AbcLinuxu:/ Zprávičky / Equation dokáže infikovať firmvér HDD všetkých značiek

Štítky: hdd, NSA

Equation dokáže infikovať firmvér HDD všetkých značiek

Podľa informácií spoločnosti Kaspersky Lab sofistikovaná hackerská skupina Equation, pracujúca pre americké tajné služby a nepriamo spájaná s NSA, dokáže infikovať firmvér pevných diskov všetkých súčasných hlavných výrobcov.

18.2.2015 02:22 | Peter Šantavý | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

18.2.2015 04:08 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Odpovědět | Sbalit | Link | Blokovat | Admin

Shrnuti konspirativni/technicke casti zpravy je spise zde ci zde.

A former Red Hat freeloader.

18.2.2015 12:03 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Zatím nejlepší technický popis jsem našel zde (pdf file)

18.2.2015 07:19 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Odpovědět | Sbalit | Link | Blokovat | Admin

Každopádne sa jedná o také lepšie Arduino s TB kapacitou.

18.2.2015 07:45 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Odpovědět | Sbalit | Link | Blokovat | Admin

By mně zajímalo, kdo schválil tuto konspirační zprávičku, která si něco cucá bez uvedení zdroje. Vážně by mně zajímalo, kde Kaspersky píše o tom, že za tím stojí tajné služby USA + případně NSA? Co vím, tak ani Stuxnet jim nebyl dokázaný a zatím je to čistě věc konspirátorů. Jediné, co by mohlo naznačovat spojení s NSA je první komentář v zápisku, jenž rozebírá zmíněné škůdce : Equation: The Death Star of Malware Galaxy.
Tam jeden týpek uvádí odkaz na soubor z roku 2006, který údajně patří NSA a má tam uvedenou pracovní pozici s tímto úkolem :

Create a covert storage product that is enabled from a hard drive firmware modification. The ideia would be to modify the firmware of a particular hard drive so that it normally only recognizes half of its available space. It would report this size back to the operating system and not provide any way to access the additional space.

Né, že bych nějak miloval USA apod. instituty, ale tihle fanatičtí konspirátoři jsou úplně to samé jako druhá strana. Mystifikace, snažit se šířit senzace, popř. paniku apod.
Zdar Max

Měl jsem sen ... :(

18.2.2015 10:23 Peter Šantavý | skóre: 22 | blog: Obcasnik
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Ospravedlňujem sa za formuláciu ovplyvnenú správami na Routers a The Register.
Za formuláciou nepriamo spájaná s NSA si stojím, no pracujúca pre americké tajné služby som si asi mohol odpustiť.

19.2.2015 18:18 Slavko
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Nielenže mohol, ale priamo mal odpustiť. Dnes predsa každý vie, že hackeri pracujú len pre zlú Severnú Kóreu, Čínu a Rusko. Dobrí Američania by si nikdy nič také nedovolili - oni sa predsa chránia celý svet.

Ale kto ochráni svet pred Američanmi???

18.2.2015 07:57 Dusan | skóre: 23 | blog: Moje_trable_s_internetom
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Odpovědět | Sbalit | Link | Blokovat | Admin

Potápanie SŠA a ako dôveryhodného štátu pokračuje. Hollywood im to už neuhrá (no možno keď bude dostatočné množstvo slniečkových ľudí na svete).

18.2.2015 08:02 Attila
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Prečo sa z toho radšej netešíte ? ...veď zálohovanie dát zadarmo :)

18.2.2015 08:07 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Zálohovanie síce áno, ale k obnove nemáš prístup pokiaľ niesi na výplatnej listine.

18.2.2015 08:13 Attila
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Ale tá knižnica *.dll naznačuje, že to aj tak bude fungovať iba z win prostredia, takže klídek kým nepripravia nsa.so

18.2.2015 08:32 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Tá knižnica je použiteľná len ak je cieľová mašina už kompromitovaná, ale vtedy sa stráca význam takejto pokročilej stealth techniky. V opačnom prípade sa stačí držať starých spôsobov a presmerovať zásielku.

18.2.2015 09:44 Dusan | skóre: 23 | blog: Moje_trable_s_internetom
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

To potápanie dôveryhodnosti, samozrejme platí aj vtedy ak MAX a J majú pravdu.

18.2.2015 09:39 j
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Odpovědět | Sbalit | Link | Blokovat | Admin

Zatim to spis vypada na nejakou PR kasperskyho .... protoze to sice mozny je, ale... je to zatim presne stejny jako ty "miliardy z bank ukradeny hackery".

18.2.2015 10:06 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Odpovědět | Sbalit | Link | Blokovat | Admin

Může někdo jednoduše v bodech popsat jak by toto mělo fungovat?

Na různých webech se objevují fantasmagorie o tom, že infikovaný disk komunikuje po síti apod. To je nesmysl. Jedinou věc ke komunikaci má SATA / SAS kabel, který vede do řadiče, který vydává SATA příkazy. Toť z hlediska komunikace vše.

Dále, na disku jsou uložena data v podobě bloků. Bloky jednotlivých souborů jsou uloženy "náhodně kde" dle alokačního algoritmu toho kterého fs a také v závislosti na předchozím zaplnění.

Disk sice má ARM s nějakou malou vlastní pamětí, běží na tom i Linux.

Jenže toto nejsou dostatečné prostředky na to analyzovat (kam by se ta pravidla pro analýzu uložila?) data která diskem procházejí (140MB/s). Na to ten výkon nestačí a značně by to ten disk zpomalovalo (a toho by si snad někdo všiml).

Dále, se objevily údaje o tom, že disk při startu počítače pošle modifikovaný boot sektor (a tento boot sektor už si potom načte data jaká potřebuje a v podstatě převezme kontrolu nad kompem). Dobře, dejme tomu. Jak ale disk pozná, že ze po něm chce zrovna boot record? Co když je to datový disk v md, nebo nějakém hw řadiči? Ne všechny disky jsou bootovací. Vždyť toto by se detekovalo prakticky okamžitě (prostě by vrátil jiná data).

Celé to na mě působí bombastickým style a lá kauza Snowden, kdy se odhalovalo, že NSA může dešifrovat kdykoliv a cokoliv. Nakonec, po pečlivější analýze se jednalo pouze a jen o staré známé zranitelnosti, případně obyčejné MITM.

Pokud bych chtěl být lehce paranoidní, tak bych se podíval kam zmizel Snowden, kde je firma Kaspersky a v jaké době se ty zprávičky objevují. Prostě válka vedená přes poplašné zprávy v médiích.

Heron

18.2.2015 10:22 nojo
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

kazdy disk ma dneska zpristupneny senzory po dalsi sbernici, kde se taha cokoliv. je to takova pomala pci na srvrech navic nalinkovana na serivy a sitovy vrstvy.

18.2.2015 10:25 nojo
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

vlastne doba pokrocila. dneska uz to ma kazdej soho chipset od intelu. takze i na mainstream desktopu to je. jen ten nejlevnejsi h81 to nema.

18.2.2015 10:27 nojo
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

nema to napojeni na sitovou vrstvu jinak ta sbernica k senzorum tam samo, ze je taky / jeji nejlacinsi vyklestena alternativa.

18.2.2015 11:48 R
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

citation needed

18.2.2015 11:25 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Jak ale disk pozná, že ze po něm chce zrovna boot record?

Ak par sekund po zapnuti napajania po nom niekto pozaduje sektor 0, tak posle modifikovany. Nie je to neomylne, ale pre naburanie sa do zaujmoveho nb to bude stacit.

If you hold a Unix shell up to your ear, you can you hear the C.

18.2.2015 12:05 Jindřich Makovička | skóre: 17
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Tohle je snad i součást nějaké specifikace pro šifrované disky - disk při pokusu o nabootování vrátí stínový boot sektor, v tom je kód, který se zeptá na klíč, pošle ho disku, vypne stínový boot a pak nabootuje z původního.

18.2.2015 11:39 martian
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Co ja vim, treba UEFI by mohlo "pomoct", ne?

18.2.2015 15:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Jenže toto nejsou dostatečné prostředky na to analyzovat (kam by se ta pravidla pro analýzu uložila?) data která diskem procházejí (140MB/s). Na to ten výkon nestačí a značně by to ten disk zpomalovalo (a toho by si snad někdo všiml).

Pro kompromitaci systému ti stačí podvrhnout bootkit nebo třeba v případě běžného nastavení šifrovaného disku přidat skript do initramdisku na malé ext2 partition (v disku běží Linux, takže driver na ext2 a cpio máš).

Co když je to datový disk v md, nebo nějakém hw řadiči?

Pak to fungovat nebude. Jestli jsem to ale pochopil dobře, jde jim hlavně o notebooky a desktopy.

18.2.2015 18:49 Kvakor
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Disk sice má ARM s nějakou malou vlastní pamětí, běží na tom i Linux.
Jenže toto nejsou dostatečné prostředky na to analyzovat (kam by se ta pravidla pro analýzu uložila?) data která diskem procházejí (140MB/s). Na to ten výkon nestačí a značně by to ten disk zpomalovalo (a toho by si snad někdo všiml).

Pokud je za cíl napadnout Windows, tak by stačilo mít pravdila na nalezení nejaké součásti jádra nezávislou na lokalizaci, tudíž pro každou verzi by byl třeba jen jediný soubor. Pro pokrytí většiny případů by stačilo tudíž řekněme šest až deset verzí souboru. Dokonce by si firmware mohl někam zapsat, kde soubor na disku je, aby nemusel prohledávat čtená data a rovnou vracel podrvřené sektory.

18.2.2015 20:55 Kvakor
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Tak opravdu je to cílené čistě na Windows, ale nefunguje to podvržením jednoho souboru, nýbrž přímo interaktivním ovládáním samotného načítání systému, tudíž by to mohlo fungovat i bez ohledu na přesnou verzi, pokud zůstává mechanismus stejný. Prvně se načte infikovaný bootsektor (VBR), ten načte a v paměti upraví bootloader, pak jsou v paměti upraveny i načítané ovladače a nakonec se zavedou vlastní komponenty malwaru jako ovladače (jak pro uživatelský prostor, tak pro jádro samotné) pomocí chyb v legitimních ovladačích (jako příklad je uváděn ElbyCDIO.sys z CloneCD, i když přesný mechanismus nepopisují). Na ArsTechnica jsou obrázky, co to popisují.

Je to tak podobné mechanismu, který používaly svého času DOSové bootovací viry, z nichž některé také upravovaly zavedený systém v paměti tak, aby byly uživatelem i běžnými antiviry nedetekovatelné, a zároveň používaly i polymorfismus, aby obešly běžné metody používané při hledání virů pomocí signatur.

Je jasné, že spáchat něco takového bez dostupnosti informací o nejvnitřnějších vnitřnostech Windows by bylo velmi komplikované, nicméně pro třípísmekoníé hochy by jistě nebyl problém takovéto informace dodat z první ruky ...

18.2.2015 10:15 nojo
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Odpovědět | Sbalit | Link | Blokovat | Admin

nuda.

uz nekdo zverejnil detaily o tom neznamem usb zarizeni pripojenem do piretebay serveru v momente jeho umrtveni? osobne vsazim, ze jde o nejaky kousek podle HP patentu na vyvolani SMM preruseni z USB sbernice s cilem zazalohovat obsah registru procesoru a pameti na pripojene usb zarizeni pro pozdejsi analyzu.

18.2.2015 12:04 R
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Odpovědět | Sbalit | Link | Blokovat | Admin

Mam tu par starych diskov, co maju firmware v EPROM. Este sa budu hodit...

18.2.2015 21:04 Kvakor
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Já mám zas disky od dnes již zanikých (resp. pozřených) výrobců, konkrétne Quantum (pozřené Maxtorem) a Conner (pozřený Seagatem), na které by byl detektor typu firmwaru krátký. Nevýhoda je, že jsou to všechno ještě PATA disky a některé z těch starších mají problém i na deskách, které náhodou PATA rozhraní ještě mají. Na druhou stranu, existují PATA/SATA redukce a i když ty disky mají velikost v řadu desítek MB, jsou stále dost velké na to, aby se z nich dokázalo zavést linuxové jádro.

18.2.2015 23:42 Blaazen | skóre: 24 | blog: BL
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

A co když je backdoor v linuxovým jádru? Já mám komodora s kazeťákem, samozřejmě offline, na web bych s tím nešel, nejsem šílenec, je to absolutně bezpečný.

18.2.2015 23:53 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Presne tak: a proto vykopavam svoji HP48SX ci jeste lepe otcovu HP97. Nas nedostanou!

A former Red Hat freeloader.

19.2.2015 00:52 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Reverzní polská logika. Slzu jsem zamáčnul. :-)

19.2.2015 23:32 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Na RPN se stackem jsem byl odchovan, je to velmi navykove. I ted, kdyz mam pouzit kalkulacku s algebraickou logikou se zavorkama, mam pocit ze je to stejne neohrabane jako jist polevku lopatou.

Neodolam a hodim sem reprint clanku z HP Journal o prvni kapesni kalkulacce na svete - HP35.

A former Red Hat freeloader.

20.2.2015 22:02 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

přiměl jsi mne se poohlednout jestli se něco podobného pořád dělá a HP 50g vypadá moc hezky a pak ještě hp35g a ostatní už mají závorky a rovnítko.

20.2.2015 22:25 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Ten dizajn bol dosť využívaný, napríklad v TI.

20.2.2015 23:04 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

TI? Des a hruza, nikdy. Nikdy! ;-)

Ve sve dobe to byly uhlavni konkurenti a oba tabory zejich zastancu pomerne nesmiritelne; vi/emacs, linux/bsd, HP/TI. Cas ukazal, ze HP byly lepe stavene, treba ted po 35 letech maji mene problemu s klavesnici, displayem ci zaznamovymi medii.

A former Red Hat freeloader.

20.2.2015 23:39 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Tá TI mi stále funguje tak ako vtedy. O akých problémoch hovoríš?

21.2.2015 01:24 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Predpokladam, ze nemate tu sracku zvanou TI57 LCD, tam by to bylo bez debaty, zejmena ve srovnani s tehdejsi HP41C.

Pokud jde o TI55/57/59, ktere se ve vzhledu snazily vypadat jako HP, problem byla napriklad pena v klavesnici, ktera byla soucasti mechanismu a lety degraduje. Zpusob opravy je popsan treba zde. Ten problem je zminovan v plno soucasnych review. Jeden z prvnich triku, ktery problem resil okolo deseti let stari, bylo dat penu obracene. Na stranu druhou, jediny plast klavesnice tehdejsiho konkurenta, HP67, lze vymenit a jeho selhani nehraje roli, je to jen tenka folie branici vniku necistot, nema zadnou mechanickou roli, jeji vymena je trivialni a zbytek je kov. Rozdil v designu je markantni na prvni pohled.

A former Red Hat freeloader.

21.2.2015 10:07 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Divné. Ja mám síce pod tlačítkami molitán, ale ten je oddelený fóliou aby sa nedostal do spínačov. Asi mám model určený pre iný trh ako to, čo opisuješ ty.

21.2.2015 22:59 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Tam je problem s nedomackavanim, i kdyz to mate vetsinu stavu v supliku, to nehraje roli. HP dimenzoval sve klavesnice naprosto zbytecne za horizont moralni zivotnosti tech zarizeni.

A former Red Hat freeloader.

22.2.2015 12:01 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Aha, nedomačkávanie. Takže ono sa to nedá stlačiť, a tým pádom tie tlačítka nikdy nefungovali. To je dobrá blbosť.

22.2.2015 12:13 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Klavesa neni registrovna a musi se mackat znovu. Opet znamy problem.

A former Red Hat freeloader.

22.2.2015 15:02 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Že sa mi to ešte nestalo. A to mám v zbierke TI-30, TI-57 a TI-58 modely s LED displejmi.

22.2.2015 18:57 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Pak mate stesti. Znam cloveka, ktery ma celou TI radu ze 70.let, casto i nekolik kusu jedne rady, vcetne prislusenstvi a tvrdi ze mensi ci vetsi problemy maji dve tretiny jeho kalkulacek. Totez otcovi vrstevnici, kteri je kupovali/pasovali z Nemecka jako nove a pozoruji v soucasnosti minimalne znatelnou degradaci v case, stejne jako dalsi lide na forech.

Nicmene, moje puvodni tvrzeni bylo, ze cas ukazal, ze HP byly lepe stavene a prave klavesnice to ukazuje. Ten design je popsan treba zde, a pokud to nekdo nenechal ve vode, nebo vyteci baterie, jejich mechanicke spinace chodi spolehlive bez znatelne degradace, vcetne tactile feedbacku i po vice nez 40 letech (od HP35 v 1972 stejny design u LED modelu az do zacatku 80 .let).

A former Red Hat freeloader.

22.2.2015 19:47 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Áno, je možné že som dieťa štasteny. Táto opisovaná chyba v spínačoch kalkulačky ma obišla, rovnako ako aj povestné chyby SystemD ktorý používam k plnej spokojnosti už rok a pol.

A skús tým pašerákom povedať že nech nekupujú nepodarky pred fabrikou, ale nech ten tovar radšej kúpia v obchode a so zárukou. Takých zmätkov bola plná napríklad aj Ježíš Mária Hilfe Štráse vo Viedni.

20.2.2015 23:01 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

HP35s, manual. Trochu retro, provedeni poplatne dnesni dobe, ale stale vyrazne lepsi nez prumer, tuhost dobra, sroubu plno. Mam ji.

A former Red Hat freeloader.

19.2.2015 09:41 R
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Najlepsi by bol Kalok Octagon. Len sa hrozne srali, tak najst funkcny kus bude dost problem :D

19.2.2015 12:00 NN
Rozbalit Rozbalit vše Re: Equation dokáže infikovať firmvér HDD všetkých značiek

Odpovědět | Sbalit | Link | Blokovat | Admin

bu bu bu...

Založit nové vlákno • Nahoru