновляться? внешняя проверка нужна для нахождения ранее неизвестных угроз. а базы на машине находят только известные на момент выключения машины
Поэтому CureIt! универсальнее получается

user
12:14:59 2017-04-18

Благодарю за полезную информацию! Кто предупреждён - тот вооружён. А ведь живёшь и не знаешь о таких чудесах. Почаще радуйте нас такими полезными статьями. Автору - респект и уважение.

kozinka.ru Собкор
11:53:26 2017-04-18

По "шапке": не знаю, у кого как, но у меня надпись "Добро пожаловать, имя" накладывается на изображение аватара и эта надпись не совсем читается. Хорошо бы её сделать по правому краю.

krant
11:52:36 2017-04-18

Ясно. Враг не дремлет.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Компьютер спит, а злоумышленник – нет!

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей