Seagate şi Western Digital, acuzaţi că ascund componente backdoor în firmware-ul hard disk-urilor

Autori: Aurelian Mihai, Liviu - Andrei Mihai 17.02.2015
Seagate şi Western Digital, acuzaţi că ascund componente backdoor în firmware-ul hard disk-urilor

Potrivit investigaţiilor făcute de producătorul rus de soluţii antivirus Kaspersky Labs, producătorii de hard disk-uri Seagate şi Western Digital s-ar afla în complicitate cu agenţia americană NSA, facilitând spionarea sistematică a utilizatorilor prin ascunderea de componente backdoor în firmware-ul dispozitivelor de stocare.

În ultimii 5 ani, numărul ţărilor producătoare de hard disk-uri s-a restrâns de la 3 (Samsung in Coreea de Sud, Hitachi şi Toshiba în Japonia, Seagate şi Western Digital în Statele Unite) la o sigură ţară, achiziţiile şi parteneriate încheiate de Seagate/WD transformând companiile rivale în entităţi controlate de pe teritoriu american. Aparent, asta a oferit programului american de spionaj o ocazie irezistibilă pentru a exploata una dintre cele mai răspândite şi valoroase componente PC – hard diskul. Potrivit Kaspersky Labs, agenţia americană de cyber-spionaj NSA a profitat de centralizarea activităţii de producere a hard disk-urilor în Statele Unite forţând integrarea de componente backdoor direct în firmware-ul dispozitivelor. Cu acces hardware nelimitat, NSA poate inspecta hard disk-ul în modul RAW, extrăgând date fără a ţine cont de limitele partiţiilor (formatarea low-level), sistemul de fişiere (formatarea high-level), sistemul de operare sau drepturi de acces ale fişierelor. În urma investigaţilor făcute, specialiştii Kaspersky ar fi descoperit PC-uri compromise în nu mai puţin de 30 ţări, cele mai multe cazuri fiind identificate în Iran, Rusia, Pakistan, Afganistan, China, Mali, Siria, Yemen şi Algeria.

Seagate şi Western Digital, acuzaţi că ascund componente backdoor în firmware-ul hard disk-urilor

Potrivit Kaspersky, hard disk-uri compromise cu elemente backdoor integrate direct în firmware sunt în prezent folosite pentru a spiona guverne străine, organizaţii militare, companii de telecomunicaţii, bănci, instituţii de cercetare nucleară, instituţii media şi activităţile organizaţiilor islamiste. Chiar dacă nu au dezvăluit numele companiei implicată în dezvoltarea acestui malware, reprezentanţii Kaspersky precizează că aceasta are legături strânse cu celebrul virus industrial Stuxnet, folosit pentru a sabota instalaţii militare deţinute de guvernul Iranian, specializate în îmbogăţirea uraniului.

Ascuns în programul de iniţializare al hard disk-urilor, noul backdoor reprezintă visul oricărei agenţii de spionaj: este practic indetectabil şi aproape imposibil de înlăturat. În plus, fiind încărcat în memorie la fiecare pornire a PC-ului, înaintea sistemului de operare şi orice alt program de securitate, programul poate accesa componente cheie din sistemul de operare, incluzând sistemul de fişiere şi reţeaua. Astfel, firmware-ul hard disk-urilor este a doua cea mai valoroasă cucerire pentru hackeri, după BIOS-ul PC-ului.

Deloc surprinzător, Seagate şi WD au negat acuzaţiile aduse de Kaspersky, potrivit cărora ar fi oferit agenţiilor guvernamentale acces la codul sursă folosit pentru firmware-ul hard disk-urilor, afirmând că acesta este în fapt proiectat pentru a împiedica orice modificări neautorizate. Între timp, foşti angajaţi NSA au declarat că obţinerea codului sursă pentru componente software cu importanţă critică este o practică des întâlnită şi relativ simplă, în care agenţia solicită direct cooperarea dezvoltatorilor sau se prezintă ca dezvoltator software interesat. Una dintre metodele prin care guvernul american poate obţine acces la codul sursă pentru firmware-ul instalat pe hard disk-uri este condiţionarea contractelor de achiziţii de inspectarea acestuia, sub pretextul verificării după eventuale breşe de securitate.

O întrebare rămasă deocamdată fără răspuns, este cum ajung mostrele de firmware compromis să echipeze hard disk-uri din producţia de serie. Teoretic, fabricile deţinute de Seagate şi WD în ţări ca Tailanda şi China să sunt găzduite în zone cu grad sporit de securitate, unde furtul de proprietate intelectuală sau sabotajul ar trebui să nu fie posibil, altfel decât prin colaborarea angajaţilor şi persoane din conducerea companiilor.