> А что, юзер так уж прямо с оптимизмом будет печатать команды в
> консоли, на десктопе который он даже не видит нифига, ибо у
> флешки нет выхода на, собственно, моитор? :)
> А также тот факт что текст в TTF каждый рендерит как хочет,
> etc. Да и какой придypoк будет вводить команды в теринал который
> он не видит?Не-не-не. Пользователю НЕ надо видеть картинку отдаваемую на фейковую видеокарту. Эта картинка исключительно нужна для обратной связи. Флешка манипулирует десктопом фейковыми мышью с клавой, а для обратной связи использует фейковую видеокарту.
И TTF не надо распознавать. То есть, во-первых, это не так уж и сложно, как, например, распознавать рукописный текст или даже сканы. Во-вторых, это не особо-то и нужно. На примере линя, чисто идея, на которой можно построить алгоритм... Допустим, наша цель запустить терминал и нацелить туда фокус ввода. Эмм... я тут же споткнулся, поскольку я хрен его знает когда в последний раз видел гномов, кеды и прочие DE и даже не представляю какие там кейбинды. Но если бы я писал такую малварь, я бы первым делом начал бы искать способ запустить терминал наощупь. Если нет способа запустить наощупь, то ориентируясь на стандартный значок терминала -- надо найти все рисунки терминала на экране и по ним кликнуть. Надо сэмулировать клики мышкой по всем стандартным местам, где может находится кнопка "пуск" (или как там её принято в линуксовых DE назвать?). Выскочит меню, надо вычислить высоту пункта меню, и "двигая мышкой" пооткрывать по очереди все подменю, "высматривая" стандартные иконки терминала. Высмотрев тыкать. В один прекрасный момент на экране появится окно, положение которого мы можем вычислить сравнивая скриншоты "до" и "после". Причём фокус на него перепрыгнет автоматически. Можно провести несколько простых вероятностных проверок того, что это окно терминала. Вероятностных в том смысле, что они могут не являтся доказательством того, что это окно терминала, но, в случае положительного результата проверки, должны повышать достоверность предположения о том, что это именно терминал. Можно не проводить таких проверок, но это снизит процент успешных атак. ... Ну, в общем, идея ясна, да?
>> Но я не думаю, что это совсем безнадёжно. По-крайней мере, _можно попытаться_
> Если у вас все так просто - давайте вы лучше подъемник на
> орбиту попытаетесь построить? И лунные базы. Не сильно проще, но имхо
> полезнее :).
>> Если нет, значит устройство просто так, с бухты барахты, не подцепит заразу.
> Зараза может там жить вообще "изначально", например...
Может. Это неустранимый источник эпидемии малвари. Но это не значит, что не стоит пытаться защитить промежуточные узлы распространения малвари.
>> Недокументировано не является проблемой (непреодолимой),
> Теоретически - так. Практически - иди перепиши для начала все сервисные утилиты
> которые для флех под винду есть под остальные системы, тогда поговорим.
> Позови меня как закончишь.
У меня нет компании разрабатывающей антивирус. А если бы и была, то я бы ещё подумал стоит ли. Особенно в свете того, что пока всё это, судя по всему, неактуально. В том смысле, что в ближайшие полгода эпидемий не предвидится. Что будет дальше... Я не знаю. Опять же у меня нет компании разрабатывающей антивирус, в которой работает группа аналитиков-экспертов, которая могла бы оценить зависимость вероятности возникновения такой эпидемии от времени, и проследить эту функцию на пару лет вперёд.
>> Разбор недокументированных малварей на винтики. Ну добавится
>> к этому разбор на винтики протокола выковыривания прошивки. Ну и чё? :)
> А ничо - прошивка пошлет по этому протоколу ровно то что посчитает
> нужным. Насколько это будет достоверным? Ну... это примерно как суд присяжных,
> состоящий из 1 человека - самого подсудимого. Что захочет, то и
> выпишет, хренли :).
Ты споришь, ради спора? Спорим, что тот же Касперский имеет неплохие шансы договориться с рядом производителей, чтобы они раскрыли бы протокол под какой-нибудь-там сильно ограничительной лицензией? Зачем приводить очевидные контраргументы, в ответ на которые можно привести очевидные контрконтраргументы?
Вот разработчики малвари вряд ли имеют возможность договориться с производителем устройства. Что резко снижает вероятность возникновения эпидемии. Но зато их много, среди них кучи энтузиазистов, которые будут ревёрсить ради реверса. Результаты они куда-то будут выкладывать. А если кто-то будет покупать результаты, то будут и продавать.
>>> немного при обработке команд - как два байта переслать.
>> Ну, собственно, тотальная бесполезность этого и есть одна из тем доклада.
> Я так смотрю, капитанинг нынче в моде. А вот задействование мозгов -
> не очень. Это вы еще не осознали что в смартах крутится
> многомеговый блоб, реалтаймный и с выходом в сеть. С доступом к
> микрофону, камере и GPS. Вот этой штуки уже стоит бояться, да.
> Это вам не какие-то cpaные флешки, это дохрена чужой логики имеющей
> доступ к весьма персональным данным...
Почему же не осознали? Осознали. И да, не скрою, уровень паранойи в моём случае достаточен для того, чтобы вместо смартфона таскать с собой планшет в сумке, а в кармане обычную звонилку.
