Сегодня анонсировали результаты Hex-Rays Plugin Contest 2018
1 место: IDArling
2 место: IDA-Minsc и HexraysDeob
3 место: HeapViewer Подробности тут: https://hex-rays.com/contests/2018/index.shtml

Интересный руткит, атакующий прошивки на основе UEFI firmware, обнаружили исследователи из компании ESET. Правда интересен больше сам факт обнаружения активного заражения такого руткита нежели его техническая реализация. Дело в том, что с технической точки зрения он довольно прост и использует уязвимости и техники 5 летней давности. Удивительно, что по информации из отчета такой руткит смог успешно атаковать государственные ведомства нескольких стран. Сам отчет (в изначальном варианте) содержал много неточностей и технических ошибок, что указывает, что UEFI firmware по-прежнему не в приоритете у антивирусных компаний. А очень и очень зря, этот случай показывает, что такие угрозы существуют просто они не видны для текущего защитного софта. https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf

Немного разоблачений, все, наверное, слышали о том, что гугл анонсировал продажи собственного usb-токена на с загадочным название Titan key.

Все уже начали думать, что гугл умудрился запихнуть туда собственные чипы на базе их нашумевшего чипа Titan. Но все более прозаично, это комбинация NXP + китайский Z32HUB 32 RISC процессор.

То есть по сути просто ребрендинг и от гугла тут только завышенная цена и название на пластиковом корпусе :(

Интересная тема сегодня всплыла в новостях на тему хардварных имплантов на материнских платах производителя SuperMicro. Акции которого в последствии обрушились более чем на 60% https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

Выше на картинке это увеличенный скриншот из статьи и спекуляции на тему, как оно могло бы работать. Но Amazon и Apple все опровергают и говорят, что этого никогда не происходило с ними. Supermicro впрочем тоже все отрицает в своём пресс-релизе. Но тем не менее год назад уже проскакивала тема от Apple, где фигурировал Supermicro и имплантов в прошивках, якобы найденные в дата центрах эпла https://arstechnica.com/information-technology/2017/02/apple-axed-supermicro-servers-from-datacenters-because-of-bad-firmware-update/

В интересное время мы живем, киберпанк становится былью. А ведь правда supply chain атаки это одна из очень сложных проблем для всех крупных поставщиков облачных сервисов. Это проблема и железа, и всех прошивок внутри, которых довольно большое количество и разные чипы/микроконтроллеры могут быть комбинацией нескольких поставщиков на системной плате. Ну, а про периферию, докстанции и прочие кабели я вообще молчу. Чувствую надо эту тему поднять в следующем выпуске NoiSeBit 💀🎙😈

Кстати, на тему небезопасных кабелей для зарядки телефона, купленных или доставленных из сомнительных мест. Вот пример реализации такой атаки с использованием устройства UsbNinja и запускающего атаку по удаленной команде передуваемой удаленно непосредственно устройству https://www.crowdsupply.com/rfid-research-group/usbninja

Очень хорошо сказано! 😱

Написал блогпост по теме недавно найденного BIOS руткита Lojax. Когда все вдруг стали беспокоится о драйвере RWEverything, как инструменте двойного использования с точки зрения возможностей атак на BIOS. Но ведь это просто инструмент для сбора информации о железе, и если посмотреть на любой инструмент обновления BIOS, с подписанными драйверами, там можно понаходить и куда более опасное поведение с подписью уважаемых вендров. https://medium.com/@matrosov/dangerous-update-tools-c246f7299459

Видео докладов с конференции Derbycon 2018, прошедшей на прошлой неделе, доступны онлайн https://www.irongeek.com/i.php?page=videos/derbycon8/mainlist

Готовимся к записи нового эпизода NoiSeBit 0x21 ”Вымысел и реальность: бэкдоры в железе и прошивках” Основная идея этого выпуска разобраться насколько это реальные вектора атак и кому стоит о них беспокоится уже сегодня.

Обсуждаем нашумевшие новости о бэкдорах в серверах Supermicro и UEFI прошивках. У нас в гостях @nedos и @d_olex.

Подискутировали о проблемах индустрии разработки железа, возможностях внедрения бэкдоров на этапе производства железа и насколько это сложный процесс. Много интересных и важных тем затронуто в этом выпуске. И внимание интрига, теоритически бэкдор в железе может быть гораздо дешевле, чем имплант в прошивке. Слушайте подкаст целиком, если хотите знать больше! https://noisebit.podster.fm/28

Вот так выглядит Google Titan чип, построенный на архитектуре Arm Cortex-M3. Этот чип является частью нового Pixel 3 телефона, где отвечает за усиление Secure Boot непосредственно в железе, а не FW.

Микрокод (абстрактый слой микроархитектуры) процессоров Intel является одним из самых закрытых компонентов современных микропроцессоров. Немного пролили свет на его внутреннее устройство исследователи из университета Ruhr-Universität Bochum в своем исследовании "An Exploratory Analysis of Microcodeas a Building Block for System Defenses".
https://www.syssec.rub.de/media/emma/veroeffentlichungen/2018/08/20/constructive_ucode-CCS18.pdf
https://github.com/RUB-SysSec/Microcode

Выложили в общий доступ видео всех докладов основного трека конферении DEF CON 26 https://www.youtube.com/playlist?list=PL9fPq3eQfaaD0cf5c7wkzMoj2kifzGO4U