Il malware può collegare interruttori di spegnimento HW di archiviazione esterna?

4

In questo momento ho una configurazione di backup che include un HDD esterno USB da 3,5 "con un alimentatore separato (come di solito per tali unità) .Questo HDD è internamente un HDD SATA standard con USB + Power Wrapper.
Questo HDD è sempre connesso tramite una connessione dati al mio PC dal quale eseguo i backup, tuttavia l'alimentazione viene disattivata sull'unità utilizzando un interruttore meccanico. Il cavo di alimentazione è alimentato ed è collegato (quindi l'unità è solo un interruttore che si allontana dal funzionamento).

Il malware può disabilitare la funzionalità di un'implementazione tipica di tale interruttore di alimentazione hardware mentre l'HDD è collegato al PC?

Formulato in modo diverso: il malware può effettivamente rendere l'HDD "sempre alimentato" anche se ho spostato l'interruttore meccanico su "spento"?

    
posta SEJPM 05.05.2016 - 20:59
fonte

4 risposte

5

No. L'interruttore di alimentazione è quasi sempre un dispositivo meccanico che interrompe l'alimentazione in ingresso dalla scheda logica. Quando è spento la connessione è fisicamente rotta - un airgap completo. Il malware non può sovvertire questo.

L'unico caso in cui il malware potrebbe essere in grado di bypassare uno stato di "spegnimento" è quando lo stato è debole, ad es. pausa. Il dispositivo dovrebbe lasciare in esecuzione il processore (microprocessore o microcontrollore), potenzialmente in uno stato di sospensione a basso consumo, con l'interfaccia USB attiva. A seconda dell'implementazione, il malware potrebbe potenzialmente attivare un evento di attivazione tramite USB, sebbene sia specifico per dispositivo e altamente mirato / insolito.

    
risposta data 05.05.2016 - 21:05
fonte
2

Dipende

Va bene così come funzionano questi switch dipende dall'installazione della decisione del produttore di unità esterne, quindi dobbiamo anche esaminare alcuni casi:

  1. Switch controlla completamente la connessione dell'alimentazione al dispositivo e utilizza gli spazi vuoti
  2. Switch controlla un circuito supervisionato da mobo / firmware ed è solo una connessione seriale. Wake from USB è possibile con questi HDD

La cosa peggiore è che ci sono degli HDD che combinano i due tipi di switch. In tal caso, purché tu sappia qual è l'effettiva disconnessione dal potere, hai un caso 1.

Caso 1:

No, il firmware non può farlo perché questo è un circuito non supervisionato dai chip interni

Caso 2:

Sì, il firmware può farlo perché il chip controlla solo lo stato di tale switch e può essere risvegliato da remoto.

Se è il caso 2, è del tutto possibile avere un firmware su di esso che ignora completamente quel segnale dell'interruttore, ma questo è un attacco incredibilmente diretto, ea questo punto hai più problemi di cui preoccuparti.

Verifica di quale caso

Il tuo HDD può essere riattivato in remoto dal computer quando questo interruttore viene capovolto?

  • Sì: caso 2
  • No: caso 1

Essere certi

Per essere assolutamente sicuri però, puoi semplicemente scollegare l'USB quando non usi l'unità per evitare che ciò accada nel caso uno .

    
risposta data 05.05.2016 - 21:08
fonte
2

Forse

Se l'unica alimentazione all'unità esterna proviene dal cavo di alimentazione, ed è fisicamente isolata, allora no . Il malware non sarebbe in grado di accenderlo.

Tuttavia, è anche possibile che l'unità sia in grado di ricevere alimentazione dal connettore USB e, sebbene non sia garantito per alimentarla (e quindi era necessario un alimentatore esterno), nelle giuste circostanze (alimentazione potente sul tuo computer, non ci sono troppe periferiche collegate, l'unità esterna non ha bisogno di molta energia ...) potrebbe essere .

Inoltre, si presume che si supponga che qualsiasi compromissione del PC di backup venga rilevata immediatamente (ad esempio il malware non aspetterà che colleghi l'unità esterna per eliminare / crittografare i suoi file e anche il resto del computer). Prova anche a tenere un backup separato.

    
risposta data 05.05.2016 - 21:18
fonte
1

Questa è una domanda eccellente. Mentre la risposta ovvia sarebbe no , ci sono avvertimenti.

"Interruttore meccanico" è un termine ambiguo. Supponiamo per un momento che un interruttore meccanico sia uno che viene azionato da un movimento ampio (al contrario della pressione).

Diamo un'occhiata a un tipico PSU opzione:

Vediqueirebbispessi?Lacorrenteelettricachealimentaildispositivoscorreeffettivamentedaquelleespegnerel'interruttoreequivaleastaccareilcavodallapresaamuro.

Ilpulsantediaccensionediunpc,d'altraparte,haunaspettomoltodiversointernamente:

Queifilisottili?Inrealtànontrasportanoalcunacorrente(chealimentaildispositivo).Iltuocomputerè,infatti,alimentatotuttoiltempo,el'interruttoredicesemplicementedi"accendere". Questo è anche noto come "in standby" e "soft-off".

Il fatto che l'interruttore di alimentazione si sposti o rimanga al suo posto è completamente irrilevante. Ciò che importa è ciò a cui si connette il circuito reale e non è possibile vederlo senza aprire il dispositivo.

Detto questo, i commutatori come il primo alimentano più comunemente i dispositivi stessi.

Ora, se l'interruttore del tuo disco rigido utilizza una modalità "standby", e il controller del chip ha un chip che è scrivibile e puoi farlo attraverso il Interfaccia USB (al contrario delle intestazioni su scheda, che sarebbe più comune) teoricamente malware potrebbe sovrascrivere il firmware con una versione speciale che si attiva / disattiva a piacimento .

Per mantenere questo aspetto interessante, per un momento ignoriamo il fatto che se il disco è acceso, puoi sentirlo girare .

Tale malware dovrebbe essere sviluppato specificamente per il tuo particolare produttore e modello di disco rigido (e possibilmente serie di fabbrica), quindi personalmente non penso che questo sia un attacco realistico . È molto più facile convincere qualcuno a rompere la finestra della stanza in cui si trova il disco.

Naturalmente, se il tuo interruttore del disco spegne effettivamente la corrente, questo è ancora più interessante. Il malware sicuramente non può riaccenderlo, ma può:

  • Riavvia il computer e simula un messaggio del sistema operativo che ti dice che è necessario controllare l'integrità del file system nel disco rigido esterno e rifiutarsi di avviarlo finché non lo accendi

  • Accedere ai file attraverso lo stesso meccanismo utilizzato dal sistema di backup per ottenerli ...

  • Aspettalo!

risposta data 06.05.2016 - 03:30
fonte

Leggi altre domande sui tag