Говорила же мама: не доверяй прошивкам жёстких дисков

    Отбирая хлеб новостников....

    По всем каналам пролетела новость, небезынтересная для технических специалистов. А также, для разгадывателей головоломок и кроссвордов. Правило, которое иллюстрирует данный факт, говорит: проблема не всегда отыскивается под фонарём, где светло и удобно искать. Уязвимость и «жучки» скрываться могут и на другом уровне поиска. Страхуясь от уязвимостей в программах, надо не забывать, что они могут быть встроены в аппаратуру.

    Далее — цитируем «РБК».

    «Касперский» раскрыл уникальную американскую шпионскую программу


    Агентство национальной безопасности США придумало скрывать шпионские программы в жестких дисках, производимых Western Digital, Seagate, Toshiba и другими ведущими изготовителями, получая таким образом доступ к информации на большинстве компьютеров в мире. Об этом сообщает Reuters со ссылкой на исследование «Лаборатории Касперского» и показания бывших сотрудников АНБ.
    «Лаборатории Касперского» по итогам многолетних наблюдений удалось вскрыть самую сложную и изощренную систему кибершпионажа из известных на сегодняшний день. Специалисты компании обнаружили персональные компьютеры в 30 странах, зараженные одной или несколькими такими шпионскими программами. Наибольшее число зараженных компьютеров, по ее данным, оказалось в Иране, а также России, Пакистане, Афганистане, Китае, Мали, Сирии, Йемене и Алжире. Чаще всего атакованы были компьютеры в правительственных и военных учреждениях, телекоммуникационных компаниях, банках, энергетических компаниях, компаниях, занимающихся ядерными исследованиями, медийных компаниях и у исламских активистов.

    Конкретную страну, которая стоит за шпионской кампанией, «Лаборатория Касперского» не называет. Однако уточняет, что она тесно связана со Stuxnet, который был разработан по заказу АНБ для атак на объекты ядерной программы Ирана.

    Бывший сотрудник АНБ заявил Reuters, что выводы «Касперского» – верны. По его словам, нынешние сотрудники агентства оценивают эти шпионские программы так же высоко как Stuxnet. Другой бывший сотрудник разведки подтвердил, что АНБ разработала ценный способ сокрытия шпионских программ в жестких дисках, но заявил, что не знает, какие шпионские задачи им отводились.

    Представитель АНБ Вэни Вайнс отказалась от комментариев.

    «Прорыв» в области кибершпионажа


    В понедельник «Касперский» опубликовал технические детали своего исследования, которое должно помочь учреждениям, попавшим под шпионскую атаку, обнаружить вредоносные программы, некоторые из которых относятся еще к 2001 году. 

    Как подчеркивают исследователи «Касперского», создатели шпионских платформ совершили «потрясающее технологическое достижение», разработав модули, способные перепрограммировать заводскую прошивку жестких дисков. Столь глубокое заражение позволяло злоумышленникам сохранять контроль над компьютером жертвы даже в случае форматирования диска или переустановки операционной системы. По данным «Касперского», «загадочный модуль» способен проникать во встроенное ПО жестких дисков более десятка производителей, включая Seagate, Western Digital, Toshiba, Maxtor, Micron Technology, IBM. Эти бренды охватывают практически весь рынок жестких дисков.

    Western Digital, Seagate и Micron заявили Reuters, что ничего не знают об этих шпионских модулях. Toshiba и Samsung отказались комментировать расследование «Касперского».

    Несмотря на то что эти особо изощренные «черви» можно было имплантировать в тысячи жестких дисков, на практике хакеры проявляли избирательность и подчиняли себе только компьютеры наиболее ценных иностранных объектов слежки, сообщил глава отдела по глобальным исследованиям и анализу Kaspersky Lab Костин Райю.


    Надо заметить, что в последнее время участились сообщения об обнаружении вирусов и троянских программ Лабораторией. Так, 27 января 2015 года проходила новость «Лаборатория Касперского: троян Regin — это инструмент АНБ» из Der Spiegel (код вируса Regin использовался одновременно «различными учреждениями из различных стран»).

    Не далее как вчера, на roem.ru отметили ещё одну связь публикации долгого и сложного расследования Лаборатории о серии взломов банков и предшествовавшего заявления Обамы о требовании к бизнесу раскрывать произошедшие у них случаи взломов. Сетевое издательство отмечает: «Современная нам Лаборатория Евгения Касперского «научилась играть в PR» и через несколько часов, после выступления Обамы, как раз к выходу газет в понедельник, пообещала рассказать журналистам о неизвестном с 2013 года взломе 100 банков». Лаборатория начала проявлять завидное умение попадать на волну резонансных событий.
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 205
    • +38
      Читал на РБК…

      Хочется, чтобы сотрудники Касперского здесь технически грамотным языком и подробнее рассказали. Товарищи, напишете?
      • 0
        В первоисточнике выше по ссылке есть 3-я часть с кое-какими техническими подробностями (пока нигде не переведена, но кратко — чтобы объяснить заявления компаний-производителей, что они не знают, как вирусы попали в прошивки, Костин Райю сообщает факты «охоты» АНБ за исходными кодами прошивок и за возможностями реинжинирить их код в готовых продуктах).
        • +5
          Сообщение в блоге securelist: «Equation: The Death Star of Malware Galaxy.» By GReAT on February 16, 2015. 6:55 pm
          securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/
          Perhaps the most powerful tool in the Equation group's arsenal is a mysterious module known only by a cryptic name: «nls_933w.dll». It allows them to reprogram the hard drive firmware of over a dozen different hard drive brands, including Seagate, Western Digital, Toshiba, Maxtor and IBM. This is an astonishing technical accomplishment and is testament to the group's abilities.

          Pdf с описанием, «EQUATION GROUP: QUESTIONS AND ANSWERS» (Version: 1.5, February 2015. #EquationAPT, #TheSAS2015, By Kaspersky GReAT)
          securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf
          The plugin supports two main functions: reprogramming the HDD firmware
          with a custom payload from the EQUATION group, and providing an API into
          a set of hidden sectors (or data storage) of the hard drive. This achieves several
          important things:
          • Extreme persistence that survives disk formatting and OS reinstall.
          • An invisible, persistent storage hidden inside the hard drive.
          The plugin version 3 has the ability to reprogram six drive “categories”:…
          The plugin version 4 is more complex and can reprogram 12 drive “categories”…
          Overall, the plugin uses a lot of undocumented, vendor-specific ATA
          commands, for the drives mentioned above as well as all the others…

          The EQUATION group’s HDD firmware reprogramming module is extremely rare.
          During our research, we’ve only identified a few victims who were targeted by this
          module. This indicates that it is probably only kept for the most valuable victims
          or for some very unusual circumstances
          • 0
            Получается дыра из-за безалаберности производителей дисков, которые сделали возможность прошивать диск используя недокоментированные ATA команды…
            • +8
              С другой стороны некоторые производители и не скрывали, что можно обновить прошивку и выпускали утилиты для этого.
              Значит это было делом времени, пока кто-то не отреверсинженерит процедуру прошивки. Лишнее подтверждение, что security by obscurity не работает.
              • +2
                Нет, дыры для проникновения там вполне традиционные:
                securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf#page=14 «8. What exploits does the Equation group use?»
                браузер, Java, TTF, Firefox 17 (TOR), LNK эксплоит (для USB-флешек и преодоления воздушного зазора). Часть из этих уязвимостей позже использовалась в Stuxnet, что свидетельствует как минимум о сотрудничестве авторов Equation и Stuxnet.

                Из наиболее уникальных путей заражения: подмена CD-ROM носителей при рассылке материалов научных конференций (похоже на тактику перехвата и заражения оборудования от NSA's Tailored Access Operations (TAO)).
                securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf#page=15 «9. How do victims get infected by EQUATION group malware?»
                The Equation group relies on multiple techniques to infect their victims. These include:
                • Self-replicating (worm) code – Fanny
                • Physical media, CD-ROMs
                • USB sticks + exploits
                • Web-based exploits

                Заражение прошивок HDD производилось уже развернутым трояном и использовалось крайне редко. Оно позволяло лишь скрывать данные троянов и повторно заражать этот же компьютер после переустановки ОС.
                • +1
                  Это понятно, я говорил именно про дыру в безопасности диска, а не про первоначальный вектор атаки на систему.
                  С диском тут самое интересное.
                  • 0
                    Есть вполне легальные утилиты, сам пользовался еще в до SATA эпоху. Не думаю, что что-то поменялось.
                    • 0
                      В брендовых компьютерах прошивки дисков регулярно обновляются.
                      • 0
                        но зачем?
                        • 0
                          Багфиксы и разные мелки улучшения, можете посмотреть тут.
                • 0
                  Вот, кстати, один из немногих примеров, когда долгий брутфорс на суперкомпьютерах все-таки окупается. Если, конечно, там был использован такой способ.
            • +4
              Хабрахабр раньше Ленты, поздравляю! lenta.ru/news/2015/02/17/nsavirus/
              • –45
                Вполне в духе традиционного наплевательства на «права человека» асашайцами
                • +39
                  Если другие разведслужбы не попались это не значит что они этим не занимаются
                  • +1
                    Ну хоть не попадаются. А самые защитники прав людей и распространители безопасности попадаются.
                    • +37
                      Спецслужбы не являются «защитниками прав людей», ими является свободная пресса и независимый суд. И тот факт, что вы о нарушении узнали как раз и является доказательством тоо, что права защищаются.
                      • +9
                        Спецслужбы делают это по указанию или как минимум с ведома властей, которые в свою очередь лицемерно рассказывают про важность информационной безопасности.
                        Узнали мы это не от властей и не от спецслужб, так что это тут не причем.
                        Самими гражданами и защищаются.
                        • +3
                          Вот же повылазили обличители лицемерия. Вы лучше за нашими спецслужбами следите, а не за американскими.
                          • –8
                            Коммент в плюсе — карма в минусе. Поборники лицемерия не дремлют! :)
                            • –1
                              То же самое. Это все заговор спецслужб и властей.
                          • +1
                            Вы плохо себе представляете, как работают спецслужбы. Часто, власти не имеют понятия, чем они занимаются. Любая тайная служба — вполне себе политическая организация.
                          • +1
                            Являются.
                            Спецслужбы защищают государство. Точнее обеспечивают его безопасность. Государство — это территория + люди. Следовательно спецслужбы реализуют право человека на безопасность, обещанное государством.
                            Очевидцы происшествия в Норд-Осте подтвердят.
                            • +2
                              Нет. Государство отделено от общества. То есть это — да, люди. Но не все люди, проживающие на территории, а лишь аппарат управления ими. Власть.
                              • –2
                                В широком смысле вы прав.
                                Но речь идет о демократических странах, а в них народ является единственным легитимным источником власти.
                                Следовательно народ — это власть. Следовательно народ — это [часть] государство.
                                • +4
                                  Таких стран, где государство не было бы отделено от остального общества, не существует.
                                • 0
                                  Вы должны уточнить, говорите ли вы вашу точку зрения о перекосах в некоторых странах, или утверждаете, что это объективные данные. Государство в русском языке означает именно сообщество людей объединенных общими законами. «го-сударство» на современном русском могло бы звучать как «соседство».
                                  • 0
                                    Толковый словарь русского языка Ожегова и Шведовой даёт два значения: «1. Основная политическая организация общества, осуществляющая его управление, охрану его экономической и социальной структуры» и «2. Страна, находящаяся под управлением политической организации, осуществляющей охрану её экономической и социальной структуры»

                                    Так вот, я про первое значение. Организация, управляющая обществом. Отождествлять её с обществом это как отождествлять пастуха и его стадо.
                                    • +1
                                      Эээ. При таком восприятии вам придется выбрать кем вы являетесь. Пастухом или стадом. Если же мыслить чуть шире, то станет понятно, что определение из словаря не всегда может нас устраивать.

                                      Теперь повторю: я считаю, что государство это сообщество граждан, у которых есть общие представления о сосуществовании (законы обязательные и неписаные). Государство это не чиновники, не верховный правитель, не нажиматели кнопок в специальном здании.

                                      Получается, что ваша цель убеждать окружающих: вы стадо, вами должен управлять пастух, иначе вы не можете существовать. Моя цель объяснить, что при достаточном уровне образования и объяснении простых вещей люди могут существовать без чиновников и без абсолютного монарха (правильная республика существует вообще без главы в виде отдельной личности).

                                      В обеих версиях есть приятные вещи, но, думаю, что стремиться можно только к одной форме — республике с советским типом управления (ни в коем случае речь не идет о СССР, «совет» в смысле местного самоуправления на всех уровнях). На данный момент это труднореализуемо, как мне кажется, из-за крайне сильной привязке к инфраструктуре.

                                      Когда станет возможно отвязаться в первую очередь от электричества, тогда системы «стадо-пастух» (скорее стадо-волки) начут отмирать быстрее. Как только появится возможность отвязаться от дорожной сети (просто исчезнет необходимость перемещаться или появится телепортация), таких государств практически не останется.

                                      И как только станет возможно изготавливать пищу не централизованно (огромное поля и стада крс очень сложно обслуживать водиночку), то тогда полностью исчезнут такие государства.

                                      Хм, я тут другую статью читаю, что быстрое развитие, вот занесло немного. Надеюсь, что мы хотя бы некоторые из этих пунктов (энергию) мы получим при жизни нынешнего поколения.
                                      • +2
                                        Ок, а кого в данный момент защищает АНБ?
                                        • 0
                                          Защищает капиталистов, которые правят миром.
                                          • +1
                                            Не знаю. Можно представить, что они пытаются защищать текущее положение вещей. И, самое интересное, что этим занимается не только одна какая-то организация, а многие люди согласно своим представлениям о правильном. А вы сами в курсе, как можно не слишком размышляющим гражданам внушить «правильные» мысли.
                                • +2
                                  «Независимый суд» и «независимая пресса» — защитники прав людей? От я так давно не смеялся над такой наивностью.
                                  Вы давно видели хоть одно независимое ни от кого (в том числе финансово) издание?
                                  Вы не сталкивались с NY-ским правосудием с участием US финансовых органов? Да басманное — просто дети если сравнивать…
                            • +3
                              Понимаю, что своим комментарием «мечу бисер», но «права человека» и их защита заключаются как раз в том, что вы об этом факте узнали.
                              • +7
                                > «права человека» и их защита заключаются как раз в том, что вы об этом факте узнали.
                                Хм, а я думал, что права человека заключается в том, чтобы спецслужбы подобным не занимались.
                                • +2
                                  Это их работа, им за это деньги платят. Правда, только половина: вторая половина заключается в том, чтобы об этом никто не узнал. И эту половину они выполняют не очень хорошо (а может быть, наоборот, очень хорошо, а все сливы — просто прикрытие), но это не мое дело: я, к сожалению, не американский налогоплательщик.
                                  • +4
                                    >Это их работа, им за это деньги платят. Правда, только половина: вторая половина заключается в том, чтобы об этом никто не узнал
                                    Я правильно вас понимаю: пока АНБ и другие спецслужбы перехватывали миллионы звонков и писем американцев, но Сноуден об этом ещё ничего не рассказал — права человека не были нарушены, потому что об этом никто не знал?
                                    • +5
                                      Спецслужбы не обязанны соблюдать права человека. Они совсем для другого существуют. Если бы они соблюдали права человека, они назывались бы полицией.
                                  • 0
                                    Спецслужюы занимаются тем, в конечно итоге, чтобы некоторых людей сажать за решетку.В этом их основная задача. Они по определению не могут заниматься защитой прав человека.
                                • +7
                                  • +1
                                    мы ещё знаем об американском ниндзя
                                • +32
                                  Если кому интересно, Namco для своих игровых автоматов пишет специальные прошивки HDD, и если подключить HDD из автомата к компьютеру и посекторно скопировать его, то стирается заголовок зашифрованного LUKS-раздела, и игра больше никогда не заработает.
                                  • +1
                                    На родном диске при чтении стирает данные? Это зачем? Из-за вредности?
                                    Или просто, при копировании считывает неверные данные с определенного места, а как считать правильно, знает только автомат.
                                    • +8
                                      На родном диске. Это защита от копирования такая.
                                      • +1
                                        Не наезда ради, а справедливости для.
                                        От копирования достаточно, как я написал, просто выдать неверные данные, зачем стирать-то? Тем более раздел шифрован.
                                        Единственное, что могу предположить, они, зачем-то, изменили интерфейс, команды ATA, как минимум при обращении к определенной области диска (возможно, выдаются расшифрованные данные при определенных условиях), а электрический интерфейс оставили прежним, естественно, обращение по стандартному интерфейсу, к этой области, портит данные. Но заморачиваться этим ради защиты от копирования, изврат. Можно же и блины скопировать, если очень упереться, расшифровать нет, а скопировать можно. Конечно, всякое бывает, но мне кажется это следствие, а не причина.
                                        • +6
                                          Вероятно, чтобы не было поля для экспериментов.
                                          Там еще TPM используется и ключ расшифровки подписан регистрами TPM. Если вы модифицируете ядро, initramfs или строку с параметрами ядра, то игра не запустится, т.к. не сможет расшифровать раздел.
                                    • 0
                                      А сами диски там стандартные? Если взять контроллер от такой же модели HDD и заменить, то получится?
                                      • 0
                                        Диски стандартные, контроллер тоже, насколько помню.
                                    • –62
                                      Пиар… грязный… ватный.
                                      • +39
                                        Да-да, не сметь ничего рассказывать про грязные методы спецслужб оплота демократии! Они это делают для благих целей, им можно!!111
                                        • +15
                                          камеры в туалете установлены для вашей безопасности
                                          • 0
                                            Не путайте теплое с мягким. То, что «Касперский» чего-то обнаружил, еще не означает, что что-то в самом деле есть (или есть то, что утверждает KL). Так что пока PR Kaspersky Lab — да, видно, а вот остальное — пока под вопросом до независимой проверки.
                                            • +3
                                              независимой проверки

                                              А проверка «Касперского» — зависимая? От кого же?
                                              • +3
                                                Компания Kaspersky Labs является коммерческой компанией, которая, согласно своему уставу, занимается извлечением прибыли в интересах акционеров и владельцев. Поэтому зависимость их заработка от уровня их популярности и известности в мире — прямая.
                                                • 0
                                                  Именно поэтому им и невыгодно сливать «липу» — минута славы не окупит подпорченную репутацию.
                                        • +2
                                          Анонс:
                                          Производители HDD начали внедрение HDD UEFI в свои жесткие диски.
                                          • +5
                                            Напомню еще одну прошлогоднюю хабровскую статью: Шпионские гаджеты от АНБ
                                            • +4
                                              А если подумать, сколько в современном компе периферии, которую можно программно перепрошить? Это же десятки разнообразных чипов.
                                            • 0
                                              А разве в интересах безопасности в крупных конторах, вроде банков, не ограничивают доступ в интернет? Информация же должна как-то сливаться, а кроме интернета я путей не знаю.
                                              Хотя, с компьютера рядового пользователя хоть и можно поиметь кое-какую информацию, но с компьютера кого-нибудь выше по иерархии можно найти информацию, намного ценнее. А у тех, кто по иерархии выше, доступ в интернет вполне может быть.
                                              Я правильно рассуждаю?
                                              • +2
                                                Один из троянов в этом наборе, Fanny, умеет работать на компьютерах, не подключенных к интернету, сохраняя себя, собранные данные и инструкции от управляющих серверов на usb-флешках (конечно же требуется, чтобы эту флешку регулярно подключали как к целевому компьютеру, так и к зараженному компьютеру с доступом к интернету):
                                                securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf#page=13
                                                The main purpose of Fanny appears to have been the mapping of air-gapped networks. For this, it used a unique USB-based command and control mechanism. When a USB stick is infected, Fanny creates a hidden storage area on the stick. If it infects a computer without an internet connection, it will collect basic system information and save it onto the hidden area of the stick. Later, when a stick containing hidden information is plugged into an internet-connected computer infected by Fanny, the data will be scooped up from the hidden area and sent to the C&C. If the attackers want to run commands on the air-gapped networks, they can save these commands in the hidden area of the USB stick. When the stick is plugged into the air-gapped computer, Fanny will recognize the commands execute them. This effectively allowed the Equation group to run commands inside air-gapped networks through the use of infected USB sticks, and also map the infrastructure of such networks.
                                                • 0
                                                  Существует достаточно способов вывести информацию без интернета, вроде бы на TechEd рассказывали про удалённое считывание с данных принтера, закодированных в его электромагнитном излучении.
                                                  • 0
                                                    Интересно, интересно. Впервые слышу про такое. Надо поискать информацию на эту тему.
                                                • 0
                                                  Не заметил в списке Hitachi
                                                  • +3
                                                    securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf#page=18
                                                     “WDC WD”, <Western Digital Technologies Inc> additional vendor specific
                                                    checks used
                                                     “ST”, “Maxtor STM”, “SEAGATE ST”, <Seagate Technology>
                                                     “SAMSUNG”, <SAMSUNG ELECTRONICS CO., LTD.>
                                                     “WDC WD”, <Western Digital Technologies, Inc.> additional vendor specific
                                                    checks used
                                                     <HGST a Western Digital Company>, “IC”, “IBM”, “Hitachi”, “HTS”, “HTE”,
                                                    “HDS”, “HDT”, “ExcelStor”
                                                     “Max”, “Maxtor STM”
                                                     <MICRON TECHNOLOGY, INC.>, “C300”, “M4”
                                                     <HGST a Western Digital Company>, <TOSHIBA CORPORATION>
                                                     “OCZ”, “OWC”, “Corsair”, “Mushkin” additional vendor specific checks used
                                                     <Samsung Electronics Co., Ltd., Storage System Division>, <Seagate
                                                    Technology>, <SAMSUNG ELECTRONICS CO., LTD.> +additional checks
                                                     <TOSHIBA CORPORATION COMPUTER DIVISION>, “TOSHIBA M” +checks
                                                     <Seagate Technology>, “ST”
                                                    
                                                  • 0
                                                    Так это: www.kaspersky.ru/news?id=207734262
                                                    А кто в английскую доку полезет…
                                                  • +3
                                                    >>Несмотря на то что эти особо изощренные «черви» можно было имплантировать в тысячи жестких дисков

                                                    Одно не пойму, ну есть у меня в прошивке HDD червяк, что дальше, как он работает? что входит в его задачи? как он сможет заразить вновь устанавливаемую OS на этот HDD?
                                                    • +2
                                                      На плате HDD:
                                                      1) куча оперативки;
                                                      2) куча долговременной памяти в резервных областях;
                                                      3) универсальный микропроцессор;
                                                      4) прямой доступ к вашим данным.
                                                      • +2
                                                        А дальше что? Как он сольет данные из HDD в интернет? Кажется, ему нужен «помощник» на уровне повыше, в ОС.
                                                        • +3
                                                          Элементарно. Есть доступ к данным — заражаем системные файлы, тем самым получаем помощника на уровне ОС.
                                                          • +2
                                                            Да ну? А если у меня Fedora с зашифрованными разделами?
                                                            • 0
                                                              У меня сходный вопрос, а что это им дает, если у них доступ, только к зашифрованной информации моего жесткого диска?
                                                              • +1
                                                                Там все сложнее, но сдается мне что варианты остаются — подмена бутлоадера если он лежит на самом диске, прямой доступ в системную память (http://en.wikipedia.org/wiki/DMA_attack) и возможно что-то другое
                                                                • 0
                                                                  Это если атака таргетированная — тогда да, ничто не спасет. Но массовый сбор информации таким образом не организуешь: слишком много разных систем, поддерживать их всех невозможно.
                                                              • +1
                                                                А теперь вставляем диск в RAID6, корректность которого время от времени проверяется. Каждый отдельный диск не знает, что он в RAID. Какой-то из них получает открытым текстом блок 64К, в котором есть часть системного файла, и заражает его. А при очередной проверке контроллер массива это замечает и выкидывает странный диск (на котором данные читаются, но испорчены) из массива.
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                              • 0
                                                                Иии, что из того, что на плате HDD куча всякого «железа»? На графических картах тоже полно всего, а возьмем к примеру сам CPU, у него вообще есть доступ ко всему, можно предположить, что в микропрограмме CPU тоже встроен червь?
                                                                Как АНБ сможет получить доступ к данным на зараженном HDD (по сети, то есть не приходя ко мне в квартиру) если я форматнул HDD, поставил свужую ОС (Win или Linux, а может что нибудь поэкзотичнее, BeOS), свежий антивирус, не захожу на сомнительные сайты и не открываю сомнительную почту. Расскажите вектор атаки с использованием червя в прошивке HDD?

                                                                У меня вот только один вектор атаки на ум приходит, что модифицированная прошивка в момент отдачи данных дополняет их вредоносным кодом, например при запуске кода из MBR он модифицируется и в пямять грузится червь и ОС загружается уже инфицированная, но тут возникает массса вопросов, например что это должен быть за вредоносный код, который умеет работать с любой ОС, любым железом и т.д., это какая то мистика.
                                                                • 0
                                                                  Так он же вроде только под винду, не надо с любой ОС.
                                                                  • 0
                                                                    Там же софт из двух частей — загрузчик и собственно payload который уходит в firmware, причем софт использовался для адресных атак. Скорее всего payload просто конфигурируется под конкретную цель.

                                                                    Впрочем особо принципиальной проблемы проверять тип ОСи в firmware нет. Там стоит относительно мощный микроконтроллер с доступом к куче памяти. Вроде не видно явных проблем хранить кучу разных вариантов кода и по сигнатуре загрузчика определять какой из них использовать
                                                                    • 0
                                                                      а возьмем к примеру сам CPU, у него вообще есть доступ ко всему, можно предположить, что в микропрограмме CPU тоже встроен червь?


                                                                      Вот, например, история про пиратский гипервизор в BMC материнок Intel.
                                                                      • +1
                                                                        Записываем в файловую систему свой вирусный драйвер и включаем его загрузку вместе с ОС (это умеет даже консоль восстановления).
                                                                    • 0
                                                                      В главной загрузочной записи диски есть исполняемый код. Что мешает диску вместо него выдать код вируса? А он уже потом продолжит загрузку системы.
                                                                      • –1
                                                                        Hint: Windows — далеко не единственная операционная система. И даже у неё существуют несовместимые версии.
                                                                        • –1
                                                                          Это ещё не считая того, что 446 байт хватит всем, и оригинальному загрузчику, и буткиту с нагрузкой…
                                                                          • 0
                                                                            Зачем, там только загрузчик вируса. Само тело вируса и оригинальный загрузчик кладем в другое место (на скрытый раздел).
                                                                          • +1
                                                                            Так вирус стартует до загрузки ОС. Дальше он может посмотреть какая ОС грузится и действовать в зависимости от этого.
                                                                        • 0
                                                                          Полагаю, вирус в прошивке винта может подсовывать инсталлятору ос «свои» файлы вместо настоящих — и все дела.
                                                                          • 0
                                                                            >>что входит в его задачи? как он сможет заразить вновь устанавливаемую OS на этот HDD?
                                                                            Никак. HDD тут используется только как хранилище данных, защищенное от форматирования.
                                                                            Сложилось впечатление что его главная тут задача — пиар лаборатории касперского

                                                                            • 0
                                                                              Согласен с вами. Давно наслышан о «Великих Открытиях» албонатории Касперского.
                                                                          • +4
                                                                            Сразу захотелось поменять свой Symantec на Касперский.
                                                                            • +17
                                                                              Всегда удивляют пользователи антивирусов. Зачем постоянно лечиться, если можно тупо предохраняться?
                                                                              • +5
                                                                                «поставить антивирус» это и есть «тупо предохраняться», нет? Ведь это на порядок проще, чем тюнить систему, UAC и тому подобные вещи.
                                                                                • –11
                                                                                  Голову включать — вот «тупо предохраняться», а антивирус тут ни при чём.
                                                                                  • +14
                                                                                    Видимо, когда вы включаете голову, у вас сразу в системе все уязвимости исправляются. И на всех сайтах, на которые вы заходите, зловреды самоуничтожаются.
                                                                                    • 0
                                                                                      Если сидеть на XP без обновлений и запускать файлы из помоек, то да, антивирус нужен. Ещё он нужен любителям генераторов ключей и «полеченного» ПО. Такой вариант «налога на пиратство» в исполнении Касперского.
                                                                                      • 0
                                                                                        Для генераторов ключей и файлов из помоек можно воспользоваться VirusTotal-ом. А вот для чужих флешек и внезапно заражённых веб-страниц Касперский — самое оно. Ведь никто не будет все флешки сначала открывать в линуксе, а страницы загружать wget-ом и глазами просматривать код.
                                                                                        • 0
                                                                                          Ведь никто не будет все флешки сначала открывать в линуксе
                                                                                          Ну да! Даже наоборот, не все будут их открывать в виндуосе. Вообще.
                                                                                          • 0
                                                                                            То есть вы предлагаете вообще не пользоваться Windows?
                                                                                            • +2
                                                                                              Вай нот?
                                                                                              • +1
                                                                                                Потому что иногда нужно разрабатывать софт под Windows, играть в игрушки, написанные под Windows и запускать требовательные к ресурсам приложения, написанные под Windows
                                                                                                • –3
                                                                                                  иногда нужно разрабатывать софт под Windows
                                                                                                  Вот он, корень всех проблем.
                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  • +1
                                                                                    Я уже давно виндой не пользуюсь, зри глубже. Это реакция на пост.
                                                                                    • 0
                                                                                      Вспомнилось… bash.im/quote/398527
                                                                                      • 0
                                                                                        И где вы тут нашли упоминание об антивирусах? Если на то пошло.
                                                                                        • +1
                                                                                          Предохранение из разряда «у меня всё под контролем». Старая история.
                                                                                        • 0
                                                                                          Продукты у них лучше не стали, разве что дизайн хороший.
                                                                                        • 0
                                                                                          Пора возвращаться к идеи бездисковых рабочих станций. Сервер все-таки обычно сложнее заразить.
                                                                                          • +2
                                                                                            А там уже как раз стоит заражённый жестяк.
                                                                                            • 0
                                                                                              Удобно — все данные в одном месте :)
                                                                                          • 0
                                                                                            Получается, что для защиты достаточно полностью зашифровать диск и никогда не грузиться с него. Тогда любая попытка прошивки подпихнуть исполняемый код максимум приведёт к порче данных.
                                                                                            • +1
                                                                                              Есть еще такая вещь к примеру как DMA attack
                                                                                              • 0
                                                                                                Разве код из прошивки жёсткого диска может её провести?
                                                                                                • 0
                                                                                                  Насколько я понимаю — да. Жесткий диск как раз типичный пример железа читающего и пишущего физическую память через DMA в больших количествах. Можно смело считать что прошивка там обладает более широкими правами по доступу к памяти чем любой kernel driver. Для борьбы с этим нужно IOMMU которое виртуализирует адресное пространство железячных устройств, но оно далеко не везде есть и еще реже реально используется.

                                                                                                  www.zdnet.com/article/windows-7-open-to-attack-via-memory/
                                                                                                  • +1
                                                                                                    Хм. Всегда казалось, что чтением-записью занимается контроллер жёсткого диска, а сам жёсткий диск выступает исключительно в роли ведомого устройства и ничего сам сделать не может. А вот всякие PCI/PCIe устройства вполне могут напрямую к памяти обращаться.
                                                                                                    • 0
                                                                                                      Вы имели в виду «контроллер SATA» (контроллер HDD распаян на самом диске, его собственно и хакали). Почитал детальнее, и да, согласен, DMA контролирует именно он. Контроллер диска вообще говоря не настолько уж туп и при использовании NCQ хранит в себе целую очередь команд вида «блок памяти по адресу X записать в сектор Y» и «сектор Z прочитать в блок памяти по адресу W» и может выполнять их в разной очередности, направляя контроллеру SATA запросы на чтение-запись, однако в протоколе SATA предусмотрена защита от DMA атак — блоки физической памяти адресуются дескрипторами, а не физическими адресами и SATA контроллер самостоятельно мапит эти дескрипторы на физические адреса.
                                                                                              • +1
                                                                                                С какого-то диска вы же грузиться все равно будете. Если не брать маргинальные варианты типа загрузки по сети.
                                                                                              • +7
                                                                                                Если кому интересно — то вот описание этого механизма:
                                                                                                spritesmods.com/?art=hddhack — для Western Digital
                                                                                                s3.eurecom.fr/~zaddach/docs/Recon14_HDD.pdf — для Seagate

                                                                                                В SSD всё сложней, так как производителей больше。
                                                                                                • 0
                                                                                                  Я одного сообразить не могу: антивирус Касперского теперь позволит избежать слива данных через эти «закладки»?
                                                                                                  • 0
                                                                                                    Не удивлюсь, если через пару дней они анонсируют такой продукт. Причем именно для защиты Hitachi.
                                                                                                    • +4
                                                                                                      Ага. Встречайте Kaspersky security для HDD.
                                                                                                    • +7
                                                                                                      С интересом жду статьи, как нашли вирус в объективах фотоаппаратов, который тихо пересылает все фотки по вай-фаю заказчику — ведь у объективов сейчас тоже firmware, не гововоря уже о самих фотоаппаратах. А что будет с приходом «интернета вещей»!.. Жить становится все интереснее. :)
                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                    • +3
                                                                                                      На spritesmods.com/?art=hddhack — отличный пример — подмена данных на блинах (/etc/shadow)
                                                                                                      Но больше всего поразила возможность запуска ядра linux'a непосредственно на CPU HDD
                                                                                                      • +1
                                                                                                        Для того нужен zfs, :) чтобы памяти у фирмвари не хватило :D
                                                                                                      • +3
                                                                                                        Не совсем понятно, из-за чего ажиотаж. NSA ANT catalog был опубликован 30 декабря 2013 года. Интересующий нас проект — IRATEMONK. С ним связаны проекты STRAITBIZARRE и SLICKERVICAR, описание этих и других сочетаний букв доступно здесь. Внимание, вопрос: понадобился год после публикации, что бы сорвать покровы? С учетом того, что эти проекты NSA разрабатывались с 2008 года?
                                                                                                        • +1
                                                                                                          Там просто утечка доков и многие не верили и говорили что это деза, а тут уже нашли непосредственно такой вирус. Совсем другой инфоповод.
                                                                                                          • 0
                                                                                                            Ажиотаж благодаря грамотному пиару, спасибо за ссылку. Но у меня вопрос. Допустим, подменили мы MBR, внедрили руткит через всю ОС (хотя, верится с трудом: внедряться во все ОС задача практически невыполнимая, разве что через SMM/ACPI). Но ведь с точки зрения контроллера все равно, зачем читают первый сектор. Получается, обнаружить дыру можно просто загрузившись с другого диска.
                                                                                                            • 0
                                                                                                              Можно сделать не постоянную активацию, а скажем на каждый 10 запрос выдавать код вируса. Это и обеспечит заражение после форматирования и обнаружить сложнее.
                                                                                                              • 0
                                                                                                                Для простой подмены MBR нет нужды менять прошивку диска, тут что-то посложнее.
                                                                                                                • 0
                                                                                                                  Есть, если надо чтобьы подмена работала и после форматирования диска. MBR же затирается.
                                                                                                                  • 0
                                                                                                                    На таком уровне незачем менять MBR, если можно подменять сразу код ядра. Хотя возможности измененной прошивки не до конца понятны, может они не так уж велики.
                                                                                                                    • –2
                                                                                                                      Подменять код ядра OS? Это вряд ли возможно.
                                                                                                                      Диск это блочное устройство, ему просто говорят с какой дорожки какие блоки прочитать, он понятия не имеет о файлах и файловой системе.
                                                                                                                      Чтобы что-то подменить вам для начала в вирус надо запихать всю библиотеку NTFS, чтобы он знал когда будет запрос на системный файл с кодом для ядра, потом запихать в него модифицированное ядро. Вряд ли там есть столько места в скрытом разделе, и я сомневаюь в производительности контроллера. Контроллер достаточно тупой, грубо говоря от него только требуется крутить диски и водить головки на нужную дорожку, а вы от него хотите чтобы он как ЦП работал с файловой системой.

                                                                                                                      Просто подменить MBR и выдать код вируса на несколько порядков проще и заразит систему так же эффективно, не хуже подмены ядра.
                                                                                                                      • 0
                                                                                                                        У некоторых SSD заявлен умный сборщик мусора, находящий свободное место через анализ ФС.
                                                                                                                        • –1
                                                                                                                          ФС много разных и есть разные версии внутри одного семейства и что, SSD контроллер их все поддерживает? Это не реально.
                                                                                                                          Надо читать источник, я думаю там преувеличивают для рекламы, а на деле там что-то упрощенное, а не полноценная работа с ФС.
                                                                                                                          • +1
                                                                                                                            Вполне полноценная. Например, мало того, что FAT — простая как задница, так ещё и разбираться с LFN и прочим шлаком, чтобы просто знать, свободен данный сектор или нет, не нужно.

                                                                                                                            Да и вообще. Достаточно понимать ФС на уровне «занято/свободно». Т.е. уметь читать и понимать суперблоки и таблицу инод. Это несложно, даже если в ФС позже появятся новые фичи. Ну добавилась поддержка, скажем, контрольных сумм метаданных, но они же хранятся в иноде, если она по-прежнему помечена как занятая — почему контроллер должно было заботить, что именно в ней хранится.

                                                                                                                            А дисковый формат таблицы инод и её семантика меняются очень редко. Например, для NTFS это изменение последний раз было году этак в 2000. Для ext2/ext3 эти форматы идентичны, для ext4 формат поменялся с её появлением и опять же больше не меняется, а суперблок у ext4 такой же, как у ext2/ext3.
                                                                                                                            • –3
                                                                                                                              >FAT — простая как задница

                                                                                                                              FAT обсуждать нет смысла это прошлый век. А NTFS например вообще закрытая, без открытых доков.

                                                                                                                              >Да и вообще. Достаточно понимать ФС на уровне «занято/свободно».

                                                                                                                              я про это и имел в виду — упрощенная работа
                                                                                                                              а для подмены файлов нужна полноценная реализация ФС на контроллере диска, что вряд ли возможно
                                                                                                                              • +2
                                                                                                                                а для подмены файлов нужна полноценная реализация ФС на контроллере диска, что вряд ли возможно

                                                                                                                                Для подмены файлов это тоже не нужно. Достаточно знать, в каком порядке блоки стоят. А дальше всё равно детектировать по содержимому, исполняемый файл это или нет, и уже реагировать в зависимости от этого.

                                                                                                                                Я вас возможно удивлю, просто знайте: такие вирусы, которые вообще не знают структуру ФС, но тем не менее заражают файлы, перехватывая низкоуровневые обращения к диску, существуют уже очень давно, например, описаны в книге Е. Касперского «Вирусы в MS-DOS» 1993 года выпуска.

                                                                                                                                FAT обсуждать нет смысла это прошлый век. А NTFS например вообще закрытая, без открытых доков.

                                                                                                                                Наверное поэтому куча нового оборудования понимает только FAT.

                                                                                                                                И поэтому наверное также существует открытая реализация NTFS, а также открытых утилит для работы с ней.

                                                                                                                                И наверное именно закрытость NTFS помешает производителю SSD связаться с MS и под NDA получить необходимые сведения относительно структуры файловой системы.
                                                                                                                                • –4
                                                                                                                                  >Я вас возможно удивлю, просто знайте: такие вирусы, которые вообще не знают структуру ФС, но тем не менее заражают файлы, перехватывая низкоуровневые обращения к диску, существуют уже очень давно

                                                                                                                                  Речь шла про подмену ядра ОС, а не про заражение любого исполняемого файла наубум. Почитайте дискуссию.

                                                                                                                                  >Наверное поэтому куча нового оборудования понимает только FAT.

                                                                                                                                  У вас много HDD под FAT? Я уже давно не встречаю.

                                                                                                                                  >И наверное именно закрытость NTFS помешает производителю SSD связаться с MS и под NDA получить необходимые сведения относительно структуры файловой системы.

                                                                                                                                  производитель SSD и производитель вирусов в общем случае это разные конторы ;)
                                                                                                                                  • +1
                                                                                                                                    Речь шла про подмену ядра ОС, а не про заражение любого исполняемого файла наубум. Почитайте дискуссию.

                                                                                                                                    Обнаружение и подмена файла с ядром ОС абсолютно ничем не отличается от обнаружения и подмены любого другого файла. Кроме того, чтобы сделать руткит, не обязательно менять именно ядро ОС — можно подменить, например, драйвер уровня ядра.

                                                                                                                                    У вас много HDD под FAT? Я уже давно не встречаю.

                                                                                                                                    Ну так вы просто в каменном веке живёте.

                                                                                                                                    У меня ядро ОС лежат на FAT-разделе, который одновременно является EFI System Partition и /boot, потому, что я не вижу смысла делать отдельный EFI System Partition для загрузчика и отдельный /boot для ядер и initramfs. (Кстати, FAT — единственная ФС, которая обязана поддерживаться UEFI, остальные — факультативны.)
                                                                                                                                    • –3
                                                                                                                                      >Обнаружение и подмена файла с ядром ОС абсолютно ничем не отличается от обнаружения и подмены любого другого файла.

                                                                                                                                      сканируя файлы только по сигнатуре будет подменятся не только ядро, но и лишние файлы, например при копировании, или на неактивном разделе, итп, что приведет с излишней заметности вируса

                                                                                                                                      >Кроме того, чтобы сделать руткит, не обязательно менять именно ядро ОС — можно подменить, например, драйвер уровня ядра.

                                                                                                                                      чтобы сделать руткит достаточно подменить MBR и не требуется менять никакие файлы, о чем я и написал в начале дискуссии

                                                                                                                                      >Ну так вы просто в каменном веке живёте.

                                                                                                                                      В каменном веке FAT как раз была повсюду
                                                                                                                                      • –2
                                                                                                                                        Кстати, FAT — единственная ФС, которая обязана поддерживаться UEFI, остальные — факультативны

                                                                                                                                        ну так UEFI это разработка Intel, которая началась еще в 1998 года, и какую еще ФС они могли поставить в спеки, NTFS ведь закрытая, что бы вы ни говорили…
                                                                                                                                  • –1
                                                                                                                                    FAT — отличный путь для распространения через флешки.
                                                                                                                                    • –1
                                                                                                                                      А причем тут флешки?
                                                                                                                                      • 0
                                                                                                                                        Это вот к этому:
                                                                                                                                        FAT обсуждать нет смысла это прошлый век
                                                                                                                                        Напомню, в флешках тоже есть контроллер и он тоже подвергается программированию. У меня, к примеру, есть отличная флешка которая компом определяется как DVDD и FD.
                                                                                                                                  • –1
                                                                                                                                    А еще есть brtfs, reiser, ну и опять же: раздел можно зашифровать.
                                                                                                                                    • 0
                                                                                                                                      ни разу не слышал про SSD, производитель которого обещает понимаение btrfs и базирующееся на этом улучшение работы сборщика мусора
                                                                                                                                      • 0
                                                                                                                                        Сколько процентов целевой аудитории такой закладки будет использовать такие ФС?
                                                                                                                                        Достаточно поиметь большинство нужной аудитории, у которой 99.(9)% будет юзаться FAT/NTFS/EXTx/UFS/ZFS. С повсеместным UEFI это ещё проще будет.
                                                                                                                                    • 0
                                                                                                                                      Но могу вспомнить где сам видел это, но при беглой гуглёжке нашел упоминания сборки мусора с NTFS у Samsung и OCZ.