Na izradu ove teme potaknuo me hrx-ov komentar na vijest "Kupi HDD i "postani" NSA-ov agent":
hrx kaže...
Čitajući ovaj članak pitao sam se čitam li BOL ili 24 sata.
Budući da nije riječ o naknadno instaliranom softveru istog nije niti moguće otkriti standardnim metodama.
Radi se o naknadno instaliranom softveru jer disk ne dolazi s malwareom iz tvornice. Točno je da ga se ne može otkriti standardnim metodama, jer antivirusi i antimalware programi ne skeniraju firmware uređaja u računalu.
Naime, EQUATIONDRUG i GRAYFISH platforme imaju modul (plugin) koji omogućava reprogramiranje firmwarea tvrdih diskova i sadrži API za pristup skrivenim sektorima na disku. Modul u EQUATIONDRUG platformi (razvijana između 2003. i 2013. godine, sam modul je uveden 2010. godine) cilja šest "kategorija" diskova, dok modul u GRAYFISH platformi (razvijana između 2008. i 2013. godine, modul je uveden 2013. godine) cilja 12 "kategorija" diskova (pored ranijih HDD-ova, nove kategorije uključuju i SSD-ove).
Modul prima sadržaj koji se treba zapisati u firmware putem Interneta ili prenosivih medija, a sadržaj je prilagođen točno određenom disku koji se identificira putem serijskog broja diska. Flashanje se obavlja serijom ATA naredbi uz izgledno iskorištavanje propusta u kodu pri izvršavanju naredbi. Kaspersky navodi da moduli koriste mnogo nedokumentiranih ATA naredbi koje su svojstvene diskovima pojedinih proizvođača. Kako navodi Reutersov članak, razvoj modula ne bi bio moguć bez pristupa izvornom kodu firmwarea, te da NSA ili druge vladine agencije imaju niz mogućnosti za pribavljanje koda. Zanimljivo je da je prvi modul razvijen 2010. godine, nakon 2009. godine kada se zaredao niz hakerskih napada na mnoge tehnološke tvrtke u SAD, za što je okrivljena Kina.
Kaspersky kaže da je modul za reprogramiranje iznimno rijedak - tijekom istraživanja su otkrili da je prisutan na samo nekoliko računala žrtava, te zaključuju da je korišten samo u napadima na najvrednije ciljeve ili kod neuobičajenih okolnosti.
Problem je utoliko veći što isto ne bi bilo moguće bez pristanka i samih proizvođača tih diskova. Za sada se kao potencijalni suučesnici u zločinu spominju tvrtke Western Digital i Seagatesa sjedištem u SAD-u, te Toshiba čije je sjedište u Japanu. Nije poznato da li je riječ o baš svakom tvrdom disku koji je izišao iz proizvodnih pogona navedenih tvrtki ili tek o posebnim serijama koje su ciljano plasirane na određena tržišta poput Kine, Irana, Pakistana, Rusije i drugih Amerikancima zanimljivih područja.
Ne znam odakle je ovo izvučeno (možda iz glave autora članka :) ) - niti Kaspersky, niti Reuters ne spominju da su proizvođači diskova potencijalni suučesnici niti da isto ne bi bilo moguće bez pristanka samih proizvođača diskova. Diskovi ne dolaze s malwareom u firmwareu iz tvornice - on se naknadno instalira i to isključivo na ciljani disk identificiran serijskim brojem diska.
Dakle, možete sigurno spavati - vaš disk ne sadrži malware ... osim ako ne radite nešto što bi vas dovelo na (vjerojatno) NSA-inu listu za odstrel :).
Kvalitetniji članak od ovoga možete naći na stranicama Ars Technice, a Kasperskyjev izvještaj ovdje [pdf] (modul za flashanje firmwarea - stranice 16-18).
Makar sam se dva puta zahvalio, još jednom ću reći: "Hvala!"