大家对电脑硬盘被厂家植入间谍程序怎么看？作为普通用户怎么办？

会员1138324

大家对电脑硬盘被厂家植入间谍程序怎么看？作为普通用户怎么办？

会员1138260

媒体总是喜欢搞个大新闻……其实对业内人士来说，所谓的 “新闻” 很多都是炒冷饭。

向硬盘控制器植入木马的技术早在 OHM 2013 安全会议上就公开了（Hard disk more than block device），见作者主页 Sprites mods
这个作者的厉害之处是在没有文档的情况下通过 JTAG 调试和反汇编，搞清楚了磁盘控制器的内部结构，并在磁盘控制器里实现了钩子监听并替换文件内容。该 POC 具体做的事情就是把 /etc/shadow 中的 root 密码进行替换，当然真正的木马可以做得更隐蔽。对于政府机构来说，拿到硬盘控制器的 datasheet 大概不是什么难事。当然报道中提到的木马 “兼容” 多种型号的硬盘，肯定是下了不少苦功夫的。

硬盘控制器被植入木马后要 “潜伏” 在重装后的系统中，一种方案是篡改系统引导代码，比如经典的 MBR 病毒，Windows Vista 开始的 Secure Boot 就是应对这个的方案；另一种方案是待系统启动后择机触发，篡改系统的关键文件（Hard disk more than block device 的 POC 就是这种方案），应对方案主要包括程序签名和全盘加密。

一、Secure Boot 是对系统的内核进行数字签名，以防系统引导代码被篡改。目前的电脑已经普及了 UEFI。当然这里面有两个漏洞：

数字签名需要信任颁发数字签名的机构。微软把它的证书颁发业务外包给 Verisign，而 Verisign 对 Secure Boot 证书颁发的条件是非常严格的，可以认为一般的木马作者不可能拿到签名，但政府机构就不好说了。 Microsoft UEFI CA Signing policy updates微软为了避免垄断之嫌，要求所有支持 Secure Boot 的主板厂商允许用户关掉 Secure Boot 或者向固件添加新的 Platform Key（类似添加 root certificate）。向固件添加自签名的 key 教程在此 booting a self-signed Linux kernel 或者这个 Owning your Windows 8 UEFI Platform 就像添加 12306 等国内 CA 的根证书会增加安全隐患，向固件添加新的 Platform Key 也是安全隐患。

二、程序签名。就是对每个需要以较高权限执行的可执行文件进行数字签名，并附加在文件上；可执行文件被加载时，检查数字签名，签名不符则拒绝运行。Windows 从 Vista 开始强制驱动程序经过签名。QQ 之类的软件为了防篡改，也有自己检查文件完整性的机制。这里面主要有两个问题：

数据文件不方便进行签名。如果每次对数据文件进行修改后都重新计算整个文件的签名，会严重影响系统的性能。（一种折中的方法是对大文件分块签名，不过还不如直接用全盘加密）例如，硬盘木马可以篡改 Linux /etc 下的配置文件或 Windows 注册表，只要使用字符串等长替换，就不会被操作系统发现。Windows 的程序签名证书并不难搞到。比如 StartSSL 的 Class 2 认证（60 刀）就可以签名可执行文件，而 EV 认证（200 刀）就可以签名内核驱动。http://www.startssl.com/?app=40

三、全盘加密。全盘加密一般是为了防止硬盘被窃取后数据泄露，对数据安全重视的公司一般会要求员工的工作电脑全盘加密，保存有敏感数据的服务器一般也会全盘加密。

全盘加密可以实现在软件里，也可以实现在硬件里。传统的是用软件，也就是在操作系统的文件系统层和块设备层之间添加一层加密。磁盘控制器看到的就是加密的数据流，无法对数据进行有意义的篡改，也就是无法在系统启动后进行除拒绝服务外的攻击。

对软件全盘加密来说，密钥是一定要在内存中的，如果木马入侵时已经获得了足够的权限，就可能从内存中截取全盘加密的密钥并写入硬盘控制器中的木马程序。为了防止从内存中截取密钥，操作系统可以采用包括地址空间随机化（ASLR）、驱动程序要求签名（即使木马获得了管理员权限也无法入侵内核地址空间）等应对机制。

越来越多的硬盘厂商提供了硬件加速的全盘加密方案，也就是把加密和解密放到了磁盘控制器里。这样密钥可以不出现在内存中，入侵操作系统的木马就不能轻易获取密钥了。不过，磁盘控制器还是洞悉一切，可以为所欲为。

不管怎么说，Secure Boot 和全盘加密两项技术极大地提高了 “硬件木马” 的门槛。

会员1138294

这个事情用不着你操心太多。

即便有人能够在你硬盘上植入间谍程序，或者是说恶意程序吧。
1、对于正牌间谍机构而言，绝大部分人类的数据只是“噪音”，是不屑一顾的。

2、对于大部分企业和政府机构而言，稍微上点档次的都会考虑其内部的信息安全问题。
会有各种安全加固手段来应对数据的传递问题，休闲的做安全ZONE，够狠的内外两张网、毒手的甚至不联网，搞定。（这里就不bala神马防火墙、VPN、数字证书、TPM之类的细节了）。

3、对于职业黑客而言，他们对普通人也没兴趣，只对价值数据有兴趣。
对于普通人来说，还是把这个忧虑交给各种在线支付企业担心去吧，你只需要考虑这些企业本身是不是够大牌就可以了。什么网银啊，支付宝啊，paypal啊，就属于这类。把这些支付企业推荐的安全措施都用上把，他们才是天天操心这个的主体。

4、最好玩的，也是我们普通人最要担心的问题，反而是各类管家、APP异常权限、云业务。
现在这个混乱啊，想想也是醉了。

随便装个APP，就要各种权限，神马通讯录、短信、位置信息、WIFI访问……甚至默默帮你ROOT
各种权限，来者不拒，多多益善。

随便一个管家软件，天天叽歪各种不安全，各种要求权限，各种程序静默安装，各种后台升级。
然后这些管家之间还打来打去，纷纷要做你的第一马仔，好像他们都挺忠心似得，是吧？

随便装个程序，就要云服务，就要默认上载你看过的东西，就要开启各种关联帐号注册和登录。
仔细琢磨下你家的浏览器、输入法、下载软件吧。
还有，那些支持用QQ帐号登录的网站，他们的确得到了腾讯的授权？他们是按照腾讯的标准要开发的？少用点这玩意吧。

会员1138340

没什么特别的，请使用 Windows 8 以上的系统就可以解决这个安全问题。

并且使用支持 TPM 的计算机。

==============================================

补充，win8的安全启动技术已经比较完整，具体可以看

Windows 8 系统安全见解

的第二部分：安全启动。

会员1138268

其实U盘固件里问题更多。你装数字产品吗？用企鹅吗？装某宝的客户端了吗？
你还担心什么？

会员1138284

以前有新闻说， NSA 在某些批次的 CPU 里，给随机数生成器加上瑕疵，使得产生的随机数不再那么随机；当软件调用，生成的 RSA 密钥对安全性会大大降低，使得非常容易被破解。

所以，一家有点实力的公司，可以对软件安全有一定的把控能力，可是硬件呢？
总不能自己买 ARM 图纸，造兼容 CPU，买闪存颗粒，自己设计内存控制器设计 NAND 控制器吧？

即使如此，一个安全意识欠缺的雇员，在机器上插上了带毒的U盘（USB控制器蠕虫），一样会泄露商业机密。

题主不如向贵公司 IT 管理员取取经。一般有很多守则啊，注意事项啊，有些是很不起眼的细节，养成习惯，就能相对提高信息安全。

最后，一般企业，员工用的笔电，都是 IT 部门统一配发的吧，对内网外网有严格的权限管理，对软件，对陌生硬件也都有严格的管理。所以只要别把机密文档往自己私有的机器上乱插，也不用忧心忡忡吧。

会员1138332

所有的电脑都有可能被盗取信息，不存在永远牛逼的保存方法。
所以你只要做到，让你的对手无法持有你的信息就可以了。比如你是公司机密，那么你只要保证对手公司得不到就可以了。
对手公司抢信息的水平，方法，估计跟你公司差不多，大部分同等级公司的保密水平也都差不多。所以不必那么下功夫去保护你的文件。
因为，一般的人无法盗取你的信息，能盗取你信息的高手根本不爱看你电脑里的乱七八糟的信息