SSD Pulisci per rimuovere malware noto e sconosciuto [duplicato]

1

Qualcuno sa di un metodo per cancellare un HDD che dia un alto grado di sicurezza sul fatto che qualsiasi malware presente non possa persistere quando il SO viene reinstallato? Utilizzo di strumenti su Linux e / o Windows?

Abbiamo circa 70 SSD di dimensioni che vanno da 480gb-1TB da una varietà di produttori estratti da workstation compromesse da uno stato straniero ostile. La rete è stata compromessa quando sono state ricostruite diverse stazioni di lavoro utilizzando un'immagine di Win 10 trovata successivamente per contenere backdoor / codice dannoso a seguito di un attacco di ampia portata organizzativa.

Le macchine stesse sono state sostituite, sono solo gli SSD che vorremmo evitare di buttare fuori. Sono stati fatti dei passi per bloccare la rete in cui siederanno con pochissimo traffico consentito e tra host. C'è anche un alto grado di monitoraggio della rete sul posto alla ricerca di modelli / comportamenti identificati durante la violazione originale ... Quindi abbiamo un alto livello di fiducia nel caso in cui qualsiasi codice malevolo si rompa, sarà identificato e contenuto.

L'organizzazione più grande è in procinto di ricostruire da zero, tuttavia la rete in questione era sotto il controllo di un'entità separata, dove è richiesta la necessità di un approccio più economico.

Modifica: si ritiene che l'attore straniero provenga dall'estremo oriente o da uno stretto alleato. L'organizzazione mirata era un dipartimento del governo federale in un paese che è un membro dei cinque occhi.

Si trattava di un attacco mirato avanzato, con codice di avvio compromesso trovato su desktop e server. Sebbene non sia stata trovata alcuna prova di firmware SSD / HDD malizioso, non è possibile escluderlo a causa della capacità dimostrata in altre aree. Questo non è sicuramente un run of mill adware.

    
posta Hvdm 21.02.2018 - 13:10
fonte

1 risposta

3

TLDR: Toss 'em. È l'unica opzione.

Stai chiedendo un modo per assicurarti che le unità non siano state manomesse da un attore statale motivato e ben finanziato. Ma non vedo alcun modo per essere sicuro che il firmware sia sicuro.

L'opzione migliore a cui riesco a pensare è quella di leggere il firmware da un'unità potenzialmente compromessa e un'unità non controllata dallo stesso modello, quindi eseguire un confronto. Il problema con questa strategia è che ci si deve fidare del disco potenzialmente compromesso per riportare accuratamente ciò che si trova nel suo firmware. Ma l'unità è potenzialmente compromessa , quindi non puoi fidarti di essa. Come si può essere sicuri che non restituisca dati diversi per l'accesso diagnostico v. L'uso effettivo.

So che questo sembra inverosimile, ma stai attribuendo grandi abilità e risorse agli aggressori. Lancia le unità e mangia il costo. Spiacente: (

    
risposta data 25.02.2018 - 18:19
fonte

Leggi altre domande sui tag