Abo
  • Services:
Anzeige
Die Platine einer Festplatte kann für schwer entdeckbare Angriffe verwendet werden.
Die Platine einer Festplatte kann für schwer entdeckbare Angriffe verwendet werden. (Bild: Andreas Sebayang/Golem.de)

Festplatten Daten per HDD-Firmware-Hack auf dem Weg zum Host verändern

Der Hacker Sprite_tm hat sich Festplatten und deren Aufbau genauer angesehen. Da diese Zugriffe von außen auf die Embedded-Hardware erlauben, können Angreifer eine Firmware entwickeln, die Daten auf dem Weg von den Plattern zu dem Controller verändert.

Anzeige

Festplatten eignen sich wegen mangelnder Sicherungsmaßnahmen für Angriffe auf Anwender, wie der Hacker Sprite_tm nun dokumentiert. Die Erkenntnisse seines OHM-Vortrags hat er bebildert online auf spritemods.com gestellt. Für seinen Hack hat sich Sprite_tm verschiedene Komponenten als Angriffsziel angeschaut. Allerdings nicht die Orte, auf denen in der Festplatte die Daten lagern.

Spindel, Motor, Platter und Köpfe interessierten ihn nicht, sondern die Platine. Auf ihr befinden sich in der Regel mehrere interessante Bausteine, etwa die wohldokumentierten Komponenten Arbeitsspeicher und der Flashchip. Zum Motor-Controller und dem eigentlichen Festplatten-Controller finden sich hingegen nur selten Beschreibungen. Letzterer ist gerade bei Festplatten nicht besonders auffällig dokumentiert. Bei SSDs hingegen hat der Controller vom Marketing her schon so viel Aufmerksamkeit, dass der Hersteller allgemein bekannt ist und auch, dass dort etwa ARM-Kerne ihre Arbeit verrichten.

Western-Digital-Platten mit 3-Kern-Prozessor

Bei seinen Recherchen stellte Sprite_tm fest, dass zumindest die Western-Digital-Festplatten mit einem ARM-Prozessor arbeiten und außerdem per JTAG angesprochen werden können. Selbst eine serieller Leitung ist vorhanden, was das Debugging erleichtert. An einer neueren Festplatte mit 2 TByte von Western Digital erkannte er, dass diese Festplatte einen Drei-Kern-Prozessor besitzt, zwei ARM9-Kerne sowie einen Cortex M3. Letzterer tut offenbar nichts, denn Sprite_tm konnte den Kern ohne negative Auswirkungen ab- und wieder anschalten.

Die Arbeit einer Festplatte ist aufgeteilt. Der erste Kern kümmert sich um die Durchleitung der Daten zu den mechanischen Komponenten. Kern 2 ist für die SATA-Schnittstelle, den Cache sowie die LBA-zu-CHS-Übersetzung zuständig. Genau dieser Kern ist nun sein Angriffsziel gewesen, da die Daten in beiden Richtungen immer über den Cache laufen.

Um den Cache besser zu verstehen, hat er für das Reverse Engineering einen Dump der Daten erstellt und die Firmware disassembliert. Ihm gelang es so die Firmware zu verstehen und Code zu integrieren, der den Datenverkehr beobachten, aber auch modifizieren kann. Das ist praktisch, etwa um an einen Zugang zu einem Server heranzukommen. Unter Linux war das jedoch nicht so einfach, da das System die Passwortdatei zwischenspeichert. Erst nach einer größeren Diskaktivität wird das Betriebssystem gezwungen, die Passwortdatei wieder von der Festplatte zu holen. Die wurde dann allerdings, während des Lesens, durch die modifizierte Firmware verändert.

Modifizierte Firmware könnte Klonversuche erkennen

Neben Angriffen sieht Sprite_tm auch Verteidigungsmechanismen durch modifizierte Firmware. Schließlich arbeitet die Firmware auf einem leistungsfähigem Prozessor, dem viel Arbeitsspeicher zur Verfügung steht. Über die Firmware könnten beispielsweise Clon-Versuche entdeckt werden. Im Falle von langen sequentiellen Zugriffen würden die Daten während des Abrufs verändert. Bei normalen, eher zufälligen Zugriffen durch das Betriebssystem wird die Firmware hingegen nicht aktiv.

Große angelegte Angriffe über Festplattenhacks erwartet der Hacker Sprite_tm nicht. Aufgrund der fehlenden Dokumentation sind Angriffe recht schwer. Es ist wohl einfacher, die nächste Zero-Day-Lücke für Angriffe einzusetzen, als jede einzelne Firmware von verschiedenen Festplatten zu analysieren und ausnutzbar zu machen. Er sieht in dem Angriff trotzdem viel Potenzial. Kaputte Festplatten gibt es genug und sind leicht zu bekommen. So kann der Hardware-Hacker ein leistungsfähiges Embedded-System für andere Zwecke einsetzen.


eye home zur Startseite
0xDEADC0DE 05. Aug 2013

Sagt wer?

Anonymer Nutzer 05. Aug 2013

Damit wird wohl die Firmware der Festplatte gemeint sein. Damit wird wohl /etc/passwd (o...

Malocchio 05. Aug 2013

Ja, das ist ziemlich genial. Die denken, die Zufallsdaten könnten sie irgendwann knacken...

Malocchio 05. Aug 2013

Och, lass doch mal das ockhamsche Rasiermesser stecken. Seine Erklärung ist doch viel...

Casandro 04. Aug 2013

Naja, dafür muss man aber erst mal JTAG anschließen. Wenn man eine Leiterbahn davon...



Anzeige

Stellenmarkt
  1. Deloitte, Berlin, Düsseldorf, Frankfurt, Hamburg, München
  2. Deloitte, verschiedene Standorte
  3. OEDIV KG, Bielefeld
  4. Statistisches Bundesamt, Wiesbaden


Anzeige
Spiele-Angebote
  1. mit Gutscheincode PCGAMES17 nur 49,79€ statt 53,99€

Folgen Sie uns
       


  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Unity weiter nutzen

    ve2000 | 04:56

  2. Re: Darum wird sich Linux nie so richtig durchsetzen

    ve2000 | 04:44

  3. Re: Unverschlüsselte Grundversorgung

    teenriot* | 04:41

  4. Re: The end.

    lottikarotti | 03:15

  5. Re: Wir kolonialisieren

    Bouncy | 03:11


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel