Πώς λειτουργεί το Firmware Hacking της NSA και γιατί είναι ανησυχητικό

Μία από τις πιο ανησυχητικές ειδήσεις που μεταδόθηκε πρόσφατα είναι η δυνατότητα των μυστικών υπηρεσιών να παραβιάζουν το ενός σκληρού δίσκου. με flashάρισμα κακόβουλου κώδικα. Οι της Kaspersky που αποκάλυψαν το νέο είδος εργαλείου κατασκοπείας ανέφεραν ότι “είναι καλύτερο από οτιδήποτε άλλο” που έχουν δει μέχρι σήμερα.hard drive data Firmware

Το εργαλείο, πιστεύεται ότι είναι ένα προϊόν της NSA, και είναι ιδιαίτερα σημαντικό, καθώς η παραβίαση του firmware δίνει στους επιτιθέμενους τον πλήρη έλεγχο ενός συστήματος. Ονομάζεται “nls_933w.dll”, και είναι το πρώτο του είδους του που χρησιμοποιεί και τις δύο κατασκοπευτικές πλατφόρμες (EquationDrug και GrayFish) που ανακάλυψε η Kaspersky.

Το ανησυχητικό όμως είναι ότι μπορεί να δημιουργήσει έναν αόρατο αποθηκευτικό χώρο στο σκληρό δίσκο του θύματος για να κρύψει τα δεδομένα που έχουν κλαπεί από το . Έτσι οι επιτιθέμενοι μπορούν να τα ανακτήσουν αργότερα. Αυτό επιτρέπει στους επιτιθέμενους να υποκλέψουν αρχεία ακόμα και απο κρυπτογραφημένους δίσκους. Πως;
Όταν λειτουργεί ο υπολογιστής τα δεδομένα είναι αποκρυπτογραφημένα. Εκείνη τη στιγμή λοιπόν είναι πολύ εύκολο να γίνουν αντίγραφα στο αόπρατο σημείο του δίσκου που δεν είναι κρυπτογραφημένο.

  Samsung: έρχονται μπαταρίες με διπλάσια διάρκεια ζωής

Πώς λειτουργεί

Οι σκληροί δίσκοι έχουν έναν ελεγκτή, που είναι ουσιαστικά ένας μίνι-υπολογιστής, που περιλαμβάνει ένα τσιπ μνήμης flash ή ROM, όπου υπάρχει ο κώδικας του λογισμικού (firmware) για τη λειτουργία του σκληρού δίσκου.

Ένα firmware με Trojan επιτρέπει στους επιτιθέμενους να παραμείνουν στο σύστημα, ακόμη και αν το λογισμικό ενημερωθεί. Από κει και μετά ο κακόβουλος κώδικας δεν μπορεί να εξαλειφθεί. Ακόμα και αν το θύμα, πιστεύει ότι ο υπολογιστής του έχει μολυνθεί, και πραγματοποιεί νέα εγκατάσταση του λειτουργικού συστήματος ο κακόβουλος κώδικας στο firmware παραμένει άθικτος.

Σύμφωνα με τους ερευνητές το firmware μπορεί να εγκατασταθεί σε πολλές διαφορετικές μάρκες σκληρών δίσκων, όπως της IBM, της Seagate, της Western Digital, και της Toshiba.

Το ROM chip που περιέχει το λογισμικό περιλαμβάνει ένα μικρό χώρο αποθήκευσης που μένει αχρησιμοποίητος. Αν το ROM chip είναι 2 ΜΒ, το λογισμικό μπορεί να χωρέσει σε 1,5 ΜΒ, αφήνοντας μισό megabyte αχρησιμοποίητο χώρο που μπορεί να χρησιμοποιηθεί για την απόκρυψη δεδομένων από τους επιτιθέμενους.

Έτσι οι δεν χρειάζονται κωδικούς πρόσβασης, εάν μπορούν να αντιγράψουν ολόκληρο τον κατάλογο από το λειτουργικό σύστημα σε ένα κρυμμένο χώρο για να έχουν πρόσβαση αργότερα. Πως όμως αφού ο χώρος που μένει ελεύθερος από το firmware είναι πάρα πολύ μικρός. Έτσι, οι επιτιθέμενοι χρειάζονται ένα μεγαλύτερο κρυφό χώρο για αποθήκευση. Ευτυχώς γι ‘αυτούς, υπάρχει. Υπάρχουν μεγάλα sectors του δίσκου που είναι αχρησιμοποίητα και θα μπορούσαν να χρησιμοποιηθούν για την κρυφή αποθήκευση δεδομένων, ακόμη και εκείνων που ενδέχεται να έχουν διαγραφεί από το σύστημα.

  Οδηγοί Χρήσης του Office 2013

Ένα ενδιαφέρον .pdf που δημοσιεύθηκε τον Φεβρουάριο του , από τον Ariel Berkman αναφέρει: “υπάρχουν sectors που όχι μόνο δεν μπορούν να προσεγγιστούν μέσω τυποποιημένων εργαλείων, αλλά μένουν και απροσπέλαστα από το λογισμικό προστασίας από ιούς. ”

Ο Berkman σύμφωνα με το Wired, αναφέρει ότι ένα συγκεκριμένο μοντέλο δίσκου της Western Digital έχει 141 ΜΒ που προορίζεται για περιοχή εξυπηρέτησης του συστήματος, αλλά χρησιμοποιεί μόνο τα 12 MB από αυτό, αφήνοντας το υπόλοιπο ελεύθερο για κρυφή αποθήκευση.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  48  =  49