Abo
  • IT-Karriere:

Festplatten: Daten per HDD-Firmware-Hack auf dem Weg zum Host verändern

Der Hacker Sprite_tm hat sich Festplatten und deren Aufbau genauer angesehen. Da diese Zugriffe von außen auf die Embedded-Hardware erlauben, können Angreifer eine Firmware entwickeln, die Daten auf dem Weg von den Plattern zu dem Controller verändert.

Artikel veröffentlicht am ,
Die Platine einer Festplatte kann für schwer entdeckbare Angriffe verwendet werden.
Die Platine einer Festplatte kann für schwer entdeckbare Angriffe verwendet werden. (Bild: Andreas Sebayang/Golem.de)

Festplatten eignen sich wegen mangelnder Sicherungsmaßnahmen für Angriffe auf Anwender, wie der Hacker Sprite_tm nun dokumentiert. Die Erkenntnisse seines OHM-Vortrags hat er bebildert online auf spritemods.com gestellt. Für seinen Hack hat sich Sprite_tm verschiedene Komponenten als Angriffsziel angeschaut. Allerdings nicht die Orte, auf denen in der Festplatte die Daten lagern.

Stellenmarkt
  1. Bechtle Onsite Services, Oberhausen
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Spindel, Motor, Platter und Köpfe interessierten ihn nicht, sondern die Platine. Auf ihr befinden sich in der Regel mehrere interessante Bausteine, etwa die wohldokumentierten Komponenten Arbeitsspeicher und der Flashchip. Zum Motor-Controller und dem eigentlichen Festplatten-Controller finden sich hingegen nur selten Beschreibungen. Letzterer ist gerade bei Festplatten nicht besonders auffällig dokumentiert. Bei SSDs hingegen hat der Controller vom Marketing her schon so viel Aufmerksamkeit, dass der Hersteller allgemein bekannt ist und auch, dass dort etwa ARM-Kerne ihre Arbeit verrichten.

Western-Digital-Platten mit 3-Kern-Prozessor

Bei seinen Recherchen stellte Sprite_tm fest, dass zumindest die Western-Digital-Festplatten mit einem ARM-Prozessor arbeiten und außerdem per JTAG angesprochen werden können. Selbst eine serieller Leitung ist vorhanden, was das Debugging erleichtert. An einer neueren Festplatte mit 2 TByte von Western Digital erkannte er, dass diese Festplatte einen Drei-Kern-Prozessor besitzt, zwei ARM9-Kerne sowie einen Cortex M3. Letzterer tut offenbar nichts, denn Sprite_tm konnte den Kern ohne negative Auswirkungen ab- und wieder anschalten.

Die Arbeit einer Festplatte ist aufgeteilt. Der erste Kern kümmert sich um die Durchleitung der Daten zu den mechanischen Komponenten. Kern 2 ist für die SATA-Schnittstelle, den Cache sowie die LBA-zu-CHS-Übersetzung zuständig. Genau dieser Kern ist nun sein Angriffsziel gewesen, da die Daten in beiden Richtungen immer über den Cache laufen.

Um den Cache besser zu verstehen, hat er für das Reverse Engineering einen Dump der Daten erstellt und die Firmware disassembliert. Ihm gelang es so die Firmware zu verstehen und Code zu integrieren, der den Datenverkehr beobachten, aber auch modifizieren kann. Das ist praktisch, etwa um an einen Zugang zu einem Server heranzukommen. Unter Linux war das jedoch nicht so einfach, da das System die Passwortdatei zwischenspeichert. Erst nach einer größeren Diskaktivität wird das Betriebssystem gezwungen, die Passwortdatei wieder von der Festplatte zu holen. Die wurde dann allerdings, während des Lesens, durch die modifizierte Firmware verändert.

Modifizierte Firmware könnte Klonversuche erkennen

Neben Angriffen sieht Sprite_tm auch Verteidigungsmechanismen durch modifizierte Firmware. Schließlich arbeitet die Firmware auf einem leistungsfähigem Prozessor, dem viel Arbeitsspeicher zur Verfügung steht. Über die Firmware könnten beispielsweise Clon-Versuche entdeckt werden. Im Falle von langen sequentiellen Zugriffen würden die Daten während des Abrufs verändert. Bei normalen, eher zufälligen Zugriffen durch das Betriebssystem wird die Firmware hingegen nicht aktiv.

Große angelegte Angriffe über Festplattenhacks erwartet der Hacker Sprite_tm nicht. Aufgrund der fehlenden Dokumentation sind Angriffe recht schwer. Es ist wohl einfacher, die nächste Zero-Day-Lücke für Angriffe einzusetzen, als jede einzelne Firmware von verschiedenen Festplatten zu analysieren und ausnutzbar zu machen. Er sieht in dem Angriff trotzdem viel Potenzial. Kaputte Festplatten gibt es genug und sind leicht zu bekommen. So kann der Hardware-Hacker ein leistungsfähiges Embedded-System für andere Zwecke einsetzen.



Anzeige
Hardware-Angebote
  1. 204,90€
  2. 529,00€ (zzgl. Versand)

0xDEADC0DE 05. Aug 2013

Sagt wer?

Anonymer Nutzer 05. Aug 2013

Damit wird wohl die Firmware der Festplatte gemeint sein. Damit wird wohl /etc/passwd (o...

Malocchio 05. Aug 2013

Ja, das ist ziemlich genial. Die denken, die Zufallsdaten könnten sie irgendwann knacken...

Malocchio 05. Aug 2013

Och, lass doch mal das ockhamsche Rasiermesser stecken. Seine Erklärung ist doch viel...

Casandro 04. Aug 2013

Naja, dafür muss man aber erst mal JTAG anschließen. Wenn man eine Leiterbahn davon...


Folgen Sie uns
       


Pedelec HNF-Nicolai SD1 Urban ausprobiert

Wir sind das Pedelec eine Woche lang zur Probe gefahren und waren besonders vom Motor angetan.

Pedelec HNF-Nicolai SD1 Urban ausprobiert Video aufrufen
Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. Arbeit Hilfe für frustrierte ITler
  2. IT-Arbeitsmarkt Jobgarantie gibt es nie
  3. IT-Fachkräftemangel Freie sind gefragt

    •  /