Компьютер спит, а злоумышленник – нет!
18 апреля 2017
Никто не сомневается: для заражения компьютера нужно куда-то нажать, что-то запустить или хотя бы не устанавливать обновления, чтобы хакеры могли воспользоваться уязвимостями. Также общеизвестно, что если компьютер выключен, то ни один хакер не сможет проникнуть на него и что-то поменять (случаи физического доступа не считаем).
«Антивирусная правДА!» не раз выступала в роли разрушителя легенд. Настало время сделать это еще раз.
На самом деле записать что-то на выключенный компьютер вполне возможно.
Читатели наших выпусков вряд ли столкнутся с подобным, но кто знает – ведь когда-то и вирусы считались теоретическими изысками.
Дело в том, что в свое время компания Intel представила технологию Intel vPro:
Технология Intel vPro, а точнее, входящая в ее состав технология Intel AMT, предоставляет доступ к управляемому компьютеру даже в том случае, если он отключен.
Естественно, в этом состоянии данная система должна иметь активные компоненты, способные обеспечить такую возможность, – и на него должно подаваться дежурное напряжение, то есть система попросту должна быть подключена к электрической сети.
Чипсет Intel Q35 Express был специально создан с учетом названных требований и, имея ряд специализированных интегрированных компонентов — управляющее ядро (Management Engine, ME) и гигабитный сетевой контроллер, работающий в тандеме с чипом PHY-уровня Nineveh 82566DM), — позволяет получить удаленный доступ к информации и настройкам AMT, хранящимся в энергонезависимой памяти как при включенном, так и при выключенном компьютере.
Технология была предназначена для системных администраторов. В частности, описанная выше возможность позволяла бы удаленным администраторам работать с компьютерами, которые вопреки некоему распоряжению выключили – или у которых были обнаружены проблемы, приводящие к невозможности запуска (скажем, произошло заражение или повреждение жесткого диска).
В качестве демонстрационного стенда выступали два ноутбука на базе процессоров Yonah, один из которых имитировал клиентский компьютер, второй – компьютер администратора. Оба ноутбука были соединены через сетевой интерфейс. Клиентская машина была заражена вирусом, который полностью парализовал работу операционной системы, – даже сетевые протоколы не работали.
Доступ к ресурсам зависшего компьютера по специально выделенной части сетевого канала обеспечила технология iAMT, которая поддерживается на аппаратном уровне, а потому не зависит от операционных систем. Главное условие – администрируемое устройство должно быть исправно на аппаратном уровне. Администратор в данном примере смог победить вирус и дистанционно отдать команду на перезагрузку клиентской системы. Более того, в корпоративной сети администратор может автоматически рассылать и устанавливать на клиентских компьютерах патчи и обновления – сотрудники даже не будут подозревать, что ведется какая-то фоновая работа.
https://www.overclockers.ru/hardnews/19175/Intel_demonstriruet_rabotu_iAMT_na_primere_Yonah.html
http://www.thg.ru/mainboard/intel_vpro/print.html
http://compress.ru/article.aspx?id=18538
Особенно приятно то, что можно подключиться к удаленной машине по VNC даже в том случае, если там слетели драйвера сетевой карты (ведь vPro работает на более низком уровне, чем ОС) и прямо через VNC поставить все драйверы.
Есть еще одна интересная возможность под названием IDE-R, которая позволяет загружаться с внешнего источника, как будто это внутренний жесткий диск. То есть можно подключиться по VNC, указать образ для загрузки и загрузиться в заведомо рабочей системе.
Последнее звучит просто замечательно – ведь даже если вы полностью настроили защиту своей ОС, некто может удаленно загрузиться с внешней системы и проанализировать ваши данные, а ваша защита даже об этом не узнает – ведь ОС не загружена!
#безопасность #удаленный_доступ #технологииАнтивирусная правДА! рекомендует
Защититься можно далеко не от всех угроз. Другое дело, что в некоторых случаях угрозы могут оказаться скорее теоретическими. Новые технологии появляются чуть ли не каждый день. Современные компьютеры, операционные системы и программы обладают многими возможностями, которые мы не используем. Считается, что обычный пользователь задействует не более 20% возможностей ПО или компьютера вообще. Но это означает, что оставшиеся 80% нам не нужны и, возможно, представляют угрозу – о чем мы уже неоднократно писали.
Отключить возможность использования Intel vPro (если она имеется на вашем компьютере) можно в настройках BIOS:
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
13:51:16 2018-08-03
Неуёмный Обыватель
03:19:46 2018-07-05
alex-diesel
18:09:03 2018-04-11
Вот, казалось бы хорошая, прогрессивная правильная и полезная идея - так нет, обязательно найдутся гении, которые её извратят и сделают вредной и опасной!
vasvet
20:59:27 2018-03-27
sola
10:52:46 2018-03-02
Toma
17:26:47 2018-02-13
Littlefish
21:21:23 2017-06-03
гном
20:17:20 2017-05-15
ka_s
13:03:53 2017-05-08
тоха
19:48:49 2017-04-20
Вячeслaв
17:57:27 2017-04-19
Вячeслaв
12:03:29 2017-04-19
Dragstars
07:40:24 2017-04-19
razgen
01:08:13 2017-04-19
razgen
23:51:45 2017-04-18
**********
У меня системный блок и вся периферия подключены через сетевой фильтр, который по окончанию работы с ПК всегда отключаю клавишей. Ни какого дежурного напряжения.
Альфа
23:13:11 2017-04-18
orw_mikle
23:10:16 2017-04-18
deeppredator
23:07:28 2017-04-18
Любитель пляжного футбола
22:45:03 2017-04-18
iAFC
21:35:44 2017-04-18
ek
21:23:57 2017-04-18
НинаК
21:15:58 2017-04-18
Dvakota
20:45:40 2017-04-18
Б...а
20:36:37 2017-04-18
Luger
20:29:06 2017-04-18
vla_va
20:10:24 2017-04-18
Раш КХ
19:57:44 2017-04-18
В...а
19:42:22 2017-04-18
kva-kva
19:23:55 2017-04-18
L1t1um
19:11:13 2017-04-18
mk.insta
19:00:23 2017-04-18
ada
18:34:48 2017-04-18
forrus
17:57:48 2017-04-18
Stalkerson
17:45:02 2017-04-18
djabax
17:39:35 2017-04-18
AntonIT
17:36:11 2017-04-18
Шалтай Александр Болтай
16:56:11 2017-04-18
iiwanc
16:13:16 2017-04-18
AntonIT
16:05:51 2017-04-18
"Intel ME отключить обычным способом без нарушения функциональности оборудования крайне сложно,
если вообще возможно" - ПОВЕРЬ ЭТО ВОЗМОЖНО!!! И без всяких нарушений в работе "железа"! (нужно лишь обладать необходимой квалификацией).
GREII
15:47:47 2017-04-18
Верните Неуёмного
13:47:35 2017-04-18
что пароль по умолчанию к Intel vPro - admin
что Intel vPro имеется только в особых версиях чипсетов и процессоров
что vPro нужно только обычным сисадминам, а "серые шляпы" спокойно пользуются возможностями Management Engine (ME) при желании получить доступ даже к выключенному устройству. Intel ME отключить обычным способом без нарушения функциональности оборудования крайне сложно, если вообще возможно. А vPro и Intel AMT всего лишь надстройки следующего уровня, имеющиеся не во всех системах.В отличии от Intel ME, которое есть практически во всех современных Intel системах. Получается, что статья вроде как и чтобы предостеречь, а с другой стороны успокоить: вам нечего бояться, если у вас нет vPro или вы его отключили.
На самом деле вам нечего бояться, только, если вы ни для кого не представляете никакого интереса.
vinnetou
13:13:02 2017-04-18
Molodit
12:56:52 2017-04-18
Ruslan
12:33:52 2017-04-18
Dzhetrou
12:17:49 2017-04-18
Alexander
12:15:30 2017-04-18
Эта статья дала мне новые знания, спасибо. Но главная радость статьи заключается в том, что раз Dr.Web поделился этими знаниями с нами, значит, Он в своей программной части продуктов учитывает "особенности" Intel vPro. И нам волноваться об этом не надо.
Знание - сила, но знания, превышающие интеллектуально-мировоззренческий уровень отдельного человека, могут стать гранатой в лапах обезьяны. Будьте человеком, пользуйтесь Знаниями осторожно.
Вячeслaв
12:15:04 2017-04-18
1. Это не универсальный продукт - это часть биоса, которая может поставляться только с материнскими платами
2. как обновляться? внешняя проверка нужна для нахождения ранее неизвестных угроз. а базы на машине находят только известные на момент выключения машины
Поэтому CureIt! универсальнее получается
user
12:14:59 2017-04-18
DrKV
11:53:26 2017-04-18
krant
11:52:36 2017-04-18