Kaspersky Labs hatte vor einiger Zeit einen Artikel über Malware gebracht, der sich in das Firmware-Bios von Festplatten der Hersteller Western Digital, Maxtor, Samsung, Toshiba und Seagate festsetzt und auch Formatierungen und Neuinstallationen des OS überlebt. Kaspersky sieht beim Code Parallelen zu Stuxnet und weist darauf hin, dass die Verursacher davon schon länger unterwegs sind, als die Stuxnet-Macher und zudem einige Module aus diesem Fundus in Stuxnet verwendet wurden.
Der Artikel von Kaspersky: http://www.kaspersky.com/about/news/vir ... -espionage
Bei Heise hatte man den Artikel aufgenommen und in Deutsch publiziert: http://www.heise.de/security/meldung/Eq ... 50779.html
Ich hab dazu mal einen richtig geilen Do-it-yourself-Artikel von einem Hardware- und Code-Schrauber gefunden:
http://spritesmods.com/?art=hddhack
TL;DR: In einem Hardware-Forum fragte jemand um Hilfe, der das Firmware seine Platte beim flashen gekillt hatte und dringend an die Daten der "toten" Platte ranwollte. Er bekam keine Hilfe, aber postete ein paar Feedbacks, wie er es geschafft hatte. Der Hardware- und Code-Schrauber nutzte die Anregung und schaute mal, was man da so machen kann.
Die Festplatten haben heutzutage kleine Embedded-Systeme auf der Platine, die über CPU, RAM, ROM und Eingabe- und Ausgabe verfügen und die ganze Mimik steuern. Es gibt zum Beispiel einen seriellen Port auf den Platinen, auch wenn der oft nur in Form von Lötpunkten vorhanden ist und keinen Stecker hat. Dazu dann ein JTAG-Interface. Das ist eine genormte Schnittstelle für das Testen und Debuggen integrierter Schaltungen auf Leiterplatten.
Also hat der Bub mal gebastelt ...
... und mit dem Debuggen angefangen. Er fand eine ARM CPU mit drei Cores, von denen wohl aber nur zwei Cores benutzt wurden. Ein Core regelt lesen/schreiben zur Disk und der andere das SATA-Interface, Cache und LBA zu CHS Übersetzungen.
Er fand dann einen Weg, über JTAG den Code so zu manipulieren, dass Daten im Cache verändert werden konnten und dann irgendwann in veränderter Form auf der Platte landeten. Prima? Nicht gut genug: Als nächstes hat er das EPROM der Platte aus dem Controller rausgelötet, ausgelesen, dekompliliert und eine Änderung eingeflasht, welche den Exploit dann auch ohne JTAG automatisch beim Booten aktiviert. Aber ... welcher Kunde nimmt schon geschenkte Platten mit einem offensichtlich aus- und eingelöteten EPROM? Also hat er im nächsten Schritt das Flash-Tool vom Festplatten-Hersteller genommen, um sein geänderte Firmware ins Festplatten-Flash zu schreiben. Wenn man das über "normale" Exploits auf einem Zielsystem zur Ausführung bringt, ist die Kiste so tief gerootet, dass man sie nur noch mit dem Vorschlaghammer platt bekommt.
Sein fix gebastelter Exploit zielte dann auf ein Linux-System. Dort liegen die Passwörter generell in /etc/shadow und sein Exploit wurde aktiv, wenn irgendwo in den Logs halt ein bestimmter String auftauchte. Weil er zum Beispiel diesen String ans Ende eines URL-Parameters einer Webseite auf dem Linux-Server hing. Sobald der Controller im Cache der Platte diesen String zum Schreiben auf die Disk fand, wurde der Schad-Code aktiviert. Sobald aktiv, ersetzte der Exploit dann während der Laufzeit das in /etc/shadow hinterlegte "root"-Passwort des Servers durch "test123" und man konnte sich per SSH oder Konsole mit dem im Platten-Controller hinterlegten Passwort einloggen.
Der Artikel geht über 8 Seiten und ist technisch recht gut nachvollziehbar und ziemlich genial. Nochmal der Link zum Artikel: http://spritesmods.com/?art=hddhack
Und das ist halt nur ein "Proof of Concept", den ein Geek mal eben so im Keller gebastelt hat. Wenn da eine staatliche Hacker-Organisation richtig Geld, Experten und Zeit drauf wirft, dann sind so Faxen wie Kaspersky sie ausführt halt kein Problem mehr. Dann geht das auch Betriebssystem-übergreifend und für deutlich mehr als ein einziges Platten-Modell eines gewissen Herstellers.