Как подчеркивают исследователи «Касперского», создатели шпионских платформ совершили «потрясающее технологическое достижение», разработав модули, способные перепрограммировать заводскую прошивку жестких дисков. Столь глубокое заражение позволяло злоумышленникам сохранять контроль над компьютером жертвы даже в случае форматирования диска или переустановки операционной системы. По данным «Касперского», «загадочный модуль» способен проникать во встроенное ПО жестких дисков более десятка производителей, включая Seagate, Western Digital, Toshiba, Maxtor, Micron Technology, IBM. Эти бренды охватывают практически весь рынок жестких дисков.
Подробнее на РБК:
http://top.rbc.ru/politics/17/02/2015/5 ... e06164f582
Вирус перепрограммирует заводскую прошивку жестких дисков
-
kyk
- Уже с Приветом
- Posts: 31589
- Joined: 21 Nov 2004 05:12
- Location: камбуз на кампусе
Вирус перепрограммирует заводскую прошивку жестких дисков
Лучше переесть, чем недоспать! © Обратное тоже верно 
-
SergeyM800
- Уже с Приветом
- Posts: 25438
- Joined: 15 Dec 2003 20:42
- Location: Russia -> Lynn, MA -> N.Chelmsford, MA
Re: Вирус перепрограммирует заводскую прошивку жестких диско
Вот отчет Кашперского на который ссылается Рейтер. Там много разных примеров с кодами и прочими техническими деталями. Мне как чайнику в IT области, хотелось бы узнать мнения Приветовских экспертов. Плиз. 
TECHNOLOGICAL BREAKTHROUGH
According to Kaspersky, the spies made a technological breakthrough by figuring out how to lodge malicious software in the obscure code called firmware that launches every time a computer is turned on.
Disk drive firmware is viewed by spies and cybersecurity experts as the second-most valuable real estate on a PC for a hacker, second only to the BIOS code invoked automatically as a computer boots up.
"The hardware will be able to infect the computer over and over," lead Kaspersky researcher Costin Raiu said in an interview.
http://www.reuters.com/article/2015/02/ ... QV20150217
You do not have the required permissions to view the files attached to this post.
Я не спорю, я просто объясняю почему я прав ! (с) не мой
-
helg
- Уже с Приветом
- Posts: 4827
- Joined: 15 May 2001 09:01
Re: Вирус перепрограммирует заводскую прошивку жестких диско
Технически описанное в PDF - вполне реализуемый сценарий.
В жёстком диске действительно есть своя операционка-firmware.
У всех современных дисков есть возможность обновлять firmware прямо из винды. Одна из функций firmware - подменять битые области диска на небитые из резерва, чтобы операционка по-возможности видела диск небитым. Эту возможность можно "слегка" подкорректировать - так чтобы подсовывать свои данные во время загрузки.
Последовательность чтения блоков данных при загрузке Windows версии "Виста" или выше фиксирована до очень большой стадии загрузки: сначала грузится скрытый 100MB раздел, который у всех абсолютно одинаков, - а это много операций чтения блоков по одному шаблону.
Распознать, что блоки читаются по шаблону и отдать свой "вирусный" блок вместо оригинального в нужный момент, легко реализуемо на уровне firmware. При этом вирусный код попадает в память на этапе загрузки. Возможности вируса после этого трудно чем-либо ограничить.
Но что самое интересное, простое чтение-копирование-переписывание диска не обнаруживает и не убивает "вирусный" блок. Поскольку в этом случае последовательность чтения блоков наверняка не такая, как при загрузке Windows - и вирусный код в firmware не показывает вирусные области, отдаваемые при загрузке - то есть наличие вируса обычным чтением диска антивирусом или исследовательской программой не обнаруживается.
Я не понял: удаляется ли вирус после обновления firmware диска. Реализовать своё присутствие после перезаливки firmware, на первый взгляд, сильно сложнее. Но даже и это можно реализовать.
Firmware-вирусы были известны и раньше. Вот, навскидку
http://www.computerworld.com/article/26 ... eased.html
В жёстком диске действительно есть своя операционка-firmware.
У всех современных дисков есть возможность обновлять firmware прямо из винды. Одна из функций firmware - подменять битые области диска на небитые из резерва, чтобы операционка по-возможности видела диск небитым. Эту возможность можно "слегка" подкорректировать - так чтобы подсовывать свои данные во время загрузки.
Последовательность чтения блоков данных при загрузке Windows версии "Виста" или выше фиксирована до очень большой стадии загрузки: сначала грузится скрытый 100MB раздел, который у всех абсолютно одинаков, - а это много операций чтения блоков по одному шаблону.
Распознать, что блоки читаются по шаблону и отдать свой "вирусный" блок вместо оригинального в нужный момент, легко реализуемо на уровне firmware. При этом вирусный код попадает в память на этапе загрузки. Возможности вируса после этого трудно чем-либо ограничить.
Но что самое интересное, простое чтение-копирование-переписывание диска не обнаруживает и не убивает "вирусный" блок. Поскольку в этом случае последовательность чтения блоков наверняка не такая, как при загрузке Windows - и вирусный код в firmware не показывает вирусные области, отдаваемые при загрузке - то есть наличие вируса обычным чтением диска антивирусом или исследовательской программой не обнаруживается.
Я не понял: удаляется ли вирус после обновления firmware диска. Реализовать своё присутствие после перезаливки firmware, на первый взгляд, сильно сложнее. Но даже и это можно реализовать.
Firmware-вирусы были известны и раньше. Вот, навскидку
http://www.computerworld.com/article/26 ... eased.html
-
SergeyM800
- Уже с Приветом
- Posts: 25438
- Joined: 15 Dec 2003 20:42
- Location: Russia -> Lynn, MA -> N.Chelmsford, MA
Re: Вирус перепрограммирует заводскую прошивку жестких диско
Я правильно понимаю, что проблема не нова и вполне изучаема. Кашперский в данном случае просто хочет быть в лидерах, чтобы предложить свою защиту от серьезных хакерских программ-вирусов.
Я не спорю, я просто объясняю почему я прав ! (с) не мой
-
helg
- Уже с Приветом
- Posts: 4827
- Joined: 15 May 2001 09:01
Re: Вирус перепрограммирует заводскую прошивку жестких диско
Проблема изучаема. Но для её изучения требуется аппаратура за пределами того, что есть в каждой конторе.
-
SergeyM800
- Уже с Приветом
- Posts: 25438
- Joined: 15 Dec 2003 20:42
- Location: Russia -> Lynn, MA -> N.Chelmsford, MA
Re: Вирус перепрограммирует заводскую прошивку жестких диско
Лаборатория Кашперского как я понял имеет. Т.е. любой желающий от меня до Пентагона сможет в скором времени вызвать специалистов проверить HDD или cкажем выслать диск почтой проверить за $20 ?
Я не спорю, я просто объясняю почему я прав ! (с) не мой
-
perasperaadastra
- Уже с Приветом
- Posts: 20128
- Joined: 21 Feb 2009 22:55
- Location: Лох Онтарио
Re: Вирус перепрограммирует заводскую прошивку жестких диско
За двадцатку я и сам чей угодно диск проверю. Высылайте. Лучше SSD.
-
helg
- Уже с Приветом
- Posts: 4827
- Joined: 15 May 2001 09:01
Re: Вирус перепрограммирует заводскую прошивку жестких диско
Полагаю, существующая зараза таки обнаруживается в памяти и лечится перепрошивкой диска. И то и другое можно сделать без навороченной аппаратуры. Аппаратура нужна для того, чтобы разобраться с её устройством.SergeyM800 wrote:Лаборатория Кашперского как я понял имеет. Т.е. любой желающий от меня до Пентагона сможет в скором времени вызвать специалистов проверить HDD или cкажем выслать диск почтой проверить за $20 ?