Μία από τις πιο ανησυχητικές ειδήσεις που μεταδόθηκε πρόσφατα είναι η δυνατότητα των μυστικών υπηρεσιών να παραβιάζουν το firmware ενός σκληρού δίσκου. με flashάρισμα κακόβουλου κώδικα. Οι ερευνητές της Kaspersky που αποκάλυψαν το νέο είδος εργαλείου κατασκοπείας ανέφεραν ότι “είναι καλύτερο από οτιδήποτε άλλο” που έχουν δει μέχρι σήμερα.

Το hacking εργαλείο, πιστεύεται ότι είναι ένα προϊόν της NSA, και είναι ιδιαίτερα σημαντικό, καθώς η παραβίαση του firmware δίνει στους επιτιθέμενους τον πλήρη έλεγχο ενός συστήματος. Ονομάζεται “nls_933w.dll”, και είναι το πρώτο του είδους του που χρησιμοποιεί και τις δύο κατασκοπευτικές πλατφόρμες (EquationDrug και GrayFish) που ανακάλυψε η Kaspersky.

Το ανησυχητικό όμως είναι ότι μπορεί να δημιουργήσει έναν αόρατο αποθηκευτικό χώρο στο σκληρό δίσκο του θύματος για να κρύψει τα δεδομένα που έχουν κλαπεί από το σύστημα. Έτσι οι επιτιθέμενοι μπορούν να τα ανακτήσουν αργότερα. Αυτό επιτρέπει στους επιτιθέμενους να υποκλέψουν αρχεία ακόμα και απο κρυπτογραφημένους δίσκους. Πως;
Όταν λειτουργεί ο υπολογιστής τα δεδομένα είναι αποκρυπτογραφημένα. Εκείνη τη στιγμή λοιπόν είναι πολύ εύκολο να γίνουν αντίγραφα στο αόπρατο σημείο του δίσκου που δεν είναι κρυπτογραφημένο.

Πώς λειτουργεί

Οι σκληροί δίσκοι έχουν έναν ελεγκτή, που είναι ουσιαστικά ένας μίνι-υπολογιστής, που περιλαμβάνει ένα τσιπ μνήμης flash ή ROM, όπου υπάρχει ο κώδικας του λογισμικού (firmware) για τη λειτουργία του σκληρού δίσκου.

Ένα firmware με Trojan επιτρέπει στους επιτιθέμενους να παραμείνουν στο σύστημα, ακόμη και αν το λογισμικό ενημερωθεί. Από κει και μετά ο κακόβουλος κώδικας δεν μπορεί να εξαλειφθεί. Ακόμα και αν το θύμα, πιστεύει ότι ο υπολογιστής του έχει μολυνθεί, και πραγματοποιεί νέα εγκατάσταση του λειτουργικού συστήματος ο κακόβουλος κώδικας στο firmware παραμένει άθικτος.

Σύμφωνα με τους ερευνητές το firmware μπορεί να εγκατασταθεί σε πολλές διαφορετικές μάρκες σκληρών δίσκων, όπως της IBM, της Seagate, της Western Digital, και της Toshiba.

Το ROM chip που περιέχει το λογισμικό περιλαμβάνει ένα μικρό χώρο αποθήκευσης που μένει αχρησιμοποίητος. Αν το ROM chip είναι 2 ΜΒ, το λογισμικό μπορεί να χωρέσει σε 1,5 ΜΒ, αφήνοντας μισό megabyte αχρησιμοποίητο χώρο που μπορεί να χρησιμοποιηθεί για την απόκρυψη δεδομένων από τους επιτιθέμενους.

Έτσι οι super hackers δεν χρειάζονται κωδικούς πρόσβασης, εάν μπορούν να αντιγράψουν ολόκληρο τον κατάλογο από το λειτουργικό σύστημα σε ένα κρυμμένο χώρο για να έχουν πρόσβαση αργότερα. Πως όμως αφού ο χώρος που μένει ελεύθερος από το firmware είναι πάρα πολύ μικρός. Έτσι, οι επιτιθέμενοι χρειάζονται ένα μεγαλύτερο κρυφό χώρο για αποθήκευση. Ευτυχώς γι ‘αυτούς, υπάρχει. Υπάρχουν μεγάλα sectors του δίσκου που είναι αχρησιμοποίητα και θα μπορούσαν να χρησιμοποιηθούν για την κρυφή αποθήκευση δεδομένων, ακόμη και εκείνων που ενδέχεται να έχουν διαγραφεί από το σύστημα.

Ένα ενδιαφέρον .pdf που δημοσιεύθηκε τον Φεβρουάριο του 2013, από τον Ariel Berkman αναφέρει: “υπάρχουν sectors που όχι μόνο δεν μπορούν να προσεγγιστούν μέσω τυποποιημένων εργαλείων, αλλά μένουν και απροσπέλαστα από το λογισμικό προστασίας από ιούς. ”

Ο Berkman σύμφωνα με το Wired, αναφέρει ότι ένα συγκεκριμένο μοντέλο δίσκου της Western Digital έχει 141 ΜΒ που προορίζεται για περιοχή εξυπηρέτησης του συστήματος, αλλά χρησιμοποιεί μόνο τα 12 MB από αυτό, αφήνοντας το υπόλοιπο ελεύθερο για κρυφή αποθήκευση.