パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

KasperskyがHDDのファームウェアに感染して情報収集を行うマルウェアを発見したと発表」記事へのコメント

  • by Anonymous Coward on 2015年02月19日 17時12分 (#2764112)

    データの改ざん、破壊、以外に、どうやったら有用データを流出させることができるのだろうか。
    データファイルを偽装してすり替える?
    実行ファイルに寄生改竄して何らかの手段でethernet等のデバイス(ハード)にアクセスし送信する?
    OSに依存するコードか、デバイスドライバ(=OSの一部)に適応しないと意図した動作は出来ないだろうし、
    そのような高度なコードがファームウェアを格納しているROM中に、本来の機能を損なわないで
    共存して存在できるのはどうしても製造側(HDDベンダ)の協力が無いとできなそうだし
    (でないとファームのリバースengから始めることになる>>>糸目をつけずやっているのかもしれないが)

    政治的、技術的に極めて高度な内容を含んでいて、にわかに信じられない。
    まるでMissionImpossibleのガジェットの様だ。

    • by 90 (35300) on 2015年02月19日 17時52分 (#2764163) 日記


      実は、HDDのファームウェアが書き換えられるというのは新しい話でもなんでもなくて、2013年にはHDDのコントローラ基板上へuClinuxが移植されています。
      これをやった人の話では、高度な処理用らしきCPUとモータ管理などの基本機能のCPUなど複数のMPUが搭載されていて、ものによってほとんど遊んでいるそう。
      例えば上位モデルには暗号化機能があるが、下位モデルではプログラムだけが省かれている、といった場合には、実はCPUの処理時間は余っていたり、落としても
      気づかれないような処理しかしていないのかもしれません。また、HDDには大量のストレージ(何せそれ自体がストレージですし)もあれば、CPUに不釣り合いな
      大容量の高速(キャッシュ用)メモリもあります。昔の「パラレル信号に反応してヘッドを右や左へ動かす」というHDDならともかく、現代のHDDはモーターのついた
      Raspberry Piのようなもの、なんですね。

      ディスクだけを買ったつもりがRasPiがプロキシとして強制的についてくると考えれば、そこでできることは多岐に渡るでしょう。実際に、移植の前段階として
      書き込んだファイルを差し替えるとか、改竄したデータを返すといったこともできているようです。アイディアとしてはSATAからDMAでEthernetを叩くというのも
      見かけはしましたが、そこまでしなくとも、例えば変更したパスワードが元に戻されるとか、メールで受け取ったコマンドに基づいて書き換えられるとかでも
      十分脅威だし、可能ではないかと思います。Eye-FiやFlashAirと同じでしょう。

      # 個人的にはこれで ニョガーン してほしい

      親コメント
      • by Anonymous Coward

        ご連絡先

      • by Anonymous Coward

        > SATAからDMAでEthernetを叩く
        ATAのプロトコルはデバイスからホストのメモリやI/Oを叩けるように拡張されたんですか?

        • 間に色々挟まってるしできなそう。悪用するにしてもやる必要ないし。

          親コメント
          • by Anonymous Coward

            間に挟まっているのが問題ではなくプロトコル上不可能なんですけどね

        • by Anonymous Coward

          直接ホストのハードを叩けなくても HDD 上のバイナリは改竄し放題なので、適当なバイナリにペイロードくっつけてホストに渡せば、やりたい処理はホストがしてくれるんじゃないかな?

      • by Anonymous Coward

        昔話になるが、ドライブ側のCPUと聞いて思い出すのはPC-8001/PC-8801シリーズ。
        直接いじったことはないが、サブCPUにプログラム転送して走らせる小技があったような。
        # こいつらの5'FDDはドライブ側にもZ80積んでたインテリジェント仕様。
        # I/Fはただの8255、後に本体にFDD内蔵されてもわざわざCPU間で通信してた。

        # 一方富士通FMシリーズは最初からキーボードと画面VRAMがサブCPU制御。
        # YAMAUCHIコマンドでサブ側にプログラム置いて走らせるのは定石だった。

        • by Anonymous Coward

          誰もドライブ側のCPUの話なんてしてませんがな。

          • by Anonymous Coward

            え?親コメント「HDDのコントローラ基板上へuClinuxを移植」、
            「複数のMPUが搭載されていて、ものによってほとんど遊んでいる」から利用、
            つまりドライブ内部のCPU上でユーザプログラムを走らせてみた、つー話へのコメントでしょ?
            どう誤読したら
            > 誰もドライブ側のCPUの話なんてしてませんがな。
            になるのか、それがわからん。

            # 元ネタのマルウェアが「潜伏先としてHDDのファーム領域を使用してるだけ」の
            # 可能性は否定せんけど、ふつーファーム書換つったら周辺機側の動作をかえるよなぁ。

        • by Anonymous Coward

          サブ側のプログラムが暴走すると画面が崩れるんですよね
          一回リサージュみたいな画面になって感動した

      • by Anonymous Coward

        ということは
        乗っ取られたHDDが突然
        「オ〜マ〜エ〜ハ〜ア〜ホ〜カ〜」
        とやりだす恐れがあるのか?
        トーキングHDD
        それはそれで怖いな。

      • by Anonymous Coward

        HDD中古をラズベリーパイ代わりに使いたくなりました。
        20年後は、クレイ1くらい?の性能かも?
        20年前のコンピュータはかなりしょぼい

    • ま、BadUSB [nikkeibp.co.jp]の例もありますから何ができても不思議はないわけで。
      SATAインターフェースの向こうにキーボードデバイスが繋がってキーボードって認識されたり・・・するんか?

      --
      **たこさん**・・・
      親コメント
    • by Anonymous Coward on 2015年02月19日 17時33分 (#2764139)

      高度な機能ガーはHDDが記録メディアであることを失念してるんじゃ無いか

      親コメント
      • HDDにウイルスをコピーしつづけるってできそうですよね。
        親コメント
      • by Anonymous Coward

        ファームの非管理エリアにデータ置くのならなおさらのこと、仕様に精通していないといけない。
        => 内通者アリだな

        • ロイターの記事だと、メーカーにスパイを送り込む場合のほか、米国で政府系機関に納入する際にソースコードの提出を含む製品の監査を受けることがあり、場合によってNSAが受け持つとか。中国が同じようなことを言って反発を受けていたような…

          親コメント
          • by Anonymous Coward

            ふむふむ、それなら何でもアリですね。
            これやられると、OS構成ファイルをいくら調べても検出できない。
            定型的で、判りやすいすり替え対象としてはソフトのUpdateチェックなんて使えそうだから
            もしかすると、ベンダ(MSetc)もグルかもしれない。

            たとえば、データの横取りに使うとすると、
            1.ドメイン名(ip-adrs)で自機の所在を認識、(東側諸国とか)
            2.SPAMに見せかけたトリガでアクティブ化
            3.重要キーワードを含む対象ファイルをコピー、圧縮、暗号化
            4.アップデートチェック時等に混入させて配送...

            アンチウイルスの定義ファイル更新時にPCからも大量にナニカ送っていませんか?

            もしかすると細胞内のリボソームを操るようなアナロジーで、よりウイルスっぽいかもしれないなぁ
            OSは正直に宛先へデータを配送するだけ…

    • by Anonymous Coward

      SATAだと改ざんしたコードが実行されるのを待つことしかできなさそうだけど、
      PCIe接続のSSDなら結構アクティブに悪さをできそうな気がする。

      ストレージの中の人としては、内部情報なしに仕様の分からないHWを叩くなんて難しいと思うけど、
      それでもロシアなら…、ロシアならきっと何とかしてくれる。

      • by Anonymous Coward

        やってみると分かりますが物理アドレスだけでOSをゴニョゴニョするのはそんなに簡単じゃないです。
        MSRやCR3が読めればなぁと思う事がしばしばあります。

        • by Anonymous Coward

          HDDのファームウェアだけで完結しなくてもいいのでは?
          MBRを挿げ替えて、OSにルートキットを仕込められれば、後はどうとでもなりそうですし。

          • by Anonymous Coward

            > SATAだと改ざんしたコードが実行されるのを待つことしかできなさそうだけど
            と何が違うんでしょうか?

    • by Anonymous Coward

      ファームウェアは、独自のマスタブートローダをPCに読み込ませる機能があれば
      あとは既存のマスターブートローダに感染するウイルスと同じでないかな
      削除や初期化をしても消せない点はちがうけど

    • by Anonymous Coward

      ブートセクターにちょいとローダーをかませてやればいいんですよ。

アレゲは一日にしてならず -- アレゲ見習い

処理中...