Elimine rootkits maliciosos y spyware de HDD y SSD

3

He leído por lo menos veinte artículos que datan de las sorprendentes revelaciones de Edward Snowden sobre naciones deshonestas y malos actores que integran rootkits maliciosos y spyware en el firmware de las unidades de disco duro y las unidades de estado sólido. Lo que no mencionaron es cómo eliminarlos.

Hay algunos artículos en Internet que mencionan el uso de ATA Secure Erase / Enhanced Secure Erase en el hdparm de Linux para el trabajo.

Le agradecería que me indicara si mi comprensión de los siguientes problemas es correcta:

  1. Deshabilitar el Área protegida de host (HPA) y restablecer la Superposición de configuración del dispositivo (DCO) a los valores predeterminados de fábrica eliminará cualquier malware / spyware incorporado en el firmware de un HDD / SSD

  2. El HDD / SSD no se bloqueará (es decir, quedará inutilizable) si HPA está deshabilitado y el DCO se restablece

pregunta ssdhddinfected 29.10.2018 - 05:21
fuente

1 respuesta

1

No, el HPA y el DCO simplemente limitan el tamaño del tamaño aparente de la unidad. El DCO se podría usar para estandarizar el tamaño de la unidad en una implementación en toda la empresa donde las unidades son fuente de múltiples proveedores. Se puede acceder a un HPA mediante un software que es "HPA Aware". Ninguno de estos es el lugar donde existiría el malware de firmware.

El firmware es un almacenamiento completamente diferente, un chip diferente del almacenamiento de bloque principal que se ve en un disco duro o SSD normal. El firmware se puede leer y actualizar (no se edita, sino que se sobrescribe completamente) utilizando una utilidad especial completamente única para el fabricante específico, el chipset (proveedor y versión).

El firmware de un SSD (y USB para esa materia) actúa como su propia computadora, con un procesador, memoria y almacenamiento para el firmware. El firmware maneja el desgaste, la lectura y el almacenamiento de datos. Un firmware malintencionado podría simplemente mentir y decir que se sobrescribió y usted no sabría nada. Un firmware más complicado también tendría que volcar un firmware falso "no controlado" si se leyera usando la utilidad especial.

En resumen, no. No estás en lo correcto, no hay una forma 100% de probar que el firmware de un dispositivo no esté comprometido, sin quitar el chip del dispositivo y descargar el firmware de forma forense directamente desde el chip.

    
respondido por el Daisetsu 29.10.2018 - 05:52
fuente

Lea otras preguntas en las etiquetas