Нашел немного инфо
Надеюсь многим будет интересно почитать.
http://www.pcweek.ru/?ID=608256
Для эффективной работы услуги Computrace Data Protection необходимо соблюдать два условия, которые, увы, трудно обеспечить: похищенное устройство должно быть подключено к сети, и на нем должна быть установлена программа-агент. Этим может воспользоваться похититель. Кроме того, Computrace не может гарантировать, что данные не будут скопированы с украденного устройства прежде, чем удастся ввести в действие политику удаления. Поэтому такая услуга не заменяет серьезное шифрование на клиентском компьютере.
Рано или поздно похитителю потребуется подключить украденный ноутбук к сети, имеющей выход в Интернет, и тогда Computrace начнет действовать. Без подключения к Интернету программа-агент не сможет сообщить центральному серверу о местонахождении похищенного устройства и, следовательно, не получит команды на удаление данных. Но если подключение к сети произведено, ПО компании Absolute сделает все возможное, чтобы его поддерживать. Мы установили, что агентская программа во избежание блокирования брандмауэрами настольных компьютеров выполняет некоторые действия, роднящие ее со шпионским ПО. Поскольку такие брандмауэры по умолчанию часто блокируют сигналы, исходящие от неизвестных процессов, агент Computrace посылает их через Internet Explorer. Мониторинг компьютера с помощью Process Explorer 10.06 компании SysInternals (
http://www.sysinternals.com) позволил нам обнаружить, что агент Computrace устанавливает связь с центральным сервером, выступая в роли подпроцесса IE. Это помогает ему обходить правила локального брандмауэра, поскольку процесс IE, вероятно, уже будет настроен таким образом, чтобы позволить браузеру выходить в Интернет.
Продукт Microsoft отключает "маячок" на ворованных ноутбуках
Сервис онлайновой защиты от вирусов и троянских программ Windows OneCare Live, открытый Microsoft 29 ноября в тестовом режиме, отключает программу Computrace LoJack от Absolute Software.
Computrace LoJack незаметно подает сигнал через интернет с краденого ноутбука. OneCare определяет один из модулей как вирус, а именно Win32NewMalware.B, и рекомендует пользователям поместить файл в карантин, сообщил Дэвид Хекет (David Hackett), пользователь Computrace LoJack и тестер OneCare из штата Вашингтон, США.
Computrace LoJack оповещает о местонахождении краденого ноутбука. Программа делает это незаметно. OneCare не дает ей выйти в интернет, - утверждает технический директор Absolute Software Филип Гарднер (Philip Gardner). Разработчики "маячка" предупредили Microsoft, и в корпорации сообщили о работе над проблемой. "Это известная ошибка, которая была обнаружена в процессе бета-тестирования Windows OneCare Live. Исправление было сделано 2 декабря, и оно должно быть у всех пользователей OneCare", - сказала Саманта МакМанус (Samantha McManus), менеджер бизнес-стратегий Microsoft.
Тема же нашего исследования ? это весьма специфические программы-закладки, отличающиеся особо выдающейся скрытностью и живучестью, то есть стойкостью к попыткам их уничтожения и сохранением работоспособности даже после форматирования жесткого диска. Такого рода программам вполне естественно дать обобщенное название «код INDY», а интерес к ним возник на почве безуспешных попыток удалить шпионскую закладку, поселившуюся в моем собственном компьютере много лет тому назад (описание некоторых характерных признаков «жильца» дано в предыдущей истории «Шпионское варево», см. «ДК» #6, 2004).
Незримый страж
О принципах работы трудноискоренимых программ компьютерная пресса обычно не пишет, что понять, в общем-то, несложно. Во-первых, зачем давать опасное оружие в руки всяким криворуким недоумкам-«хацкерам», делающим гадости лишь по той причине, что они могут это сделать. Во-вторых, наиболее частая область применения таких закладок ? в «противоугонных средствах» для возврата ноутбуков и настольных систем в случае кражи. Зачем же просвещать компьютерных воров? Возможно, и я бы не стал привлекать внимание публики к проблеме, если бы хоть одна из популярных программ-антивирусов смогла не то что вывести, а хотя бы обнаружить в моей машине чужеродный код, пытающийся выдавать в Интернет информацию без моего контроля. Но не выявляет ни одна. Более того, личный визит в «Лабораторию Касперского» показал, что разработчики антивирусов, похоже, вообще не имеют адекватных средств для анализа этой проблемы (правда, дело было давно ? года три уж прошло с тех пор). И по сию пору никаких решений здесь не предложено ? проблемы как бы нет, поскольку видеть ее никто не желает.
По этой причине здесь просто будет рассказано, что представляют собой коммерческие программы «отслеживания компьютеров» (computer tracking), в каком направлении движется их эволюция и как может выглядеть функционально подобная закладка, внедренная в ваш собственный компьютер без вашего ведома.
В принципе, все известные на рынке «противоугонные» средства работают примерно одинаково. В машину инсталлируется невидимая программа-агент, которая при всяком подключении компьютера к Интернету или просто при наличии телефонного модема скрытно подает о себе знать в особый «Центр мониторинга», так что в случае кражи можно попытаться установить географическое местоположение источника и вернуть пропажу. В России этот сервис пока что никак не назовешь популярным, но за рубежом масштабы подобных услуг растут из года в год, поскольку кражи ноутбуков ? устойчиво растущий вид преступлений. Наиболее известными программами подобного рода считаются zTrace, Stealth Signal и ComputracePlus. Стоимость всех программ ? порядка 45?50 долларов, включая год обслуживания «центром мониторинга».
zTrace Gold фирмы zTrace Technologies (
http://www.zTrace.com). Помимо обычных функций отслеживания, программа имеет добавочное расширение под названием zControl. По сути дела, это закладка-бэкдор, которая в случае кражи машины с ценными данными позволяет владельцу дистанционно уничтожить, спрятать, зашифровать или выгрузить файлы, а также «запереть» компьютер (отключить клавиатуру и мышь). Очевидный минус программы в том, что персональный файрвол «не замечает» ее работу с Сетью только в случае предварительной настройки. Если же похититель сам установит файрвол, например ZoneAlarm, то присутствие zTrace становится заметным, а работу закладки с Интернетом можно заблокировать.
Stealth Signal фирмы Stealth Security. Одна из немногих программ своего класса, работающая не только под Windows, но и под Mac OS X. Еще одно важное достоинство, подтверждаемое независимыми тестами, ? работу этой программы не видят не только стандартные средства мониторинга ОС, но и свежеустановленный ZoneAlarm, детектирующий (как принято считать) все программы, пытающиеся подсоединиться к Интернету.
ComputracePlus фирмы Absolute Software. Вообще говоря, набор функций этой программы выходит далеко за рамки простого отслеживания, однако нас интересует именно этот аспект продукта. Как и в случае с zTrace, здесь можно дистанционно работать с файлами, уничтожать данные на диске или сделать компьютер неработоспособным. Одновременно, подобно Stealth Signal, работа Computrace не детектируется практически никакими стандартными средствами, включая файрвол ZoneAlarm.
Если чуть подробнее, то, как написано об этом в документации к программе (
http://www.computrace.com/public/produc ... s/faqs.asp ), на большинстве ПК программа Computrace Agent, составляющая основу ComputracePlus, работает «бесшумно и невидимо», ее невозможно детектировать исследованием каталогов диска или запуском утилит, обследующих оперативную память. На большинстве ПК ? в зависимости от операционной системы ? этого «агента» невозможно удалить с жесткого диска, а также он способен выживать при переформатировании, применении команды fdisk и при переразметке жесткого диска. При этом, если Computrace Agent был сконфигурирован должным образом, программа и дальше будет использовать любое действующее IP-соединение для недетектируемого выхода в Интернет через файрволы и прокси-серверы. Отдельно несколько конкретных слов говорится и о взаимодействии с антивирусными программами. Закладка ComputracePlus успешно протестирована на «невидимость» со всеми основными пакетами подобного рода, включая последние версии McAfee VirusScan, Norton AntiVirus, Dr. Solomon Anti-Virus, Sophos Anti-Virus, Trend Pc Cillin & OfficeScan, Kaspersky Anti-Virus и eTrust EZ Antivirus. Удалить же программу Computrace может лишь авторизованный пользователь, имеющий правильный пароль доступа и инсталляционное ПО.
Правда, здесь следует отметить, что столь выдающуюся живучесть сулят нам документация и рекламные буклеты. В реальных же условиях все оказывается не так гладко. Известно, что стойкость к форматированию и переразметке винчестера достигается в Computrace качественной имитацией загрузки ОС с флоппи-диска, CD-ROM или другого жесткого диска. На самом деле, независимо от выбора пользователя, при включении ПК именно отслеживающая программа-агент выступает в качестве реального загрузчика, беря на себя руководство последующими операциями. Но в такой конструкции имеется и заведомая, иногда проявляющаяся слабость. Например, в ходе одного из независимых испытаний (
http://www.nwc.com/1320/ 1320f47.html) оказалось так, что Computrace не сумела опознать конкретный CD-ROM, поэтому при загрузке ОС с этого привода удалось запустить реальную, а не имитационную процедуру переформатирования, которая вычистила-таки программу-закладку с диска. Кроме того, фатальным для Computrace оказывается и физическое удаление жесткого диска из компьютера. Вернее, закладка-агент по-прежнему действует, но уже на другом компьютере ? там, куда перенесли винчестер.
Достаточно очевидно, что ради прочной и надежной привязки агента-сторожа к компьютеру (плюс повышение выживаемости, ясное дело) куда более привлекательным вариантом для его упрятывания был бы не только загрузочный сектор диска, но и CMOS-память микросхемы BIOS непосредственно на системной плате. Неудивительно, что шаги именно в этом направлении и предпринимаются компаниями-разработчиками в последнее время.
Глубже не бывает
С марта этого года интеграцию возможностей ComputracePlus в свои продукты (TrustedCore, FirstBIOS) реализовала американская фирма Phoenix Technologies ? крупнейший игрок на мировом рынке систем BIOS с долей порядка 70?80% (это означает свыше 100 миллионов ежегодно продаваемых в мире компьютеров). Поскольку фирмой-изготовителем переписан код прошивки микросхем Phoenix BIOS, это означает, что удаление из машины основы ComputracePlus (если программа установлена) становится практически невозможным.
Один из президентов Phoenix, комментируя новую совместную с Absolute Software инициативу, отметил, что подобный тип технологии впервые включен в качестве стандартной опции BIOS, прежде же в этой области были лишь «совместные разработки с другими партнерами в расчете на коммерциализацию проекта в перспективе». Компания Phoenix, отметим, с конца 1990-х годов весьма агрессивно включилась в разработку специфического программно-аппаратного обеспечения, уже на уровне «железа» обеспечивающего новый уровень безопасности компьютеров (подробнее об этом рассказано в годичной давности статье «Перемены в BIOSфере», «ДК» #7, 2003). С весны прошлого года на рынке уже продается весьма широкая линия продуктов Phoenix, обобщенно именуемых cME или «Среда управления ядром» (Core Management Environment). Основу Phoenix cME ? эдакого супер-гипер-BIOS ? образует мощный комплекс программ FirstWare (
http://www.phoenix.com/en/products/phoenix+firstware ). По сути дела, это небольшая самостоятельная операционная система, хранящая свои команды не только во флэш-памяти, но и в специальном, защищенном от обычного доступа разделе на жестком диске. Благодаря этому, программы FirstWare не скованы драконовскими ограничениями BIOS по объему занимаемой памяти, так что cME имеет собственные средства диагностики и достаточно развитые сетевые возможности, позволяющие без загрузки основной ОС подключаться к Интернету, работать с электронной почтой, веб-страницами или организовать дистанционный доступ к системе (тестирование) и устранение неполадок. На уровне cME можно решать множество самых разных задач ? от разметки жесткого диска до лечения от вирусов и снятия слепков полной конфигурации ОС. Ну и, конечно, cME может просто выполнять роль BIOS (функционально весьма близким аналогом cME является параллельно развиваемая технология Intel под названием EFI,
http://www.intel.com/technology/efi ).
Все эти чудеса перечислены здесь не просто так, а потому, что я с любопытством наблюдал очень многое из описанного на своем собственном ПК еще в 2000? 2001 гг.: странные глюки в BIOS, сопровождающиеся «исчезновением» из системы тех или иных компонентов (дисководов, клавиатуры, части оперативной памяти); скрытый, сам собой возникающий сектор на винчестере непонятно с чем; самостоятельная ? без моего участия ? работа ПК с Интернетом; и даже ? без шуток ? неразрушающее переформатирование (перенос FAT (File Allocation Table ? таблица размещения файлов) в скрытый раздел) жесткого диска «на лету», в процессе работы компьютера над другими задачами. После публикации этих наблюдений, помнится, достопочтенный Евгений Касперский высказал глубокую мысль, что от подобных глюков надо лечить не компьютер, а его владельца ? причем только в дурдоме им. Кащенко. А некий компетентный доброжелатель из славного города Чикаго аж в нескольких письмах пытался подробно объяснить автору, что все это ему мерещится из-за слабого понимания работы программно-аппаратной части компьютера.
Игры в прятки
Автор действительно, как ни крути, не является экспертом в тонкостях функционирования BIOS, винчестеров и операционных систем. Поэтому здесь мы лучше проследим историю создания коммерческого продукта Phoenix FirstWare ? конкретно в той ее части, что касается размещения программ в скрытом дисковом разделе, системно защищенном от доступа пользователя. Из этой истории станет несколько яснее и неистребимая природа исследуемой нами закладки.
Начинать следует с 1998 года, когда международный Технический комитет T13, отвечающий за выработку единых стандартов на жесткие диски и их интерфейсы, определил в спецификациях ATA (Серия интерфейсов ATA/ATAPI-5 ? Advanced Technology Attachment with Packet Interface) то, каким образом на винчестере можно выделять (резервировать) особую область, защищенную от вмешательства и обычных данных конечного пользователя. Эти спецификации, получившие название P.A.R.T.I.E.S. (Protected Area Run Time Interface Extension Services), в принципе позволяют фирмам-сборщикам компьютеров еще перед продажей помещать в особый раздел жесткого диска образ предустановленной ОС и другие полезные программы, что дает возможность быстрого восстановления системы в случае ее обрушивания у покупателя. Эта скрытая область получила название HPA (Host Protected Area, см. также «Диски, тайны, риски» в «ДК» #5, 2004), по разным причинам ее существование не афишируется, а из-за гигантских размеров нынешних винчестеров «пропажа» нескольких десятков мегабайт для подавляющего большинства конечных пользователей остается совершенно незамеченной. Так что они и знать об этом не знают, если им не сказать.
Технически резервирование HPA осуществляется довольно просто, с помощью особой ATA-команды SETMAX Address, которая прописывает в firmware, флэш-память винчестера, адрес последнего доступного пользователю сектора на диске. А все остальное дисковое пространство после этого адреса «исчезает» ? становится физически недоступным и невидимым для операционной системы. Ясно, что новой любопытной возможностью активно заинтересовались компетентные спецслужбы, однако в коммерческом секторе спецификации P.A.R.T.I.E.S. несколько лет не вызывали интереса, поскольку на рынке не было программы для удобной работы с этой технологией. Ситуация изменилась летом 2001 года, когда небольшая американская фирма-разработчик StorageSoft начала продавать корпоративным клиентам набор своих дисковых утилит Area51, специально заточенных под работу с «защищенной хостом областью». Продукт явно оказался интересным и начал набирать популярность, но уже менее чем через полгода фирму StorageSoft на корню купила куда более крупная Phoenix Technologies. Едва родившись, Area51 тут же стала мифом, почти все следы которого уже исчезли из Интернета. Почти, но не все...
http://www.homepc.ru/offline/print/2004/97/34999/
Вход
Регистрация
FAQ
