¿Cómo sabemos si el disco duro que acabamos de comprar es "limpio"?

5

Cuando compramos una nueva unidad de disco duro , qué pasos ¿Podemos aprovechar para asegurarnos de que esté libre de virus?

Por ejemplo, hay muchos proveedores que venden discos duros en Amazon . Cuando compramos uno, ¿cómo sabemos que está libre de virus?

Descargo de responsabilidad: soy bastante paranoico con respecto a la seguridad.

    
pregunta Pacerier 31.01.2014 - 05:28
fuente

4 respuestas

13

Dado un adversario suficientemente inteligente con recursos significativos, no puedes.

Hay cinco posibles vectores de ataque:

  • Malware en el disco dentro de una partición.
  • Malware dentro del sector de arranque.
  • Estructuras de sistema de archivos o particiones mal formadas que explotan errores en su sistema operativo ( ejemplo )
  • Malware en el firmware del disco.
  • Hardware modificado (por ejemplo, reemplazar la PROM de firmware con una ROM de máscara que contenga malware)

El malware en un sistema de archivos en la unidad se derrota fácilmente al formatear el disco cuando lo obtienes.

El malware del sector de arranque es un poco más complicado. Aunque una instalación de SO sobrescribiría el sector de arranque de todos modos, esto no se aplica a las unidades que solo se usarán para datos. Este tipo de cosas se pueden solucionar realizando una limpieza del disco a bajo nivel con dd o una herramienta similar, o volviendo a escribir el sector de arranque con una herramienta de mantenimiento de disco.

Las particiones o sistemas de archivos con formato incorrecto pueden eliminarse con dd , pero aún así debe ingresar a un sistema operativo para ejecutar el comando. Es una buena idea realizar la primera operación de formato desde un Live CD sin ningún otro almacenamiento persistente adjunto.

El problema del firmware modificado es muy complicado. Sabemos que se puede modificar el firmware del disco duro , y seguramente hay vectores de parches desde el nivel del sistema operativo. Detectar el firmware malicioso es una tarea difícil, y solo puede obtener realmente la garantía de la integridad del firmware manualmente (es decir, en el nivel de la interfaz eléctrica) sobrescribiendo el firmware con una imagen de firmware firmada digitalmente y proporcionada por el fabricante. Ya que estaría interactuando directamente con la EEPROM, y sería capaz de leer la imagen y verificar su integridad, tendría una gran seguridad de que el firmware "seguro" fue escrito. Sin embargo, esto no soluciona el problema de las puertas traseras al final del fabricante.

Finalmente, existe el potencial para hardware modificado. En tal caso, el firmware EEPROM podría ignorarse a favor de una ROM de máscara, almacenada ya sea externamente o dentro del paquete del controlador IC, de modo que parpadee el firmware parece funcionar pero en realidad no logra cambiar el código del firmware que es en realidad ejecutado por el dispositivo.

Sin embargo, al final del día, ¿importa? La mayoría de las veces obtendrás un disco duro limpio, y las cosas tienen que ir muy mal en algún lugar del mundo si terminas con el malware del sector de arranque en un disco firmado y sellado. Si un adversario puede descubrir que tiene un disco duro en orden de Amazon, obtenga otro de esa unidad exacta, realice copias de seguridad de su firmware o hardware de manera útil, ingrese al camión de entrega y reemplace el disco con uno modificado. sin que nadie lo note, entonces estás jodido, sin importar lo que pase .

En resumen, me gustaría citar de un excelente documento por James Mickens:

  

Si tu adversario es el Mossad, ESTARÁS MUERTE Y NO HAY NADA QUE PUEDES HACER AL RESPECTO. El Mossad no se siente intimidado por el hecho de que emplee https: //. Si el Mossad desea sus datos, usarán un dron para reemplazar su teléfono celular con un pedazo de uranio que tiene la forma de un teléfono celular, y cuando usted muera de tumores llenos de tumores, van a celebrar una conferencia de prensa y diga "No fuimos nosotros", ya que usan camisetas que dicen "DEFINITIVAMENTE DE NOSOTROS", y luego comprarán todas sus cosas en la venta de su finca para que puedan ver directamente las fotos de su Vacaciones en lugar de leer sus correos electrónicos insípidos sobre ellos.

    
respondido por el Polynomial 31.01.2014 - 15:01
fuente
4

Como regla general, no lo haces. Usted no puede Pero es posible que puedas mejorar tus posibilidades.

Pero lo que sabemos es que los ataques son personales debido a que los discos duros o las computadoras u otros dispositivos son "controlados". El atacante quiere que usted o su compañía o su familiar o su amigo o su vecino o alguna otra persona asociada de alguna manera con usted.

Sabemos que los gobiernos interceptan y modifican el hardware de computadora enviado a objetivos interesantes. Y sabemos que estas modificaciones a menudo ocurren en el firmware u otros componentes de nivel de chip para persistir en el cambio de formato. Y sabemos que cualquier cosa que un gobierno pueda hacer también puede hacer una organización criminal.

Entonces, ¿qué haces? Usted establece esta regla: En ningún momento el hardware asociado con usted se confía a un tercero. Por lo tanto, en ningún momento un adversario tiene la oportunidad de interceptar su hardware.

Por ejemplo, ve a Best Buy o Fry's o Joe's Computer Hardware and Auto Parts a 3 horas de tu casa y escoges un disco duro del estante. En el momento en que se convierte en "suyo", también entra en su protección y cuidado personal. Entonces, en lugar de dirigirse a usted , tienen que dirigirse a todos los que compran dentro de un radio de 3 horas. Entonces, ¿estás seguro ahora? No Nunca estás a salvo. Pero has mejorado tus posibilidades.

    
respondido por el tylerl 31.01.2014 - 17:40
fuente
1

Ni siquiera es necesario sobrescribir el disco completo. Tan pronto como formatees rápidamente, no hay datos que el sistema operativo verá. Y si no hay datos que verá el sistema operativo, no debería ejecutar ningún virus.
Para mejorar la seguridad, es posible que desee volver a crear la tabla de particiones. Así que inicie Linux y sobrescriba los primeros 100MB con dd:

sudo dd if=/dev/zero of=/dev/sdx bs=1M count=100

- > ¡Asegúrese de ejecutar esto en el disco correcto! Si no, destruirás tus datos.

Suponemos que solo se trata de un malware principal, no un ataque personal contra usted. Si alguien intentará atacarte, hay cientos de formas de infectar tu computadora, desde instalar una unidad de disco Malicius en el mouse que compras, hasta instalar un emisor de radio en tu pantalla, instalar un cctv en tu habitación ...

    
respondido por el davidbaumann 31.01.2014 - 13:08
fuente
-1

Suponga que no lo es, y vuelva a formatear utilizando un cuadro dedicado de Linux para sobrescribir completamente la unidad antes de usarla.

    
respondido por el Daniel Miessler 31.01.2014 - 08:52
fuente

Lea otras preguntas en las etiquetas