Názory k článku
NSA pravděpodobně instalují malware do firmware disků
-
Worker (neregistrovaný)
Staci si pozriet, ako sa da hekovat disk pripadne niekde (asi aj tu) som videl clanok, kde chlapik pustal nejaku distribuciu linuxu z maticnej dosky disku (pravdepodobne s flashky cache).
-
Pan Hribik (neregistrovaný)
Myslim ,ze si videl toto. (Postol som to aj nizsie v diskusii, ale ludia tl, dr)
-
j (neregistrovaný)
Jasne, a z toho si oscanuje sit ... a hlavne, ta data potom po ty siti do NSA odesle ... nehlede na to, za na cteni souboru z disku je potreba znat FS kterej na tom disku je. Coz samo o sobe je pomerne obsahlej kus SW. Coz samo neznamena, ze to na disku realizovat nelze, dovedu si predstavit, ze si disk umi odlozit nejaka data nekam, kde je user nesmaze, ale uz dost tezko, ze ta data, bez toho aby nekdo prisel a disk odnes, nejak vyexpeduje ven.
-
JokeM (neregistrovaný)
Rozsáhlejší info k této záležitosti na webu Reuters: http://www.reuters.com/article/2015/02/16/us-usa-cyberspying-idUSKBN0LK1QV20150216
-
Lael Ophir (neregistrovaný)
1. Výrobci HDD jsou převážně americké firmy, a není problém malware nainstalovat v jejich čínské továrně. Samozřejmě by to mohli být i Číňani.
2. Tipnu si, že půjde o cílené útoky. Objednáte si řekněme v ČR počítač, a pokud jste zájmová osoba, dostanete ho s malwarem ve firmwaru HDD. Někdo prostě vytáhne ze šuplíku upravený disk, a dá vám ho místo původního. Může to být rovnou výrobce počítačů, nebo lze disk vyměnit po cestě k vám (přesměrují dodávku a vymění disk). Případně vám mohou vyměnit disk doma nebo na pracovišti, podobně jako když instalují odposlechy prostor. To je ovšem nejméně praktická varianta, protože do některých prostor se špatně zjednává přístup. -
Ondra Satai NekolaZlatý podporovatelA co firmware na pocitaci person of interest updatnout pomoci zero-days nebo tradicinim klicenkovym prenosem?
-
Jakou zásilku?
Nevím jak u vás, ale mě, když odejde HW, tak vletím do prvního obchodu, který mám poblíž, nebo který se mi z různých důvodů hodí nejvíc a tam to prostě koupím. Mám HW asi z 30 různých obchodů a ani já sám nevím, z jakého to bude příště (prostě to neřeším). I kdyby mě někdo sledoval, tak tohle prostě neuhlídá. Navíc ne všechen HW, který takto koupím, končí u mě. Takže i kdyby mě někdo sledoval a ještě dokázal ten HW modifikovat, tak stejně nemá jistotu, ve kterém kompu to skončí.
Kdybych měl podezření, že mě někdo sleduje, nebo bych chtěl této formě sledování maximálně zabránit, dokázal bych to randomizovat daleko víc. To už by musel být všechen HW dopředu napíchnut, protože by nikdo nevěděl, kde vlastně skončí.
-
Lael Ophir (neregistrovaný)
Samozřejmě pokud jste předmětem zájmu a objednáte přes kanál který není monitorovaný, tak breberku nedostanete. Většina institucí ale nakupuje značkový HW od poměrně malého počtu dodavatelů.
Ad ne všechen HW, který takto koupím, končí u mě - pokud víte že stroje skončí na íránské ambasádě, případně v íránském jaderném provozu, tak jste velmi rád, že se vám tam podaří vůbec něco dostat (a když minete cíl, zkusíte to prostě příště). Jestli počítač skončí na recepci, u IT admina, managera apod. nehraje až takovou roli - hlavně že jste uvnitř. Jednak už tak můžete získat spoustu zajímavých informací, a pak se můžete dostat i k zařízením, která vůbec nejsou připojená k síti. Koukněte se tady na worm Fanny:
http://www.kaspersky.com/about/news/virus/2015/Equation-Group-The-Crown-Creator-of-Cyber-Espionage -
Lael Ophir (neregistrovaný)
Těch zájmových osob a organizací je poměrně malé množství. Nejpravděpodobnější metoda je odchycení zásilky na cestě z eshopu k zákazníkovi. Eshopů je hodně, mají spoustu lidí, a zvyšuje to riziko prozrazení operace. Dopravců je výrazně méně, a operace se dá lépe skrýt. Samozřejmě nemusí jít zrovna o výměnu HDD. Je možné nainstalovat jiný záškodnický HW (třeba HW keylogger s doručováním reportu rádiem), předinstalovat malware do OS, zaměnit BIOS za modifikovaný, zaměnit firmware routeru nebo WiFi access pointu...
Take, for example, when they intercept shipping deliveries. If a target person, agency or company orders a new computer or related accessories, for example, TAO can divert the shipping delivery to its own secret workshops. The NSA calls this method interdiction. At these so-called "load stations," agents carefully open the package in order to load malware onto the electronics, or even install hardware components that can provide backdoor access for the intelligence agencies.
http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969-3.htmlTo že by byly upravené všechny disky se mi moc nezdá. Výrazně by to zvyšovalo pravděpodobnost odhalení celé operace. Navíc by se asi z právního hlediska dost špatně vysvětlovalo špehování vlastních občanů bez soudního příkazu cíleného na konkrétní osobu nebo organizaci.
Mimochodem tyhle techniky mají dobré opodstatnění, stejně jako například nasazování odposlechů.
-
Lael Ophir (neregistrovaný)
Jak myslíte že si objednává PC třeba Státní úřad pro jadernou bezpečnost, Chinese Embassy in Russia nebo pákistánský Directorate for Inter-Services Intelligence? Pořizují PC z běžných zdrojů, a objednávají je buď oni nebo jejich IT outsourcer. O doručení se stará běžná přepravní služba.
-
Cohen (neregistrovaný)
Tak zas nepřehánějte. Většina organizací u nás to musí řešit nějakou formou výběrového řízení či veřejnou poptávkou. Stačí tedy vědět kdo to "obvykle vyhrává", případně to vyhrát se ztrátou (asi na celé akci nejmenší náklad) a máte se zákonnýma lhůtama pár týdnů na přípravu. Finální dodavatel stejně takové věci nedrží skladem a když to PPL omylem naloží do jiného auta a den se to zdrží, nikdo si ničeho ani nevšimne.
Nedávno tu ostatně byl článek o tom, že NSA cíleně odchytávala dodávky routerů a instalovala do nich spyware.
-
Cohen (neregistrovaný)
A jde určitě o to, že by onen sw běžel na onom zařízení? Nejlogičtější mi přijde, že bude například při bootu vracet modifikovaný boot sektor, případně cíleně při zápisu upravovat bloky, které zná (nějaký hash) a vyrábět tím nějakou zranitelnost. Pokud jde o cílenou činnost, ovládnutí stroje by stejně mělo následovat v rámci maximálně pár týdnů.
-
BobTheBuilderStříbrný podporovatelOdstranit by to nešlo - nanejvýš do dalšího restartu, ale detekovat to taky nejde?
-
Mozna jde, mozna nejde. Otazka je, jak moc velky kus SW se da do firmwaru nacpat. Ale to mozna neni dulezite, protoze kus muze byt na disku ve skrytych sektorech, ktere si ten kousek ve firmware ohlida. Takze by to take mohla byt nejaka virtualizace, ve ktere je pak bezi samotny OS, ktery se tak tezko o necem dozvi.
Nebo to muze byt rootkit ve stylu Sony nebo lepsi, ktery se pred detekci skryva. V bezicim OS ho pak nedetekujete a pokudd zabootujete z externiho media, tak na disku neni nic, co by vzbudilo podezreni a do firmware antivirak nema pritup.
Krome toho hraje roli i to, ze veci jako I Love You se behem kratke doby rozsiri na miliony pocitacu a tak neujdou pozornosti a do par dnu jsou v definicich antiviraku. Ovsem obskurni infekce, ktera v danem okamziku bezi napriklad na 5000 pocitacu v celem svete, na sebe prilis neupozornuje. Nemailuje, data nemaze, nezobrazuje legracni hlasky, vse se chova uplne normalne a antivirak take nic nerika. Koho by napadlo, ze mu data potichu vytekaji pod rukama ven? To byste musel sledovat kazde spojeni ven z vaseho stroje a dumat, proc prave tam a jestli pocet paketu dava smysl.
Navic treba proti tomuhle se bojuje dost blbe:
"The Fanny worm stands out from all the attacks performed by the Equation group. Its main purpose was to map air-gapped networks, in other words – to understand the topology of a network that cannot be reached, and to execute commands to those isolated systems. For this, it used a unique USB-based command and control mechanism which allowed the attackers to pass data back and forth from air-gapped networks.
In particular, an infected USB stick with a hidden storage area was used to collect basic system information from a computer not connected to the Internet and to send it to the C&C when the USB stick was plugged into a computer infected by Fanny and having an Internet connection. If the attackers wanted to run commands on the air-gapped networks, they could save these commands in the hidden area of the USB stick. When the stick was plugged into the air-gapped computer, Fanny recognized the commands and executed them."
-
x x (neregistrovaný)
V disku je procesor, FW je jeho OS a paměti má hafo. Takže samostatný počítač. Mno a proč řešíte jak disk předá data po síti? Co by se dřel a pokoušel se o nemožné? Od toho je přece Woknous a Masox. Přečte si posbíraná uložená data z disku a jistě to nebude ATA příkazy, no a pošle to tam kam má. Když se dá SW přistupovat běžně k utilitám výrobce disku ve FW, tak nad čím dumáte? Je známo, že tyto OS posílají domů běžně.
-
rmgree5 (neregistrovaný)
Kaspersky Lab zveřejnili seznam IP adres natvrdo zakódovaných do spyware,
https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/čtyři spravuje Master Internet s.r.o. v Brně. (podle iplocation.net)
81.31.34.175
81.31.36.174
81.31.38.163
81.31.38.166 -
kodl73 (neregistrovaný)
není v tom souvislost s FinSpy a FinFisher spywarem,
viz https://wikileaks.org/spyfiles4/documents.html -
Slavek (neregistrovaný)
No nevím, celý ten článek mi připadá takový divný... jsou tam klasický Win *.dll a tak mi to pořád připomíná normální virovou Win-based aktivitu. Už jsem tedy odvirovával nějaká PC, kde se virus schoval do ovladače síťové karty, což ale člověka, který odvirovává spoustu PC moc nepřekvapí, protože stejně přitom hlídá aktivity napadaného stroje na síti. Nechce se mi věřit, že by za ty roky si nikdo nevšiml, pokud je napadených disků po světě hodně, nějaké podivné aktivity na síti. Jestli je někdo v poslední době u zdroje, tak výrobci antivirů, kteří si od uživatele žádají souhlas s odesíláním dat antivirovým firmám "pro analýzu". Kaspersky začínal jako tvůrce virů na opačné straně barikády, než na které tvrdí dneska, že je, ale jako absolvent KGB školy kdo ví, kam se vlastně posunul, moc mi to připomíná nějakou propagandu.
Co se Brna týče, je to jednoduchý, na podobný brněnský IP81.31.38.180 hostuje třeba v článku zmíněná doména arabtechmessenger.net.... v Brně to žije... -
Ondra Satai NekolaZlatý podporovatel
Takovehle drahe utoky se pouzivaji jenom na velmi, velmi malo cilu, kde neni mozne pouzivat obvykle postupy...
-
j (neregistrovaný)
boot partisna samozrejme sifrovana byt muze. Pokud si nahodis truecrypt na systemovej disk, tak nejdriv nastartuje truecrypt a teprve po zadani hesla startuje OS. Tudiz by podobnej virus musel nejdriv nabourat sitfovaci aplikaci (a tech je cela rada) a pak teprve vlastni system. Trochu prilis velky scifi.
Nehlede na to, ze pokud uz si budu hrat na teroristu, tak si hash toho bootu dam ulozim do biosu, a necham si ho jeste pred vlastnim startem prekontrolovat.
-
Lael Ophir (neregistrovaný)
Samozřejmě je to SecureBoot. Ten nedovolí zavést modifikovaný boot loader, a boot loader pak kontroluje podpisy natahovaných modulů. BitLocker pak šifruje data na disku, takže se podstrčení obsahu provádí celkem špatně. Jenže jsou to oboje nové technologie, a v řadě případů se nepoužívají.
Navíc jak už někdo psal, stačí do UEFI přidat nový SecureBoot klíč. Alternativou je podepsat infikovaný bootloader MS klíčem. MS to sice sám neudělá, ale jak se ukázalo například v případě Stuxnetu, občas se podaří podepsat závadný kód bez vědomí vlastníka klíče.
-
snehuliak (neregistrovaný)
Skutocnost je taka ze aj ked su disky vyrobene v Cine, firmware sa v skutocnosti robi v Brne (lebo Cinania tomu nerozumeju) ale zial sa stalo ze Honza zabudol odstranit IPcky debug servera z finalenho firmwaru....
Keby to robili v Kosiciach tak sa to nestane ;)
Podporte iniciativu "Firmware do Kosic" !!! -
Petr M (neregistrovaný)
Je fakt, že na disku je nějaký CPU, RAMka,... Ale z téhle zprávy je jasný, že
- disk by měl přístup do RAM a je jenom věc OS? jak to ohlídá (pomocí MPU). E-Sata příkazy dostávají jako parametr, kam mají vyflusnout data :(
- pokud nejde přečíst z diku, tak může jet jenom na procesoru disku
- konektivita je možná, ale jenom pokud aná konkrétní IP stack a konkrétní verzi buildu na konkrétní implementaci a mapu RAM. A pokud ví, kde jsou přesně v paměti data a kdy se budou odesílat, aby je mohl přepsat. A nějak při tom obejde kontrolu systému. Firmware ani firewall takto nemá šanci obejít vůbec. -
kodl73 (neregistrovaný)
si to představuji jako klasický boot virus.
Asi tak, že po zapnutí pc / inicializaci disku, je první dotaz systému na boot sector, na tento požadavek podvrhne firmware disku falešný/zavirovaný kod, který se spustí a usadí v RAM a tento kod následně volá standartní boot sector. Při tomto druhém a dalším čtení boot sectoru už disk dává korektní data.
Firmware disku také může při startu opakovaně přepisovat boot sector správným a špatným kodem, boot sector je relativně jednoduchá struktura, pamětníci vědí jak se daly snadno a rychle infikovat a opravit zavirované diskety. Stačí databáze cca 40 typických bootsectorů, od MS DOSu až po Grub.
Virus pak bude mít funkce klasického keylogeru, který bude na uživatele práskat aktivity. Data pak ven tečou klasicky přes internet v rámci systému.
Záznam url adres, emailových adres, hesel a co jste natukali do klávesnice má pár kb. Nebude přenášet ven vaše porno filmy, ale hesla, aby se podívali na vše co kam posílátea hlavně heslo do TrueCryptu.Cca dva roky nazpět jsem testoval keylogger Ardamax, cca 5 MB kodu, a ono si to umí i zapnout mikrofon a ukládat zvuky, zapnout webovku a dělat opakovaně snímky , a všechny tyhle data na pozadí posílat na email, s nastavením z vašeho Outlooku. Nemáte šanci si toho všimnout, minimální datový provoz a ještě na obvyklé domény.
-
Sten (neregistrovaný)
Keylogger ale běží v napadeném systému a využívá jeho služby, zatímco boot virus běží před spuštěním systému, a tak funguje jen na systémech, které se nepřepínají do chráněného režimu, protože by musel mít ovladače na veškerý HW, který chce používat a navíc řešit virtualizaci spuštěného (neznámého) systému.
-
agent (neregistrovaný)
Proč bych to dělal tak složitě? Linux zkompromituju třeba tak, že můj škodlivý kód v boot sektoru natáhne z boot partition image jádra a před jeho spustěním opatchuje nějakou dostatečně často volanou funkci kernelu (třeba kmalloc), kde si můžu dělat cokoliv v nejvyšší úrovni oprávnění. Windows půjde nabourat úplně stejně.
-
Sten (neregistrovaný)
Tohle může dělat rovnou firmware disku a není potřeba na to podvrhávat boot sector. Navíc patchovat zkomprimované neznámé jádro asi nebude zrovna práce pro pár kilobajtů boot sectoru. Ale jo, teoreticky by to mohlo flashnout jiný firmware síťovky a vypnout IOMMU. Přestože by takový útok šel provést snáz rovnou dodáním příslušně upravené síťovky, tam alespoň víte, jaká síťovka tam je a jaký firmware potřebuje.
-
agent (neregistrovaný)
Patchovat neznáme jádro je triviální, protože linux s podporou modulů exportuje svoje symboly:
cat /proc/kallsyms | grep mempool_kmalloc
ffffffff810b61c2 T mempool_kmallocJde to i bez symbolů, ale už složitěji, musí se použít nějaká heuristika. Komprese není problém, je to zkomprimované nějakým z běžných algoritmů a patchovalo by se až po dekompresi.
-
j (neregistrovaný)
Jenze to, ze ti bezi zmenene jadro, se da pomerne snadno odhalit. Ve zpravicce je napsano, ze je to velmi obtizne odhalitelne prave proto, ze to nenapada system. I pomerne hloupe antiviraky pro widle si umi zkontrolovat systemove knihovny proti databazi hashu. A disk nemuze vedet, jestli danou knihovnu cte system, protoze ji chce spustit nebo antivirak, protoze ji kontroluje. Stejne tak se da prekontrolovat i kdyz je v pameti.
-
neregistrovaný (neregistrovaný)
odvést pozornost - osvědčená metoda:
zatímco vy zaměstnáváte svou pozornost tím, že tady řešíte technickou stránku věci, zdali to je či není možné, akceptujete bez odporu podvědomě a samozřejmě tvrzení podsouvané vám Putinovými demagogy, že za tím stojí NSA, potažmo USA. Opravdu věříte tomu, že o citlivé informace mají zájem jen americké tajné služby? Odkud přicházejí v poslední době masivní hackerské útoky? Nejvíce z KLDR, Číny a Ruska. A nejsou to útoky jednotlivců, jsou to státem organizované akce. Kaspersky tvrdí, že za tím stojí NSA. Otázkou je proč to říká. Buďto musí, aby měl klid anebo se chce Putinovi zavděčit.
Dejme tomu, že nabízím hodně peněz za informace, které se dají získat pomocí škodlivého SW. Kdo by mi takový SW mohl napsat, kdo se vyzná? Nevíte o někom, pane Kaspersky? Co říkáte, že byste měl zájem? Tak domluveno ... -
Je to jedno (neregistrovaný)
Ja sa tu len tak pripojim aby som vas utesila,no nie potesila,u plne kaslite na to a uzite si este slobodu ktoru mate,je to ovela horsie ako si myslite..pripajam nieco k citaniu http://www.3gpp.org/About-3GPP
A ak by bol zaujem o nieco k citaniu toho co sa deje tak poprosim mail na copovedat@gmail.com
Mam par veci co by sa vam mohli "pacit" ale samourejme len na vlastne roziko.
