Ab Werk: NSA-Wanze auf der Festplatte

Logo via EFF, CC by-nc-nd 2.0

Nachdem am Wochenende bereits die ersten Gerüchte aufgetaucht waren, dass ein neuer NSA-Leak bevorstünde, hat die IT-Firma Kaspersky Lab gestern Details über das Vorgehen einer Truppe bezahlter Staatshacker über Reuters veröffentlicht, die gezielt die Firmware von Festplatten der großen Hersteller infiltrieren und darüber Daten abgreifen. Konkret wurden zwei Module beschrieben, die zur Manipulation der Festplatten dienten.

Ab Werk sind die Platten zwar nicht infiziert, aber ab Werk verwundbar.

Es ist natürlich keine neue Erkenntnis, dass sich der Spionage- und Überwachungsapparat verselbständigt hat und die Infiltrationsziele der bezahlten Hacker-Truppen breit gestreut sind, aber die Namen der Hersteller werden benannt: Laut Kaspersky sind Platten von Micron, Western Digital, Seagate, Toshiba, Maxtor und Hitachi betroffen. Kaspersky betont, dass die Formatierung der Platten den Spionageprogrammen nichts anhaben kann.

Es gibt sogar eine Art von Bestätigung durch die NSA:

A former NSA employee told Reuters that Kaspersky’s analysis was correct […] Another former intelligence operative confirmed that the NSA had developed the prized technique of concealing spyware in hard drives.

[…] Kaspersky called the authors of the spying program „the Equation group“.

Nun ist ja dem britischen Partner-Geheimdienst und der zugehörigen Regierung kürzlich schriftlich gegeben worden, dass sie auch nicht immer über dem Gesetz stehen, sondern dass Teile der Programme zum Austausch von Daten aus Massenüberwachungsmaßnahmen illegal waren. Nach den neuen Veröffentlichungen bietet es sich an, neben den Überwachungsprogrammen auch die offensiven Maßnahmen der Geheimdienste stärker in den Fokus der juristischen Prüfung zu nehmen. Auch die Überprüfungsgremien müssten sich in Zukunft mehr mit der offensiven Seite der Geheimdienst-Skandale auseinandersetzen.

Mal gucken, ob und was für politische Kommentare die nur mittelbar mit Snowden zusammenhängenden Veröffentlichungen in Deutschland hervorrufen. Bisher war seitens der Politik nichts zu vernehmen, nicht mal mehr solche, die die „Enthüllungen zum alten Hut, zum Staatsgeheimnis oder zum schieren Missverständnis“ (Schirrmacher) erklären.

Aber wir wissen ja: Es geht sicher wieder nur um Terroristen.

Update:
Es gibt eine aktuelle Reaktion der grünen Bundestagsfraktion unter der merkwürdigen Überschrift „Angriff der Nachrichtendienste auf das Internet muss beendet werden“. Mangels Bezug zu den Kaspersky-Veröffentlichungen hier nur ein Auszug der Meldung mit einer Forderung, die seit vielen Monaten sowieso stimmt:

Durch ihre Untätigkeit stützt die Bundesregierung das illegal gewachsene Cyberangriffsystem der Geheimdienste. […] Die Bundesregierung muss endlich handeln.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

60 Ergänzungen

  1. Politische Kommentare? „Wir benötigen dringend die Vorratsdatenspeicherung, um derartige Verfehlungen unnachgiebig verfolgen zu können!“

  2. Ab Werk? Wirklich? Das klingt so, als hätten die Hersteller die SSDs und HDs serienmäßig mit Spy-Firmware ausgeliefert. Dann macht allerdings der in vielen Berichten angeführte Fall keinen Sinn, bei dem einer Zielperson die Festplatten-Firmware mittels einer manipulierten Foto-CD untergejubelt wurde. Bevor ich jetzt endgültig in den panic mode schalte, lese ich mir heute Abend lieber mal den Kaspersky-Bericht durch …

    1. Der Bericht ist wirklich lesenswert.
      So werden zb. diese Spionageaktionen als sehr kostenintensiv geschildert, in dessen „Genuß“ nur wenige ausgewählte Organisationen bzw Benutzer kommen. Das Otto Normalverbraucher plötzlich so ein Teil auf der Platte hat, ist mehr als unwahrscheinlich.

      1. Was ist denn so teuer daran ein „Spezial-Firmware-Update“ per Trojaner auf eine Platte einzuspielen?

        Halte ich für einen limited hangout, um wenigstens „Ist aber keine Massenüberwachung!“ rufen zu können.

        Der eigentliche Skandal ist die Unsicherheit der Updatemechanismen oder aber eine mögliche Kooperation der Hersteller. Ich würde da gerne mal wieder einen Jumper oder ein Mäuseklavier als Updatehürde sehen. Nicht geschaltet, keine Schreibleitung.

    2. Habe das mal präzisiert im Beitrag:

      „Ab Werk sind die Platten zwar nicht infiziert, aber ab Werk verwundbar.“

      Obwohl: Ich würde mich nicht allzu arg wundern, wenn serienmäßig Spy-Firmware.. *hust*

      1. Aber, Constanze, mal ganz naiv gefragt: Ist Verwundbarkeit nicht der Normalzustand so ziemlich jeder Software? Beispiel: Ich bin ein Fan von XMPP/OTR, wer ist das nicht. Und dann seh ich mir die Liste der Sicherheitslücken von libpurple an, und mir wird schwummerig – jede dieser mitlerweile gepatchten Sicherheitslücken war ja mal ein 0-day. Und ich frage mich, wie viele 0-days heute noch drin stecken, und mir wird noch schwummeriger.
        Warum sollten wir also annehmen, dass dann irgendeine proprietäre Software keine ausnutzbaren Sicherheitslücken hat?

        1. Will ich nicht widersprechen, aber es macht schon noch einen Unterschied, ob wir über Hintertüren reden (und gezielte Angriffe) oder über Fehler, die natürlich überall vorkommen.

      2. Wozu gibt es Geheimgerichte mit geheimen Gerichtsbeschluessen? Damit kann man die Hersteller mit Hauptsitz in den USA zwingen die neuen Produkte zu „re-designen“ bevor sie auf dem Markt geschmissen werden.
        Ich vermute sogar, dass die NSA die Forschungsabteilungen von z.B. Cisco, Apple, Intel, AMD, Motorola etc. ausspionieren und bevor es zur Patentameldung kommt das FBI vor der Tuer steht mit einem Geheimgerichtsbeschluss welches zwingt das „Produktdesign“ der NSA zu implementieren oder es droht Aerger mit der Justiz.

        Das sich das FBI wegen Apple’s neuer Verschluesselung aergert ist auch nur Schauspielerei.

        Boykottiert Silicon Valley. Das muss wehtun. So richtig zwiebeln muss das. Sonst hat der Lerneffekt keine Chance.

      3. Hi Sascha,
        das geht sogar noch einen Schritt weiter. Sämtliche mathematischen Forschungen in Richtung Verschlüsselung in den USA müssen der NSA zur Freigabe vorgelegt werden. Aber wo kommen denn die heutigen Verschlüsselungen alle her?

  3. Danke Constance, aber seitdem Fernseher unsere Wohnzimmer abhören und da die NSA bestimmt auch mit drin sitzt, macht mir die Festplatte nun auch keine Angst mehr. Ich speichere alles wichtige mit Zitronentinte unter meinem Kopfkissen ;-)
    Aber die grundlegende Frage bleibt doch bestehen und ich würde mich freuen, mehr darüber hier lesen zu dürfen: Was tun?

    1. Die Sache mit der Zitronentinte lässt sich verbessern: Nicht unter das Kopfkissen mit dem so beschriebenen Zettel, sondern gleich runterschlucken.
      Jewgenij Kaspersky wurde am Rande einer Konferenz in Dublin vor ein paar Monaten gefragt, wie er Vertrauliches auf seinem Rechner schützen würde. Seine Antwort (und er ist immerhin Absolvent der KGB-Hochschule für Kryptographie): „Vertrauliches? Auf einem Computer? So verrückt bin ich nicht.“

  4. „Ab Werk: NSA-Wanze auf der Festplatte“
    Die Überschrift ist eindeuting falsch und irreführend.
    Es gibt keine Wanze ab Werk innerhalb der Firmware, es bestehen höchstens Sicherheitslücken, welche die Schadsoftware ausnutzt.

    Das sollte man doch dringend berichtigen.

  5. So doof das auch ist, das Problem ist Systemimmanent, wenn Geräte „updatefähig“ sind. Das gilt jetzt schon für das BIOS, Smartphones, Festplatten, TV, USB-Sticks und Geräte, sogar für Autos. Demnächst für den Stromzähler, Kühlschrank, Gesundheitsarmbänder, kurz für jedes Gerät, bis zum Wecker oder dem vernetztem Haus. Bei einem gekauftem Gerät existiert keine Sicherheit (mehr).

    Es ist zwingend notwendig, dass starke Datenschutzgesetze hier wenigstens rechtlich Möglichkeiten geben, so man von den Manipulationen irgendwie erfährt. Bis dahin muss man eben entsprechend vorsichtig mit den Geräten umgehen oder sie ganz meiden. Ich hatte z.B. niemals ein Handy (und schon gar kein Smartphone)

    Die konservative Regierung sollte sich überlegen, ob Konsumverzicht wegen mangelhaftem Daten- und Verbraucherschutz der Wirtschaft förderlich ist.

    1. also da is der Teil der Konsumverweigerer leider zu klein für befürchte ich, ohne einen richtigen Skandal der einen Großteil unserer Bevölkerung betrifft und der auch entsprechend gepusht wird werden die Internetneulinge nichtmal so tun als würde was getan, es wird Zeit das der Staat anfängt seine Bürger zu fürchten und nicht umgekehrt

      1. Och, es gibt schon Möglichkeiten. Linux (usw.) statt Win machen Einige (die mal auf mich hören). Smartphone (Blauzahn, WLAN) aus auch. Kein Payback, kein Preisausschreiben, Geschäfte und Zonen mit Kameras meiden, kein Netz am TV, den „richtigen“ Internetprovider/Telefonanbieter aussuchen und so weiter. Ich z.B. kaufe nicht im Markt, wo man angeblich „nicht blöde ist“. Und so weiter…

        Richtig böse wird es, wenn ich deshalb nicht frei reisen (Chip im Reisepass) oder gar fliegen (Datenweitergabe, Speicherung) kann. Der Gedanke an die DDR drängt sich hier klar auf. Tote gibt es wenigstens unter denen, die hier über das Meer einreisen wollen.

        Es geht nicht um grundsätzliche Konsumverweigerung. Den richtigen Level muss jeder selbst finden. Mir geht es darum, der Verarsche (…) etwas entgegen zu stellen.

        Natürlich hilft das nicht und natürlich machen das zu wenige. Ich bin jedoch nicht das Maß der Dinge, kann nur tun, was ich für richtig halte.

    2. Achsoo da bin ich bei vielem deiner Meinung, was digitale Spuren und Einkaufsverhalten betrifft, die sind bei mir auch rah gesät, einen neuen Reisepass hab ich nicht Fingerabdrücke im Perso eh nicht, die Google und Facebook Verfolgung hab ich auch unterbunden, da is halt verdammt viel Aufklärung nötig, die meisten wissen und verstehen einfach nicht das grade durch Google/Youtube schon soviel von unserer Netzaktivität bekannt ist das jedes bisschen das noch dazu kommt zuviel ist

  6. NEIN! DOCH! OH!

    Jacob Appelbaum hat schon vor zwei Jahren im Spiegel darüber berichtet. Sind wir jetzt schon an dem Punkt angelangt, wo die Journalisten den Überblick verlieren und alten Wein in neuen Schläuchen verkaufen wollen?

    SERVICE ANNOUNCEMENT:

    Man nehme eine Live-DVD (Linux natürlich) und baue die Festplatte aus dem PC/Notebook aus. Und schon ist alles wieder gut. Fuck you NSA! (buzzword trigger on)

    1. Flipper, das nützt Dir wenig, Deine CD/DVD Rom braucht auch einen Player mit eigener Firmware und die kann genauso für einen Injection beim Laden missbraucht werden.

      Am sichstern dürften z.Zt. SBCs ohne BIOS und proprietäre Binärblobs sein (RPI fällt da aus), die von einer SD Karte booten. Der SPI Bus ist ziemlich primitiv, so wie auch die Controller auf den Karten. Die Boot-Firmware wie U-Boot ist validierbar.

      1. @ Grauhut

        „Flipper, das nützt Dir wenig“

        Ähm, doch!? Natürlich gibt es unzählige offene Flanken. Warum sollte ich eine Flanke offen lassen, nur weil es noch andere Schwachstellen gibt? Wenn ich den Angriffsvektor „Festplatte“ eliminiert habe, ist das doch gut! Besser als nichts! Es gibt keine 100%ige Sicherheit. Warum nicht die Hürde für die Spitzel etwas höher legen? Es geht hier doch nicht darum, sich vor einem Angreifer vom Format NSA dauerhaft zu schützen. Es ist nur eine Frage der Zeit, bis man Fehler macht oder nicht zu schließende Schwachstellen zeigt, die eine NSA ausnutzt. Es geht darum, diesen Stalkern das Leben so schwer wie möglich zu machen. Alles andere wäre Selbstaufgabe und Selbstverleugnung.

        PS: Das LIBREM-Notebook ist eine Hoffnung. Das ist Open and Free Hardware. Wir müssen mehr auf die Hardware-Seite achten, bei der FOSS sieht es einigermaßen gut aus. Mehr auf:

        puri.sm

      2. Geh mal davon aus, dass es für Spezialisten wie denen, die diese „Spezialupdates“ bauen, absolut keinen Unterschied macht ob sie eine DVD-Rom oder eine Festplatten-Firmware patchen. Zur Zeit ist jede updatebare Firmware „schmutzig“, ob Bios oder irgendeine Controller-Firmware. Die kannst auch in einem Offloading Nic oder einem USB Stick so einen Injector unterbringen.

        Das einzige was z.Zt. hilft sind „primitivere“ Geräte ohne proprietäre Firmware in eigenen Speicherchips.

      3. Deshalb sage ich immer: kauft nicht beim gemeinen Ami! Außer das Librem-Laptop. Leider gibts das nur per Versand aus den USA. Da könnte das schöne free and open hardware Laptop leicht in die Hände der Interdiction-Truppe fallen, die das Paket unterwegs abfangen und diskret spezialbehandeln.

        Meine Idee wäre, einfach nach Vancouver fliegen, dann auf dem Landweg nach Seattle, wo das Librem herkommt, danach wieder zurück nach Vancouver und dann zurück nach Europa. Könnte klappen, außer man muss sein Laptop den Grenzern zur unbeaufsichtigten Spezialbehandlung überlassen. Am Ende kostet der Spaß locker 4000 Euro (1000 Euro fürs Librem, 2000 Euro für 2 Flüge, 1000 Euro für den Landweg und all den Rest). Privacy is luxury. I’m an early adoptor.

      4. Nichts direkt bei Amazon greifbares, für das ich meine Hand ins Feuer legen würde, keine fertige SATA-Wall.

        – Controller in SD Karten sind auf der 30c3 aufgemacht worden, die dürften eher „zu klein“ sein für komplexe Hacks

        – SATA I/O Crypto Adapter, die in die Leitung eingeschliffen werden, aber die dürften am allerbekanntesten bei den Schlapphüten sein

        – Am ehesten noch das OpenSSD Projekt, Flash Controller auf FPGA Basis mit offener Firmware

        Man sollte da selbst was bauen, dürfte einen Markt haben z.Zt.! Ich schaue gerade schon nach einem preiswerten programmierbaren SATA port multiplex o.ä. Chip, eine passende Bruzzelbude in China hätte ich. So was in der Art „Ich lasse nur Behle nach Spec durch und alles andere petze ich über den USB Port, der mir auch den Saft liefert!“ :)

      5. Ich werde mal ein ARM Board mit USB OTG und USB Gadget Storage Treiber als Bootdevice evaluieren, da kann man dann auch gleich den eigenen Disk Datenverkehr mitsniffen. :)

  7. hi zusammen,

    DANKE für euren Artikel hier. Den was hier läuft, ist eine riesige Sauerei!! Denn ich gebe ganz offen zu, dass ich Hardware von Toshiba hier laufen habe und Toshiba eigentlich bei mir der einzige Hersteller war, dem ich noch vertraut habe!

    Außerdem: diese Warnung geht ja nun schon seit Stunden durchs Netz aber: beim BSI ist KEINE Warnung draußen! Das hat mich mal verwundert und ich habe denen vorhin mal eine superfette Beschwerdemail geschickt mit den Fragen, die wohl alle unter uns umtreiben:

    1. wie finde ich eine potentielle Infektion heraus?
    2. wie wehre ich dieses Scheißteil ab?
    3. wie putze ich so ein Scheißteil von meiner Platte??
    4. wie schütze ich in Zukunft meine Festplatten??
    5. wie schütze ich meine externen Festplatten??
    6. wie verhindere ich potentielle Manipulationen an den Firmwares der verbauten Hardware??
    Denn in Linux kommen solche Firmware-Updates immer mit den Systemupdates mit. Da sind in der Update-Liste dann solche Pakete zu finden wie „Linux-Firmware“ und sowas.

    Von daher ihr lieben hier: habt ihr Antworten auf diese Fragen?? Und übrigens: DANKE für diesen Link an Herrn Konstantin von Notz bei den Grünen. Dem habe ich diese Mail auch mal geschrieben mit den gleichen Fragen. Bin echt mal auf Antwrot gespannt!!

    Grüße
    Andrea

    1. Pragmatische Antwort, liebe Andrea: Don’t panic. Lass deine Toshiba-Platten, wo sie sind.
      Die Firmware-Angriffe richteten sich laut Kaspersky gegen „hochrangige Ziele“ – ich hoffe, du fällst nicht in diese Kategorie.
      Ansonsten kannst du davon ausgehen, dass die Firmware deiner Festplatten Sicherheitslücken/Backdoors enthält (technisch in der Regel nicht zu unterscheiden). Ebenso wie die Firmware deines Routers, der Netzwerkkarte in deinem Rechner oder das Baseband-OS deines Smartphones … Aber das heißt noch nicht, dass irgend ein Geheimdienst dieser Welt genau diese Sicherheitslücken/Backdoors ausnutzt, um gezielt dich anzugreifen.

      1. Die NSA würde keine Speicherzentren wie in Utah bauen, wenn sie nicht vorhätten eine verdammt große Menge Daten anderer Menschen abzuschnorcheln.

        Und die NSA nutzt da auch keine Lücken, sondern die Serviceschnittstelle der Platten, über die man auch reguläre Updates einspielen kann, nichtöffentliche (S)ATA Befehle. Ich finde schon, dass uns als Kunde die Hersteller da eine Recovery-Software schulden, um unsere Platten wieder in einen definierten, unseren Privatheitswünschen entsprechenden Zustand zu bringen.

        Kritische Daten nur auf überschaubare Systeme, die anderen Systeme dienen dann nur noch dem schönen Schein, unsichtbar zu sein wäre ja auch auffällig.

      1. Das sind die Fimware Blobs, die die Treiber auf die Devices laden, damit die starten. Höchst unterschiedlich offen, es gibt open source firmware, closed mit Freigabe für Benutzung in opensource und non-free, meist aus anderen Treibern extrahierte Blobs, bei denen keiner genörgelt hat.

        Die beste Firmware ist z.Zt. solche, die nicht benötigt wird.

        openbsd.org/armv7.html

  8. Außerdem solltet ihr mal wissen, dass hier ALLE Festplattenhersteller betroffen sind und eben nicht nur us-amerikanische! Siehe hier bei zdnet.de:

    http://www.zdnet.de/88219382/equation-group-kaspersky-identifiziert-hoechstentwickelte-hackergruppe-der-welt/#newcomment

    Außerdem ist hier bekannt, dass diese Hackergruppe wohl ein Teil der NSA ist und darüber hinaus hat sich die werte NSA auf winfuture.de bereits als Urheberin dieser Software geoutet:

    http://winfuture.de/news,85886.html

    „Quellen bestätigen NSA-Verbindung“
    „Gegenüber der Nachrichtenagentur Reuters bestätigte auch ein ehemaliger NSA-Mitarbeiter, dass die Analysen der russischen Firma zutreffend seien. Demnach habe man der Malware bei dem Geheimdienst eine ebenso hohe Bedeutung beigemessen wie Stuxnet. Auch eine zweite Quelle bestätigte, dass bei der NSA eine entsprechende Software entwickelt worden sei.“

    Von daher: wie stoppen wir diese Drecksgeheimdienste??

  9. Ach ja und noch ein Update für euch:

    es gibt bei heise inzwischen einen Link zum Löschantrag dieses Kontrollgerichts für die GCHQ:

    http://www.heise.de/newsticker/meldung/NSA-Skandal-Ueberwachte-sollen-Daten-vom-GCHQ-loeschen-lassen-2550998.html

    Von daher: schickt denen hier mal alle eure Löschanträge bis deren Server zusammenbrechen! Ich habe es bereits getan, weil ich diese Drecksgeheimdienste nicht mehr Unterstütze!!

    Dann gibt es darüber hianus hier:

    http://www.demandanexpirationdate.com/

    eine Möglichkeit, Druck auf die us-Regierung zu machen!! Von daher: unterschreibt hier mit, damit der Druck im Kessel steigt bis der Deckel vom Pott fliegt!!

    Güße
    Andrea

  10. @Constanze
    Die Überschrift „Ab Werk: NSA-Wanze auf der Festplatte“ stimmt doch so nicht! Das ist Bildzeitungsniveau…. Irgendetwas in der Überschrift behaupten und dann im Artikel gegenteiliges schreiben. Ist das euer ernst?
    „Ab Werk verwundbar“ und „Ab Werk: Wanze auf der Festplatte“ sind völlig unterschiedliche Sachen.

    Ich bin monatlicher Spender, aber sowas kann ich nicht unterstützen. Eure restlichen Artikel verzichten zum Glück auf soetwas…

    1. Ich würde die Kritik nicht so harsch formulieren wie du, aber stimmt schon: Wir sollten in der Diskussion die Trennlinie zwischen Massenüberwachung und gezielter Überwachung nicht verwischen.

    2. Nun komm mal nicht gleich mit der „BILD“-Vergleich-Keule. Das ist schon zugespitzt, gebe ich zu, hätte vielleicht ein Fragezeichen nicht geschadet. Was Kaspersky gezeigt hat, ist der Trojaner, der die Plattenverseuchung erledigt. Das sieht natürlich erstmal nicht wie ein flächendeckender Einsatz schon beim Hersteller aus, bisher verweigern einige der Hersteller aber auch den Kommentar. Technisch und ideologisch wäre das den Diensten zuzutrauen, ein Beleg liefert die Kaspersky-Veröffentlichung nicht, allerdings auch keine Widerlegung.

      1. Hallo Constanze,
        tut mir leid, ich sehe das anders. Das ist nicht zugespitzt, das ist schlichtweg falsch dargestellt. Ein Fragezeichen hinter der Überschrift wäre noch halbwegs in Ordnung (auch wenn das immernoch nicht seriös wäre). Warum du die Überschrift so als falsche Aussage stehen lässt erschließt sich mir nicht…

        Es gibt für den Zusatz „Ab Werk“ keinerlei Beleg. Es wurde von Kaspersky Schadsoftware entdeckt, welche die Firmware von Festpllaten identifizieren kann. Das ist alles (schon schlimm genug!). Wenn das ganze ab Werk geschehen sollte, würde dort doch wohl einfach gleich ein anderes Image geflasht werden…

        Ohne Beleg (nichtmal ein Indiz) solche Aussagen (eine Vermutung aufstellen sieht anders aus) zu treffen, ist meiner Meinung nach kein seriöser Journalismus.

        1. Akzeptiere ich natürlich als Deine Meinung. Aus meiner Sicht besteht ein Artikel aber nicht nur aus der Überschrift.

      2. Mir ist ja klar, dass der Sachverhalt im Artikel richtig dargestellt wird. Aber die Überschrift vermittelt halt einen falschen Eindruck (anscheinend sogar mit Absicht…). Falsche Überschriften um Leser anzulocken kann doch nun wirklich nicht eure Strategie sein…

    3. Es ist nicht auszuschließen, dass im worst-case die Sache doch so läuft.

      Realistische Möglichkeiten ab Werk:
      -Trojaner/Software auf den gesamten industriellen Anlagen der Hersteller absichtlich platziert (eventuell auch durch Agenten). (Stuxnet oder Ähnliches nicht auszuschließen)

      -Ausschließlich Firmware-Datei im Herstellungsprozess am Flasher ausgetauscht (eventuell durch Agenten per Hand/Hack).

      -Nicht offizielle direkte Zusammenarbeit von Geheimdiensten mit den Herstellern.

      -Firmware wird beim Transport/Handel durch div. Agenten (Kooperationen) auf den Festplatten eingeschleust, also nach der Herstellung aber immer noch vor dem Erwerb des Endkunden.

      -Verkauf von präparierten externen Festplatten durch Firmen, die von den Geheimdiensten organisiert werden, +Zusammenspiel von USB/Firewire Controllern etc.

      -Firmware Datei auf Hersteller Webserver ausgetauscht, die aber dem Endkunden als „Update“ empfohlen und von diesem selbst aufgespielt wird.

      -Liste lässt sich vorsetzen.

  11. Die „Nummer“ ist doch leider schon lange durch. Da berichten die Medien im Internet und nichts passiert. Die Online-Foren platzen vor „Aufregung“ und nichts passiert. Dann kommt die Pseudo-Presse wie SPON und schreibt ein paar Zeilen aber läßt so eine wichtige Information für die „Nicht-Netzer“ nach kurzer Zeit wieder im /dev/null verschwinden. Also wer hat echtes Interesse dagegen etwas zu tun?!

    Unsere Politiker glänzen mit Abwesendheit. Der Bundesgeneralanwalt kann noch nicht einmal SNA & NASA von der NSA unterscheiden und die Ermittlungsergebnisse stehen vorher schon fest: „Kein Verdacht bestätigt“. Also? Welche Alternative gibt es noch? Ich (möchte es nicht) glaube(n) aber der Weg ist bestimmt und solange anderen Parteien & Projekten keine Chance gegeben wird ändert sich auch nichts in unserem Land, Europa oder in anderen Teilen dieser Welt. Aber vielleicht eskaliert Griechenland und die Ukraine soweit das es sich dann eh erledigt hat. Abwarten und Tee trinken.

  12. Hm.

    Ernst gemeinte Frage:
    Wo werfe ich sinnvoll Geld drauf, damit man solche Probleme entweder
    vermeiden
    oder
    wenigstens erkennen kann?
    Openhardware? ClamAV? :)

    Grundsätzliche Anmerkung @Constanze:
    Ich fände es – gerade ob deines IT-Hintergrundes – extremst toll (zurückhaltend formuliert ;)), wenn in deinen Artikeln nicht nur die (nötige) Zusammenfassung des Sachverhalts stünde, sondern du auch auf jene Punkte eingehen könntest, bei denen man auf technischer Ebene zumindest sinnvolle Schadensbegrenzung betreiben kann (und natürlich die potentiellen Möglichkeiten dazu ausführst).

      1. Damit wären wir dann bei einer Vermeidungsstrategie.
        Und dann wieder bei meiner ersten Frage: Wo muss da Geld/sonstige Ressource hin, dass das was wird? *willing to help*

    1. ja, die drängt sich doch auf: haben sie den kasperky-bericht gelesen? die „lösung“ des airgap-problems durch die angreifer nimmt dort mehr raum ein, als der aspekt mit dem firmwareupgrade.

      .~.

  13. @constanze ich sehe das problem mit der überschrift eher auf einem anderen gebiet:
    es suggeriert absolute hilflosigkeit gegenüber geheimdiensten.
    das ist genau das, was sie uns weismachen wollen: ihr habt keine chance.
    dies führt bei vielen dazu, nichts mehr zu tun und sich in ihr (scheinbar) unabwendbares schicksal zu ergeben.
    deshalb finde ich es wichtig, differenziert und genau zu bleiben.
    es gibt wohl genügend user, die nur eine überschrift bei fratzenbuch oder twitter lesen ohne den dazugehörigen artikel aufzurufen.

    ansonsten gehe ich auch davon aus, dass denen alles zuzutrauen ist; ohne auf ein neurliches snowden-papier warten zu müssen, welches erneut die massenüberwachung als ziel klarstellt!

  14. Tja, wenn man so etwas vor 10 Jahren behauptet hätte, wäre man noch als paranoider Spinner bezeichnet worden. Und doch gibt es Menschen, die genau das getan haben.
    Man schaue mal in die Manpage des Linux-Tools „wipe“, die 2004 erstellt wurde: http://linux.die.net/man/1/wipe
    „I hereby speculate that harddisks can use the spare remapping area to secretly make copies of your data. Rising totalitarianism makes this almost a certitude.“ …
    „Recovering such data is probably easily done with secret IDE/SCSI commands. My guess is that there are agreements between harddisk manufacturers and government agencies.“….

  15. „Sascha 18. Feb 2015 @ 8:25
    Boykottiert Silicon Valley. Das muss wehtun. So richtig zwiebeln muss das. Sonst hat der Lerneffekt keine Chance.“

    Das gerade die franz. Regierung das Silicon Valley anbettelt, doch was gegen Terroristen zu tun-France24-, sollte noch erwähnt werden.

  16. “Sascha 18. Feb 2015 @ 8:25
    Boykottiert Silicon Valley. Das muss wehtun. So richtig zwiebeln muss das. Sonst hat der Lerneffekt keine Chance.”

    Dass gerade die franz. Regierung das Silicon Valley anbettelt, doch was gegen Terroristen zu tun-France24-, sollte noch erwähnt werden.

  17. Mal eine theoretische Frage. Wäre es sogar möglich den Prozess bei einem Chip-Hersteller, der ASICs / Controller für Festplatten anfertigt, so zu verändern, dass bereits hardwareseitig irgendwelche Modifikationen (beispielsweise wie hier, zur Spionage Erleichterung) vorgenommen werden können? Ich weiß nicht wie die Herstellung von ASICs/Chips exakt abläuft, aber soweit ich richtig verstanden habe, ist es ein Layout (Hardwarebeschreibung), das in ein Fertigungsprozess überführt wird, der daraus wiederum in mehreren Stufen den fertigen Wafer erstellt. Da solche Wafer sehr Komplex sein können, wäre es doch auch schwierig, derartige Veränderungen festzustellen, oder? Oder wird jeder einzelne Wafer durch einen „vertrauenswürdigen“ Mitarbeiter auf Fehler und Richtigkeit geprüft? Ich kann mir das nicht vorstellen, wer gibt sich so einen Aufwand, gar bei Massenproduktion.

    Mir fällt da bez Firmware noch ein, um eine Firmware verändern zu können, muss doch auch irgendeine Spionage (eventuell durch Agenten) selbst beim Hersteller voraus gegangen sein, die Daten über die Hardware geliefert hat, oder? Reines Reverse-Engineering kann ich mir wenig vorstellen, denn ohne tieferes Wissen über den Chip, der die Firmware ausführt, kommt man nicht zum Ziel. Und
    wenn es keine Spionage war, wurden dann solche Informationen (hintern Rücken) erworben? Oder ist gar eine Zusammenarbeit der Geheimdienste mit solchen Herstellern nicht auszuschließen?

    Ganz ehrlich, ich habe zwar nichts zu verbergen, aber je mehr ich über die Vorgänge von NSA und Co erfahre, immerhin, das wird ja nur Stückweise an die Öffentlichkeit gebracht, habe ich keine Lust mehr überhaupt noch etwas an einen Computer/Rechner anzuvertrauen. Ich mache im Internet schon extrem wenig, Facebook, G+, und Rest habe ich eh nicht.

    Was kann ich dagegen unternehmen, wenn ich nicht einmal weiß, ob meine Firmware überhaupt betroffen ist? Schon ein dreckiges Gefühl, wenn trotz guter Truecrypt Verschlüsslung, das Passwort am Ende von der Firmware ganz simpel gespeichert wird. Anzunehmen ist es.

    Was geht denen eigentlich mein Leben an, um solche kaputten Methoden zu wählen, so weit zu gehen? Und keinen interessiert es anscheinend, als wäre es den Leuten einfach egal. Wie sich die Menschheit in den paar Jahren so verändert hat, echt völlig passiv und transparent geworden, schlimm.

    Als einzige Möglichkeit bleibt mir nur noch übrig, eine von zwei baugleichen Festplatten mit nem one-time-pad zu füllen, ausschließlich mit Hardware Zufallsgenerator, und die andere Festplatte dann damit xor zu verschlüsseln. Müsste ich nur nen Treiber schreiben, der die Partition dann unverschlüsselt einhängt. Ein 2TB großer zufälliger Schlüssel auf dem Firmware Bereich zu speichern, dürfte etwas anspruchsvoller werden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.