4
Equation-Group: "Höchstentwickelte Hacker der Welt" infizieren u.a. Festplatten-Firmware
Moin,
Wie zu erwarten war ist inzwischen auf Malware in der Festplattenfirmware aufgetaucht. Wenig überraschend, wie ich finde.
lks
http://www.heise.de/newsticker/meldung/Equation-Group-Hoechstentwickelt ...
Wie zu erwarten war ist inzwischen auf Malware in der Festplattenfirmware aufgetaucht. Wenig überraschend, wie ich finde.
lks
http://www.heise.de/newsticker/meldung/Equation-Group-Hoechstentwickelt ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 263691
Url: https://administrator.de/contentid/263691
Printed on: April 26, 2024 at 03:04 o'clock
4 Comments
Latest comment
...und wieder ein gutes Beispiel dsfür, warum man Festplattenverschlüsselung nutzen sollte und diese widerrum mit TPM-Chips kombiniert, siehe http://www.irodtech.net/upgrade-ssd-firmware-bitlocker-encrypted-drive/ - das TPM würde diese Modifikation höchstwahrscheinlich bemerken und den Wiederherstellungsschlüssel anfordern - so würde es zumindest nicht unbemerkt bleiben.
Das nützt in dem Fall nichts. Der Zweck dieses Moduls ist es, für die Host-Malware exklusiven Speicher auf der Festplatte zu schaffen. Das ist möglich, ohne die durch die HDD nach außen abgebildete logische Struktur zu verändern oder eine geänderte Firmware anzuzeigen und ist damit nicht vom TPM-Sealing erfasst (also weder über Platform- bzw. Option-ROM-Konfiguration, noch IPL- und Bootloader-PCR).
(Software-)FDE ist trotzdem sinnvoll, um Patching durch die Firmware zu verhindern.
(Software-)FDE ist trotzdem sinnvoll, um Patching durch die Firmware zu verhindern.
Moin C.R.S.
Wo kann ich das nachlesen?
Wo kann ich das nachlesen?
Das Sample ist öffentlich verfügbar (MD5:11fb08b9126cdb4668b3f5135cf7a6c5). Dass das TPM weder die Festplattenfirmware noch die physische Struktur der Festplatte kontrolliert, ist allgemein bekannt.
