Skryty spyware vo firmware v HDD
Dobry vecer, nahodou som narazil na tento clanok:
http://www.techpowerup.com/209925/nsa-hides-spying -backdoors-into-hard-drive-firmware.html
a velmi ma to zaujalo. Je podla vas na tom nieco pravdy?
Ako ten spyware dokaze prezit formatovanie HDD?
Pokial by sa odosielali data, tak to by sa zistit dalo, nie?
Na tejto poradni som raz cital, ze kazdy preneseny byte sa da monitorovat. V tom pripade by nemal byt problem zistit, ze si HDD nieco niekam odosiela bez mojho vedomia :)
Niektore pripojenia maju obmedzenie FUP, ako napriklad ja 128GB, a tak by si všetky data preniesli iba NSA a mne by nic neostalo :) ?
Vopred dakujem za odpoved, prijemny vecer prajem
Formátování se týká pohyblivé části disku, tzn. ploten. Firmware je uložený ve flash paměti a ta se neformátuje. Dá se pouze přehrát jiným firmwarem.
Dakujem za odpoved, takze by sa ten spyware dal eventuelne odstranit ? :)
A ako je to s tym monitorovanim prenesenych dát ?
Este by som doplnil, opat som natrafil nahodou na dalsi clanok tykajuci sa spyware v HDD.
Hned ma zaujal titulok, no a po precitani samozrejme aj cely clanok
http://www.pcworld.com/article/2884952/equation-cy berspies-use-unrivaled-nsastyle-techniques-to-hit- iran-russia.html
Šmankote, každý normálně uvažující jedinec by řekl, že i v případě, že by něto takového existovalo (což nevylučuji) bude stačit ten disk odpojit. A ejhle, nic takového, rodupat, zlámat spálit a pak hodit do řeky. A nejspíš potom ještě hodit počítač pod parní válec.
Co furt chceš odstraňovat!? NSA, USA a Bombama jsou přece naši nejlepší přítulové. Odstranění něčeho takového by bylo otevřeným vyjádřením přátelství Rusku! To si přece jako správný demokrat nemůžeš dovolit! Už tím, žes to sem napsal, sis posral život!
tak proč to nemonitoruješ?
vyvinuli ten vir speciálně kvůli tobě, zaměřují se na tebe, tak s tím něco dělej.
Dost naivní názor. Nebo si myslíš, že se tě přeneseně nijak nejen ale i ekonomicky nedotkne, když budou mít amíci veškeré informace jako na talíři. Tj. informace o evropské konkurenci (možná tvých zákaznicích, či zaměstnavatelích tvých zákazníků), o evropských politicích (s možností je vydírat a manipulovat přesně podle amerických zájmů a třeba proti zájmům našim) atd.? Na Tebe konkrétně se vůbec zaměřovat nemusí.
ale to přece už dávno mají a pokud to někoho překvapuje, tak posledních 15 let prospal.
No však taky celou EU mají pod palcem a jde do sraček. Já rozhodně nejsem ten, koho to překvapuje..
A cital si vobec, co v tom clanku napisali?
Kto sa trosku rozumie PC architekture a vie ako funguje tak pochopi, ze cely tento clanok je velky blabol. Takze bios nacitava fw do ramky a kod sa spusti este pred samotnym spustenim OS? To, co za kravinu napisali? A predpokladam, ze je nezavisly na platforme, ze?
A bombonik na zaver. Vsetci sa odvolavaju na Kaspersky, ale kde je ten povodny clanok, v ktorom o tom informuju? Nikde. Kaspersky ziadne take vyhlasenie totizto nespravil, aspon Google o nicom takom nevie. Je sice pravda, ze tuto spravu zverejnili rozne media, napriklad aj seriozny Reuters, ale kde mame zdroj? Kde mame potvrdenu informaciu priamo zo zdroja? Nikde. Proste len protiamericka kacica s cielom vyvolat paniku.
Pozrime si, co pise Reuters
Jasne, mame tajneho informatora, idealne zamaskovaneho za byvale zamestanca NSA.
Kde je odkaz? Google mi nic take nenasiel. Preco? Neviem hladat? Preco Reuters neuvadza odkaz na clanok od Kaspersky?
atd atd.
Preco ludia tak strasne veria vsetkemu, co sa napise a preco sa 100 opakovana loz naozaj stane po case pravdou?
Odkaz je samozřejmě v tiskových zprávách této firmy. A předpokládám, že pak ještě proběhlo pár dalších telefonátů odborníků nebo novinářů..
Citaj menej nezmyslov v novinach, budes potom lepsie spat.
je nezmysel. BIOS nenacitava ziaden firmware z nicoho (maximalne tak OPROM PCI zariaedni, HDD ale neni PCI zariadenie). Napriek tomu by bol taky utok v principe mozny, ak by FW menil sektory, on ale sektory nemeni.
Ty ses dodej šašek a demagog. Takže podle tebe a vlastně proti tvým znalostmi je Kaspersky nula a svoje jméno komerční firmy by dali jen tak do vetru i když musi počítat s tím, že jejich zprávu budou číst i skuteční odborníci? Na rozdíl od různých hnupu, valejicich se na poradách? Snowden a treba wikileaks jsou taky pohádky, co?
A ty si asi dement. Asi neviem co 15rokov programujem, len si tam cely den pisem nejake nahodne pismena do zdrojaku, ne?
Ten clanok je od nejakeho novinara ktory tvrdi ze kaspersky cosi povedal, ale taku kravinu jak tam pise kaspersky urcite nepovedal.
Co ma podla teba robit firmware disku v system memory? Firmware disku bezi v disku, a ne v system memory. Navyse sa firmware ani voebc neda z disku vycitat.
Skodlivy kód, se muze at i prechodnē schovat, zapsat, prakticky vse co má pamēt, tak jako ruter., nebo i Grafická karta (do VRAM)kdyz na to príde
Ale ten skodlivy kod sa nespusti na CPU v PC, lebo nema jak (P.S. jedina moznost je ako som pisal keby disk menil sektory). Nestaci mat skodlivy kod zapisany na papieri nalepenom na monitore :)
Bohate staci, kdyz ti skodlivy kod predava vsechna data aprogramy, ktere system potrebuje k bootovani a fitruje vsechny tve pozadavky na skenovani souboru a dat na disku podle sve libosti. Virus, ktery aktivne sledoval, zda jim napadene programy nejsou debugovany/skenovany a pripadnemu debugeru/skeneru predaval upravenou verzi, ktera ho neobsahovala fungoval uz davno v DOSu. Osklivi a zakerni programatori vsak teto jeho schopnosti pouzivali k jeho odstraneni, takze se zase tak moc nesiril. Coz neznamena, ze to nejde napsat jen o trosku chytreji, kdy takto dezinfikovat nepujde.
Z disku sa ale citaju len sektory ktore si tam OS zapisal pri instalacii (a nasledne ty data a programy), nic viac. To by musel ten disk ked vidi napr. kernel.sys poslat iny kernel.sys. Je to mozne, ale zmenis OS (staci aj update) a virus je v riti :)
(a ak by menil vsetky exe tak TC bude kricat ptz si kontroluje CRC apod)
Oblubeny sposob niektorych virov bol tusim aj modifikacia ntldr, to je asi najlepsi bod na utok ak by to niekto robil vo FW HDD. Pri offline scane by si to ale odhalil (ptz aspon raz to musi poslat ten modifikovany ntldr)
O to tady jde. Samotný HDD přece nemůže mít přístup k internetu. Aby bylo možné nějaká data odeslat, bylo by nutné to dostat na plotnu, aby to mohl procesor zpracovat, ale pak by to bylo možné odhalit jako běžný malware.
firmware disku ak by bol ten skodiaci kod dost inteligentny by mohol ten zavadny sektor poslat len raz pri boote, a tym modifikoval kod samotneho windows. Potom uz by posielal spravny sektor. Offline scanom by sa to ale dalo zistit, ak by si disku simuloval bootovanie OS a kontroloval co posiela za sektory.
Keby bol fakt takyto problem s HDD, tak by kaspersky uz mal urcite offline scanner na to a predaval ho, a neblabolil by len do sveta cez novinarov ze to je nemozne :)
A urobit uspesne takyto firmware utok je silne komplikovane, ptz to zavisi od OS a aj od sposobu bootovania (UEFI a neUEFI). P.S. takto modifikovany disk podla mna urcite bezne nestretnes, ptz by to vyslo dost rychlo najavo ze disk meni sektory. Ak vobec nejaky taky disk existuje.
Existuje kopec jednoduchsich sposobov jak sa naburat do PC.
No i laik pochopí, že v 99,9ti procentech případů, jsou na tom ty počítače s nastavením a bezpečností tak, že něco propašovat z nich ven není žádný extra velký problém, zvláště v případě, že třeba v cestě stojící stroj, který má monitoring na starost je také spolupracujícím virem obdařen. Nikdo přece netvrdí, že NSA má 100 procentní úspěšnost. Navíc jsou vyvinuty i další cesty, kudy data ven dostat než jen samotné připojení k internetu - např. zvukový přenos na nízkých frekvencích na jiné nakažené a nemonitorované zařízení s mikrofonem (dnes prakticky jakékoliv), nákazy jiného firmware přenosného hw a další cesty. Navíc celá věc funguje tak, že se spouští až při nějaké kombinací zajimavých zjištění (klíčových slov apod.), tzn. nemusí plošně odesílat xxxxbajty dat, ale odešle si jen to co je zajímavé a od osob, které jsou zajímavé.
offline scan to odhali leda kdyz z disku vyndas plotny, protoze jinak ti ten disk (a jeho firmware - ktery je zde tim virem) normalne bezi a muze se rozhodovat, jakou verzi ceho ti vrati
Ked mi chce nakazit windows alebo akokolvek sa spustit tak aspon raz pocas bootu musi vratit zmenene data.
Vzhladom na to ze kaspersky tvrdi ze to nejde zistit, tak to nic nenakazuje a nemeni ziadne sektory.
Kdyz rikas, ze nevis, tak nevis. Co pises do zdrojaku netusim, prez rameno ti nevidim, ale tenhle typek se naboural do firmwaru HDD a fungovalo mu to. Kdyz dokazes modifikovat, co ti leze z HDD ven (a co dovnitr) za data, tak pripadny virus proste pribalis k cemukoliv spustitelnemu, nebo treba jen k urcitym systemovym souborum, hned po startu pocitace, jeste nez cely system (natoz nejake antiviry v nem) nabehne.
spritesmods.com
(a jen pro predejiti zbytecnym debatam, ze se do toho cipu nic velkeho nevejde - sveho casu jsem v DOSu napsal a leta uspesne provozoval programek, co mel 120 byte v klasicke RAM a zbytek si (vuci vsemu ostatnimu v pocitaci transparentne) swapoval dovnitr a ven, prakticky spoustel prekladac+interpret bytekodu a mel ulozeno svych vlastnich 330K dat o kterych zbytek systemu nemel tuseni. Slo o obejiti problemu s omezenim na 640 kB RAM pro normalni programy a vyrazne zrychleni opakovanych vypoctu - asi na dvojnasobek a to jeste spoustu z toho casu zabrala komunikace s nim)
Ja som to pisal hned v mojom prvom prispevku. Asi nevies citat.
A stale plati ze
je nezmysel.
Pokud Kaspersky neco takoveho skutecne napsal, tak je to skutecne nula, protoze je to nesmysl. Vim, o cem mluvim, vyvojem BIOSu se podobne jako MM zivim od roku 1996.
Proc je to nesmysl? No napriklad proto, ze v disku urcite nebude jako radic nejaka Core i5 nebo cokoliv jineho Intel x86 kompatibilniho, ale nejaky specializovany procesor na uplne jine architekture. Zkus si schvalne stahnout nejakou Androidi aplikaci a spust si ji pod Windows :)
Fleg uz v spravicke nasiel nejake original informacie od kasperskeho, citujem:
necital som to, ale urcite tam nebude kaspersky pisat ze BIOS kamsi laduje firmware disku
Samozrej, ze nepise, to uz si len pridali pani "novinari", co clanok preberali. Klasicky pripad ako sa siria dezinformacie netom.
Obcas mam pocit, ze novinarina je spis hra na tichou postu...
Ako ja rozumiem, co si novinar myslel a ako si asi myslel, zeby sa ten virus nastartoval pred behom OS, ale samozrejme tak to nejde. To co nacrtol MM mi pride logicke a preveditelne.
Comu uz neroumiem je ako dokaze virus bezat "pod" samotnym OS, kedze OS predsa nebezi na ziadnej platforma a komunikuje priamo s hw.
Je tam proste vela nevystlenych veci, v kazdom pripade podstatne je, ze disky nie su napichnute uz z vyroby ako sa pokusali clanky na roznych weboch podsuvat ludom..
http://tech.sme.sk/c/7652162/odhalili-najvacsi-uto k-hackerov-v-historii-stoji-za-nim-nsa.html
Pokud dokážou přemluvit/ovládat firmy na výrobu HW, co Tě vede k překvapení, že by mohly dokázat ovládat i mobilní operátory? Tedy odesílání takových dat samozřejmě nemusí být nikde do FUP zahrnuto.
Prosím, řekněte že tu akorát trollíte.
Ne, netrolím a dokonce jsem úmyslně uvedl HW, protože zdaleka nemusí jít a nejde jen o HDD.
Ano celosvetove sprisahanie vyrobcov mobilnych telefonov je uz rokmi zabehnute klise.
Kto chce veri, kto pouziva aj mozog silne pochybuje. Kto sa rozumie technickej stranke tak to uplne vylucuje.
No spíše jsem měl teď na mysli základní desky, biosy apod. :), ale ok, žádný problém jinak byla v tomto vlákně myslím především řeč o propustnosti datového toku s ohledem na FUP u mobilních operátorů. A ti se, alespoň u nás, všichni do jednoho velice rádi a snad i dobrovolně zapojili i do filtrování internetového obsahu podle britsko-izraelského soukromého neveřejného blacklistu Internet watch foundation. Je samozřejmě možné si představit i nákazu alespoň části sortimentu mobilních telefonů již od výroby a odesílání dat na speciální extrémně citlivé zachytávače, kterým mohl být možná i třeba brdský radar nebo jiná technická řešení. Představivosti už se další meze nekladou Ale třeba schopnost NSA napíchávat podmořské kabely nebo přesměrovat přes sebe zásilky předpravních společností už byla také někde zveřejněna nikoliv mnou Ale chápu, že pro některé lidi je falešná realita přijatelnější než ta skutečná a když už náhodou se i ta skutečná provalí, tak přeci politici jsou podle nich hodní strejdové, kterým jde samozřejmě při sledování nás všech jen o naše dobro
Mna fascinuje ako si urcil, ktora realita je falsona a ktora ta prava. Prava je samozrejme ta, ktorej veris ty, ale kde su dokazy preboha? Ci vsetko len na zaklade domnienky, ci 1000x opakovanych lzi na nete?
Necumte na tie filmy hosi, to hovorim stale. Taky Nepriatel statu je sice fajn film, ale s realitou nema nic spolocne.
Určil jsem ji jednoduše. To co je prokazatelné (jako např. existence IWF, vyjádření bílého domu, amerických firem zapojených do sledování NSA o tom, že mají zakázané odmítnout atd.) obvykle označuji jako skutečnou realitu neboli fakta, co je jen domněnka označuji jako doměnku viz. např. mé vyjádření ("kterým mohl být možná brdský radar") a jiná.
Takze NSA poziadala par firiem o pristup k istym udajom a z toho sme si spravili zaver, ze kazda firma poskytuje udaje a spolupracuje s NSA? Ak NSA sleduje cez jednu firmu automaticky sleduje cez vsetky?
Ale spat k teme. A cital si ty vobec povodne vyhlasenie Na stranke Kasperskeho? Pretoze tam sa pise nieco ine ako uz prebrali a doplnili si ostatne denniky a agentury.
Napriklad podsttanym faktom je, ze fw diskov nie je cinknuty uz z vyroby, ale Kaspersky tvrdi, ze ho dokaze prepisat isty druh cervika. Takze najprv sa musis nakazit cervikkom, ktory ti prepise fw disku a az nasledne si akoze cinknuty. Zaujimave je dalsie tvrdenie od Kaspersky a to, ze nevedia citat tento fw a tak nevedia zistit, ktory disk je napadnuty a ktory nie. Toto tvrdenie mi pride silne podozrive, ak vie z fw citat udaje pc musia to vediet aj Kaspersky.
Dalsia divna vec je, ze oni sami akoby tapali a len hadali, co asi akoze ten prepis spravi, kedze ako 2 hlavne nebezpecenstva uvadzaju, ze sa virus neda zmazat formatovanim a ze si moze na disku vytvorit beznymi prostriedakmi neviditelnu oblast. A opat musis byt nakazeny dalsim cervikom, ktory tam skopiruje Grayfish, ktory sa pravdpoeobne podla MMkovho scenara (podsunutie falosneho OS a az nasledne bootovanie praveho OS) pokusi infiltrovat pravy OS (opat netusim ako, mame tu okna + *nixy, co su diamtrelne odlisne OS) a nasledne by mohol desifrovat sifrovane informacie. Je to klasicky MiM utok akurat, ze vo vnutri PC.
A prave to mi pride divne, pretoze je to akoby som sa skrabal nohou za uchom. Je to kurevsky komplikovane, nie je to univerzalne a musis tam toho spravit prilis mnoho (minimalne raz, ak nie 2x sa nakazit najprv wormom), aby to bolo v praxi pouzitelne.
To uz mi pride v praxi schodnejsie sledovanie cez TPM chipy alebo ako podozrievaju Intel vo vseobecnosti cez nejaku funkciu procaku.
Nehovoriac o tom, ze nakazit pc cervikom je vyrazne jednoduchsie ako vymyslat taketo zlozitosti.
Kaspersky k tomu taky vydal skoro 50 stránkový pdfko, tos taky četl nebo ho jen zamlcujes? Jenom by bylo dobrý, ho pro objektivitu zmínit. Samozřejmě je vidět, že nekopes ani za spravedlnost, ani za cara Ivana, ale za nejspravedlnejsiho a nejcestnejsiho muze na planetě, ale to by mělo být mimo, při posuzování těchto pruseru. Jo, a Kaspersky opravdu, ale opravdu nemůže za trotly, co pracují v médiích.
Ja som ho cetl, a pise tam spravne ze firmware z disku nejde vycitat
Ty si ho cetl? Asi ne.
P.S. a pise tam ze nejaky cerv (ktory sa najprv do PC musi nejak dostat) moze preflashovat firmware, a ne ze je v diskoch od vyroby cerv, jak to uplne chybne prezentovali dementni novinari, ktorym tak slepo veris :)
Nic takového tu nezaznělo, právě jsi taky předvedl, tvými slovy o něco výše řečeno:
Zatím jsem to jen prolétl, dopooručuji i články na securelist.com, kde je dost podrobností. Souhlasím s tím, že informace se různí, ale základní zůstavají a dokonce tu byly (o nákaze skrze firmware např. u usb zařízení) i dříve.
To je otázkou. Pokud to přečíst neumí, tak můžou být už cinknuté rovnou. Minimálně jsou ale připravené na cinknutí a cinknuty za pomocí znalostí, které mají pouze výrobci těch HDD. Předpokládám, že právě proto je uživatel nemůže přecinknout novým nenakaženým fw. Jinak je tam řeč o neveřejných příkazech pro určitou specifickou práci s FW těch zařízeni, né o tom, že by nebylo možné s ním pracovat vůbec.
Cisty firmware si mozes naflashovat kedy chces. Flashovacie utility maju vyrobcovia FW obcas na nete. Aj ten FW. (keby bol cinknuty FW od vyroby, tak by cerv neobsahoval kod na flashovanie FW :) A nemusi na to utocnik ani mat znalosti vyrobcu staci reverseengineerovat tu utilitu. NSA ale pravdepodobne spehuje aj vyrobcov, preco by to nerobili ked mozu resp. vedia :) BTW. ono spehovat firmyimho neni problem ptz vo firmach rozhoduju o veciach dementni. Ptz kto to umi ten maka (na nizsej pozicii) a kdo to neumi ten to riadi :D
Inac secureboot by mal odhalit ak disk posle zmeneny sektor pri bootovani. Ja napr. na novom netbooku mam secureboot defaultne povoleny od vyrobcu.
Ale aj to sa da ojebat, vsetko sa da ojebat, dokial nebudu zariadenia kompletne hardwarovo writeprotected, co tvrdim uz roky :)
S aktivnym secureboot je ale utok o x radov komplikovanejsi.
Este jeden postreh: skor mi to pripada ze ten zmeneny FW skor pouzivaju na ukladanie nejakych dat do skrytej oblasti disku, a ne na nakazovanie. Nakazit to musia predsa aj tak uz na to aby zmenili ten FW, cerv si to potom zo skrytej oblasti vycita, tym padom staci prist raz za cas a uploadnut vsetko zo skrytej oblasti na nejaky USB stick, aj ked je PC offline (mimo siet)
Tiez si myslim, aj ked podla mna to skryte miesto sluzi len na odkladanie dat. V ramci stealth totizto virus posiela data prec iba ked je vyzvany, ked to povazuju za bezpecne, takze data cely cas len zbiera a uklada do tej hidden particie a ked je spravny cas posle to.
Cele je to naozaj nafunknute, uz len tie nadpisy, boh medzi virusmi, kral botnetov a neviem, co este som nasiel, ked som googlil.
Ludska blbost je nekonecna, dnes staci nieco vypustit, potom to 1000 omliet cez rozne weby a na druhy den mas svoju verziu pravdy na svete a miliony stupencov tebou upravenej pravdy.
Ale napadlo me kouknout se do NSA ANT katalogu, a fakt to tam je pod nazvem IRATEMONK :)
Ten katalog se da i stahnout. Pred casem jsem v nem listoval, a bylo to docela zajimave :)
https://www.eff.org/files/2014/01/06/20131230-appe lbaum-nsa_ant_catalog.pdf
IRATEMONK provides software application persistence on desktop and laptop computers by implanting the hard drive firmware to gain execution through Master Boot Record (MBR) substitution.
This technique supports systems without RAID hardware that boot from a variety of Western Digital. Seagate. Maxtor, and Samsung hard drives. The
supported file systems are: FAT. NTFS. EXT3 and UFS. Through remote access or interdiction. UNITEDRAKE, or STRAITBAZZARE are used in conjunction with SLICKERVICAR to upload the hard drive firmware onto the target machine to implant IRATEMONK and its payload (the implant installer). Once implanted. IRATEMONK's frequency of execution (dropping the payload) is configurable and will occur when the target machine powers on.