Вирус в прошивке ssd
Обновлено: 07.07.2024
Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.
1 место: оперативная память
Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.
По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.
До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.
Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.
Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.
Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.
Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.
2 место: жесткие диски
Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.
3 место: интерфейс USB
На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.
На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.
Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!
4 место: интерфейс Thunderbolt
Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.
После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.
5 место: BIOS
Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.
С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.
Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.
Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.
Исследователи из университета Радбоуд (Нидерланды) рассказали об уязвимостях в системе защиты некоторых твердотельных накопителях. Они позволяют взломщику обходить функцию шифрования данных диском и получать доступ к информации на диске без необходимости знать пароль доступа.
Правда, озвученная проблема касается лишь тех моделей SSD, которые поддерживают аппаратное шифрование благодаря наличию встроенного чипа, который отделен от основного модуля.
Такие устройства так и называют — SSD со встроенным аппаратным шифрованием. Они стали очень популярными в течение последних нескольких лет, поскольку считается, что шифрование содержимого диска закрывает доступ к данным для злоумышленников. Тем не менее, есть один способ обойти защиту — киберпреступники могут красть пароли доступа посредством манипуляций с содержимым RAM.
Но и это еще не все, проблема в том, что есть способ получить доступ к данным вообще без пароля — для этого необходимо использовать уязвимость в прошивке SED. Уязвимости такого рода затрагивают спецификации "ATA security" и "TCG Opal".
Главная проблема в том, что кроме паролей доступа, которые задают владельцы SSD, есть еще и мастер-пароль, который задается на фабрике. Если изменить этот пароль, то уязвимость, о которой идет речь выше, ликвидируется, если нет, SSD и его данные открыты для злоумышленников — конечно, тех из них, которые точно знают, что делать.
Но есть и еще загвоздка: дело в том, что в результате недоработки производителей таких устройств пароль шифрования, выбранный пользователем и ключ шифрования DEK не связаны криптографически. Другими словами, злоумышленник может узнать значение DEK (нужные данные спрятаны внутри SED-чипа) и затем использовать его для расшифровки данных без необходимости знать заданный пользователем пароль.
«Отсутствие криптографической связки — это катастрофа. Из-за недоработки пользовательские данные защищены слабо. Данные, которые хранятся на диске, могут быть без труда восстановлены и скопированы», — говорит один из исследователей, обнаруживших проблему. Результаты исследований и свои выводы эксперты опубликовали в виде статьи (скачать можно здесь).
К сожалению, ученым удалось обследовать небольшое число твердотельных накопителей, их модели обозначены ниже. Тем не менее, уязвимыми оказались все изученные устройства.
Исследователи изучили как внешние, так и встроенные SSD с поддержкой аппаратного шифрования. По их мнению, взлому подвержен гораздо более обширный спектр таких устройств. Исследование было завершено еще в апреле этого года, до настоящего момента ученые вместе с полицией Нидерландов старались известить всех производителей изученных устройств о проблеме.
Сообщается, что такие компании, как Crucial (Micron) and Samsung выпустили обновление прошивки твердотельных накопителей, решив, таким образом, проблему. Правда, этого может оказаться мало.
Дело в том, что исследователи стали углублять свою работу, проводя изучение безопасности пользовательских данных разных систем. Наиболее подвержены опасности пользователи Windows, поскольку в этой ОС некоторые сервисы усугубляют проблему. Так, проблемой можно назвать Windows BitLocker, софтварную систему шифрования данных на диске, работающем в среде Windows OS.
Как только BitLocker обнаруживает SSD с поддержкой аппаратного шифрования, сервис отключается, и данные не шифруются посредством Windows, ОС «надеется» на аппаратную поддержку. Так что пользователи, которые до настоящего момента работают с SSD Сrucial и Samsung и не обновили прошивку своих накопителей, фактически держат свои данные открытыми для всех.
Зато в этом случае защита является двойной и особых проблем, по сути, нет. По мнению исследователей, обнаруживших проблему, корень ее находится в спецификациях, созданных разработчиками аппаратного шифрования.
Вредоносные программы, которые невозможно стереть с винчестера, все же существуют. Но они так редки и дороги, что вы вряд ли с ними столкнетесь.
17 февраля 2015
Более того, теоретически прошивка способна повторно заражать загрузочную область жесткого диска, делая даже свежеустановленную операционную систему инфицированной. Вопрос дополнительно усложняется тем, что за проверку состояния прошивки и обновление прошивки отвечает… сама прошивка, поэтому никакие программы на компьютере не могут надежно проверить целостность кода прошивки или обновить его с надежным результатом. Иными словами, однажды зараженная прошивка практически недетектируема и неуничтожима. Дешевле и проще выкинуть подозрительный жесткий диск и купить новый.
Впрочем, не бегите за отверткой — мы не ожидаем, что эта предельно мощная возможность инфицирования станет массовой. Даже сама группировка Equation использовала данную функцию всего несколько раз, модуль инфицирования дисков очень редко встречается на компьютерах жертв Equation.
Перепрограммировать жесткий диск гораздо сложнее, чем написать, скажем, программу для Windows. Каждая модель винчестера уникальна, и разработать для нее альтернативную прошивку — долго и дорого. Хакер должен получить внутреннюю документацию производителя (уже очень сложно), купить несколько винчестеров точно такой же модели, разработать и протестировать нужную функциональность, а также запихнуть ее в невеликое свободное место прошивки, сохранив при этом все исходные функции.
Практический вывод из истории прост. Вредоносные программы, заражающие винчестеры, больше не являются легендой, но среднестатистическому пользователю ничего не угрожает. Не крушите винчестер молотком, если только вы не трудитесь над иранской ядерной программой. Больше внимания стоит уделять не столь впечатляющим, но гораздо более вероятным рискам вроде взлома из-за плохого пароля или устаревшего антивируса.
Помните шумиху вокруг неустранимой уязвимости USB, также известной как BadUSB? Оказывается это не единственная электронная угроза такого уровня, способная терроризировать современный мир, а в особенности некоторые организации. В последнем отчете «Лаборатории Касперского» описывается еще одна серьезная угроза электронной безопасности, которую невозможно определить традиционными средствами, да и защититься от нее проблематично. Как и в случае с BadUSB, новый зловред способен эффективно действовать в среде любой современной операционной системы, а главной его задачей является шпионаж.
Шпионские приложения были обнаружены специалистами в прошивках накопителей от крупнейших мировых компаний, включая Seagate, Toshiba, Western Digital, Samsung и Micron. Это ПО расположено в специальной микросхеме на HDD или SSD, которая управляет устройством. Доступа к ней нет ни у пользователя, ни, естественно, у антивирусных приложений. Более того, даже если накопитель отформатировать, включая низкоуровневый вариант, то прошивка останется в нетронутом виде, а значит и зловред сохранится. Можно, конечно, перезаписать прошивку, но далеко не для всех HDD и SSD имеются соответствующие инструменты в открытом доступе. Кроме того, есть еще одна проблема в определении наличия шпионского ПО. Нет никаких гарантий, что им не будет заражена и другая прошивка, устанавливаемая на место старой.
Что касается возможностей своеобразного вируса, то он может собирать различные данные с компьютеров, в которых установлен зараженный накопитель, а также из внутренней Сети, если есть к ней доступ. Чтобы затем злоумышленникам получить доступ к сохраненной информации, достаточно подключить специальный флеш-драйв, который, к слову, может использовать уязвимость BadUSB. Заблокированы USB? Не беда, вставьте любой другой носитель информации будь то оптический диск или дискета, правда, потребуется еще и доступ к Интернету и если такой есть, тогда данные будут переданы через Сеть.
«Лаборатория Касперского» не обвиняет напрямую Агентство национальной безопасности США (NSA), но мягко на это намекает, да и прошлые «подвиги» упомянутой организации на данном поприще тоже косвенно указывают на возможное ее участие в инфицировании накопителей. Достаточно вспомнить прошлогоднюю шумиху вокруг роутеров Cisco, чья прошивка была заражена кудесниками из NSA. Эти данные стали известны из откровений Сноудена. Обратите внимание, что «Лаборатория Касперского» обнаружила хитрый вирус в прошивках винчестеров персональных компьютеров в таких странах, как Россия, Пакистан, Афганистан, Китай, Мали, Сирия, Йемен и Алжир. Все они в той или иной мере интересуют американских шпионов, а всего упоминается 30 государств.
Если Агентство национальной безопасности США действительно имеет отношение к рассмотренной угрозе, то у этой организации есть беспрецедентный доступ практически к любым компьютерам в мире. Ведь активировать вирус не нужно — как только на накопитель подается питание, зловред начинает действовать автоматически. Естественно, возникает вопрос и в лояльности производителей к NSA. Чтобы внедрить вирус в прошивку, нужно иметь к ней доступ и даже в таком случае это очень трудоемкий процесс с применением обратного инжиниринга. Журналисты Reuters задали прямой вопрос представителям крупнейших производителей HDD касательно сотрудничества с NSA и практически все отказались от комментариев. Разве что Western Digital заявила, что не предоставляла код прошивок своих HDD Агентству национальной безопасности США.
С другой стороны, при заключении крупных правительственных контрактов, руководство страны вполне может потребовать доступ к внутреннему ПО оборудования для его проверки на соответствие утвержденным нормам безопасности. Это одна из лазеек для спецов NSA, которую те могли использовать для заражения HDD.
В общем, «Большой брат» следит за нами, и не защитит от этого ни OS X, ни антивирус, ни что-либо еще. Верно ведь говорят, что любая созданная человеком защита им же может быть и взломана. Хотя возникают вопросы и к «Лаборатории Касперского» — что натолкнуло специалистов на поиск вирусов в прошивке HDD, как они умудрились обнаружить зловредный код, откуда взяли накопители из разных стран мира и ресурсы, чтобы провести обратный инжиниринг ПО в каждом из них. Скорее всего, что истина где-то рядом. [Reuters]
(1 голосов, общий рейтинг: 5.00 из 5)
Читайте также: