Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

VMBR et multiboot (Linux-xp)

L_d_v_c@

Bonjour à Toutes et à Tous !

Mots clés :
RAID-1 : données dupliquées sur disques en miroir
LVM : Logical Volume Manager (permet le partitionnement souple avec beaucoup de partitions et supporte le RAID logiciel)
VMBR : rootkit basé sur machine virtuelle, un bon article en anglais :
http://www.eecs.umich.edu/virtual/papers/king06.pdf
Attaque windows comme linux ...
édit du 26/9/2014 : Voici le nouveau lien (suite à mise à jour du site de Computer Science and Engineering Division ) : http://web.eecs.umich.edu/virtual/papers/king06.pdf

De nature craintive en informatique, je me suis demandé à quoi cela servait de passer ses données en RAID-1 + LVM s'il y a déjà un VMBR installé dans l'ordinateur et pouvant prendre la main sur tout l'ordinateur ... et laisser une possibilité de devoir réinstaller son système d'exploitation, ou de perdre ses données ...

Mon principal soucis étant que je puisse flasher le BIOS de mon ordinateur sans intervention physique.
Comment savoir si cela n'a pas été fait à mon insu car cette machine a tourné avec XP familiale SP2.
Le rootkit ne pourrait-il pas être dans mon bios ? (le but du rootkit étant de passer inaperçu et de prendre le plus de contrôle possible ...)

Merci par avance de vos rêflexions.

Ludovic.
Étudiant en électronique.

Ordinateur principal : Medion MS-7255 / E6600 à 2.40 GHz / 2 Gio de RAM / 8800 GTS 320 Mio
Entre Debian lenny 64b et bientôt Ubuntu 64b 8.04 LTS

Etenil

Eh ben...

Ca fait peur

Luckynow

Bon si vous avez lu l'article :
Il faut que l'utilisateur puisse gagner suffisamment de privilèges pour permettre d'écraser la séquence de boot, pour autant que cela soit techniquement possible.
Donc on garde les même problèmes que d'habitudes, par contre en effet si un tel virus serait exécuté, il serait à priori techniquement impossible à détecté.
Il faudrait des changements dans le hardware pour permettre la détection de tel virus.

L_d_v_c@

Bonjour Luckynow !

Tout à fait d'accord, mais le problème qui se pose est le multi-OS:

Hypothèse :
L'ordinateur en double-boot Linux-XP a été vérolé depuis XP, le rootkit est installé sur le secteur de démarrage du disque-dur et va intercepter tout ce qui sera lancé.

Le VMBR sera résident ... jusqu'au remplacement de disque-dur ...

Ça, ce n'est pas un problème, on démarre sur un CD Live et on re-formate ... Ça ne me dérange pas (édit : pas trop) ... ce ne sera que du temps de perdu ...

Mais là où je me pose des questions : puisque pour reprogrammer le BIOS de mon ordinateur il n'y a pas besoin de mettre de cavalier sur la carte mère, ou d'appuyer sur un bouton ... un simple "programme" lancé le reprogramme ...

Que se passe-t-il si le VMBR réside dans le BIOS ? Dois-je accepter de vivre avec ce risque de ne pas pouvoir avoir un linux saint ou dois-je changer de carte-mère ?

Merci de vos réflêxions.

Editition : "exécuté sous XP" remplacé par "lancé" : explication : pour plus de facilité on nous fait démarrer sur une disquette pour flasher le bios, (reprogrammer le bios), mais ce n'est qu'un programme qui fait cette opération ...

Ludovic.

lawl

reflasher le bios ?

L_d_v_c@

Bonjour lawl !

Bien merci,

En résumé :

Je sors le disque vérolé,
je trouve un programmeur d' EEPROM correspondant à ma puce où réside le BIOS,
je récupère l'image du bios grâce à un ordinateur non-vérolé du laboratoire d'électronique,
je "flashe" le bios en dehors de l'ordinateur,
je formate en bas niveau mon ancien disque dur en ayant pris le soin de ne pas démarrer dessus,
je réinstalle linux et j'oublie microsoft ...

Je voulais être sûr ...

Qu'en pensez-vous ?

Merci,
Ludovic.

L_d_v_c@

Je rouvre ce sujet puisque je suis tombé sur un article intéressant, où nous avons souvent dans le BIOS un cheval de Troie inséré en usine : Computrace – Le mouchard universel présent sur les PC, Mac et appareils Android

Il va falloir relire l'Œil de Washington …

La suite ? ils se sont fait prendre avec des chevaux de Troie dans le Bios, ils ont dû commencer à mettre des VMBR justement, moins détectables …

lucmars

L_d_v_c@ a écritJe rouvre ce sujet puisque je suis tombé sur un article intéressant, où nous avons souvent dans le BIOS un cheval de Troie inséré en usine : Computrace – Le mouchard universel présent sur les PC, Mac et appareils Android

Merde j'en ai un sur mon Dell 610

Enfin bref, entre ça et la Carte Bancaire sans contact...c'est l'incurie.

Merci de ton post

L_d_v_c@

Paiement sans contact : "N’importe qui peut lire votre carte bancaire avec un portable"

Hacking rfid : démonstration d'un hack (piratage) sur badge tag rfid

Il suffit de refuser quand la banque propose (ou impose) la carte bancaire sans contact … 🙂

renaud07

Computrace est présent sur quasiment tous les PC de marques depuis 2005, mais heureusement, la "version" BIOS n’est compatible qu'avec windows, donc sous linux, le truc n'a aucune action.
Après si on veut vraiment mettre computrace sous linux, il faut l'installer directement et donc avoir un accès physique à la machine. (cf Guide d'installation

Sur certains PC on peut le désactiver totalement (notamment sur les Dell) et c'est normalement définitif, une fois fait, l'accès est bloqué et on ne peut plus le réactiver.

Et pour ceux qu'on ne peut pas désactiver, il faut supprimer les fichiers au démarrage de windows.

L_d_v_c@

En effet, ce principe a pu être (et a dû être) remplacé par un VMBR dans le BIOS depuis le temps …

Voici le nouveau lien (suite à mise à jour du site de Computer Science and Engineering Division ) : http://web.eecs.umich.edu/virtual/papers/king06.pdf

Les VMBR attaqueront Windows, GNU/Linux, *BSD, et même ce que tu auras développé toi-même en dehors de ces trois familles …
C'est le principe du VMBR, qui reste indétectable depuis une machine vérolée.

Et je n'ai parlé de Computrace – Le mouchard universel présent sur les PC, Mac et appareils Android que pour illustrer que ce n'est que récemment que le public peut se rendre compte que finalement, il va falloir (re)lire l'Œil de Washington … et que rien n'a changé dans le principe depuis les années 1980. - Computrace était présent depuis 2005 et nous sommes en 2014, il aura fallut 9 ans au public pour s'en rendre compte … alors qu'il suffisait de lire l'Œil de Washington … pour comprendre certains aspects de notre monde informatisé.

Ce que je veux dire, si ce n'est pas déjà fait par les constructeurs, c'est que la ROM immuable qui contiendrait le VMBR pourrait démarrer l'ordinateur, puis passer la main au BIOS qui lui resterait accessible pour l'utilisateur final … C'est ce que j'aurais fait en suivant leur logique avec mes quelques connaissances …

Enfin, il y a eu un changement récemment avec les BIOS EFI …

Et à moins de faire du «reverse engineering» sur toutes les puces des ordinateurs, comprendre et assimiler tout ça, il va encore s'écouler une bonne décennie si ce n'est plus … 😉

L_d_v_c@

Puis de toute façon : je rappelle que dans les années 1980, des équipes gouvernementales étaient formées et entraînées pour piéger électroniquement et informatiquement un ordinateur qui n'aurait pas été piégé en usine par un des grand fabricants d'ordinateurs aux États-Unis …
Ces équipes démontaient l'ordinateur, le piégeait, et le remontaient en moins de 60 secondes …

On croirait à un film de science fiction ? Bien non, la réalité dépasse la fiction. ***

Et qu'il n'y avait pas besoin d'internet pour accéder à distance aux données de l'ordinateur piégé dans les années 1980, mais c'est plus pratique avec internet de nos jours …

***

L'ŒIL DE WASHINGTON - Auteurs : Fabrizio Calvi, Thierry Pfister a écrit La loi du monde est celle du plus puissant : telle est la règle morale du gouvernement américain. Forts de ce principe et de leur avance technologique, les États-Unis ont, depuis le début des années 1980, infiltré frauduleusement les banques de données et les mémoires d'ordinateurs de leurs adversaires, mais aussi de leurs alliés et des principales institutions internationales. La France compte parmi les victimes de cette opération montée en complicité avec Israël.
Le récit de cette collecte de renseignements constitue un roman d'espionnage des plus ébouriffants. Pourtant, tous les faits rassemblés ici sont authentiques, les personnages réels et présentés sous leur véritable identité. Née au coeur de la réserve d'une tribu indienne de Californie, l'affaire n'a filtré qu'à l'occasion d'une âpre controverse juridique entre une firme d'informatique, Inslaw, et le gouvernement américain, à propos de la propriété industrielle d'un logiciel. Relatant cette incroyable histoire où s'imbriquent des événements tels que la prise d'otages à l'ambassade américaine de Téhéran, l'Irangate et le Contragate, la mort mystérieuse de Robert Maxwell ou l'étrange "suicide" du conseiller personnel du couple Clinton, L'OEiI de Washington permet une mise à nu aussi passionnante qu'inédite des rapports de forces internationaux sans aucun rapport avec la façade des bons sentiments et du ballet diplomatique.

L_d_v_c@

Principe de détournement du VMBR : slide au format ppt : 9/26

Les slides au format ppt : http://web.eecs.umich.edu/virtual/papers/king06.slides.ppt

L_d_v_c@

La NSA capable de pirater des ordinateurs non connectés à internet.

Veuillez relire «L'œil de Washington». On sait depuis longtemps que la NSA est capable de pirater des ordinateurs non-connectés à internet depuis les années 1980…

Une backdoor cachée dans les derniers processeurs Intel ?
https://www.silicon.fr/une-puce-secrete-dans-les-derniers-processeurs-intel-150663.html