Комментарии 31
Остался лишь один неотвеченный вопрос: раз закладка находится в зарезервированной области SSD и никак не видна через штатный интерфейс -- чему же она представляет угрозу? При такой постановке система, к которой этот SSD подключен, указанный код не может исполнить просто по определению.
Ну, скажем так, будь я бы вирусописателем - я бы исполнял вредоносный код напрямую из модифицированной прошивки, раз уж мы её модифицируем.
А идея не в том, чтобы заставить мозги самого SSD исполнять весь этот код. Идея в том, чтобы прошивка SSD скормила этот код компьютеру (через подмену бутсекторов, секторов с файлами программ и т.п.) и получила работающую закладку уже там.
Как это делается - примерно описано в шикарной и безумной статье товарища Циферкина: https://habr.com/ru/company/ruvds/blog/563394/
Модифицированна может быть прошивка и самим производителем по заказу спецслужб. На всех ходовых моделях добавлена определенная последователльность байт, послав которые жесткому диску прошивка переходит во "взведенное" состояние и начинает извлекать зловреда со скрытой области. Агентам остается лишь кинуть сам зловред в скрытую зону при отправке дисков нужному человеку либо организации. Для остальных пользователей такие диски ничем не будут отличаться от обычных.
Модифицировать прошивку под каждую модель, под покупку каждого пользователя пряча вирус в ее код, мне кажется это более хлопотное заняитие. Ведь не знаешь что купит человек, чтобы заранее подготовиться и не упустить шанс.
Например при затирании нулями, вместо этого пометить данные как Invalid Data Area
А теперь допустим если к этой области обратиться драйвер или комплектная утилита от SSD и запустит код из скрытой области, уже не так невероятно и не невозможно ?
Есть разные методы установки долговременных закладок на накопители. Во-первых, давным-давно используют метод перезаписи MBR
Проблема легко решается простым правилом — если приобретённый накопитель уже размечен, его просто надо переразметить заново.
Так фирмварь такого накопителя может в момент загрузки подставлять не оригинальный загрузочный код, а запрограммированный этими самими хакерами, а там уже никакое затирание не поможет
Проблема легко решается простым правилом — если приобретённый накопитель уже размечен, его просто надо переразметить заново.
Всегда так делал. До особой паранойи в виде полного заливания нулями, не доходил, конечно, но переразбить — это же святое.
А еще я не увидел ответа на вопрос — зачем это кому-то нужно. Ради кого оперативники будут заморачиваться, перехватвать посылки и вот это вот все?
Для чего все это, когда есть vPro, штатно предоставляющий возможности удаленного доступа на уровне железа https://www.intel.com/content/www/us/en/business/enterprise-computers/kvm-over-ip.html?
vPro -- это просто набор технологий и функционала, использующихся на данном конкретном устройстве.
То, о чём Вы говорите -- называется АМТ ("Active Management Thecnology"), и является одной технологией/спецификацией из длинного списка того, что входит в vPro.
Для того, чтобы получить доступ к KVM, надо проделать целую кучу предварительных действий. В целом, всё придумано интересно, с точки зрения безопасности в том числе.
Понятно, что уязвимости могут быть, но архитектурно -- всё очень и очень круто. Если интересуют детали, посмотрите интервью с инженером Intel: https://www.youtube.com/watch?v=SQvZf11Zm2Y&t=6655s (я тайм-код поставил как раз на начало обсуждения этой функции АМТ).
Мне очень понравился подход Intel к безопасности -- нет никаких облачных решений в части серверов управления AMT -- Intel раздаёт бесплатно приложение, ставьте у себя в инфраструктуре и обеспечивайте защиту сами. Плюс спецификации протоколов управления открыты, так что если есть желание -- можно разработать свой сервер управления (и есть open source проекты, реализующие управление AMT).
Иными словами, воспользовать AMT в зловредных целях не так-то просто. И совсем не просто в случае физических лиц, т. к. у большинства из них AMT вообще не активирован, ибо нет необходимости для личного оборудования.
Для того, чтобы получить доступ к KVM, надо проделать целую кучу предварительных действий.
Спасибо за подробный комментарий. Мысль в том, что раз есть механизм, значит есть и возможности. Где гарантии, что vPro не является технологией двойного назначения и кроме документированных ритуалов, там не заложено иных способов для ее использования?
Вот против подобных вещей и придумали secureboot. Единственное, что действительно страшно и опасно - зловред в этой самой OP, который бы работал через DMA (речь об NVMe накопителях)
Это та причина, по которой загрузка должна идти с отдельного доверенного носителя, а основной носитель должен быть зашифрован. Ибо прецеденты (когда жесткие диски меняли файлы) уже были. И ещё будут...
тоже не панацея
если у тебя /boot/efi на одном накопителе а другой весь собой представляет luks внутри которого и корень и дата то что мешает модифицировать твой загрузчик на esp (условно просто вынув на 5 минут флешку с ним пока ты отвернулся подмигнуть секретутке и подменив на ней файл) и просто дождаться первого ребута. код загружаемый efi может жить парралельно с ОС и даже быть незамеченным из ОС но иметь на неё влияние
как примеры могу привести:
1) clover для хакинтоша
2) процесс загрузки rpi
Носитель можно и нужно вынимать после загрузки и прятать в карман, и он должен быть readonly на аппаратном уровне. Существуют usb sticks с переключателем защиты записи. Их редко продают в РФ, но можно наверное найти на aliexpress.
Мы не говорим о физической безопасности. Иначе можно не только вынуть подменить загрузчик, но и сам ноутбук (с биосом прошитым как нужно...) и вообще пользователю пальцы в тиски зажать и заставить сделать всё что нужно.
Выглядит слишком сложным. Слишком много мест, где что-то может пойти не так и закладка банально не сработает, а то и нарушит работу компьютера и скомпрометирует себя.
Учитывая текущую логистику (мне посылка с Китая в Узбекистан шла через Европу) - замена прошивки может быть выполнена на любом этапе доставки
Тут статья не технаря, а какого-то копирайтера. Если рассуждать на том же уровне, то при старте будет подменен загрузчик, который загрузит ядро с дополнительным драйвером или модулем, а уже тот будет исполнять код на уровне системы и успешно скрываться от антивирусов. Вот только если во времена 7 это и было возможно, то сейчас этому столько препятствий на всех уровнях, что обойти становится нетривиальной задачей. Например так работали некоторые активаторы семерки. В десятке же активаторы работают почти в легальном поле используя известные дыры в самой операционной системе и не пытаются опять заигрывать с загрузкой.
Еще могу представить сценарий при котором вредоносный код из mbr может быть загружен и исполнен дырявым драйвером операционной системы при подключении. Но и такой сценарий маловероятен. В последнее время все-таки чаще целятся по прикладному ПО и дырам в системных службах.
КО: "в оборудовании могут быть программно-аппаратные закладки!"
(Которые АНБ делает на российской почте....)
А как же TRIM?
Плод паранойи. Тут прошивки ссд не раскопаешь чтобы инфу из них научиться дергать (их десятки новых (контроллеров) каждый год появляется, и разных прошивок под каждый из них сотни, разных по архитектуре), а тут про универсальный метод вмешательства в ПО диска... Забудьте, это слишком сложный путь.
Лучше бы придумали как переводить(через прошивку к примеру)
режимы работы всех ячеек на ССД,
из ТЛС(КЛС) в режим СЛС(МЛС)-кэша на постоянно и на весь объем ССД
Да объем ССД станет в 2-3-4 раза меньше,
зато работать будет в разы быстрее и долговечней.
Особенно актуально для изношенных ССД, где уровень заряда в ячейке уже неустойчивый, а перевод режима даст ССД вторую и даже третью жизнь.
Долговременные закладки в скрытых областях SSD