La Agencia de Seguridad Nacional de Estados Unidos ha revelado la manera de ocultar su software de espionaje en los discos duros fabricados por Western Digital, Seagate, Toshiba y otros fabricantes principales, dando a la agencia de medios para espiar a la mayoría de las computadoras del mundo, según los investigadores cibernéticos y ex agentes. En NYT:
www.nytimes.com/2015/02/17/technology/spyware-embedded-by-us-in-foreig
Da canguelito lo que he leído:
Reescriben el firmware de los principales fabricantes (WD, Seagate, Samsung etc). Al escribirse el virus en el firmware, no es borrable con un formateo. Ni con un borrado a bajo nivel. Tan pronto instales un SO, se vuelve a copiar y vuelve a infectarlo. Como el virus se carga antes que nada del SO, puede interceptar un disco duro entero cifrado, cuando te pide que entres la contraseña cifrada para poder arrancar el SO. Como ya está funcionando, puede interceptar la contraseña y guardarla en el propio espacio del firmware.-Otro de los virus es capaz de infectar redes de ordenadores desconectados completamente de la red por seguridad. Utiliza los protocolos USB para la infección. Esta debilidad directamente no se puede evitar por el…...
#1 Pregúntale por la fórmula de la CocaCola
Un ejemplo, yo curraba en prácticas de eso en un hospital, tenía acceso al armario donde estaba la metadona, control de acceso electrónico, y acceso al ordenador donde se controlaba el log de entrada, o a la sala donde tenían a los neo-natos, entre otros sitios sensibles... eso haciendo las prácticas de un FP electrónico y trabajando para una sub-contrata....
Uno de los problemas de esas cosas no es solo que ellos accedan para ayudar a sus "empresas amigas" o que puedan desestabilizar gobiernos, sino que cualquier sub-contratado puede tener acceso a mucha información.
Da canguelito lo que he leído:
Reescriben el firmware de los principales fabricantes (WD, Seagate, Samsung etc). Al escribirse el virus en el firmware, no es borrable con un formateo. Ni con un borrado a bajo nivel. Tan pronto instales un SO, se vuelve a copiar y vuelve a infectarlo. Como el virus se carga antes que nada del SO, puede interceptar un disco duro entero cifrado, cuando te pide que entres la contraseña cifrada para poder arrancar el SO. Como ya está funcionando, puede interceptar la contraseña y guardarla en el propio espacio del firmware.-Otro de los virus es capaz de infectar redes de ordenadores desconectados completamente de la red por seguridad. Utiliza los protocolos USB para la infección. Esta debilidad directamente no se puede evitar por el momento, ya que forma parte del diseño del protocolo USB (habría que esperar a hardware USB 4.0 o 3.1 con alguna corrección que lo evite). Este método permite infectar cualquier máquina al enchufar un USB dañino (no tiene por qué ser un pendrive, podría ser un teclado o un ratón trampeado...cualquier dispositivo USB), y dejar el virus recolectando información en el ordenador. Cuando el USB se vuelve a enchufar, descarga la información al USB. Cuando este USB se conecta en otro ordenador que sí tenga acceso a la red, lo infecta y sube toda la información a sus dueños.
El artículo de Kaspersky es en plan "no vamos a decir que es el gobierno....pero es el gobierno"
2) Sobre USB ya he dado los puntos en MNM apra capar esa infección via UDEV.
...Aparte de que obviamente pueden sacar la versión 1.1 con soporte adicional a FS atípicos, asumiendo que no la tenga ahora.
La única solución pasa por tener firmwares legibles/testeables, para lo cual me temo que habrá que esperar al menos una generación de discos duros.
Da igual, Grub lo machaca, si no éste no podría arrancar.
Amén que hay formas de comprobar eso mismo.
"O infectar el kernel una vez está en ram"
Me dirás como, si el kernel GNU o BSD toma el poder se salta TODAS las limitaciones de cualquier BIOS o fw prearrancado. Comprobado en su día con V4L, no veas como saltaba la tarjeta de frecuencias a lo bestia. Casi la armo con el PLL, pero me divertí bastante.
U otro ejemplo: Mientras que DOS y W9X dependían de la BIOS para infinidad de cosas, entre ellas la longitud de particiones y disco, Linux y cualquier UNIX like leían lo que les salía de las narices con particiones enormes.
"usar un sistema de ficheros un poco atípico no va a salvarte el culo. "
Sí, si puede.
Ya pueden sacar un firmware enorme:
BeFS, ZFS, Reiser, BTRFS, UFS, UFS2, Hammer...
Eso si no cifro el disco ANTES de volcarlo al equipo con DD. Ahí el firmware peta si o sí.
Que intente descifrar, que intente.
Así volqué en su día con DD por red varios 2k3 para una cosa de clase. Velocidad punta y desde live USB de Linux
Y con según que Unixes si algo atípico del HW intenta acceder a la RAM (securelevel) el firmware se va a la mierda. Sí, existen esas tecnologías.
Por no hablar de que puedes leer y escribir los datos de forma cifrada sin que nada acceda a ello más que el propio proceso, ya que el FW del disco no va a poder saltarse RwX aunque quiera, mientras la CPU y el BUS tengan el control.
Tú le estás mandando leer y escribir cosas (o no haberle mandado nada en absoluto), y él puede hacer lo que le salga de los huevos. Y si le copias datos encriptados desde otro sitio, todavía puede aprovecharse de ti cuando los vayas a leer (por ejemplo seguir tus patrones de lectura de la sección encriptada...a menos que vuelvas a copiarte el archivo a otro sitio seguro antes de leerlo, te puede seguir haciendo la puñeta. Y esto asumiendo que no ha conseguido infectarte el SO.
"por ejemplo seguir tus patrones de lectura de la sección encriptada..."
Tampoco conseguiría nada. Si toda la E/S al disco va cifrada y lo claro va en una sección de RAM aislada (posible en OBSD) ya puede darse golpes en la cabeza que antes cae el disco de puro agotamiento.
Y eso en entornos con disco duro. Como metas un live USB en RAM donde toda la distro te cabe en un disco USB , olvídate de sectores que tal FW no servirá para absolutamente nada si como digo, ciframos el disco al completo.
P.E: Initramfs en USB y / desde disco, cifrado al completo con LUKS, LVM y BTRFS + /usr comprimido con UNIONFS. Dudo que un FW tire con todo eso.
En Linux hay programas similares como 'dmidecode', 'flashrom' y demás que ahora no recuerdo, y que ayudan a detectarlo de forma similar como hace el artículo.
Un saludo.
Puede perfectamente escribirse en el sector de arranque y luego decir que el sector de arranque es otro. Esto al sistema es transparente, ni lo ve. Grub se escribe en el otro sector, asumiendo que es el de arranque. El virus carga lo que ha escrito, lo coloca en RAM, y cuando acaba, arranca grub. La mierda que ha escrito en RAM se queda esperando a que arranque el sistema.
Teniendo el nivel de acceso que tiene este virus, cualquier cosa es factible.
EDIT: Ah vale, quitándole las comillas tira. Lo primero que viene a decir es que la BIOS se puede verificar. Pero claro, la BIOS es legible y tiene muchas secciones cada vez más utilizadas en lectura/escritura. Pero es que un firmware de disco duro no es legible. Sólo le puedes mandar un archivo de firmware nuevo, y esperar que eso no te lo trampee también si ya está infectado. Es decir, me estás venga a poner ejemplos con la BIOS, pero opino que son casos diferentes.
Tampoco, ya que no hay arranque posible, no hay infeccion ya que puedo crear particiones lógicas o usar LVM más cifrado con volúmenes segmentados en varios discos, usando una particion FAT o de lo que sea de 1g y el resto detrás. Los UNIX pueden crear esquemas de particiones totalmente "alienígenas". O el disco duro entero cifrado y descifrado desde USB, como ya digo con diversas tecnologías para sistemas de volúmenes de disco. Y si nos pasamos a RAID... como no metan una FPGA de firmware lo van a tener jodido de cojones.
Será por opciones.
Un NTFS sin cifrar, pues sí, eso claro que un FW lo va a tener fácil.
Vete a esquemas complejos con cifrados , subvolúmenes, UNIONFS con particiones comprimidas en tar.gz descomprimidas en RAM y ese firmware ya puede tener una cpu ARM a 300mhz que si no se funde cual S1MP3 chino tras 1 mes de canciones.
Muchos intereses a nivel de empresas, como es Kaspersky Lab para que les compren software, si no lo tienen ahora, intentaran hacer todo lo posible para vender humo y colarsela a los usuarios. Que casualidad que ha sido descubierto ahora por una empresa y no ha sido descubierto antes en la defcon.
Es lamentable que se juegue con el conocimiento de las personas, para beneficiarse, tanto empresas como prensa.
Que me demuestren con hechos que eso es cierto, no a nivel de lectura.
Tanta tonteria con los squadron group o como se llamen y chorradas varias.
Hoy es raro el apqrato que no recopila informqcion de nosotroa. Hasta las teles...
Página 22.
Diseñan para el sistema. Hacer lo de BadBIOS queda para guionistas de series de TV.
Me andaría con cuidado
El documento original: securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf
Lo que han descubierto es un virus capaz de infectar el firmware de un disco duro. Pero no dice nada de que el origen del virus esté en un disco recién comprado.
Although the implementation of their malware systems is incredibly complex,
surpassing even Regin in sophistication, there is one aspect of the EQUATION
group’s attack technologies that exceeds anything we have ever seen before.
This is the ability to infect the hard drive firmware
Además:
The EQUATION group’s HDD firmware reprogramming module is extremely rare.
Lo que ocurre es que nadie se toma la molestia de leer.
hard2bit.com/blog/como-ocultar-datos-en-un-disco-duro-de-casi-cualquie
En un vídeo que no consigo encontrar, el autor demostraba que en un disco duro Seagate de 250 GBs, se podían obtener unos 90 Mbs de espacio (oculto) adicional en el área de servicio.
Suficiente para almacenar spyware de todos los SOs y arquitecturas, habidos y por haber...
pero de ahí a que se pueda leer remotamente los datos el S.O. debería también estar en consonancia
hay un sistema que conecta un móviles basado en Android, ios, blacberry etc.. etc.. y congela el móvil completamente ademas copia toda la información a un disco externo incluida la memoria RAM y todo el S.O, pero para hacerlo necesita ser conectado físicamente con este
esto es usado para recuperar archivos borrados en el móvil o de modo peritaje (policial o de análisis)
En X86 hay más sistemas que Linux, MacOS y Windows. Tienes Solaris, los BSD, AROS... y con microkernels como Inferno donde puedes virtualizar tu Windows y tus jueguitos 3D en plan Xen/KVM+Passthrough el FW las pasaría muy putas antes de tratar de leer algo.
Kaspersky expone al Grupo Equation, maestros del ciberespionaje
www.meneame.net/story/kaspersky-expone-grupo-equation-maestros-ciberes
www.meneame.net/c/16335026
Este envio, tiene mucha mas información en los comentarios y es la que ví yo y en la que comenté. Apasionante el asunto.
Hay que ver ahora, cuales son los discos duros vunerables en los cuales se puede detectar si se ha sobreescrito el firmware, y cuales no.
¿ahora se puede hacer una ingenieria inversa a este malware, reproducirlo y hacer algo similar que explote las mismas vulnerabilidades que siguen en los discos duros y en los pendrives, ...?
Estaria bien que el disco duro borrado de Barcenas, el que borraron los del pp, tuviese ese malware y tuviese el sistema virtual oculto ese (oculto por el firmware del propio disco duro) el sistema GRAYFISH del equationgroup. Y dentro de esa zona virtual oculta estuviese la información que habian intentado borrar.
Claro que si no tienen el disco duro original, con el volcado de esa información a los tipicos sistemas de captura de imagenes que tienen los equipos forenses seguramente no se hubise copiado esa información.
La Justicia investiga a una funcionaria por extraviar la causa de los discos duros de Luis Bárcenas
www.meneame.net/story/justicia-investiga-funcionaria-extraviar-causa-d
Así que tenemos a los de la nsa/cia/... (equation group) www.meneame.net/c/16335026 (colaboración con los aliados, la otan, israel, etc...)
Tenemos a los chinos (unit 61398 www.meneame.net/c/16206304 )
¿y los rusos?
¿y la ue, alemanes, britanicos, franceses, ...?¿están subordinados a los eeuu y la otan? www.meneame.net/c/15996078
(claro, por eso la nsa espió a Merkel, seguro que le metieron alguno de estos malwares)
¿Y Japon, Corea del Sur, Brasil, Sudafrica, Irán, ...?