Sogar Festplattenfirmware wird jetzt schon mit Spionagesoftware infiziert!

[NorbertFe 1.799]

Welche Lücken? On das mit Lücken zu tun hat?

Ja, womit denn sonst?

 

Es lässt sich die Frage stellen, wo erscheint eine Manipulation möglich?

Eigentlich nicht, da das im pdf erwähnt wird.

How do victims get infected by EQUATION group malware?

 

The Equation group relies on multiple techniques to infect their victims. These

include:

• Self-replicating (worm) code – Fanny

• Physical media, CD-ROMs

• USB sticks + exploits

• Web-based exploits

 

Da sind Leute im Entwicklungsteam des Herstellers, Leute in der Produktion, dann die Lieferkette bis zum Endkunden. Falls man da jemanden hat oder kennt, jemanden bestechen kann, ein Platte oder die Elektronik gegen eine manipulierte auszustauschen? Oder der bekommt ein ein Programmiergerät mit, schliesst die Platte für einige Minuten an? Das Schwierigste könnte sein, die Verpackung wieder unauffällig herzurichten.

Hab ich irgendwie was anderes gelesen als ihr?

Although the implementation of their malware systems is incredibly complex, surpassing even Regin in sophistication, there is one aspect of the EQUATION

group’s attack technologies that exceeds anything we have ever seen before.

This is the ability to infect the hard drive firmware.

We were able to recover two HDD firmware reprogramming modules from the EQUATIONDRUG and GRAYFISH platforms.

Steht da irgendwo was davon, dass Festplattenverpackungen geöffnet wurden? Da steht, dass dies über Module passiert, welche in der Malware enthalten sind. Und die Infektionsmöglichkeiten hab ich zitiert.

 

Bye

Norbert

Keiner. Für mich sieht es aber so aus, als ob solche schadhaften Firmwareupdates nicht jeder machen kann.

Äh nein, nicht jeder, aber die im pdf erwähnte "Gruppierung". Oder wie meinst du das jetzt?

 

Wenn jemand die Lücken bewusst ausnutzen sollte, macht er das gezielt (auf deine Infrastruktur). Denke ich zumindest....

Warum denkst du das? Bzw. wieso geht's "nur um bewußte" Ausnutzung? Hat nicht jeder eine Uranzentrifuge zu Hause, das stimmt. Aber manchmal geht's um viel "geringere" Dinge. Und wenn solche "Tools" verfügbar sind, dann wird's über kurz oder lang auch benutzt.

 

Bye

Norbert

[Dr.Melzer 191]

Was das manipulatieren von Hardware angeht wissen wir seit Snowden dass die NSA ein Team hat dass gezielt Hardware auf dem lieferweg abfängt, manipuliert und weiterschickt.

 

http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html

[NorbertFe 1.799]

Ja, nur dass das in diesem Fall gar nicht mehr zwingend notwendig ist.

[Dr.Melzer 191]

Ja, nur dass das in diesem Fall gar nicht mehr zwingend notwendig ist.

Das ist korrekt.

[lefg 276]

Gibt es einen Fall?

bearbeitet 18. Februar 2015 von lefg

[NorbertFe 1.799]

Was soll denn die Frage? Da die Funktion vorhanden ist, wird es wohl entweder Fälle geben (entdeckt aber nicht berichtet oder unentdeckt). Und wenn derzeit evtl. Nicht, damit hoher Wahrscheinlichkeit zukünftig. Oder ist die Risikoeinschätzung immer vom eigenen empfinden gesteuert?

[willy-goergen 0]

Hab ich irgendwie was anderes gelesen als ihr?

 

 

Ich weiß nicht. Zugegebenermaßen habe ich mir das PDF gar nicht wirklich ausführlich angesehen.

 

Für mich ist dabei aber immer noch die Frage, wo eine eventuelle Infektion stattfinden soll und wer überhaupt ein lohnendes Ziel für solche Angriffe sein soll. Und da wird der Spielraum (für mich) dann schon wieder erheblich kleiner. Immerhin steckt da dann gut bezahltes Personal dahinter, dass hofft, irgendwas von Interesse abgreifen zu können.

 

Woher soll denn die Malware kommen, die in den Firmwares steckt, wenn es nicht schon beim Hersteller selbst passiert ist? Die Festplatte als solches kann alleine auch keine Verbindung zum Netzwerk oder ins Internet aufbauen. Was ist, wenn die Festplatte in einem Rechner ohne Internetanschluss steckt? Ich denke, wer so etwas macht, muss auf jeden Fall halbwegs wissen, wie die Gegebenheiten beim Opfer sind.

bearbeitet 18. Februar 2015 von willy-goergen

[Sunny61 772]

Woher soll den die Malware kommen, die in den Firmwares steckt, wenn es nicht schon beim Hersteller selbst passiert ist?

Wenn Du auf einem Server die Firmware aktualisierst, kann das auch jeder andere der Zugriff auf den Server hat. Schon hast Du eine geänderte Firmware installiert.

[NorbertFe 1.799]

Ich weiß nicht. Zugegebenermaßen habe ich mir das PDF gar nicht wirklich ausführlich angesehen.

 

Für mich ist dabei aber immer noch die Frage, wo eine eventuelle Infektion stattfinden soll und wer überhaupt ein lohnendes Ziel für solche Angriffe sein soll. Und da wird der Spielraum (für mich) dann schon wieder erheblich kleiner.

 

Woher soll denn die Malware kommen, die in den Firmwares steckt, wenn es nicht schon beim Hersteller selbst passiert ist? Die Festplatte als solches kann alleine auch keine Verbindung zum Netzwerk oder ins Internet aufbauen. Was ist, wenn die Festplatte in einem Rechner ohne Internetanschluss steckt? Ich denke, wer so etwas macht, muss auf jeden Fall halbwegs wissen, wie die Gegebenheiten beim Opfer sind.

Das Szenario ist doch sogar erwähnt. Soll Ichs vorlesen?

[willy-goergen 0]

Das Szenario ist doch sogar erwähnt. Soll Ichs vorlesen?

 

Ja, lese mal laut vor, damit wir es alle hören können. ;)

Das ist jetzt eher wörtlich gemeint.

Irgendwo bin ich gerade an einem Punkt, wo ich gerade nicht mehr viel verstehe.

Wie soll das denn bei einem Server mit den Festplatten funktionieren, wenn die evtl. in einem RAID stecken?

 

Und wer flasht freiwillig die Firmware an einem Server? Ich würde es wahrscheinlich nicht machen wollen.

bearbeitet 18. Februar 2015 von willy-goergen

[Sunny61 772]

Wie soll das denn bei einem Server mit den Festplatten funktionieren, wenn die evtl. in einem RAID stecken?

Was hat denn das RAID damit zu tun?

 

Und wer flasht freiwillig die Firmware an einem Server? Ich würde es wahrscheinlich nicht machen wollen.

Du bist noch nicht lange dabei, richtig? Sobald Du mal einen Supportcase eröffnest, kriegst Du vom Support nach Abgabe der Logs gesagt, aktualisieren sie die Firmware, aktualisieren sie das BIOS. Anschließend nochmal Logs abgeben.

 

Beim letzten Arbeitgeber war das meine Aufgabe, zweimal im Jahr war das nötig. Anschließend natürlich auch die verwendeten Treiber aktualisieren. Bei damals 10 Server hast Du gut zu tun dabei.

[NorbertFe 1.799]

Jemand der nur Bastelserver kennt...

[XP-Fan 215]

Hallo,

 

kann es sein das hier jemand gewaltig auf dem Schlauch steht ? :D

 

Ein Benutzer bekommt per Mail / Flash Film / Java Script auf einer Webseite ein Schädling untergejubelt.

Bis hier hin sind wir uns einig ist das derzeit oft der Fall.

 

Nun der neue Punkt:

Der Schädling lädt nun keinen Trojaner / Werbungspopup / Botnet nach sondern einfach eine neue Firmware für die Festplatte.

 

Diese Firmware schreibt der Schädling für den Benutzer ( sehr nett gell :) )in das EProm der Festplatte rein.

Das schlimme daran ist nun das kein Sicherheitsprogramm diesen Schädling finden kann denn er ist ja nicht auf der Festplatte gespeichert.

 

Der Schädling meldet sich nun bei seinem Herrn: " Ich bin ready".

 

Was dann passieren kann hängt vom Schädling und dessen Meister ab, aber möglich ist Alles ! :schreck:

 

HTH

[NorbertFe 1.799]

Hallo,

 

kann es sein das hier jemand gewaltig auf dem Schlauch steht ? :D

Gut möglich. :)

[XP-Fan 215]

Du warst es wohl nicht .. :D