hi all,

ist jemandem etwas über die existenz von firmware-schadcode bekannt?

könnte jemand, der unerkannt und für längere zeit remote zugriff auf ein system hat etwas wie ein schadcode in die firmware der hdd installieren die auch nach vollständiger formatierung der hdd sowie Neuinstallation des bios aktiviert bleibt?

aus meinem technikverständnis heraus sollte dieses eigentlich unmöglich sein ... but you never know ...

welche möglichkeiten systeme hinter einer firewall (mit nat-übersetzung) aufzuspüren existieren generell?

thanks

*e.

Hallo c8h10n4o2!

Zitat:

Zitat von c8h10n4o2

firmware der hdd

Sind das nicht die Treiber, die beim Formatieren mit gelöscht wurden? Hast du auch den MBR überschrieben? siehe: Bootvirus
Gruß harlud

Ich glaub der TO meint mit Firmware tatsächlich Firmware, also keine Treiber die man auf formatierten Partitionen der Platte abspeichert
Die Firmware ist die Steuerungssoftware, auch optische Laufwerke und zB Router haben sowas.

Zitat:

hat etwas wie ein schadcode in die firmware der hdd installieren

Das ist doch soviel Mühe. Wer schon root Rechte auf ner Kiste hat beschränkt sich eher auf das kompromittierte OS. Außerdem müsste man auch mal so Sachen klärem wie:

1) Wie kommt man an den Quellcode der Firmware ran? Die Hersteller behandeln AFAIK die Firmware als closed source. Man weiß vorher auch nicht unbedingt welche Platte (Modell und Hersteller!!) im nächsten eingebrochenen System werkelt.

2) Wie ersetze ich im laufenden Betrieb die Firmware der Platte? Dürfte schlecht gehen, wenn man dann ein geeignetes Stück manipuliertes Firmware hat.

Ob das prinzipiell geht, würde ich nicht anzeifeln. Aber die Hürden sind mE so groß, dass das niemand machen würde, dieses Risiko verschwindend klein sein müsste.

Hab auch so ein problem.
Als ich mir eine 2te Festplatte gekauft habe habe ich festgestellt,das ich eine teilweise andere Hardwareumgebung vorfinde obwohl ich die selbe instalations cd wie computer verwende.
Habe einen externen harddiskwechselrahmen.
wie mir scheint wird mein gesamtes system bei der einten platte virtualisiert,deswegen die veränderte hardware sowie treiber.
beim stöbern bin ich auf stoned vienna gestossen das sich im MBR festsetzt und den interupt13 ausnutzt um kontrolle übers system zu gelangen.
Darauf habe ich beide platten komplett geschredet und neu formatiert,das selbe ergebniss.
also gehe ich davon aus des sich der bug direkt in der firmeware der einten platte befindet.
wie ich allerdings an die firmeware herann komme weis ich nicht.
ist ziemlich raffiniert das ganze und ein hoch akademischer angriff,also nicht ihrgend welche scribt kiddys.
wie ich allerdings ins ins visier von staatsschutz und gehimdiensten gekommen bin bliebt mir schleierhaft.
hab also nur die möglichkeit mit den leuten schnippseljagt zu spielen und mir neue platten zu kaufen.

Vergiss nicht, mir deine "hoch akademisch angegriffenen" Platten zu schicken, bevor du sie physisch entsorgst......

Zitat:

Darauf habe ich beide platten komplett geschredet und neu formatiert,das selbe ergebniss.

Beim Formatieren allein wird der MBR nicht überschrieben.

Schicken?wohin soll ich die schicken?
MBR nicht gelöscht beim schredden? aber beim formatieren wohl schon ?
Rootkit Scanner Zeigt nichts an, also wurde es Virtualisiert.
ich hab keine detailierte Ahnung von dem zeug. aber wie gesagt,wenn ich 2 mal ein identisches System auf unterschiedlichen Platten habe, kann es ja wohl nicht an der Platte liegen das ich unterschiedliche Treiber für ein und die selbe Hardware habe und ausserdem läuft mein System auf der ältern Platte schneller als auf der neueren oder was jetzt ?

Zitat:

Schicken?wohin soll ich die schicken?

Das sollte ein Witz von Ralf sein. Bevor du die Platten wegwirfst, hätte er die gerne weitergenutzt

Zitat:

MBR nicht gelöscht beim schredden? aber beim formatieren wohl schon ?

Es gibt unterschiedliche Shreddermethoden und Programme wie Sand am Meer dazu. Nicht jedes Programm wird mit jeder Methode auch den MBR überschreiben. Ein Format C: überschreibt den MBR jedenfalls nicht allein, aber das Setup bei einer Neuinstallation von Windows sollte es tun.

Zitat:

Rootkit Scanner Zeigt nichts an, also wurde es Virtualisiert.

Sinn dieses Satzes? Ich versteh ich nicht was du mit einem virtualisierten Rootkitscanner meinst

Dein eigentliches Problem ist auch nach wie vor unklar.

Firmwareupdates sind bei verschiedener Hardware möglich. Bei welcher genau weiß ich nicht. Die Firmware liegt dann in irgendeinem Speicher der Hardware, nicht auf der Festplatte. Zu beachten ist bei Firmwareupdates immer, dass man sie nicht abbrechen soll, denn ansonsten ist die Hardware KAPUTT. Eine Firmware lässt sich zT. ganz normal über einen Installer unter Windows installieren. Ein Virus könnte also durchaus eine andere Firmware draufinstallieren. Allerdings ist dann folgendes zu beachten:

-Will der Virus durch eine fehlerhafte Firmware die Hardware nur einfach schrotten oder will der Virus von der Firmware aus weitere Aktionen vornehmen? Erste Aktion wäre möglich!

-In zweitem Fall: Was will der Virus von der Hardware aus für Aktionen vornehmen? Klar ist, dass der Virus nur die Befehle / Funktionen / Möglichkeiten ausnutzen kann, die ihm diese Hardware zur Verfügung stellt. Der DVD-Brenner zB. kann keine verseuchten EMails verschicken, ist klar!

-Das wäre der erste hardwarespezifischer Virus! Beispiel: Dieser Virus befällt nur PCs, die einen Marvell Yukon Netzwerkadapter des Modells ... besitzen oder nur Nutzer, die einen HL-DT-ST Brenner Modell ... haben ...