HDDとSSDから悪意のあるルートキットとスパイウェアを削除する
不正な国家と悪質なアクターがハードディスクドライブとソリッドステートドライブのファームウェアに悪意のあるルートキットとスパイウェアを埋め込んでいることに関するエドワードスノーデンの驚くべき啓示から、少なくとも20件の記事を読みました。彼らが言及しなかったのは、それらを削除する方法です。
LinuxのhdparmジョブでのATA Secure Erase/Enhanced Secure Erase機能の使用について言及しているインターネット上の記事がいくつかあります。
以下の問題に対する私の理解が正しいかどうか指摘していただければ幸いです。
ホスト保護領域(HPA)を無効にし、デバイス構成オーバーレイ(DCO)を工場出荷時のデフォルトにリセットすると、HDD/SSDのファームウェアに埋め込まれた既存のマルウェア/スパイウェアがすべて削除されます
HPAが無効でDCOがリセットされている場合、HDD/SSDはブリックされません(つまり、使用できなくなります)
いいえ、HPAとDCOは、見かけのドライブサイズよりも単純にサイズを制限します。 DCOは、ドライブが複数のベンダーのソースである全社的な展開でドライブサイズを標準化するために使用できます。 HPAは、「HPA対応」のソフトウェアからアクセスできます。これらのどちらも、ファームウェアマルウェアが存在する場所ではありません。
ファームウェアは完全に異なるストレージであり、通常のハードディスクまたはSSDに表示されるメインブロックストレージとはまったく異なるチップです。ファームウェアは、特定の製造元、チップセット(ベンダーおよびバージョン)に完全に固有の特別なユーティリティを使用して、読み取りおよびフラッシュ(編集ではなく、完全に上書き)できます。
SSDのファームウェア(およびそのマスターのUSB)は、ファームウェアのプロセッサ、メモリ、およびストレージを備えた独自のコンピュータとして機能します。ファームウェアはウェアレベリング、データの読み取り、保存を処理します。悪意のあるファームウェアは、単純にlieで、上書きされたと言うことができ、あなたは賢くないでしょう。より複雑なファームウェアも、特別なユーティリティを使用して読み取られた場合、偽の「改ざんされていない」ファームウェアをダンプする必要があります。
要約すると、いいえ。正解ではありません。チップをデバイスから取り外し、ファームウェアをチップから直接法的にダンプすることなしに、デバイスのファームウェアが侵害されていないことを証明する方法はありません。