Hace 9 años | Por kotao a businessinsider.com
Publicado hace 9 años por kotao a businessinsider.com

La Agencia de Seguridad Nacional de Estados Unidos ha revelado la manera de ocultar su software de espionaje en los discos duros fabricados por Western Digital, Seagate, Toshiba y otros fabricantes principales, dando a la agencia de medios para espiar a la mayoría de las computadoras del mundo, según los investigadores cibernéticos y ex agentes. En NYT: http://www.nytimes.com/2015/02/17/technology/spyware-embedded-by-us-in-foreign-networks-security-firm-says.html

Comentarios

D

#14 1) Dudo que el FW tenga soporte para sistemas de ficheros aliens como BTRFS + cifrado las cuales operan por SW y que, por mucho que lea el firmware, solo verá basura.

2) Sobre USB ya he dado los puntos en MNM apra capar esa infección via UDEV.

timonoj

#16 Hombre, se sabe que infecta el sector del bootloader, nada más hacer las particiones. Antes de hablar de sistema de archivos. Puede hacer lo que le venga en gana. No tiene que leer del disco duro, le basta y le sobra con leer de RAM. Que para eso arranca antes que nadie. Le basta con interceptar el input que se le da para desencriptar el disco duro. O el password de login al sistema, que también puede hacer mucho daño. O infectar el kernel una vez está en ram...Tanto da. Siendo el primero en arrancar, el número de perrerías imaginables es demasiado alto, y simplemente usar un sistema de ficheros un poco atípico no va a salvarte el culo.

...Aparte de que obviamente pueden sacar la versión 1.1 con soporte adicional a FS atípicos, asumiendo que no la tenga ahora.
La única solución pasa por tener firmwares legibles/testeables, para lo cual me temo que habrá que esperar al menos una generación de discos duros.

timonoj

#18 Todo eso suena muy bonito, pero sigues perdiéndote una parte importante de la situación: Cuando tu kernel "que se salta todas las limitaciones de la BIOS o fw prearrancado" le manda cualquier comando al disco duro, el que lo interpreta es el controlador del disco duro, que está corriendo el firmware del disco duro. El controlador puede decir que ha interpretado tu comando tal cual se lo has pedido, y en realidad haber hecho cualquier otra cosa. Y NO TIENES PUÑETERA FORMA DE VERIFICARLO, si no es desmontando el disco duro y poniendo los platos en otro cabezal para verificarlo.

D

#21 Y yo te recuerdo que antes arranco desde un pendrive y luego vuelco al disco duro la información cifrada de antemano, pudiendo arrancar desde otro dispositivo como puede ser un pendrive con initramfs para arrancar el disco en sí y descifrarlo en RAM.

Y con según que Unixes si algo atípico del HW intenta acceder a la RAM (securelevel) el firmware se va a la mierda. Sí, existen esas tecnologías.

Por no hablar de que puedes leer y escribir los datos de forma cifrada sin que nada acceda a ello más que el propio proceso, ya que el FW del disco no va a poder saltarse RwX aunque quiera, mientras la CPU y el BUS tengan el control.

timonoj

#22...pero no necesitas infectar nada siquiera. Es decir, puedes infectar el bootloader, el SO o lo que quieras. Pero la verdad es que tienes un programa corriendo fuera de control incluso aunque el disco duro sea secundario. Incluso aunque el disco duro esté sólo encendido y sin conectar al sata.
Tú le estás mandando leer y escribir cosas (o no haberle mandado nada en absoluto), y él puede hacer lo que le salga de los huevos. Y si le copias datos encriptados desde otro sitio, todavía puede aprovecharse de ti cuando los vayas a leer (por ejemplo seguir tus patrones de lectura de la sección encriptada...a menos que vuelvas a copiarte el archivo a otro sitio seguro antes de leerlo, te puede seguir haciendo la puñeta. Y esto asumiendo que no ha conseguido infectarte el SO.

D

#23 http://vafaburg.com/2013/12/22/taking-a-closer-look-at-badbios/

"por ejemplo seguir tus patrones de lectura de la sección encriptada..."

Tampoco conseguiría nada. Si toda la E/S al disco va cifrada y lo claro va en una sección de RAM aislada (posible en OBSD) ya puede darse golpes en la cabeza que antes cae el disco de puro agotamiento.

Y eso en entornos con disco duro. Como metas un live USB en RAM donde toda la distro te cabe en un disco USB , olvídate de sectores que tal FW no servirá para absolutamente nada si como digo, ciframos el disco al completo.

P.E: Initramfs en USB y / desde disco, cifrado al completo con LUKS, LVM y BTRFS + /usr comprimido con UNIONFS. Dudo que un FW tire con todo eso.

D

#23 "http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/"

En Linux hay programas similares como 'dmidecode', 'flashrom' y demás que ahora no recuerdo, y que ayudan a detectarlo de forma similar como hace el artículo.

Un saludo.

D

#26 Excepto por los arranques externos no-SATA o sin disco duro de tales características, como puede ser un pen USB, o por PXE. Y lee sobretodo el link de #25 .

timonoj

#25 #27 404 Link no encontrado. Pero tampoco importa, en la BIOS, asumiendo que se pudiera escribir usando una frecuencia de radio concreta... luego la puedes leer para verificarla. El firmware de un HDD no, no es verificable. Y para el caso de que no arranques desde un HDD infectado, #23 sigue siendo válido.

editado:
Ah vale, quitándole las comillas tira. Lo primero que viene a decir es que la BIOS se puede verificar. Pero claro, la BIOS es legible y tiene muchas secciones cada vez más utilizadas en lectura/escritura. Pero es que un firmware de disco duro no es legible. Sólo le puedes mandar un archivo de firmware nuevo, y esperar que eso no te lo trampee también si ya está infectado. Es decir, me estás venga a poner ejemplos con la BIOS, pero opino que son casos diferentes.

D

#28 http://forums.theregister.co.uk/forum/2/2014/03/18/shuttleworth_firmware_is_the_universal_trojan/#c_2136450

Tampoco, ya que no hay arranque posible, no hay infeccion ya que puedo crear particiones lógicas o usar LVM más cifrado con volúmenes segmentados en varios discos, usando una particion FAT o de lo que sea de 1g y el resto detrás. Los UNIX pueden crear esquemas de particiones totalmente "alienígenas". O el disco duro entero cifrado y descifrado desde USB, como ya digo con diversas tecnologías para sistemas de volúmenes de disco. Y si nos pasamos a RAID... como no metan una FPGA de firmware lo van a tener jodido de cojones.

Será por opciones.

Un NTFS sin cifrar, pues sí, eso claro que un FW lo va a tener fácil.

Vete a esquemas complejos con cifrados , subvolúmenes, UNIONFS con particiones comprimidas en tar.gz descomprimidas en RAM y ese firmware ya puede tener una cpu ARM a 300mhz que si no se funde cual S1MP3 chino tras 1 mes de canciones.

i

#29 #28 Yo me llamo Ralph.

D

#25: Gracias, muy buen enlace.

timonoj

#18 "Da igual, Grub lo machaca, si no éste no podría arrancar."
Puede perfectamente escribirse en el sector de arranque y luego decir que el sector de arranque es otro. Esto al sistema es transparente, ni lo ve. Grub se escribe en el otro sector, asumiendo que es el de arranque. El virus carga lo que ha escrito, lo coloca en RAM, y cuando acaba, arranca grub. La mierda que ha escrito en RAM se queda esperando a que arranque el sistema.
Teniendo el nivel de acceso que tiene este virus, cualquier cosa es factible.

D

#17 "...Aparte de que obviamente pueden sacar la versión 1.1 con soporte adicional a FS atípicos, asumiendo que no la tenga ahora."

Ya pueden sacar un firmware enorme:

BeFS, ZFS, Reiser, BTRFS, UFS, UFS2, Hammer...

Eso si no cifro el disco ANTES de volcarlo al equipo con DD. Ahí el firmware peta si o sí.

Que intente descifrar, que intente.

Así volqué en su día con DD por red varios 2k3 para una cosa de clase. Velocidad punta y desde live USB de Linux

D

#14 https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf
Página 22.
Diseñan para el sistema. Hacer lo de BadBIOS queda para guionistas de series de TV.

Wayfarer

#14 Ya te digo.

D

#6 con lo que nos hemos reído de iker jimenez y el echelon...

ElCuraMerino

#8 Te habrás reído tú. Hasta hay un informe sobre Echelon de la Unión Europea: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A5-2001-0264+0+DOC+XML+V0//ES

D

#50 ironia. Aprovechar para recodar el descojono general cuando dijo que se reunían las 200 personas más influyentes del planeta e invitaban la la reina de España. Hoy ya te dicen en antena 3 que va hasta la Cospedal.

D

#6 el argumento del escéptico es aplastante. La noticia es mentira porque la constitución establece la inviolabilidad de las comunicaciones.

D

me daigual yo no tengo ni discos duros ni internet

t

#10 Entonces tu post es del mas allá.. Por un casual no seras el fantasma ese del ultimo capitulo de súper natural que estaba enganchado al router WiFi no?

garnok

#35 que pasa vas a discriminar al pobre casper?

mr_b

Otra razón más para exigir, no sólo software libre, sino también hardware libre.

Caresth

Como hayan escondido algo en los míos, no lo encuentra ni dios. De vez en cuando me meto en una carpeta al azar y encuentro reliquias de los 90.

noexisto

#5 a lo mejor buscan algo concreto por la md5 https://www.schneier.com/essays/archives/2004/08/cryptanalysis_of_md5.html A lo mejor ya te están controlando https://digitalelf.net/2013/09/how-the-nsa-is-breaking-ssl/
Me andaría con cuidado

timonoj

Otro problema: Aprovechan además que no SE PUEDE DETECTAR LA INFECCIÓN DEL HDD! Los fabricantes tienen herramientas para escribir en el firmware, pero no para leer lo que está escrito. El firmware no es legible! La única precaución posible sería sobrescribir el firmware aunque sea la misma versión...Y esperar que con un poco de suerte el virus no esté preparado para que devuelva "firmware sobrescrito exitosamente" sin haber escrito nada en realidad.

D

¿Os acordáis cuando todos llamábamos loco a Richard Stallman pidiendo firmware libres?

D

#47 Lo llamarías tu...

arn01d

#47 ¿todos?

D

Esta claro, a día de hoy cualquier cosa tiene un microcontrolador, y puede ejecutar código.. Es mucho más limpio, te la pela el sistema operativo, dificil de detectar.. todo son ventajas.

D

oh mierda, MI PORNOOOOOO

demostenes

Puede ser que el virus ese esté orientado a sistemas Windows y x86. Pero no existen los virus multisistema operativo y menos en el tamaño del firmware de un disco duro.

capitan__nemo

Relacionada
Kaspersky expone al Grupo Equation, maestros del ciberespionaje
Kaspersky expone al Grupo Equation, maestros del ciberespionaje

Hace 9 años | Por geralt_ a tecnologia21.com

Kaspersky expone al Grupo Equation, maestros del ciberespionaje/c11#c-11

Este envio, tiene mucha mas información en los comentarios y es la que ví yo y en la que comenté. Apasionante el asunto.
Hay que ver ahora, cuales son los discos duros vunerables en los cuales se puede detectar si se ha sobreescrito el firmware, y cuales no.
¿ahora se puede hacer una ingenieria inversa a este malware, reproducirlo y hacer algo similar que explote las mismas vulnerabilidades que siguen en los discos duros y en los pendrives, ...?

Estaria bien que el disco duro borrado de Barcenas, el que borraron los del pp, tuviese ese malware y tuviese el sistema virtual oculto ese (oculto por el firmware del propio disco duro) el sistema GRAYFISH del equationgroup. Y dentro de esa zona virtual oculta estuviese la información que habian intentado borrar.

Claro que si no tienen el disco duro original, con el volcado de esa información a los tipicos sistemas de captura de imagenes que tienen los equipos forenses seguramente no se hubise copiado esa información.

La Justicia investiga a una funcionaria por extraviar la causa de los discos duros de Luis Bárcenas
La Justicia investiga a una funcionaria por extraviar la causa de los discos duros de Luis Bárcenas
Hace 9 años | Por Ratoncolorao a vozpopuli.com


Así que tenemos a los de la nsa/cia/... (equation group) https://www.meneame.net/c/16335026 (colaboración con los aliados, la otan, israel, etc...)
Tenemos a los chinos (unit 61398 ¿Nos espían los chinos?/c27#c-27 )
¿y los rusos?
¿y la ue, alemanes, britanicos, franceses, ...?¿están subordinados a los eeuu y la otan? Guía secreta de la CIA para que sus agentes se salten las fronteras de los países europeos/c34#c-34
(claro, por eso la nsa espió a Merkel, seguro que le metieron alguno de estos malwares)
¿Y Japon, Corea del Sur, Brasil, Sudafrica, Irán, ...?

sieteymedio

Traducción: "Ya hemos descubierto otro sistema para colarnos donde nos salga de las pelotas, así que Karspersky ya puede revelar información obsoleta".

delawen

#43 Si yo fuera el gobierno no lo revelaría ni así. Imagina que por lo que sea falla el nuevo sistema... mejor tener varios donde elegir.

Mark_

Pues se han debido de hartar de ver billares y choteras, además de horas jugando a mil juegos.

D

Mucha leyenda urbana sobre el tema de super mega hackers.

Muchos intereses a nivel de empresas, como es Kaspersky Lab para que les compren software, si no lo tienen ahora, intentaran hacer todo lo posible para vender humo y colarsela a los usuarios. Que casualidad que ha sido descubierto ahora por una empresa y no ha sido descubierto antes en la defcon.

Es lamentable que se juegue con el conocimiento de las personas, para beneficiarse, tanto empresas como prensa.

Que me demuestren con hechos que eso es cierto, no a nivel de lectura.

Tanta tonteria con los squadron group o como se llamen y chorradas varias.

f

creo que la NSA eso es propaganda para que el gobierno no le cierre el grifo. puede que en el disco duro tenga un puerto para poderse leer cualquier datos sin restricciones, posiblemente los programas de recuperación de datos lo use, y los equipos de atestado digital incluso para tener software de acceso a los discos en pistas no accesibles
pero de ahí a que se pueda leer remotamente los datos el S.O. debería también estar en consonancia

hay un sistema que conecta un móviles basado en Android, ios, blacberry etc.. etc.. y congela el móvil completamente ademas copia toda la información a un disco externo incluida la memoria RAM y todo el S.O, pero para hacerlo necesita ser conectado físicamente con este

esto es usado para recuperar archivos borrados en el móvil o de modo peritaje (policial o de análisis)

D

igualito de softonic

MaximumPetrus

Relacionada:

https://hard2bit.com/blog/como-ocultar-datos-en-un-disco-duro-de-casi-cualquier-pericial-informatico-forense-sin-usar-cifrado-ni-esteganografia/


En un vídeo que no consigo encontrar, el autor demostraba que en un disco duro Seagate de 250 GBs, se podían obtener unos 90 Mbs de espacio (oculto) adicional en el área de servicio.

Suficiente para almacenar spyware de todos los SOs y arquitecturas, habidos y por haber...

D

#51 " Suficiente para almacenar spyware de todos los SOs y arquitecturas, habidos y por haber... "

En X86 hay más sistemas que Linux, MacOS y Windows. Tienes Solaris, los BSD, AROS... y con microkernels como Inferno donde puedes virtualizar tu Windows y tus jueguitos 3D en plan Xen/KVM+Passthrough el FW las pasaría muy putas antes de tratar de leer algo.

D

#51 Ahí el porno no me entra...

Bley

Pero si ya es lo habitual en la industria.

Hoy es raro el apqrato que no recopila informqcion de nosotroa. Hasta las teles...

D

Que disfruten de mi porno.

ElPerroDeLosCinco

#38 Del mío no creo que disfruten. Es muy cutre y asqueroso, como debe ser el de verdadera calidad. Solo apto para gourmets. lol lol lol

mmpulido

Una Internet... para controlarlos a todos!

D

Conspiranóicos +1

M

una operación súper secreta, que sólo la sabrán unas 10 personas en el mundo, pero este pavo la sabe. vaya.

Rorschach_

Voy a ver por si me han dejado algún juego molón

#1 Pregúntale por la fórmula de la CocaCola lol

Ka0

#7 ya te la digo yo: agua, azucar y marketing, mucho marketing

M

#13 Creo que se está confundiendo el "poder saber" y el "poder entrar". Entiendo que una vez dentro del sistema, por algún 'hueco' disponible se puede con relativa facilidad acceder a según qué información. Pero eso si estás dentro, y en el dpto. adecuado. Ahora intenta, con un CV de periodista, entrar en la NSA o en cualquier agencia de seguridad.