Přítomnost spyware od NSA na svém disku nezjistíte

Martin Stančík , 22. únor 2015 09:00 3 komentářů
Rubriky: Technologie, Security
Přítomnost spyware od NSA na svém disku nezjistíte

Červy vyvinuté experty z americké National Security Agency, které jsou schopné infikovat firmware u HDD a SSD, antivirové programy podle společnosti Kaspersky nemají šanci nijak odhalit. Spyware, který infikuje firmware pevného disku, může podle společnosti Kaspersky Lab svým tvůrcům poskytnout obrovské množství informací.

Kaspersky tento týden vydal zprávu, podle které objevil spyware na pevných discích počítačů v třiceti zemích světa, přičemž tento červ, přezdívaný jako Fanny, byl pravděpodobně předchůdcem jiných červů NSA typu Stuxnet. NSA podle všeho Fanny využívala téměř dvacet let.

I když Kaspersky konkrétně NSA ve své zprávě nejmenuje, uvádí, že za Fanny stojí stejní lidé, kteří vytvořili Stuxnet. Počítačového červa Stuxnet, o němž se začalo psát v roce 2010, vyvinula NSA k průniku do počítačových systémů íránského nukleárního programu. Podle agentury Reuters bývalý zaměstnanec NSA „potvrdil, že NSA přišla na to, jak implementovat červa hluboko do firmwaru pevných disků“.

Podle Kaspersky byl nový červ objeven na pevných discích od více než tuctu známých výrobců jako Seagate, Maxtor (nyní dceřiná společnost Seagate), Western Digital, Toshiba, IBM, a i u SSD disků firem jako Micron a Samsung. „To, že jste infikováni, nemáte šanci poznat,“ uvedl Igor Soumenkov z Kaspersky Lab. „Jakmile je disk tímto červen infikován, není možné antivirem skenovat jeho firmware.“ S tím souhlasí i softwarový inženýr a bezpečnostní expert Steve Gibsob, podle kterého je červ NSA nemožné detekovat, jelikož mění "chování" infikovaného disku, který následně není možné skenovat nebo u něj hledat provedené změny.

Jedinou věc, kterou lze udělat, je sledovat chování disku. A to je velmi složité, jelikož zvláštní chování disku je možné zachytit pouze při bootování systému... když neběží nic jiného,“ uvedl Gibson. Gibson, který založil společnost Gibson Research, jež mimo jiné poskytuje skenovací software SpinRite pro pevné disky, dále řekl, že to, co našel Kaspersky, není klasický červ, jako spíše důkaz toho, že existuje technologie schopná vložit kód přímo do pevného disku.

Zachytili doslova zbytky bitů kódu, který nebyl odstraněn ze systému. Pomocí tohoto kódu pak bylo možné na disk nainstalovat červa,“ řekl Gibson. Podle Kaspersky byl Fanny vytvořen asi v roce 2008, přičemž vznik některých dřívějších podobných kódů sahá až do roku 1996. „Z toho vyplývá, že NSA je v této oblasti aktivní téměř dvě desetiletí,“ dodal Kaspersky.

Společnost Western Digital ve svém oficiálním prohlášení uvedla, že před vydáním zprávy Kaspersky si existence špionážního programu NSA nebyla vědoma. „Podobné hrozby bereme velmi vážně, bezpečnost našich produktů a dat našich zákazníků jsou pro nás na prvním místě,“ uvedl mluvčí WD s tím, že jeho společnost se neúčastnila ani nepodporovala vývoj jakékoli špionážní technologie. „Western Digital neposkytl svůj zdrojový kód vládním agenturám,“ dodal mluvčí. „V současné době vyhodnocujeme zprávu Kaspersky, abychom mohli učinit potřebná opatření.

Podobně se vyjádřil také největší výrobce pevných disků na světě, společnost Seagate, když uvedl, že „o přistupování třetích stran k naším diskům nemáme žádné informace“. „Po více než sedm let Seagate prodává disky, které obsahují to nejlepší možné šifrování a bezpečnostní prvky, které zabraňují provádění změn ve firmwaru,“ dodal Seagate.

Asi nejsilnější zbraň, kterou má NSA ve svém "arzenálu", je podle Kaspersky tajemný modul označovaný jako "nls_933w.dll". Ten umožňuje útočníkům přeprogramovat firmware disku. „Vývoj tohoto modulu je úžasným technickým úspěchem a svědčí o nadstandardních schopnostech jeho tvůrců,“ dodal Kaspersky.

Jak již bylo řečeno na začátku, ruská bezpečnostní společnost objevila infikované disky v počítačích v třiceti zemích světa, přičemž nejvíce infekcí bylo zjištěno u zařízení v Rusku, Pákistánu, Afghánistánu, Číně, Sýrii, Jemenu, Alžírsku a na Mali. Infikované počítače ve většině případů patřily vládním a vojenským institucím, telekomunikačním společnostem, bankám, energetickým firmám, médiím a islámským aktivistům.“

Během našeho výzkumu jsme zjistili, že zmíněná technika byla využita pouze u těch nejhodnotnějších cílů,“ dodal Kaspersky. Samotný spyware je používán pouze k tomu, aby na disk uživatele přenesl upravený firmware, přičemž útočníci k tomu musejí znát speciální pokyny, které se u jednotlivých výrobců liší.

Podle Soumenkova je přeprogramování firmwaru pevného disku velmi složitý a nákladný proces. K jeho provedení je nejprve třeba získat zdrojový kód všech výrobců disků, což znamená, že NSA měla přístup k interní dokumentaci a tajným informacím jednotlivých výrobců. Druhou možností pak je to, že odborníci v NSA mají „abnormální technické schopnosti, jak proniknout do kódu firmwaru,“ dodal Soumenkov s tím, že se jim to podařilo u více než dvanácti značek pevných disků.

Mohlo by vás zajímat:

Příbuzná témata: Ochrana, Malware, Bezpečnost, Internet, Soukromí, Antivirus,


Komentáře

e #0
e 22. únor 2015 10:35

To je jak kdyby ten clanek psal nejaky clovek co sleduje americke akcni scifi filmy ...

"abnormální technické schopnosti, jak proniknout do kódu firmwaru," co je abnormalniho na pouziti diassemblingu a reversniho inzenyrstvi, pouzici debugeru .. boha jeho.

hluboko v kodu.. to je jak napsat hluboko v receptu na pripravu kafe

$kafe=new HrnekNaKafe(TUREK);
nalij_vodu_do_konvice(INPUTtype_Z_VODOVODU);
while (!voda_vre()) sleep(1);
vylij_vodu_do($kafe);
zamichej($kafe);
while ($kafe->temp_C>50) sleep(1);
while (!$kafe->eof())
{
napijse();
sleep(random(500));
}

Kvizova otazka ... Jak hluboko se musim dostat do kodu abych kafe osladil.

js #1
js 22. únor 2015 17:25

jsou lidi, co potřebují program na uvaření hrnku kavy. A bavi je to a přehrávaj si to (možná, nevím) v hlavě. A stejně tak mohou být lidé, které baví dostávat se do toho, jak funguje ... nevim co. Možná se jim říká hackeři, nebo tak nějak. Pokud jsem opravdu dobrej hacker, proč bych se tím nemohl živit? Zvlášť když se neptám proč a na co to potřebují. Co k tomu dodat? Abych osladil kafe, přidám kostu cukru. Abych se dostal "hluboko" do kodu, měl bych byt bystřejší, pozornější, analytičtější, koordinovanější - čestina je krásná, že? Nebo co potřebuji k tomu abych se dostal hlouběji do kodu... americké akcni scifi? Nevim, možná plácám nesmysly. js.

V. #2
V. 22. únor 2015 22:10

Jakou to má asi souvislost s Reginem?

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

O2 v dalších dvou letech vykoupí až 1,25 % vlastních akcií

ČTK , 14. prosinec 2017 10:00

Cílem nového programu je optimalizace kapitálové struktury, uvedla firma....

Více 0 komentářů

10 spotřebitelských trendů pro rok 2018

Pavel Houser , 14. prosinec 2017 09:00

Sluchátka budeme nosit 24 hodin denně, i během spánku. Umělá inteligence bude vytvářet reklamy. Koli...

Více 0 komentářů

Apple poskytne investici 390 milionů USD firmě Finisar

ČTK , 14. prosinec 2017 08:00

Výrobce optických komponentů Finisar získá investici 390 milionů dolarů od firmy Apple....

Více 0 komentářů

Starší zprávičky

Facebook se chystá danit příjmy z reklamy v jednotlivých zemích

ČTK , 14. prosinec 2017 08:00

Změna se má uskutečnit do poloviny roku 2019 a týkat se bude zhruba 30 zemí, kde má firma kanceláře....

Více 0 komentářů

EP zamítl možnost přeshraničního vysílání on-line televizí

ČTK , 13. prosinec 2017 10:00

Komise navrhovala, aby u on-line televizního vysílání musel provozovatel řešit autorská práva pouze ...

Více 2 komentářů

Dvě americké firmy usilují o povolení bitcoinových ETF fondů

ČTK , 13. prosinec 2017 09:00

Fondy ETF se kupují a prodávají na klasické burze stejně jako akcie....

Více 0 komentářů

Firmy v Česku přišly kvůli podvodným e-mailům o miliony

ČTK , 13. prosinec 2017 08:00

Firmy v Česku čelí novému typu podvodu, účetní dostávají falešné e-maily od ředitelů s požadavkem na...

Více 4 komentářů