Вирусы в прошивке HDD, или "Агентство национальной безопасности - место службы генерала Фейлора"
В комментариях к посту Фрица http://fritzmorgen.livejournal.com/770380.html "Ещё один плюс от наложенных нашими американскими партнёрами санкций"
увидела вот эту ссылку, которую копирую к себе:
--------------------------
Оригинал взят у grandit в Агентство национальной безопасности - место службы генерала Фейлора
Во времена DOS был такой шуточный перевод сообщения об ошибке "General Failure reading drive" - "Генерал Фейлор читает диск". Кто такой генерал Фейлор и зачем он читает мой диск? :)
Прошли годы и шутка уже не кажется такой веселой, да и почти не кажется шуткой. Агентство национальной безопасности США научилось устанавливать шпионское ПО прямо в программное обеспечение (firmware) HDD, что позволяет сохранять контроль на зараженном ПК даже в случае переустановки операционной системы и форматирования диска.
Изменяя программное обеспечение HDD шпионское ПО преледовало 2 цели:
"Лаборатория Касперского" отказалась назвать конкретную страну, которая стоит за шпионской кампанией, но сообщила, что она тесно связана со Stuxnet, кибероружием, направляемым АНБ на объекты Ирана по обогащению урана.
Бывший сотрудник АНБ заявил Reuters, что выводы "Касперского" верны и что АНБ оценивает эти шпионские программы так же высоко как Stuxnet. Другой бывший сотрудник разведки подтвердил, что АНБ разработала способ сокрытия шпионских программ в жестких дисках. Представитель АНБ Вэни Вайнс отказалась от комментариев.
16 февраля «Лаборатория Касперского» опубликовала технические детали (причем, пока на русcкоязычном сайте эта новость отсутствует) своего исследования. Reuters считает, что раскрытие нового шпионского механизма может ещё больше ухудшить возможности АНБ по сбору данных и так пострадавшие после публикаций информации раскрытой Эдвардом Сноуденом.
Раскрытие информации Сноуденом не только повредило отношениям США с некоторыми союзниками, но и замедлило экспорт американских технологических товаров. Сообщение о новом шпионском ПО способно усилить негативную реакцию на американские технологии, в частности в Китае, где уже сейчас разрабатываются требования к поставщикам обеспечения для банков предоставлять исходные коды всего программного обеспечения для инспекции.
Питер Суир,один из пяти членов президентской Группы по обзору вопросов разведки и коммуникационных технологий, сказал, что доклад «Лаборатории Касперского» продемонстрировал, что очень важно, чтобы страна учитывала возможные последствия для торговли и дипломатических отношений, прежде чем начинала использовать свои знания недостатков программного обеспечения для сбора разведданных. Он также сказал, что это может иметь серьёзные последствия и для других интересов США.
Согласно выводам «Лаборатории Касперского» овладение технологией встраивания вредоносного кода в прошивку жестких дисков требовало наличия доступа к исходному коду этих самых прошивок. Производители HDD заявляют, что не предоставляли АНБ исходных кодов своего програмного обеспечения, но АНБ и без того имеет массу возможных способов доступа к ним. В частности, если компания пытается продать своё оборудование Пентагону или аналогичным критичным структурам правительства США у неё могут запросить исходный код для проведения аудита. Аудит обычно проводит как раз АНБ и им ни что не мешает сохранить у себя эти коды после аудита для использования в собственных интересах.
Вся эта история ещё раз напоминает не только об опастности кибершпионажа, но и об огромной уязвимости всей нашей информационной инфраструктуры, основанной на импортном оборудовании и программном обеспечении. Причем если в случае программного обеспечения ещё можно как-то надеяться на некую его проверку, то закладки, встроенные в BIOS и прошивки компонентов обнаружить крайне сложно, так как их поиск ведется под их же контролем. А имеющиеся в современных процессорах технологии виртуализации ещё более усугубляют проблему. Про аппаратные закладки я уже и не говорю.
увидела вот эту ссылку, которую копирую к себе:
--------------------------
Оригинал взят у grandit в Агентство национальной безопасности - место службы генерала Фейлора
Во времена DOS был такой шуточный перевод сообщения об ошибке "General Failure reading drive" - "Генерал Фейлор читает диск". Кто такой генерал Фейлор и зачем он читает мой диск? :)
Прошли годы и шутка уже не кажется такой веселой, да и почти не кажется шуткой. Агентство национальной безопасности США научилось устанавливать шпионское ПО прямо в программное обеспечение (firmware) HDD, что позволяет сохранять контроль на зараженном ПК даже в случае переустановки операционной системы и форматирования диска.
Изменяя программное обеспечение HDD шпионское ПО преледовало 2 цели:
- Высочайший уровень живучести, позволяющий пережить переустановку операционной системы и форматирование диска. Внедряя себя в прошивку (firmware) диска вредоносное ПО способно бесконечно восстанавливаться. Оно может предотвратить удаление определенных секторов диска или заменить их вредоносным кодом в момент загрузки. Ещё одна опасность состоит в том, что нельзя определить зараженность прошивки сканированием, по аналогии со сканированием файлов антивирусами. Большинство HDD имеют функцию записи прошивки, но не имеют функции её чтения. Это означает, что антивирусы остаются слепыми в данной ситуации - они не могут проверить прошивку на зараженность вредоносным кодом.
- Возможность создавать невидимые постоянные хранилища внутри жесткого диска. Они используются для хранения украденной информации, которая может быть извлечена позднее злоумышленником. Это так же может помочь со взломом шифрования жесткого диска, так как некоторые модули этого ПО активны с начала непосредственной загрузки ПК и имеют возможность перехватить пароль шифрования и сохранить его в скрытой области диска.
"Лаборатория Касперского" отказалась назвать конкретную страну, которая стоит за шпионской кампанией, но сообщила, что она тесно связана со Stuxnet, кибероружием, направляемым АНБ на объекты Ирана по обогащению урана.
Бывший сотрудник АНБ заявил Reuters, что выводы "Касперского" верны и что АНБ оценивает эти шпионские программы так же высоко как Stuxnet. Другой бывший сотрудник разведки подтвердил, что АНБ разработала способ сокрытия шпионских программ в жестких дисках. Представитель АНБ Вэни Вайнс отказалась от комментариев.
16 февраля «Лаборатория Касперского» опубликовала технические детали (причем, пока на русcкоязычном сайте эта новость отсутствует) своего исследования. Reuters считает, что раскрытие нового шпионского механизма может ещё больше ухудшить возможности АНБ по сбору данных и так пострадавшие после публикаций информации раскрытой Эдвардом Сноуденом.
Раскрытие информации Сноуденом не только повредило отношениям США с некоторыми союзниками, но и замедлило экспорт американских технологических товаров. Сообщение о новом шпионском ПО способно усилить негативную реакцию на американские технологии, в частности в Китае, где уже сейчас разрабатываются требования к поставщикам обеспечения для банков предоставлять исходные коды всего программного обеспечения для инспекции.
Питер Суир,один из пяти членов президентской Группы по обзору вопросов разведки и коммуникационных технологий, сказал, что доклад «Лаборатории Касперского» продемонстрировал, что очень важно, чтобы страна учитывала возможные последствия для торговли и дипломатических отношений, прежде чем начинала использовать свои знания недостатков программного обеспечения для сбора разведданных. Он также сказал, что это может иметь серьёзные последствия и для других интересов США.
Согласно выводам «Лаборатории Касперского» овладение технологией встраивания вредоносного кода в прошивку жестких дисков требовало наличия доступа к исходному коду этих самых прошивок. Производители HDD заявляют, что не предоставляли АНБ исходных кодов своего програмного обеспечения, но АНБ и без того имеет массу возможных способов доступа к ним. В частности, если компания пытается продать своё оборудование Пентагону или аналогичным критичным структурам правительства США у неё могут запросить исходный код для проведения аудита. Аудит обычно проводит как раз АНБ и им ни что не мешает сохранить у себя эти коды после аудита для использования в собственных интересах.
Вся эта история ещё раз напоминает не только об опастности кибершпионажа, но и об огромной уязвимости всей нашей информационной инфраструктуры, основанной на импортном оборудовании и программном обеспечении. Причем если в случае программного обеспечения ещё можно как-то надеяться на некую его проверку, то закладки, встроенные в BIOS и прошивки компонентов обнаружить крайне сложно, так как их поиск ведется под их же контролем. А имеющиеся в современных процессорах технологии виртуализации ещё более усугубляют проблему. Про аппаратные закладки я уже и не говорю.