Ganz allgemein zu Western Digital und deren Umgang mit Schwachstellen:
"Western Digitals Netzwerkfestplatten der Serie My Book Live beziehungsweise My Book Live Duo ließen sich über mindestens zwei Jahre hinweg unbemerkt angreifen. […] Die National Vulnerability Database (NVD) stuft letztere mit einem hohen Sicherheitsrisiko von 9,8 ein. […] Western Digital bietet jedoch keine Firmware-Updates an." (Juni 2021)
Western Digital takes customer privacy and security seriously. […]
Yeah, Yeah.
Viele Nutzer haben mittlerweile im Blick: Nicht nur Programme sollten stets auf aktuellem Stand gehalten werden, sondern auch die Firmware des Rechners (das Bios) braucht regelmäßige Updates. Aber: wer hat schon einmal die Firmware seiner HDD aktualisiert?
Und dann kommt Themenstarter
@AndreasBloechl mit dieser Geschichte um die Ecke:
[…] werdet ihr sehen dass jede HDD ein Backdoor hat […]
Darauf
[…] die Pauschalierung auf "jede HDD" halte ich für Quatsch, denn das würde auch nicht angeschlossene aber mit Daten gefüllt herum liegende HDD einschließen und da sind wir uns ja hoffentlich einig, dass es technisch nicht möglich ist, dann eine backdoor aus der Ferne zu verwenden.
Leider, leider hat
@TheGrey in beiden Punkten unrecht (ich würde wünschen, das Gegenteil wäre der Fall):
Der Angriff über Festplatten-Firmware ist zwar keine triviale, aber doch eben eine seit vielen Jahren gängige Methode. Es gehört zum Standardarsenal nicht nur bei APT (Advanced Persistent Threads) durch ressourcenstarke Angreifer (Geheimdienste, Staaten, und dem Komplex, der in der Kombination mit privaten Hacking-Firmen entsteht). Das gilt für drehende Festplatten, und noch mehr für SSDs (darauf gehe ich im folgenden nicht näher ein).
Grundsätzlich gibt es zwei Angriffsvektoren:
1) Das Ausnutzen von (vielleicht noch nicht öffentlichen) Exploits in der Festplatten-Firmware, um dauerhaft Schadcode auf einem Rechner zu platzieren, der auch dann weiter existiert, wenn – im Extremfall – die komplette Hardware (mit Ausnahme der Festplatte) getauscht wird.
2) Die Nutzung von Eigenheiten des Schreib-/Lesekopfs einer (drehenden) Festplatte, um Daten zu exfiltrieren – unabhängig von Lücken in der Firmware.
Zu Punkt 1):
"Als besonders intensive Angriffsmethode […] die Fähigkeit der Gruppe […], die Firmware von Festplatten bekannter Hersteller zu manipulieren." (Februar 2015)
Bereits im Oktober 2013 veröffentlichte eine Forschergruppe das Paper
"Implementation and Implications of a Stealth Hard-Drive Backdoor".
Berichterstattung dazu mehr als ein Jahr später. Und dann noch
hier.
Es ist also offenbar bereits vor Snowden üblich, solche Angriffe zu fahren. Und Snowden ist jetzt bald 10 Jahre her …
Zu Punkt 2):
Im August 2016 haben Forscher am Negev Cyber Security Research Center der Ben-Gurion-Universität, Israel,
Folgendes publiziert: "DiskFiltration –
Data Exfiltration from Speakerless Air-Gapped Computers via Covert Hard Drive Noise" (Hervorherbung von mir). Sie umreißen ihren Ansatz folgendermaßen:
"'DiskFiltration' [is] an acoustic channel which works even when speakers (or other audio related hardware) are not present in the infected computer. Our method is based on exploring intrinsic covert noises emitted from the hard disk drive (HDD) […]. We show that malicious code on a compromised computer can perform 'seek' operations, such as the HDDs moving head (the actuator) will induce the generation of such noise patterns at a certain frequency range. Arbitrary binary data can therefore be modulated through these acoustic signals, and the signals can then be received by a nearby device equipped with a microphone (e.g., smartphone, smartwatch, or laptop), and be decoded and finally sent to the attacker."
Hier gibt es ein Demo-Video der Forschergruppe.
Dieser Angriff funktioniert auch über ein schnödes USB-Kabel: "
USBee: Air-Gap Covert-Channel via Electromagnetic Emission from USB" (dieselbe Forschergruppe; das Paper liegt mir als PDF vor, bei Interesse bitte PN an mich).
Wer jetzt denkt, dass er/sie mit Coreboot als Firmware (anstelle des "Normal"-Bios mit Intel ME und AMT) im Hinblick auf solche Angriffsszenarien auf der sicheren Seite wäre – weit gefehlt. Tatsächlich gibt es einen nicht gepatchten SATA-Exploit – eigentlich eher einen "Designfehler". Es geht darum, dass in der SATA-Spezifikation DMA* vorgesehen ist, als regulärer Kanal für Festplatten-Firmware.
Die Intel-Dokumentation zu SATA führt die Implementierung des DMA-Kanals auf: Seiten 59, 67, 94 und 99.
Dieses Angriffsszenario kann nur dadurch umgangen werden, dass Festspeicher (intern) per USB angebunden wird (die SATA-Lanes also ungenutzt bleiben, denn das ist der gängige Zugriffsweg auf die HDD-/SSD-Firmware). Diese Idee ist nicht auf meinem Mist gewachsen:
"The current theory (unproven) is that this [using USB instead of SATA lanes to access your hard disk] will at least prevent malicious drives from wrongly manipulating data being read from or written to the drive, since it can’t access your LUKS key if it’s only ever in RAM, provided that the HDD doesn’t have DMA (USB devices don’t have DMA)." (Quelle:
https://libreboot.org/faq.html#hddssd-firmware)
Das ist alles sehr, sehr unschön. Aber es ist die Welt, in der wir leben. Damit umgehen kann nur, wer sich solches bewusst macht.
*DMA: "
Direct Memory Access"
www.hardwareluxx.de
