Fwd: Re: [qubes-users] Persistent firmware backdoors possible across major hard drive brands
Interesting.
---------- Treść przekazywanej wiadomości ----------
Temat: Re: [qubes-users] Persistent firmware backdoors possible across major hard drive brands Data: środa, 18 lutego 2015, 03:45:32 Od: Seth Do: cypherpunks@cpunks.org
On Tue, 17 Feb 2015 07:11:14 -0800, Eugen Leitl eugen@leitl.org wrote:
Affected HDD brands include[2] (but are probably not limited to):
- Western Digital
- Maxtor
- Seagate
- Hitachi
- Micron
- OCZ
- OWC
- Corsair
- Mushkin
- Samsung
- Toshiba
I thought I remembered reading somewhere that malicious firmware replacement for Intel drives was either difficult or nigh impossible due to their practice of code-signing updates. Perhaps that could explain their absence from this list. -----------------------------------------
Dnia czwartek, 19 lutego 2015 20:31:37 antoszka pisze:
Tako rzecze rysiek (2015-02-19, 20:25):
Interesting.
To jakie dyski kupować? Unitra? OSM Sanok?
Intele wyglądają na odporniejsze, ponoć. Also, może "aktywne bezpieczeństwo" -- czy da się jakoś samemu zrobić kpię zapasową firmware'u dysku, i np. regularnie przywracać lub nawet porównywać, sprawdzając, czy coś się nie zmieniło?
Ktoś coś?
W dniu 19 lutego 2015 22:06 użytkownik rysiek rysiek@hackerspace.pl napisał:
[...] -- czy da się jakoś samemu zrobić kpię zapasową firmware'u dysku, i np. regularnie przywracać lub nawet porównywać, sprawdzając, czy coś się nie zmieniło?
Ktoś coś?
Obsługa firmware jest model-specific. Nie ma chyba uniwersalnej biblioteki do zarządzania nim.
Hmm, chyba najlepszym wyjściem byłoby zrobienie przelotki SATA z dozwoloną listą komend ATA. Tylko do tego (zwłaszcza przy SATA 3) trzeba by dosyć nowoczesnego i drogiego FPGA. Zaleta: Podpinasz do byle jakiego dysku, działa. Wada: Drogie jak ....
Alternatywnie, można zrewersendżinerować istniejący firmware dysku i "wyłączyć" lub zmienić sekwencję aktualizacji. Zaleta: Poświęca się jedynie czas, pizzę, trochę przekleństw. Wada: Zadziała tylko z jedną serią dysków (chyba, że stworzy się inteligentny system patchowania).
Ale jest też lepsza strona medalu: Nawet z trefnym firmware dysku można być bezpiecznym. Kluczem jest tutaj zaszyfrowanie całych partycji oraz stworzyć chain-of-trust pokroju Intel TXT (najlepiej, gdy nie będzie to Intel TXT ;-)), tak aby nie pozwolić na odszyfrowanie systemu przy wstrzykniętym w bootloader kodzie.
W dniu 19 lutego 2015 22:35 użytkownik Łukasz Dudka pl.illusion@gmail.com napisał:
[...] Ale jest też lepsza strona medalu: Nawet z trefnym firmware dysku można być bezpiecznym. Kluczem jest tutaj zaszyfrowanie całych partycji oraz stworzyć chain-of-trust pokroju Intel TXT (najlepiej, gdy nie będzie to Intel TXT ;-)), tak aby nie pozwolić na odszyfrowanie systemu przy wstrzykniętym w bootloader kodzie.
Hmm, trochę mniej bezpiecznie (musisz zaufać w BIOS/UEFI, Option ROM, firmware pendrive/karty SD), ale jeszcze prościej: Full disk encryption + bootowanie z pendrive/SD z kluczem (zahasłowanym najlepiej). Wtedy omijasz wykonywanie kodu z MBR dysku twardego.
Co prawda nośniki wymienne też mają swój firmware, który często da się nadpisać (http://www.bunniestudios.com/blog/?page_id=3592), ale do tego trzeba mocno targetowanego ataku. Ponadto, można też na bazie prawie dowolnego mikrokontrolera zrobić USB-Mass storage i wykluczyć ten problem.
Z szalonych pomysłów bez babrania się w nośniki wymienne i przerabianie sprzętu, zostaje jeszcze wgranie bootloadera w Option ROM karty sieciowej ;-D.
2015-02-19 23:11 GMT+01:00 Łukasz Dudka pl.illusion@gmail.com:
W dniu 19 lutego 2015 22:35 użytkownik Łukasz Dudka pl.illusion@gmail.com napisał:
[...] Ale jest też lepsza strona medalu: Nawet z trefnym firmware dysku można być bezpiecznym. Kluczem jest tutaj zaszyfrowanie całych partycji oraz stworzyć chain-of-trust pokroju Intel TXT (najlepiej, gdy nie będzie to Intel TXT ;-)), tak aby nie pozwolić na odszyfrowanie systemu przy wstrzykniętym w bootloader kodzie.
Hmm, trochę mniej bezpiecznie (musisz zaufać w BIOS/UEFI, Option ROM, firmware pendrive/karty SD), ale jeszcze prościej: Full disk encryption + bootowanie z pendrive/SD z kluczem (zahasłowanym najlepiej). Wtedy omijasz wykonywanie kodu z MBR dysku twardego.
Opisałeś takie cudo nazywające się Anti Evil Maid. Jeden z jego trybów to boot z pendrive lub z podpisanego kodu EFI. To jest ten gorszy.
Ten lepszy polega na TXT, nie da się tam wrzucić jakiejkolwiek pigułki - pod warunkiem, że nie złamiesz SecureBootu. Ładujesz podpisany pliczek EFI.
Więcej info: http://theinvisiblethings.blogspot.com/2011/09/anti-evil-maid.html https://qubes-os.org/wiki/AntiEvilMaid
Pozdrawiam,
On 2/19/15, rysiek rysiek@hackerspace.pl wrote:
może "aktywne bezpieczeństwo" czy da się jakoś samemu zrobić kpię zapasową firmware'u dysku, i np. regularnie przywracać lub nawet porównywać, sprawdzając, czy coś się nie zmieniło?
mozna dyski wrzucic za raid0, albo siakis sprzetowy SATA XORer, nawet TrueCrypt jesli dysk nie widzi prawdziwych danych to wszystko jedno czy jest zarazony
---- Wł. Pt, 20 lut 2015 16:36:53 +0100 Raszcitizenr@gmail.com napisał(a) ----
On 2/19/15, rysiek rysiek@hackerspace.pl wrote:
może "aktywne bezpieczeństwo" czy da się jakoś samemu zrobić kpię zapasową firmware'u dysku, i np. regularnie przywracać lub nawet porównywać, sprawdzając, czy coś się nie zmieniło?
mozna dyski wrzucic za raid0, albo siakis sprzetowy SATA XORer, nawet TrueCrypt jesli dysk nie widzi prawdziwych danych to wszystko jedno czy jest zarazony
A co z serwerami, tam nie szyfruje się dysków bo po co? A co z podmianą bootloadera?
-
antoszka -
enki -
Radoslaw Szkodzinski -
Rasz -
rysiek -
Łukasz Dudka