¿Puede el malware puentear los interruptores de apagado de HW del almacenamiento externo?

3

En este momento, tengo una configuración de respaldo que incluye un disco duro externo USB de 3.5 "con una fuente de alimentación separada (como es habitual en tales unidades). Este disco duro es internamente un disco duro SATA estándar con envoltorios de alimentación USB +.
Este disco duro siempre está conectado a través de una conexión de datos a mi PC desde la que hago las copias de seguridad, sin embargo, la alimentación se apaga en la unidad mediante un interruptor mecánico. El cable de alimentación se suministra con alimentación y está enchufado (por lo que la unidad está a solo una sola vez que el interruptor no está en funcionamiento).

¿Puede el malware deshabilitar la funcionalidad de una implementación típica de dicho interruptor de encendido de hardware mientras el disco duro está conectado a la PC?

Formulado de manera diferente: ¿Puede el malware hacer que el disco duro se "ponga siempre en funcionamiento" de manera efectiva, a pesar de que lo puse en "off"?

    
pregunta SEJPM 05.05.2016 - 20:59
fuente

4 respuestas

5

No. El interruptor de alimentación es casi siempre un dispositivo mecánico que corta la alimentación de entrada de la placa lógica. Cuando está desconectado, la conexión está físicamente interrumpida, una falta de aire completa. El malware no puede subvertir esto.

El único caso en que el malware podría ser capaz de evitar un estado de "apagado" es cuando el estado es suave, por ejemplo. colocarse. El dispositivo tendría que dejar su procesador (ya sea microprocesador o microcontrolador) en funcionamiento, potencialmente en un estado de inactividad de baja potencia, con la interfaz USB en vivo. Dependiendo de la implementación, el malware podría potencialmente desencadenar un evento de activación a través del USB, aunque sería específico del dispositivo y sería altamente específico / inusual.

    
respondido por el Polynomial 05.05.2016 - 21:05
fuente
2

Depende

Está bien, de modo que el funcionamiento de estos conmutadores depende de la instalación de la decisión del fabricante de la unidad externa, por lo que también debemos analizar algunos casos:

  1. El interruptor controla la conexión de alimentación al dispositivo por completo y utiliza espacios de aire.
  2. El interruptor controla un circuito supervisado por el mobo / firmware y es solo una conexión en serie. Despertar desde USB es posible con estos discos duros

Lo que empeora es que hay unidades de disco duro que combinan los dos tipos de interruptores. En ese caso, siempre que sepa cuál es la verdadera desconexión de la alimentación, tiene un caso 1.

Caso 1:

No, el firmware no puede hacer eso porque este es un circuito que no está supervisado por los chips internos

Caso 2:

Sí, el firmware puede hacer eso porque el chip realmente solo comprueba el estado de ese conmutador y se puede activar de forma remota.

Si es el caso 2, es completamente posible obtener un firmware que simplemente ignore por completo la señal de conmutación, pero ese es un ataque increíblemente directo, y en este punto tiene más problemas de los que preocuparse.

Probando qué caso

¿La computadora puede activar el disco duro de forma remota cuando se gira este interruptor?

  • Sí: Caso 2
  • No: Caso 1

Estar seguro

Sin embargo, para estar absolutamente seguro, puedes desconectar el USB cuando no estés usando la unidad para evitar que eso suceda en el caso .

    
respondido por el Robert Mennell 05.05.2016 - 21:08
fuente
2

Tal vez

Si la única alimentación a la unidad externa proviene del cable de alimentación y está físicamente aislada, entonces no . El malware no podría encenderlo.

Sin embargo, también es posible que la unidad pueda recibir alimentación del conector USB y, si bien no se garantiza que la alimente (y, por lo tanto, se necesita una fuente de alimentación externa), en las circunstancias adecuadas (fuente de alimentación potente en su computadora, no hay muchos periféricos conectados, la unidad externa no necesita mucha energía ... podría ser .

Además, tenga en cuenta que está asumiendo que cualquier peligro de la PC de respaldo se detectará de forma inmediata (por ejemplo, el malware no esperará a que conecte la unidad externa para eliminar / cifrar sus archivos y también el resto de la computadora). Intenta mantener una copia de seguridad separada, también.

    
respondido por el Ángel 05.05.2016 - 21:18
fuente
1

Esta es una excelente pregunta. Si bien la respuesta obvia sería no , hay advertencias.

"Interruptor mecánico" es un término ambiguo. Supongamos por un momento que un interruptor mecánico es uno que se activa mediante un movimiento amplio (en oposición a la presión).

Echemos un vistazo al típico PSU :

¿Vesesaspuntasgruesas?Lacorrienteeléctricaquealimentaeldispositivorealmentefluyedesdeaquellos,yapagarelinterruptoresmuyequivalenteadesconectarelcabledelatomadecorrientedelapared.

Porotrolado,unbotóndeencendidodelacajadelaPCtieneunaspectointernomuydiferente:

¿Esoscablesdelgados?Enrealidadnollevanningunacorriente(quealimentaeldispositivo).Dehecho,sucomputadoraestáencendidatodoeltiempoyelinterruptorsimplementeledicequese"encienda". Esto también se conoce como "en espera" y "apagado automático".

El hecho de que el interruptor de alimentación se mueva o permanezca en su lugar es completamente irrelevante. Lo que importa es a qué se conecta el circuito real, y no puede verlo sin abrir el dispositivo.

Dicho esto, los interruptores como el primero son los que más suelen alimentar los dispositivos.

Ahora, si el interruptor de su disco duro utiliza un modo de "espera", y el controlador del chip tiene un chip que se puede escribir y puede hacerlo a través de La interfaz USB (a diferencia de las cabeceras integradas, que sería la más común) teóricamente podría sobrescribir el firmware con una versión especial que se activa / desactiva .

Para mantener esto interesante, ignoremos por un momento el hecho de que si alguna vez se enciende el disco, podrás escucharlo girar .

Ese malware debería desarrollarse específicamente para su fabricante y modelo de disco duro (y posiblemente una serie de fábrica), por lo que personalmente no creo que este sea un ataque realista . Es mucho más fácil conseguir que alguien rompa la ventana de la habitación en la que se encuentra el disco.

Por supuesto, si su interruptor de disco realmente apaga la alimentación, esto es aún más interesante. El malware no puede volver a activarlo, pero puede:

  • Haga que su computadora reinicie y falsifique un mensaje del sistema operativo que le indique que necesita verificar la integridad del sistema de archivos en el disco duro externo, y se niegue a arrancar hasta que lo encienda

  • Acceda a los archivos a través del mismo mecanismo que usa su sistema de respaldo para obtenerlos ...

  • ¡Espera!

respondido por el goncalopp 06.05.2016 - 03:30
fuente

Lea otras preguntas en las etiquetas