Seite 1 von 2

Festplatten-Firmware infizieren

Verfasst: Samstag 21. Februar 2015, 14:58
von SPS
http://www.heise.de/security/meldung/Eq ... 50779.html

Die
Die einzige Methode, die Malware loszuwerden, sei die physische Zerstörung der Festplatte

Verfasst: Montag 23. Februar 2015, 06:26
von geloescht
Hallo SPS,

wenn die Firmware nicht fest "eingebrannt" ist kann man sie auch wieder überschreiben. Ich kenne kein Gerät mehr bei dem die Firmware nicht überschreibbar wäre.

Ohne die Möglichkeit des Überschreibens gäbe es das "Reifen" der Geräte beim Kunden nicht.

Gruß

Alois

Verfasst: Montag 23. Februar 2015, 15:15
von der Alphabetische
Alois hat geschrieben: wenn die Firmware nicht fest "eingebrannt" ist kann man sie auch wieder überschreiben. Ich kenne kein Gerät mehr bei dem die Firmware nicht überschreibbar wäre.
Und wenn die manipulierte Firmware genau das verhindert?

Verfasst: Montag 23. Februar 2015, 16:41
von geloescht
Hallo der Alphabetische,
Und wenn die manipulierte Firmware genau das verhindert?
Dann hat der Hersteller der Festplatte/des Gerätes geschludert.

Gruß

Alois

Verfasst: Montag 23. Februar 2015, 16:52
von der Alphabetische
Wie soll denn der Hersteller im Voraus wissen bzw. verhindern, was eine manipulierte Firmware anstellen kann?

Es waere vielleicht moeglich, zu verhindern, dass ueberhaupt eine manipulierte Firmware auf die Festplatte gelangen kann. Aber wenn diese erst einmal da ist, ist es wohl zu spaet. Denn der Update-Prozess wird ja auch von der Firmware gesteuert.

Verfasst: Montag 23. Februar 2015, 17:49
von Etrick
Außerdem glaube ich einem gewissen E.S. in Moskau, dass Firmen Geheimdiensten absichtlich Hintereingänge zeigen.

Bei Cisco Systems, Apple, Google etc. erscheint es mir unwahrscheinlich, dass diese "Türen" versehentlich eingebaut wurden, Siemens Steuerungen wurden mit einiger Sicherheit auch nicht ohne Herstellerwissen infiziert.

Ob dieses Wissen auf Anfrage heraus gerückt wurde oder Siemens dafür ausspioniert wurde, ist die einzig offene Frage.

Gruß

festplatten sind selbst kleine computer

Verfasst: Montag 23. Februar 2015, 20:05
von sharpals
früher war der controller der festplatte ziemlich begrenzt in seinen fähigkeiten und es passte alles aus ein kleines e-Prom.

Heute ist es anders. In dem e-prom ist ein bootloadercode, der nur die aufgabe hat, daß eigenliche festplattenbios von ein geschützten bereich der platte zu laden.

Dieses programm stellt dann im RAM der festplatte alle funktionen zur verfügung, inclusive der updatefähigkeit. Der code selbst ist verschlüsselt und so nicht , von außen , erreichbar.

Wenn aber jemand bösartiges den mechanismus der verschlüsselung und den updatemechanismus kennt, kann er die plattensoftware manipulieren.

Er schreibt ein programm, das alles macht, was es eben machen soll und baut zusätzliche funktienonen ein, die nach außen unsichtbar sind.

Gleichzeitig wird eine simulierte updatefunktion eingebaut, die einfach so tut, ob man die normale firmware einspielen kann, aber eben doch nichts passiert.

Oder aber, die neue software hat kein updatemechanismus mehr und damit ist dann auch die platte verriegelt.

Denzufolge, bleibt nur die zerstörung der platte übrig.

Theoretisch könnte man ein lowleveltool schreiben, daß dann direkt auf die platte zugreift. Nur leider geht auch das nur begrenzt, da die ATA kommandos den zugriff auf den vesrsteckten bereich sperren.

Gruß Michael

Verfasst: Dienstag 24. Februar 2015, 07:06
von geloescht
Hallo sharpals,

ich kann mir nicht vorstellen, dass man mit einem eigens erstellten Betriebssystem nicht die Firmware löschen können sollte.

Wenn ich z.B. im laufenden Windows Betrieb einen Stealth-Virus beseitigen will, dann gelingt das natürlich nicht. Wenn ich mit Linux an den Rechner gehe, dann beseitige ich das Virus. Notfalls durch Löschung der gesamten Platte.

Solche Möglichkeiten hat der Hersteller der Festplatte mit Sicherheit auch.

Gruß

Alois

Verfasst: Dienstag 24. Februar 2015, 13:11
von der Alphabetische
Du übersiehst, dass die Firmware komplett unabhängig vom Betriebssystem ist. Die Firmware ist sozusagen ein eigenes kleines Betriebssystem und die Festplatte ist selbst ein "kleiner" Computer.

Verfasst: Dienstag 24. Februar 2015, 23:04
von ohoyer
Um mal einigen der Vorschreiber Recht zu geben:

Heutige "Firmware" ist längst aus ihren Ursprüngen raus- heutzutage sind das meist kleinere Embedded Betriebssysteme, teilweise sogar Linux und Konsorten, die da eingesetzt werden...


Flashen von Geräten: Firmware ist heute modular aufgebaut, und hat meist noch etwas tiefer im System einen ebenfalls teilweise austauschbaren Bootloader. Wenn der ebenfalls modifiziert ist, hat man teilweise viel Spass dabei.... dann sind diverse Ferkeleien denkbar, sobald man da seinen eigenen Code drin hat.

Der Hersteller hat dann via Hardware ggf. noch die Möglichkeit, die Festplatte abseits der normalen Kundenschnittstelle (SATA/SAS/FCAL) per JTAG oder ähnlichen Mechanismen anzusteuern und ggf. ein frisches Image reinzuflashen.