Har funnet nytt, kritisk sikkerhetshull

[efikkan]

Naturligvis kan en rekke enheter med firmware få dette infisert/erstattet. Vi har allerede sett ting som "bad usb" og firewire-firmware, og det vil naturligvis være et potensiale i harddisker, SSDer, hovedkort(BIOS), routere, TV-dekodere, osv. og alt mulig juggel folk kjøper ukritisk på DealExtreme. Likevel er det et par store begrensninger for slike typer infeksjoner:

- Direkte tilgang er nødvendig for infeksjon

- Mange typer firmware har lite rom for å gjøre noe, f.eks. en harddisk kan aldri kommunisere ut i verden.

- Firmware må tilpasses hver enkelt modell. Det er ikke mulig å slenge inn en universell kodebit inne i en firmware og få den til å oppføre seg som "normalt". Angriperen må med andre ord tilpasse firmware for hver type enhet som skal infiseres, og dette er på sett og vis én av fordelene med at firmware er kompilert kode.

 

Det er veldig betenkelig at anklagene mot USA kommer fra Russland uten noen form for beviser. Noen anklager har nok rot i virkeligheten, men USA er strengt tatt landet vi har minst å frykte fra. Alle land spionerer.

 

En rekke av de store angrepene vi hører om i media har trolig ingenting med statsspionasje, men enkeltpersoner og grupper som vil angripe/hevne seg på selskaper. Som regel er det umulig å bevise hvor angrep kommer fra, men noen ganger ser vi ting som tyder på at noen på innsiden har vært delaktig.

 

Kaspersky er i vinden for tiden, gitt.

Og folk svelger alt de sier ukritisk.

 

Det er selvsagt noe i det mye Kaspersky sier, men vi må aldri glemme at de er et firma som tjener på spredning av frykt gjennom tabloidpresse.

[G]

Å aldri være tilkoblet internett kan jo være en løsning, eller kan man klare seg uten? Alternativt ha noen maskiner som har null kontakt med internett og noen rene surfemaskinløsninger..

[Gravitass]

Å aldri være tilkoblet internett kan jo være en løsning, eller kan man klare seg uten? Alternativt ha noen maskiner som har null kontakt med internett og noen rene surfemaskinløsninger..

 

NSA kan jo kommunisere via ultralyd, har det kommet frem, vha. helt vanlige mikrofoner og høyttalere.

[Torbjørn]

Firmwaren skal kun skyffle data fra disk til en databuss og tilbake igjen, den ser aldri noe nettverksinterface, det er kun kreative hack ala den beskrevet i bloggen linket over som får gjort noe reell skade sånn sett. (Og det kan man sikre seg mot ved å kryptere disken sin)

 

Eller finns det mekanismer for å installere ting fra firmware over i os'et sitt? Da burde det synes i prosesslister el.

[sinnaelgen]

Dette dreier seg ikke om funn av et nytt sikkerhetshull.

 

[edit:] Overskriften er endret, men fremdeles like høl i hodet. Ikke skjønner jeg hvorfor noen gidder å betale for ekstra artikler herfra, når dere ikke gidder å sette dere inn i det dere skriver om.

 

De lar det verst søplet være gratis og så skal de ha betaling for de brukbare artikleme

samtid så blir man av og til lurt av unødvendig lange overskrifter til å lese ekstra artikler

[G]

 

Å aldri være tilkoblet internett kan jo være en løsning, eller kan man klare seg uten? Alternativt ha noen maskiner som har null kontakt med internett og noen rene surfemaskinløsninger..

NSA kan jo kommunisere via ultralyd, har det kommet frem, vha. helt vanlige mikrofoner og høyttalere.

 

 

 

Da er man rimelig bra innenfor "kikkerten" deres allerede vil jeg tro, og ikke kun en tilfeldig forbipasserende internetsurfer.

[Caddy]

@Zimon; Kostnader er ubetydelig for NSA. Datasenteret deres kan behandle ALT de får inn. For å begrense dette så har de muligheten for å ta imot data fra spesifike regioner/ områder.

 

Har lest alle sakene om NSA her og jeg så et budsjett de hadde en gang, godt over 1 milliard dollar hvis jeg husker rett. Angående datasentrene dems så sto det vel at de kan avlytte så si all info fra et land, dvs litt større land enn Norge vil jeg tro , samtidig. De kan da luke ut info gjennom å ha en algoritme som følger regler for stikkord etc.

 

Litt humor trengs også da

Hahaha, jeg elsker det bildet

 

Edit; @tHz; Ja, tenker det var noe slik jeg også. Ganske bra gjort å få til. Men hvordan får de det inn, de må jo enten få folk til å trykke på noe som installerer det på lik linje som virus. Jeg mistenker at de har brutt seg inn i fabrikkene og lagt inn denne koden så harddiskene får dette når de produseres, NSA har ressursene til det vil jeg påstå. Noen bedre forslag?

Hva om de betaler for det?

 

 

Naturligvis kan en rekke enheter med firmware få dette infisert/erstattet. Vi har allerede sett ting som "bad usb" og firewire-firmware, og det vil naturligvis være et potensiale i harddisker, SSDer, hovedkort(BIOS), routere, TV-dekodere, osv. og alt mulig juggel folk kjøper ukritisk på DealExtreme. Likevel er det et par store begrensninger for slike typer infeksjoner:

- Direkte tilgang er nødvendig for infeksjon

- Mange typer firmware har lite rom for å gjøre noe, f.eks. en harddisk kan aldri kommunisere ut i verden.

- Firmware må tilpasses hver enkelt modell. Det er ikke mulig å slenge inn en universell kodebit inne i en firmware og få den til å oppføre seg som "normalt". Angriperen må med andre ord tilpasse firmware for hver type enhet som skal infiseres, og dette er på sett og vis én av fordelene med at firmware er kompilert kode.

 

Det er veldig betenkelig at anklagene mot USA kommer fra Russland uten noen form for beviser. Noen anklager har nok rot i virkeligheten, men USA er strengt tatt landet vi har minst å frykte fra. Alle land spionerer.

 

En rekke av de store angrepene vi hører om i media har trolig ingenting med statsspionasje, men enkeltpersoner og grupper som vil angripe/hevne seg på selskaper. Som regel er det umulig å bevise hvor angrep kommer fra, men noen ganger ser vi ting som tyder på at noen på innsiden har vært delaktig.

 

Kaspersky er i vinden for tiden, gitt.

Og folk svelger alt de sier ukritisk.

 

Det er selvsagt noe i det mye Kaspersky sier, men vi må aldri glemme at de er et firma som tjener på spredning av frykt gjennom tabloidpresse.

 

Konspirasjonsmodus: (whatif...)

 

1: Firmware blir lagt inn når diskene blir laget?

2: Hva vet vi om at disker ikke kan kommunisere med www? Alt avhenger vel av koding?

3: NSA har lite penger å bruke på slikt sier du?

 

Anklager mot USA kan og vil komme hvorsomhelstfra. De ligger tross alt langt foran i utvikling av tekniske gadgets og duppeditter, og har mange, altformange forskere på lønningslista si..

Endret 18. februar 2015 av Caddy

[tHz]

Firmwaren skal kun skyffle data fra disk til en databuss og tilbake igjen, den ser aldri noe nettverksinterface, det er kun kreative hack ala den beskrevet i bloggen linket over som får gjort noe reell skade sånn sett. (Og det kan man sikre seg mot ved å kryptere disken sin)

 

Eller finns det mekanismer for å installere ting fra firmware over i os'et sitt? Da burde det synes i prosesslister el.

 

Har man kontroll på hva disken gjør kan man lett infisere et OS. Man kan da enten erstatte systemfiler eller sørge for å kjøre inject runtime. Man vil da ikke få noen synlige prosesser el.

[tHz]

Naturligvis kan en rekke enheter med firmware få dette infisert/erstattet. Vi har allerede sett ting som "bad usb" og firewire-firmware, og det vil naturligvis være et potensiale i harddisker, SSDer, hovedkort(BIOS), routere, TV-dekodere, osv. og alt mulig juggel folk kjøper ukritisk på DealExtreme. Likevel er det et par store begrensninger for slike typer infeksjoner:

- Direkte tilgang er nødvendig for infeksjon

- Mange typer firmware har lite rom for å gjøre noe, f.eks. en harddisk kan aldri kommunisere ut i verden.

- Firmware må tilpasses hver enkelt modell. Det er ikke mulig å slenge inn en universell kodebit inne i en firmware og få den til å oppføre seg som "normalt". Angriperen må med andre ord tilpasse firmware for hver type enhet som skal infiseres, og dette er på sett og vis én av fordelene med at firmware er kompilert kode.

 

 

Direkte tilgang: Hva mener du? Oppdatering av firmware på disker kan gjøres av kode som kjøres på maskinen. Alt som skal til er at maskinen blir kompromittert (gjerne fra remote).

 

Plass på firmware: Det er alltid plass til overs, og man kan også fjerne ubrukte deler av koden eller flytte noe over til kontrollerte områder på disken. Man har også lett tilgang til å lagre det man trenger på disk.

 

Firmware må tilpasses: Du vil bli overrasket hvor mange likheter det finnes mellom kontrollere på disker. Og det er ikke mange i utgangspunktet. Om de som vil utnytte dette har nok resurser kan de lett dekke nesten hele markedet.

[ATWindsor]

 

Det er veldig betenkelig at anklagene mot USA kommer fra Russland uten noen form for beviser. Noen anklager har nok rot i virkeligheten, men USA er strengt tatt landet vi har minst å frykte fra. Alle land spionerer.

 

 

"Fra Russland", som i fra et selskap som holder til i russland?

 

AtW

[hernil]

Naturligvis kan en rekke enheter med firmware få dette infisert/erstattet. Vi har allerede sett ting som "bad usb" og firewire-firmware, og det vil naturligvis være et potensiale i harddisker, SSDer, hovedkort(BIOS), routere, TV-dekodere, osv. og alt mulig juggel folk kjøper ukritisk på DealExtreme. Likevel er det et par store begrensninger for slike typer infeksjoner:

- Direkte tilgang er nødvendig for infeksjon

Feil. Denne utrolig stilige (og skumle) hacken viser at det holder med root-tilgang i Linux eller tilsvarende i Windows. Hvis du leser Ars Technica sin artikkel vil du se at det (hvertfall for Windows, men jeg avskriver alle illusjoner om imunitet nå) i praksis tilsvarer å bøye seg ned og plukke opp nøkkelen fra under dørmatta for de gruppene her.

 

- Mange typer firmware har lite rom for å gjøre noe, f.eks. en harddisk kan aldri kommunisere ut i verden.

Har du tilgang til å manipulere filsystemet usett så kan du gjøre stort sett det du vil. I teorien kan du utføre en hvilken som helst handling som kan logges kontrollert på en helt ren maskin med infisert disk-firmware og dermed skrive dine logindetaljer til shadows-filen eller tilsvarende. Du kan reinstallere OS og formatere disk så mye du orker. Dette er den type infeksjon du kanskje(!) kan fikse med flashing av firmware, men det kan sannsyligvis deaktiveres også. Dette fikser du med andre ord med en god gammeldags hammer.

 

- Firmware må tilpasses hver enkelt modell. Det er ikke mulig å slenge inn en universell kodebit inne i en firmware og få den til å oppføre seg som "normalt". Angriperen må med andre ord tilpasse firmware for hver type enhet som skal infiseres, og dette er på sett og vis én av fordelene med at firmware er kompilert kode.

Nå har det blitt funnet beviser for kodesnutter tilsvarende hvertfall 12 harddiskprodusenter. Utifra navnene vil jeg gjette at de dekker drøyt 90-95% av alle disker i salg.

 

Det er veldig betenkelig at anklagene mot USA kommer fra Russland uten noen form for beviser. Noen anklager har nok rot i virkeligheten, men USA er strengt tatt landet vi har minst å frykte fra. Alle land spionerer.

For det første så har de aldri sagt rett ut at det er USA, bare at bevisene peker i retning en velfinansiert statlig organsisasjon. NSA har aldri blitt nevnt med navn. Uansett er det ikke fryktelig betenkelig. Kaspersky har vært ute med lignende avsløringer tidligere. At de tydeligvis legger ned store ressurser i å avdekke denne formen for avansert hacking og malware kan ses på som et mandat fra Russland, eller trening på å være best i feltet sitt. Ingen av alternativene gjør automatisk avslørningene mindre sanne eller interessante. At USA er et land vi har lite å frykte fra i form av invasjon kan jeg gå med på. Derimot vil jeg si de leder an i kampen om å utrydde privatlivet på global skala. (ikke at disse avsløringene nødvendigvis faller inn under dette, da det stort sett ser ut til å være veldig målrettede angrep)

 

En rekke av de store angrepene vi hører om i media har trolig ingenting med statsspionasje, men enkeltpersoner og grupper som vil angripe/hevne seg på selskaper. Som regel er det umulig å bevise hvor angrep kommer fra, men noen ganger ser vi ting som tyder på at noen på innsiden har vært delaktig.

Bare et enkelt overslag på ressursbruken i utviklingen i noen av disse angrepene er et tydelig tegn på at det ikke er snakk om enkeltindivider eller ansamlinger amatører spredd for alle vinder. Det er godt organiserte grupper med eksepsjonelt god finansiering.

 

 

Kaspersky er i vinden for tiden, gitt.

Og folk svelger alt de sier ukritisk.

 

Det er selvsagt noe i det mye Kaspersky sier, men vi må aldri glemme at de er et firma som tjener på spredning av frykt gjennom tabloidpresse.

 

Jeg ser ikke hva de har å tjene på disse avsløringene. De har jo så godt som sagt at de (og alle andre) stort sett er hjelpesløse mot målrettede angrep av denne typen. Bruk antivirus, ikke bruk antivirus. Hvis en gruppe med disse ressursene vil følge deg, så får de det nok til.

 

Anbefaler alle å lese Ars Technica sin artikkel om dette!

[Gjest Slettet+132]

 

Å aldri være tilkoblet internett kan jo være en løsning, eller kan man klare seg uten? Alternativt ha noen maskiner som har null kontakt med internett og noen rene surfemaskinløsninger..

 

NSA kan jo kommunisere via ultralyd, har det kommet frem, vha. helt vanlige mikrofoner og høyttalere.

Og gjennom radiokommunikasjonsutstyr plassert i maskinen før kunden mottar den har NSA kunnet fjernlogge inn på maskiner som ikke har vært koblet til nett.

[G]

Dersom det er utstyr som normalt ikke skal gi fra seg radiokommunikasjon, så burde det være en smal sak å flytte det rundt en 2-3 steder for å utelukke annen radiostøy som kilden til radiokommunikasjonen.

[efikkan]

 

- Direkte tilgang er nødvendig for infeksjon

Feil. Denne utrolig stilige (og skumle) hacken viser at det holder med root-tilgang i Linux eller tilsvarende i Windows. Hvis du leser Ars Technica sin artikkel vil du se at det (hvertfall for Windows, men jeg avskriver alle illusjoner om imunitet nå) i praksis tilsvarer å bøye seg ned og plukke opp nøkkelen fra under dørmatta for de gruppene her.

 

Jeg siktet til direkte tilgang enten fysisk fra fabrikk, transport eller gjennom root.

 

 

- Mange typer firmware har lite rom for å gjøre noe, f.eks. en harddisk kan aldri kommunisere ut i verden.

Har du tilgang til å manipulere filsystemet usett så kan du gjøre stort sett det du vil. I teorien kan du utføre en hvilken som helst handling som kan logges kontrollert på en helt ren maskin med infisert disk-firmware og dermed skrive dine logindetaljer til shadows-filen eller tilsvarende. Du kan reinstallere OS og formatere disk så mye du orker. Dette er den type infeksjon du kanskje(!) kan fikse med flashing av firmware, men det kan sannsyligvis deaktiveres også. Dette fikser du med andre ord med en god gammeldags hammer.

 

Det er svært begrenset plass til å kode i slik firmware og ytelsen er også begrenset på slike kontrollere. Det er relativt usannsynlig at noen klarer å putte inn en komplett filsystemimplementasjon og evnen til å analysere hvilke filer som er verdt å stjele.

 

Det er derimot lett å lage firmware som gjør små sabotasjer, f.eks. tilfeldige feil her og der. Hvis jeg ville stjele data ville jeg derimot programmert firmwaren til å bli "ustabil" etter en stund slik at den blir sendt til destruering, men da sørge for at destrueringen feiler, og så plukke den opp i resirkulering.

 

 

- Firmware må tilpasses hver enkelt modell. Det er ikke mulig å slenge inn en universell kodebit inne i en firmware og få den til å oppføre seg som "normalt". Angriperen må med andre ord tilpasse firmware for hver type enhet som skal infiseres, og dette er på sett og vis én av fordelene med at firmware er kompilert kode.

Nå har det blitt funnet beviser for kodesnutter tilsvarende hvertfall 12 harddiskprodusenter. Utifra navnene vil jeg gjette at de dekker drøyt 90-95% av alle disker i salg.

 

Firmware må fremdeles tilpasses hver enkelt modell. Bare WD alene har i skrivende stund 43 modeller på konsumentmarkedet for stasjonære maskiner. Tar du med omtrent alle disker som har vært i salg det siste tiåret snakker du om mange hundre ulike disker. Det sier seg selv at slike angrep må målrettes mot et begrenset utvalg.

 

 

En rekke av de store angrepene vi hører om i media har trolig ingenting med statsspionasje, men enkeltpersoner og grupper som vil angripe/hevne seg på selskaper. Som regel er det umulig å bevise hvor angrep kommer fra, men noen ganger ser vi ting som tyder på at noen på innsiden har vært delaktig.

Bare et enkelt overslag på ressursbruken i utviklingen i noen av disse angrepene er et tydelig tegn på at det ikke er snakk om enkeltindivider eller ansamlinger amatører spredd for alle vinder. Det er godt organiserte grupper med eksepsjonelt god finansiering.

 

Nå siktet ikke jeg til utviklingen av de mest kompliserte virusene, men snarere innbrudd som har vist tegn til kjennskap om firmas interne struktur, passord og svakheter. Det er selvsagt ikke utenkelig at enkelte selger slik informasjon.

[sinnaelgen]

 

Hvis jeg ville stjele data ville jeg derimot programmert firmwaren til å bli "ustabil" etter en stund slik at den blir sendt til destruering, men da sørge for at destrueringen feiler, og så plukke den opp i resirkulering.

 

hvordan skulle det gå an ?

[NoShoes]

 

 

Hvis jeg ville stjele data ville jeg derimot programmert firmwaren til å bli "ustabil" etter en stund slik at den blir sendt til destruering, men da sørge for at destrueringen feiler, og så plukke den opp i resirkulering.

hvordan skulle det gå an ?

Styrer du fimrwaren, styrer du om harddisken virker.

Er du staten, kan du bare snappe de opp i posten (som f.eks NSA har gjort i følge Mr. Snowden) eller si til firmaet de blir sendt til at du skal ha de, og du får ikke lov å si til noen at du har fått de.

 

Er du ikke en statlig organisasjon, så må du nok til med god gammaldags "social engineering" eller innbrudd kanskje?

Endret 19. februar 2015 av NoShoes

[Cretinous Git]

For min del bruker jeg hammer når jeg skal destruere harddisker. Jeg vet ikke hvordan firmware skal kunne omgå det.

[G]

Når får man en oversikt over hvilke harddiskmodeller dette har rammet?

[Emancipate]

2: Hva vet vi om at disker ikke kan kommunisere med www? Alt avhenger vel av koding?

Fordi det er sånn datamaskiner fungerer.