Abo
  • Services:
Anzeige
Die Platine einer Festplatte kann für schwer entdeckbare Angriffe verwendet werden.
Die Platine einer Festplatte kann für schwer entdeckbare Angriffe verwendet werden. (Bild: Andreas Sebayang/Golem.de)

Festplatten: Daten per HDD-Firmware-Hack auf dem Weg zum Host verändern

Die Platine einer Festplatte kann für schwer entdeckbare Angriffe verwendet werden.
Die Platine einer Festplatte kann für schwer entdeckbare Angriffe verwendet werden. (Bild: Andreas Sebayang/Golem.de)

Der Hacker Sprite_tm hat sich Festplatten und deren Aufbau genauer angesehen. Da diese Zugriffe von außen auf die Embedded-Hardware erlauben, können Angreifer eine Firmware entwickeln, die Daten auf dem Weg von den Plattern zu dem Controller verändert.

Festplatten eignen sich wegen mangelnder Sicherungsmaßnahmen für Angriffe auf Anwender, wie der Hacker Sprite_tm nun dokumentiert. Die Erkenntnisse seines OHM-Vortrags hat er bebildert online auf spritemods.com gestellt. Für seinen Hack hat sich Sprite_tm verschiedene Komponenten als Angriffsziel angeschaut. Allerdings nicht die Orte, auf denen in der Festplatte die Daten lagern.

Anzeige

Spindel, Motor, Platter und Köpfe interessierten ihn nicht, sondern die Platine. Auf ihr befinden sich in der Regel mehrere interessante Bausteine, etwa die wohldokumentierten Komponenten Arbeitsspeicher und der Flashchip. Zum Motor-Controller und dem eigentlichen Festplatten-Controller finden sich hingegen nur selten Beschreibungen. Letzterer ist gerade bei Festplatten nicht besonders auffällig dokumentiert. Bei SSDs hingegen hat der Controller vom Marketing her schon so viel Aufmerksamkeit, dass der Hersteller allgemein bekannt ist und auch, dass dort etwa ARM-Kerne ihre Arbeit verrichten.

Western-Digital-Platten mit 3-Kern-Prozessor

Bei seinen Recherchen stellte Sprite_tm fest, dass zumindest die Western-Digital-Festplatten mit einem ARM-Prozessor arbeiten und außerdem per JTAG angesprochen werden können. Selbst eine serieller Leitung ist vorhanden, was das Debugging erleichtert. An einer neueren Festplatte mit 2 TByte von Western Digital erkannte er, dass diese Festplatte einen Drei-Kern-Prozessor besitzt, zwei ARM9-Kerne sowie einen Cortex M3. Letzterer tut offenbar nichts, denn Sprite_tm konnte den Kern ohne negative Auswirkungen ab- und wieder anschalten.

Die Arbeit einer Festplatte ist aufgeteilt. Der erste Kern kümmert sich um die Durchleitung der Daten zu den mechanischen Komponenten. Kern 2 ist für die SATA-Schnittstelle, den Cache sowie die LBA-zu-CHS-Übersetzung zuständig. Genau dieser Kern ist nun sein Angriffsziel gewesen, da die Daten in beiden Richtungen immer über den Cache laufen.

Um den Cache besser zu verstehen, hat er für das Reverse Engineering einen Dump der Daten erstellt und die Firmware disassembliert. Ihm gelang es so die Firmware zu verstehen und Code zu integrieren, der den Datenverkehr beobachten, aber auch modifizieren kann. Das ist praktisch, etwa um an einen Zugang zu einem Server heranzukommen. Unter Linux war das jedoch nicht so einfach, da das System die Passwortdatei zwischenspeichert. Erst nach einer größeren Diskaktivität wird das Betriebssystem gezwungen, die Passwortdatei wieder von der Festplatte zu holen. Die wurde dann allerdings, während des Lesens, durch die modifizierte Firmware verändert.

Modifizierte Firmware könnte Klonversuche erkennen

Neben Angriffen sieht Sprite_tm auch Verteidigungsmechanismen durch modifizierte Firmware. Schließlich arbeitet die Firmware auf einem leistungsfähigem Prozessor, dem viel Arbeitsspeicher zur Verfügung steht. Über die Firmware könnten beispielsweise Clon-Versuche entdeckt werden. Im Falle von langen sequentiellen Zugriffen würden die Daten während des Abrufs verändert. Bei normalen, eher zufälligen Zugriffen durch das Betriebssystem wird die Firmware hingegen nicht aktiv.

Große angelegte Angriffe über Festplattenhacks erwartet der Hacker Sprite_tm nicht. Aufgrund der fehlenden Dokumentation sind Angriffe recht schwer. Es ist wohl einfacher, die nächste Zero-Day-Lücke für Angriffe einzusetzen, als jede einzelne Firmware von verschiedenen Festplatten zu analysieren und ausnutzbar zu machen. Er sieht in dem Angriff trotzdem viel Potenzial. Kaputte Festplatten gibt es genug und sind leicht zu bekommen. So kann der Hardware-Hacker ein leistungsfähiges Embedded-System für andere Zwecke einsetzen.


eye home zur Startseite
0xDEADC0DE 05. Aug 2013

Sagt wer?

Anonymer Nutzer 05. Aug 2013

Damit wird wohl die Firmware der Festplatte gemeint sein. Damit wird wohl /etc/passwd (o...

Malocchio 05. Aug 2013

Ja, das ist ziemlich genial. Die denken, die Zufallsdaten könnten sie irgendwann knacken...

Malocchio 05. Aug 2013

Och, lass doch mal das ockhamsche Rasiermesser stecken. Seine Erklärung ist doch viel...

Casandro 04. Aug 2013

Naja, dafür muss man aber erst mal JTAG anschließen. Wenn man eine Leiterbahn davon...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Controlware GmbH, Dietzenbach bei Frankfurt am Main
  3. Cassini AG, verschiedene Einsatzorte
  4. Fraunhofer-Institut für Angewandte Informationstechnik FIT, Sankt Augustin


Anzeige
Top-Angebote
  1. 3,74€
  2. 30,99€
  3. 429,00€ bei Alternate.de

Folgen Sie uns
       


  1. Spielebranche

    Innogames wächst weiter stark mit Free-to-Play

  2. HP Omen X VR im Test

    VR auf dem Rücken kann nur teils entzücken

  3. Google

    Deep-Learning-System analysiert Augenscans nach Krankheiten

  4. Smartphone-Tastatur

    Nuance stellt Swype ein

  5. Homebrew

    Bastler veröffentlichen alternativen Launcher für Switch

  6. Telekom

    15 Millionen Haushalte sollen 2018 Super Vectoring erhalten

  7. Windows Phone 7.5 und 8.0

    Microsoft schaltet Smartphone-Funktionen ab

  8. Raja Koduri

    Intel zeigt Prototyp von dediziertem Grafikchip

  9. Vizzion

    VW zeigt selbstfahrendes Auto ohne Lenkrad

  10. iOS, MacOS und WatchOS

    Apple verteilt Updates wegen Telugu-Bug



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

Fe im Test: Fuchs im Farbenrausch
Fe im Test
Fuchs im Farbenrausch
  1. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs
  2. Monster Hunter World im Test Das Viecher-Fleisch ist jetzt gut durch
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

  1. Re: 3 Fehler bezüglich Allyouneedfresh

    jg (Golem.de) | 12:39

  2. Re: Ankündigungsweltmeister (kT)

    FreierLukas | 12:38

  3. Re: Ich bin dermaßen sauer

    FreiGeistler | 12:34

  4. Re: Falsche Information

    RipClaw | 12:34

  5. Re: Ach die haben einen Double Fine gemacht.

    gadthrawn | 12:34


  1. 12:25

  2. 12:03

  3. 11:07

  4. 10:40

  5. 10:23

  6. 10:04

  7. 08:51

  8. 06:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel