Avançar para o conteúdo principal

"Portas do cavalo" escondidas no hardware

Não resisto a traduzir esta pequena entrada de Quartertime no slashdot, porque me faz sentir um pouco menos paranóico. Há gente muito mais paranóica do que eu. Paranóica não, realista.
"Lembram-se de Reflexões sobre confiar na confiança, o clássico 'paper' que descreve a forma como esconder uma quase indetectável porta do cavalo num compilador de C? Aqui está uma peça interessante sobre como esconder uma quase indetectável porta do cavalo dentro do hardware. Este 'post' descreve como instalar uma porta do cavalo na ROM de expansão de uma placa PCI, que durante o arranque do computador aplica um patch ao BIOS que por sua vez aplica um patch ao grub, que aplica um patch ao kernel, para dar a quem controla acesso remoto como root. Como a porta do cavalo está de facto alojada no hardware, mesmo que a vítima reinstale o sistema operativo a partir de um CD, a porta do cavalo não desaparecerá. Pergunto-me se a China, com a sua posição dominante no negócio da assemblagem do hardware, terá já usado esta técnica para espionagem. Isto talvez explique porque é que a NSA tem a sua própria fábrica de chips."

Para o pessoal mais leigo, convém explicar que uma "porta do cavalo" é um acesso não autorizado a um computador, deixado por alguém que esteve envolvido na construção do sistema (ou de uma parte dele), para mais tarde poder aceder, manipular os seus dados e/ou comportamentos.

E, com a possibilidade de uma simples placa de expansão (um controlador de vídeo genérico, por exemplo) poder abrir uma porta do cavalo na máquina em que foi instalado, qualquer um dos nossos computadores pode ser manipulado facilmente a partir de qualquer ponto do mundo, se estiver de alguma maneira ligado à net.

Não admira que os espiões da NSA construam os seus computadores de raiz...

"O único computador realmente seguro é um computador desligado."

Comentários

  1. Deixo aqui um link da wikipedia que tem mais alguns detalhes sobre o assunto: http://en.wikipedia.org/wiki/Hardware_Trojan_(computing)

    ResponderEliminar

Enviar um comentário

Mensagens populares deste blogue

[Off-topic] "Novas" tendências de gestão

Afinal as novas tendências de gestão não são de agora. E as suas consequências também já são conhecidas há muito. Vejam esta carta do Senhor Vauban , Engenheiro Militar e Marechal de França, dirigida ao Senhor Losvois, Ministro da Guerra de Luís XIV, datada de 17 de Julho de 1683. "Monsenhor: ... Há alguns trabalhos nos últimos anos que não acabaram e não acabarão nunca, e tudo isso, Monsenhor, porque a confusão que causam as frequentes baixas de preços que surgem nas suas obras só servem para atrair como empreiteiros os miseráveis, malandros ou ignorantes e afugentar aqueles que são capazes de conduzir uma empresa. Digo mais, deste modo eles só atrasam e encarecem as obras consideravelmente porque essas baixas de preços e economias tão procuradas são imaginárias, dado que um empreiteiro que perde, faz o mesmo que um náufrago que se afoga, agarra-se a tudo o que pode; e agarrar-se a tudo, no ofício de empreiteiro, é não pagar aos fornecedores, pagar baixos salários, ter os piores

Conferência Europeia da Comunidade Alfresco

Já foi há quase quinze dias, mas julgo que ainda será relevante abordar a Conferência Europeia da Comunidade Alfresco, que decorreu em Barcelona no dia 22 de Abril. Com uma audiência de mais de 200 pessoas (a sala reservada estava cheia) vindas de vários pontos da Europa, este evento serviu para que muita gente desta comunidade se encontrasse pela primeira vez face a face. A Alfresco Inc. é uma empresa recente, que apostou em criar uma solução de gestão documental de topo de gama usando o modelo open-source . Considerando que a empresa, no seu terceiro ano de actividade, já atingiu o break-even , parece ter sido uma boa aposta. No arranque da conferência esteve John Powell, CEO da empresa, que falou um bocado sobre a excelente evolução da empresa e abordou a "guerra" entre o modelo de negócios proprietário e o modelo de código aberto. Exemplificou este conflito com o Microsoft SharePoint, que ele designou como "a morte da escolha", justificando o epíteto pelo facto

O que é uma POOL ?

Tenho andado a fazer implementações de mecanismos de pooling em Java 2 Enterprise Edition. Como me parece um conceito algo lato tentei a abordagem do dicionário. Alguns mostram que de facto a palavra é usada para muita coisa. A definição mais comum é "piscina". A que mais me agradou foi o que descobri na wikipedia , onde pooling é apresentada como uma técnica para guardar qualquer coisa que já não é necessária em determinado sitio (a que se chama pool ) com o objectivo de a usar quando necessário optimizando assim a utilização de recursos disponíveis. Partindo para a computação, existem vários tipos de pools: Thread Pool - Conjunto de threads livres que se vão adicionando a um fifo quando não necessárias e retirando quando se quiserem usar. Memory Pool - Conjunto de blocos de memória, todos da mesma dimensão, que se alocam inicialmente e usam à medida que necessário garantindo que o tempo de alocação de memória é constante e a fragmentação minima. Connect