منتديات بلاد ثمالة - أخطر انواع التجسس ( ROM Rootkit ) لا يوجد لها حل

http://securitywatch.eweek.com/apci.jpg

ظهرت انواع واساليب كثيرة للتجسس على الكمبيوتر في السنوات السابقة وقد حلت اغلبها
بداية بملفات وبرامج التجسس والفايروسات وانتهاء بأسليب الاخفاء او ما يعرف ببرامج Rootkit
ومها تطورت برامج الحماية فإن اساليب التجسس تسبقها بسنوات وذلك لمصالح الشركات
والامثله على ذلك كثيرة لو نظرنا لمصطلح مكافحه برامج التجسس العادية anti-spyware يعتبر اضافه
جديدة لبرامج مكافحة الفايروسات , ولو نظرنا لمصطلح anti-Rootkit فيعتبر اجدد اضافه لبرامج الحمايه
بعض برامج مكافحة الفايروسات طبقته وبعضها لازالت وامثله على ذلك
Sophos Antirootkit وPanda Anti-Rootkit وF-Secure Blacklight Beta وAVG AntiRootkit
تجد جميع برامج مكافحة الروت كت ظهرت بين عامي 2005-2006 رغم قدم هذا الاسلوب من التجسس

واكيد لم تكتشف طريقة تجسس معينه الى وظهرت طريقة اعقد منها وهذه المره الفرق شاسع وهي ما تعرف ب

الــ ROM Rootkit
من اسمها تعرف الطريقة وبشرح سريع عنها نجد التالي,,,
عندما ظهرت تقنيه Rootkit شكلت نقله وذلك لان برامج الروت كت تعمل فوق مستوى المستخدم وبرامج المستخدم
بمعنى بمستوى النظام وهذا سر اختفائها فتره طويله وقد استخدمت هذه الفكرة في اكثر من مجال مثل
بعض الشركات الكبيرة استخدمت الروت كت في الحماية واغلبها استخدم هذه التقنيه للتجسس على جهاز الكمبيوتر
نفسها شركات الحماية استخدمتها للتجسس لأغراض تجارية

الآن وبعد اكتشاف هذا الاسلوب وقبل ان تنتهي برامج الحماية من اضافت مكافحة الروت كت لبرامجها ظهرت
نوع آخر متطور اكثر قد يصعب كشفه

في البداية ال ROM Rootkit لا يعمل في مستوى نظام التشغيل فقط بل يعمل قبل ان يشتغل ال BIOS نفسه؟؟
وهو عبارة عن مايكروكونترول مصغر يركب على الوحة الألكترونية مثل كرت الشاشه او كرت الصوت او المودم
بإختصار عبارة عن نقطة سوداء في اي لوحه الكترونيه يحمل بداخلة برنامج تجسس متكامل على المستخدم

كيف يعمل قبل BIOS وبدون نظام تشغيل ؟!
في الحقيقة ابدعو مبرمجي الفايروسات وذلك بإستخدام مقاطعات الاجهزة IRQ وخدمات PEX ,, كيف
عندما تشغل الكمبيوتر يقوم المعالج بتحفيز برامج ROM داخل القطع الالكترونيه في برامج ROM Rootkit
يكون هنالك كود اسمبلي بسيط جدا لعمل hook على الكيبورد وبعد ذلك استخدام خدمات PEX لربط جهازك
عن بعد بسيرفر لتجسس على كل ما تقوم به ,, لنفهم الموضوع نحتاج فهم خدمات PEX

هي اختصار ل Preboot Execution Environment بيئة التنفيذ قبل الاقلاع ؟؟
وهي عبارة عن دوال مثل API او خدمات للمبرمجين تكون ملحقة في المعالجات المصغرة
الهدف منها هي تطوير هاردوير الشبكات مثل الروتر او الكبلات او السيرفرات الخاصه بالشبكات
نعرف كلنا بأن عتاد الشبكات المتطور يعمل بأنظمة تشغيل خاصه ليست وندوز ولا لينكس ولا غيرها
هذه الانظمة مبنية على PEX وتبرمج بالكامل بهذه الدوال,,, ويوجد مثال حي على استخدام PEX يعرف ب network boot
لمعرفة كل دوال PEX وطرق استخدامها ,, في الصفحه التاليه:-
http://www.nilo.org/docs/pxe.html

الخطير في الامر ان مفهموم ROM Rootkit لا يخص امن الكمبيوتر فقط وانما اغلب اجهزة الاتصالات والدشات
والاسلكي والاجهزة العسكريه والمدنيه والكثير تطبق عليها نفس الفكرة للتجسس على مستخدميها,مع اختلاف بسيط
والسبب في ذلك ان برنامج التجسس في هذه الحاله لا يحتاج لا نظام تشغيل ولاغيره لتشغيل نفسه

والموضوع اكبر بكثير مما تتصوره