2008-04-22

研究:惡意硬體可能成駭客攻擊的新管道

研究:惡意硬體可能成駭客攻擊的新管道
文/陳曉莉 (編譯) 2008-04-17

相較於惡意軟體,雖然惡意硬體較不容易被偵測到,但駭客要製造惡意硬體並嵌入特定使用者電腦上並不容易布。


幾名來自伊利諾州大學的研究人員在近日舉辦的Usenix Workshop on Large-Scale Exploits and Emergent Threats安全人員大會上,展示了如何透過惡意的微處理器掌控使用者的電腦,該研究小組認為透過惡意硬體的攻擊比惡意軟體更不容易被偵測到。

這群研究人員在報告中指出,駭客可以在電腦系統使用的IC中嵌入線路,他們製造兩款惡意的處理器,更改其中的電路,讓一個具備記憶體存取結構,可讓駭客入侵使用者的作業系統,另一個則採用影子模式(shadow mode),可用來執行藏匿的惡意韌體。

研究人員在這兩種惡意處理器上實驗了三種攻擊,分別是權限擴張、植入後門,以及竊取使用者的帳號╱密碼,並強調這兩款惡意處理器還能有其他攻擊型態,而且具備動態更新的彈性。

相較於惡意軟體,雖然惡意硬體較不容易被偵測到,但駭客要製造惡意硬體並嵌入特定使用者電腦上並不容易,不像惡意軟體攻擊可能透過網路、文件或電子郵件散布。

對此,該研究小組認為,這並不是不可能的事,因為IC供應商在不同的國家分別進行設計、製造及測試,使得IC供應鏈的安全性更難以管理,商用現貨(COTS)的採購與全球製造趨勢讓此類攻擊的機會大增。

同時,該研究小組也舉行多個惡意IT硬體例子,例如蘋果在2006年出貨的iPod中就含有RavMonE病毒,希捷(Seagate)在台灣推 出的外接硬碟則含有木馬程式,雖然這些例子都不是使用惡意的IC電路,但卻透露出在商用現貨供應鏈中被嵌入惡意元素的可能性。(編譯/陳曉莉)

http://www.ithome.com.tw/itadm/article.php?c=48526

2007年11月11日 星期日

針對Maxtor硬碟被抹黑 Seagate應該對自由時報採取法律動作

首先各位可能對Seagate和Maxtor中間的淵源不了解
其實Maxtor和Seagate兩家原本是分別競爭的公司
但在2005.12.21號當天 Seagate宣布與Maxtor合作
(其實是Seagate併吞了Maxtor)
事後長達一年的整合期之後 Seagate還是保留了Maxtox名稱
將其使用於一些特殊性較高的產品線 通常是比較低階的產品
售價也特別低 所以廣受消費者歡迎
所以才會出現Maxtor(品牌名)的硬碟被抹黑 而應該是由Seagate(公司名)採取行動

再來 今天的重點 就是看到了網路新聞
自由時報在雅虎新聞上面做了假報導 我個人對於此事件並無抱持任何政治立場
只是實事求是 BBC對於英國女王發怒的不當報導 全國譁然
嚴格說來 BBC沒有說謊 只是刻意的誤導大眾去解讀一件事情
導致了全然不同的結果 對於這樣的行為 存在著說謊與誤導兩相爭議
但是全國(英國)撻伐 而自由時報今天的行為
有許多解釋 輕則記者不入流 因為對於3C相關知識的不足 導致錯誤報導
或是更不入流 以自己的政治立場 刻意的去抹黑中國、Seagate
這樣的行為 應得台灣人的不齒 同業更應該譴責
否則對於已經非常被輕視的某些行業 只會更被看不起

今天2007.11.12 早上2點
我看到了這篇新聞 我非常震驚
標題寫著: 全新硬碟 被植木馬程式 個人資料 瞬間流向北京(11.09)
真的令我非常吃驚 以我的知識和認知 這是近乎不可能
(不過現在世事難料 iPod也會中毒 所以我30秒立刻回神)
接下來當然是查證 我不會馬上上討論版回復
我需要了解、知情、證據 接下來就是評論
接著 我又看到一則新聞
標題寫著:個資外流 網友促提告求償(11.11)
閱讀完後 我查證了許多網站和資料
接著一陣心寒 整件事情的緣由 都是因為一件小事
被有心人士利用(我絕對沒影射自由時報) 去達成政治目的
為何會被利用 又和政治有何關聯 我慢慢將資料放上

首先 各位請先閱讀這篇新聞:

全新、國際知名大廠品牌、大容量的可攜式硬碟,驚傳已被植入木馬程式病毒,一旦安裝使用,電腦中的資料就會幾乎不知不覺被竊取傳送到在中國北京的兩個網址。
泰國生產 在台出貨約兩千台
這批生產地寫著泰國的國際知名品牌Maxtor三點五吋、500G可攜式硬碟,在台灣出貨約有兩千台,在接獲調查局通知後,代理商及通路商都已全面緊急下架,並將接受退貨回收,且已立即換成相近類型但不含病毒的產品上架。
這種全新產品即遭植入木馬程式事件,連電腦專家都表示聞所未聞,但卻真的發生在台灣。
調查局是在十月間接獲民眾報案,指新購的可攜式硬碟一安裝就疑已含有木馬程式,調查局獲報後相當重視,實地購買同款硬碟,送交調查局資安鑑識實驗室分析、測試,證實確有autorun.inf及ghost.pif(惡魔程式)兩種木馬程式。
可遠方竊密 疑中國網軍搞鬼
調查局電腦犯罪偵辦科發現,該兩個木馬程式會感染其他插入的隨身碟,並感染autorun.inf、windows.scr檔案,且會主動連線及上傳資料到www.nice8.org或www.we168.org,經查,登記該兩個網址公司都設在中國北京,動機顯不尋常。
調查局發現,使用者只要安裝該硬碟,電腦程式就會自動連線上述特定網址,電腦資料變成「全都露」,可遠距方式輕易竊取電腦資料,研判應是中國網軍實施資訊戰,有計劃竊取我國政府敏感、國防機密及大企業商業機密。
軍情單位電腦中毒 後果嚴重
調 查局認為,一般民眾很少購買容量如此大的硬碟,若政府機關、軍情單位官員電腦連接上此硬碟,國家機密可能會被秘密竊走,「那就嚴重了」;調查局資安人員也 指出,不可輕忽的危機是,透過該可攜式硬碟的傳遞使用,病毒會形成「複式傳染」,不同電腦、硬碟都在不知情下被傳染,並遭中國監控、下載資料,目前遭感染 電腦無法精確估計,倘若我政府機關、重要政黨人士的電腦被連鎖感染,後果更是不堪設想。
這件全新硬碟竟含木馬程式案件,是因今年十月初,有民眾向調查局報案指出,他到一家大賣場購買上述硬碟,但回家安裝後就發現可能被植入木馬程式,他認為,該硬碟是國際知名硬碟大廠製造,品質應該有保障才對,若被植入木馬程式病毒,「將很可怕」。
調查局人員查出,該硬碟製造地在泰國,是由台北縣建達國際公司於十月初代理進口,疑在泰國生產組裝、測試過程即被動手腳,植入木馬程式病毒,主要目標應是台灣,但不排除也有其他國家受害。
據了解,北縣調查站已查訪過建達國際,告知此事及嚴重性,要求全面回收,並全力追查所有「有問題」的硬碟流向。

對於這篇文章 真的讓我感到非常可恥(萬一我是記者我會很心痛)
我不是很了解 從 可遠方竊密 疑中國網軍搞鬼 這個句子開始
後面都在瞎扯 就丟掉這些垃圾吧
接著第二篇 個資外流 網友促提告求償

〔記 者王珮華、林慶川╱台北報導〕本報昨天獨家披露,國際知名大廠Maxtor(已被Seagate併購)製造的全新三點五吋可攜式硬碟,出廠前已被植入木馬 程式,新聞見報後,引發網友廣泛討論,有購買此款的網友相當不滿。網友建議,由於個人資料可能流向中國,應該訴諸法律,讓硬碟廠商負起應有的責任;也有網 友希望消保官出面聯合求償,而不只是回收了事。
知名資訊網站「Mobile01」昨天就有網友以「有買Maxtor500G可攜式硬碟的黑心貨的網友,趕快去退?」為題發文,結果引發數十網友留言討論。
網 友對全新硬碟竟遭植入木馬感到匪夷所思之外,也認為受害網友應該不要退貨,「反正資料已經流向中國了,不如把硬碟留著去告Seagate(Maxtor母 公司),讓他們付出一點代價。」也有網友認為,此事件若提出國際訴訟,該公司搞不好還得賠上億美元,但在台灣只是退貨了事,「真是非常生氣」。
網友也擔心該病毒是不是燒在控制晶片上,因為若是燒進去的話,就算重新格式化都沒用,網友直呼「太可怕了」。對於在出廠時就已格式化的硬碟竟然會暗藏木馬,網友也百思不得其解,第一次聽說這種事,「難怪美國官方不採購中國的電腦」。
事 實上,今年九月中旬英國線上科技雜誌「The Register」刊出類似消息,指出防毒軟體卡巴斯基發佈安全警訊,指出在荷蘭販售的Maxtor 3200可攜式硬碟中,掃出名為「Virus.Win32.AutoRun.ah」的病毒,該病毒進入電腦系統之後,會搜尋遊戲的帳號密碼,甚至會刪掉電 腦裡的mp3檔案。
當時,該媒體求證Seagate發言人,該公司也認為不可能。該報導指出,Seagate表示,該硬碟並沒有預載任何軟體,因此病毒應無機會藏在裡面,而且硬碟已經格式化。而卡巴斯基則研判,這批硬碟很可能是工廠格式化的過程中遭到感染。
也有網友提出防範方法,網友gondola建議透過分享器等硬體,阻擋報導中提及的「www.we168.org」及「ww.nice8.org」兩個網址,最重要的是,平時就要裝「防毒軟體」加「防火牆軟體」。
網友cat_cat則是沮喪地留言說︰「唉…以為新hd(硬碟)不會有問題,但卻真的發生此事件」。

國文學的好的各位 請問這篇報導主題為何?
就是論壇有人發起應求償 所以全民應該有向心力的一致對外
問題就來了 向Seagate求償?(應該是Seagate向自由時報)
這裡的文章提到"網友" 整篇以網友當作主軸出發
此篇報導引用了Mobile01針對此事件的討論串(11.10)
按我連結
各位有看到嗎? 親愛的自由時報先以自己的新聞稿拋磚引玉(這成語是杜正勝用法)
引起了廣泛回響 包含資安等各大論壇 皆以11.09的新聞作為原稿
積極的討論 隔一天 11.11自由時報就以各大論壇的"回覆"
寫了11.11的報導 整見事情的時間點還有戲劇化 都太巧合了
這擺明是故意操作 報導引導想法 這跟Seagate何干?


說到這裡很多人還是疑惑 這兩篇文章哪裡錯了
首先 被感染的硬碟 存在名Virus.Win32.AutoRun.ah病毒
這是一種木馬程式 而他的作用很特別
專門竊取網路遊戲的密碼 而且只能竊取以下的遊戲密碼
(笑死人 原來國防部和自由時報怕國家機密[線上遊戲密碼]被中國竊取會動搖國本接著亡國XD)

夢幻西遊
91.com
QQ
傳奇世界
rxjh.17game.com
天龍八部
問道
Perfect World (完美世界)
World of Warcraft (魔獸世界)

所以對於電腦傷害極小 再來
針對硬碟受感染一事的真實性作求證 確實有這樣的事件
發生在國外 由卡巴斯基向Seagate提出警告
有"一顆"Maxtor 320G硬碟"存在木馬
連結按這�
當時只是個案 接著Seagate發現確有此事 而且已經立刻停止出貨並追查回收
由於狀況不嚴重且屬個案 Seagate對此是冷處理(就算很嚴重很多批都這樣也是會這樣= =)
Seagate對此事件的說明

結論 整件事情根本不了解是否為個案(或是有人刻意製造事件)
就算台灣確實有整批貨受到感染 Seagate早就已經做出處理
這批硬碟確實是由中國轉運點(應該為測試、包裝的分裝處所)受到汙染
不過邏輯上來說 並無刻意或是惡意的造成此結果
此木馬程式僅能竊取某些線上遊戲的密碼 最嚴重的狀況
若防毒程式病毒碼老舊 甚至能癱瘓防毒程式
就這樣而已 比起自由時報新聞稿上的竊取國家重大機密
軍事駭客攻擊等字樣 都是莫須有的
Seagate是規模非常大的公司 這樣的事件確實非常嚴重
但比起自由時報新聞稿上的報導 程度差了許多
個人認為此事件對於Seagate會造成傷害是必然的(畢竟出包了)
但是自由時報對於Seagate的不實報導和抹黑 身為台灣人和Seagate的支持者
我非常的不齒 台灣的媒體能被信任嗎? 國外的媒體對於一個國家有正面影響
而我們的媒體這副德性 誰能負責? 回歸到正題
有些話是多說了 但是站在一個領有中華民國技術士證照的工程師角度而已
用專業的立場去判斷 這次的出包 大概也只是電腦本身有木馬程式
在某些情形下意外的複製到硬碟 實無可能是刻意的放進去
(我不可能敲掉萬里長城1塊磚說要反攻大陸 笑...)
對於自由時報新聞稿內IP來自大陸 其實也有爭議
不過 既然動機已消滅 就無須再多做文章討論

再次對Seagate呼籲 對於自由時報如此的不實報導和抹黑
必定行動 否則後續莫名的傷害只會擴大
如果我這樣說法有誤 也歡迎自由時報來告我

之後有新資料和新聞會補上。

http://tmkli.blogspot.com/2007/11/maxtor-seagate_11.html

--
[垃圾桶] 裡沒有會話群組?

沒有留言: