Pages

Monday, 16 February 2015

NSA被曝和希捷西数东芝合作在所有硬盘里安装Spyware

2月17日消息, 据路透社报道, 美国国家安全局制造出了可以藏匿在硬盘驱动器中的间谍软件,西部数据、希捷、东芝等顶级制造商生产的硬盘无一幸免。俄罗斯的卡巴斯基实验室表示,该机构利用这种技术可以窃听世界大多数的电脑。
卡巴斯基表示,它发现这种间谍程序感染的个人电脑遍布30多个国家,大多数的感染电脑出现在伊朗,其次是俄罗斯、巴基斯坦、阿富汗、中国、马里、叙利亚、也门和阿尔及利亚。监听目标包括政府和军事机构、电信公司、银行、能源公司、核研究人员、媒体和伊斯兰激进分子。
一位前国家安全局员工告诉路透社,卡巴斯基的分析是正确的。另一位前情报人员证实,美国国家安全局开发了隐藏在硬盘驱动器的间谍技术,但他表示不知道基于这种软件美国安局进行了哪些间谍活动。
NSA发言人Vanee Vines拒绝发表评论。
卡巴斯基周一还发布了该技术的细节,该间谍软件将恶意代码存储在硬盘固件中,每次启动计算机时该代码都会自动执行
硬盘驱动器固件被间谍和网络安全专家视为PC上黑客第二重视的资产,仅次于电脑开机使用的BIOS代码。这些硬件固件可以一遍又一遍的感染计算机。这种恶意代码可让他们窃取文件或窃听任何他们想要的信息。不过美国安局只是选择性的与某些外国目标建立完整的远程控制。
卡巴斯基的深入分析表明这种恶意软件可以工作在十几家公司的硬盘上,基本上覆盖了整个硬盘市场。其中包括西部数据公司、希捷科技、东芝公司、 IBM、美光科技公司和三星电子有限公司等。西部数据、希捷和美光均表示,他们并不知道这些间谍程序。东芝、IBM和三星均拒绝置评。
卡巴斯基表示,间谍程序的作者应该已经获得了这些硬盘固件的专利源代码。这些源代码可以作为攻击的路线图。基于公开信息重写硬盘的固件几乎没有可 能。目前并不知道美国安局如何获得这些源代码。西部数据发言人史蒂夫·沙特克表示,该公司“未提供其源代码给政府机构。” 当然硬盘厂商即使分享了它们的源代码,也不会承认。
这可能会进一步破坏美国国家安全局的监控能力。此前斯诺登的棱镜门已经伤害了美国与其盟友的关系,并损害了美国海外技术产品的销售。
-------------------
俄罗斯网络和软件安全公司卡巴斯基实验室和前情报行动人员披露,美国国安局(NSA)可以将间谍软件深藏于西数(Western Digital)、希捷(Seagate)、东芝(Toshiba)和其他主要制造商制造的硬盘中,这使得NSA可以监听世界上大多数电脑。
路透社报道指,这是卡巴斯基实验室发现的一系列网络间谍程式的其中一部分。
卡巴斯基说,实验室发现,在30个国家都有个人电脑被安装了一个或多个间谍软件,最多是在伊朗,其次是俄罗斯、巴基斯坦、阿富汗、中国、马里、叙利亚、也门和阿尔及利亚。
目标包括政府和军队部门、电信公司、银行、能源公司、核能研究员、媒体、伊斯兰活动家等。
卡巴斯基发现,这项间谍技术的突破在与,可以在每有一台电脑被启动时,通过晦涩的、名为“固件”(firmware)的代码,嵌入恶意软件。
对于间谍和网络安全专家而言,磁盘驱动固件是对黑客第二有价值的东西,仅次于计算机每次启动都会激活的BIOS码。
卡巴斯基主要研究员Costin Raiu在受访时表示,这些硬件可以让电脑反覆被感染。
卡巴斯基发现,这项间谍技术可以在十多家公司生产的磁盘驱动器中使用,也就是几乎可以覆盖市面上所有的电脑。这些公司包括西数、希捷、东芝、​​IBM、美光(Micron Technology Inc)和三星。
Raiu说,虽然这些仍然活跃的间谍程式让发动方可以控制数千台个人电脑,而且可以轻而易举地监控电脑上的资料和活动,间谍还是很挑剔的,只会对最想监控的外国目标实施全面控制。
Raiu也指出,这些间谍程式的作者一定得到了可以指示硬盘行动的专用源代码,“一个人不可能靠公开信息重写这些(硬盘)操作系统”。
卡巴斯基拒绝公开指出是这些间谍活动背后的国家是哪一个,但表示,该国与Stuxnet有很深的关联。 Stuxnet是NSA领导的网络武器,主要用于攻击伊朗的铀浓缩设施。
一名前NSA雇员向路透社表示,卡巴斯基的分析是正确的。该名不愿具名的雇员称,NSA的人仍然很看重这些间谍项目,认为这些项目就跟Stuxnet一样重要。
另一名前情报行动人员确认,NSA已经开发了将间谍软件隐藏在硬盘中的重要技术,但不知道哪些间谍行动需要依靠这些技术。
NSA的发言人Vanee Vines则拒绝就此事向路透社置评。
西数、希捷和美光称不知道有关间谍计划。东芝和三星拒绝置评。 IBM没有回应查询。
西数的发言人Steve Shattuck表示,公司没有提供过源代码给任何政府部门。
希捷发言人Clive Over表示,公司有措施防止别人试图改变产品固件或其他技术。
本周一,卡巴斯基已经公开了实验室有关研究的技术细节,可能有助于受影响的机构发现隐藏的间谍行动。
美国总统奥巴马成立的检讨美国情报和沟通技术的小组成员之一Peter Swire表示,卡巴斯基的报告显示,美国在决定使用其对软件漏洞的认知以收集情报之前,要考虑这些行动对贸易和外交关系的潜在影响。
----------------------------
硬盘也有固件的吗?头次听说.
-----------------------


旧金山——俄罗斯网络安全公司表示,美国已经找到了一种方法,可以把监视和破坏工具永久性地嵌入在伊朗、俄罗斯、巴基斯坦、中国、阿富汗和其他美国情报机构密切关注的国家的目标计算机和网络中。
周一,俄罗斯公司卡巴斯基实验室(Kaspersky Lab)在墨西哥的一次会议上介绍其调查结果称,这些工具由它所谓的“方程组”(Equation Group)植入,这里似乎是暗指国家安全局(National Security Agency)及其对应的军事机构网络战司令部(United States Cyber Command)。
它认为,这些技术与破坏伊朗核浓缩项目大约1000台离心机的计算机蠕虫病毒Stuxnet中所使用的技术有关。后来发现,Stuxnet病毒是一个代号“奥运会”(Olympic Games)的项目的一部分,由以色列和美国共同进行。
卡巴斯基的报告称,“奥运会”与感染伊朗以外计算机的更大规模行动具有相似之处。它在伊朗、巴基斯坦和俄罗斯的计算机中检测到了特别高的感染率,这三个国家的核项目向来在美国监控之下。
卡巴斯基表示,有些植入程序在电脑系统中隐藏得非常之深,甚至感染了“固件”,这种嵌入式软件负责在操作系统启动前准备好电脑的硬件。卡巴斯基报道称,它已经超出了现有杀毒产品和大多数安全控制手段的能力范畴,所以几乎不可能清除。
在很多情况下,它还能让美国情报机构无声无息地从一台机器上获取密钥,然后解密加密内容。此外,许多工具都是为了在不与互联网连接的电脑上运行而设计的,控制伊朗核浓缩工厂的计算机就是这种情况。
卡巴斯基指出,在它在网络空间跟踪的60多个攻击群体中,所谓的方程组“在复杂性和成熟度方面超过了所有已知技术,而且它已经启用了将近20年”。
卡巴斯基实验室由尤金·卡巴斯基(Eugene Kaspersky)创立,他曾在由克格勃(KGB)联合主办的一所学校学习密码学,还曾为俄罗斯军方工作。西方专家认为,实验室的研究具有可信性。在其 中一项研究中,实验室发现30个国家的100多家银行和其他金融机构受到了网络袭击。
许多美国政府机构都是不使用卡巴斯基实验室制作的安全软件的,因此,它也更受伊朗和俄罗斯等其他国家的政府信赖。这些国家的系统都在被美国情报机构密切监视。所以,卡巴斯基也得以在第一线监视美国的数字间谍活动。
公司的研究人员称,这些袭击之所以尤其引人注意,是因为它们会袭击计算机实际固件的方式。网络犯罪分子很少能进入一台机器的实体内部
恢复受到网络攻击的电脑通常需要清理计算机的操作系统和重新安装软件,或者更换计算机的硬盘驱动器。但安全专家说,倘若固件受到感染,最精密的计算机可能也会变成一堆废铁。
安全专家过去就警告过要注意感染电脑“裸机的竞赛”。随着软件安全的升级,犯罪分子已开始寻找感染电脑实际硬件的途径。能攻击到固件,几乎可以说已经无限接近对裸机的攻击——这是一种梦寐以求的态势,不仅能让攻击者避开反病毒产品,还能在硬盘数据被抹掉后再次感染电脑。
“如果恶意软件进入固件,它永远都能自行复活,”卡巴斯基的威胁研究人员科斯廷·拉尤(Costin Raiu)在报告中说。“这意味着我们实际上就瞎了,无法检测到感染了这种恶意软件的硬盘。”
隶属于商务部(Commerce Department)的国家标准与技术研究院(National Institute of Standards and Technology)的数学研究人员多年来一直在发出警告,称存在遭遇这种攻击的可能性,但很少能实际见到它的发生。去年接受采访时,该研究院的数学研 究人员安德鲁·雷根沙伊德(Andrew Regenscheid)警告称,这类攻击极其有力。雷根沙伊德表示,如果固件被感染了,“电脑就无法启动和使用。不得不换电脑才能从攻击中恢复过来。”
拉尤指出,这种攻击也会成为一种强大的加密破解手段,因为它让攻击者能够获取电脑的加密秘钥,将其存储在“电脑硬盘里一个看不见的区域”并译出电脑里的内容。
卡巴斯基的报告还详细介绍了方程组为了绘制伊朗核浓缩设施等不与互联网连接的所谓物理隔离系统的结构图,并用U盘感染它们而展开的活动。报告称,为了让这些装置进入电脑,攻击者在部分情况下会在传输过程中对其进行拦截。
前国家安全局承包商雇员爱德华·J·斯诺登(Edward J. Snowden)泄密的文件,详细记述了国家安全局为跨越将电脑同外部世界隔离开的“物理距离”而展开计划,包括在运往目标国家的电脑上安装专业硬件等活 动。这种硬件能接收NSA部署在世界各地的一种手提箱大小的设备发出的低频无线电波。有的时候则直接跨过隔离带,通过让间谍使用U盘的方式,直接安装到敌 方的电脑里。
基于对编码中的时间标识的估计,卡巴斯基的介绍称方程组从2001年开始就一直在感染电脑,但在奥巴马总统当选的2008年,该机构的实力开始大幅提升,并在暗中监视美国的敌人的数字手段上加大投入。
尽管美国从未承认进行过任何进攻性的网络行动,但周五接受在线计算机行业出版物Re/code的采访时,奥巴马总统泛泛地讨论了这个问题,称攻击性网络武器不同于传统武器。
“从进攻和防守之间没有明确的界线这一点来说,这更像篮球而非足球,”本身就喜欢打篮球的奥巴马说。“它是不停地在你来我往的。”