Rimuovi rootkit dannosi e spyware da HDD e SSD

3

Ho letto almeno venti articoli che risalgono al periodo in cui Edward Snowden ha rivelato rivelazioni su nazioni canaglia e cattivi attori che incorporano rootkit dannosi e spyware nel firmware delle unità disco fisso e unità a stato solido. Quello che non hanno menzionato è come rimuoverli.

Ci sono alcuni articoli su Internet che menzionano l'uso della funzione ATA Secure Erase / Enhanced Secure Erase in hdparm di Linux per il lavoro.

Gradirei se potessi indicare se la mia comprensione dei seguenti problemi è corretta:

  1. La disattivazione dell'Host Protected Area (HPA) e il reset del Device Configuration Overlay (DCO) alle impostazioni di fabbrica rimuoveranno qualsiasi malware / spyware esistente incorporato nel firmware di un HDD / SSD

  2. HDD / SSD non saranno murati (cioè resi inutilizzabili) se HPA è disabilitato e DCO è resettato

posta ssdhddinfected 29.10.2018 - 05:21
fonte

1 risposta

1

No, HPA e DCO limitano semplicemente le dimensioni della dimensione apparente dell'unità. Il DCO potrebbe essere utilizzato per standardizzare le dimensioni dell'unità in un'implementazione aziendale in cui le unità sono fonte di più fornitori. Un HPA è accessibile tramite un software che è "HPA Aware". Nessuno di questi è dove il malware del firmware sarebbe esistito.

Il firmware è una memoria completamente diversa, un chip diverso interamente dalla memoria del blocco principale che vedi su un normale disco fisso o SSD. Il firmware è in grado di leggere e lampeggiare (non modificato, ma completamente sovrascritto) utilizzando un'utilità speciale completamente diversa dal produttore specifico, chipset (fornitore e versione).

Il firmware di un SSD (e USB per quel mater) funziona come se fosse un proprio computer, con un processore, una memoria e una memoria per il firmware. Il firmware gestisce l'usura, la lettura e la memorizzazione dei dati. Un firmware dannoso potrebbe semplicemente lie e dire che è stato sovrascritto e che non saresti più saggio. Un firmware più complicato dovrebbe anche scaricare un falso firmware "non temporizzato" se è stato letto usando l'utilità speciale.

In sintesi, no. Non sei corretto, non c'è un modo 100% per dimostrare che un firmware del dispositivo non è compromesso, senza togliere il chip dal dispositivo e scaricare il firmware direttamente dal chip.

    
risposta data 29.10.2018 - 05:52
fonte

Leggi altre domande sui tag