怎么macally
nsa-s2350ues硬盘盒使用说明
买了个macally的双硬盘盒，艾，只有一张写满英文的纸片别的什么也没有，看着图倒是能知道大概，但是其他的什么也没写。谁有中文说明书啊。nas-s2350ues型号。
09-10-15 &匿名提问
美国原装MACALLY再显神威，推出eSATA+USB双接口、两块硬盘PC与MAC通用硬盘盒可登陆官方网站查询可以组RIOD 0 RIOD 1 Features :The latest terabyte-level Storage technologyDual drive enclosure with SPAN/JBOD and Normal mode capabilitiesAccepts any 3.5” SATA Hard DrivesWorks with both Mac and PC computersSupports USB2.0 and USB1.1 connectionThroughput specification up to 480Mb/s for USB2.0Hot plug and playSolid Aluminum body for protection and excellent heat dissipation with built-in cooling fan and front power buttonActive LED to indicate power and data accessUniversal AC adaptor includedSystem Requirements :Windows 2000/XP/VistaMacOS 9.2, MacOS X 10.1 to 10.5 and aboveWindows PC and Mac desktop or notebook computers with available USB port
请登录后再发表评论!关于NSA病毒，我有一个大胆的想法_图拉丁吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：2,067,401贴子：
关于NSA病毒，我有一个大胆的想法收藏
有个老哥说，卖硬盘之前可以用这个病毒来清除小姐姐等资源
那么，可以可以用工具找回被加密之前的文件呢？就像是误删了某些文件，用过工具，扫描硬盘，找回数据
老哥们，这个方法可行吗？相当于回复硬盘以前的数据，哪天我来试试
不可行，听说解决方法不是快出来了吗
不可行，因为病毒加密后文件放回去相当于复写了，那种数据恢复必须是格式化了的空扇区
。。。不就是改个后缀名吗么，自己改回来不就好了。。。
哪个屌大的先试试呗，明天开会一整天，没时间
恢复了还是那些加密的啊。。
这个加密方式应该是再覆盖，不能通过正常方式恢复的。
露娜sama 露娜sama 露娜sama！
这位老哥已经成功了
为什么要清理小姐姐小姐姐做错了什么？收硬盘发现有小姐姐多惊喜，给生活增添乐趣
下个硬盘分区软件擦除数据不就得了
登录百度帐号美帝NSA全球监控的触须有多长？！NSA的间谍设备、窃听软件有多少？
在80年代时，NSA还是高度机密的部门，甚至连它们的名字都不能出现在信封上。后来随着90年代“天梯系统”的曝光，NSA的野心暴露在普罗大众的眼中。如果说以前被公开曝光的NSA电子信息、情报搜集还只是监听的话，大名鼎鼎的震网（超级工厂）破坏了铀离心机、以及后来被发现的最为复杂、就不仅仅是“监听”而是监控了，想想看，存储在各种温彻斯特硬盘、NAND闪存等设备里的信息对于有足够权限的人来说想破坏、修改只是举手之劳而已。
从西方媒体有意无意的描述中，NSA似乎成了CYBER空间手握ROOT权力的掌控者。看来这是美帝的应对策略，既然已经知道了，就干脆渲染成高度威慑的无所不能吧。
NSA的瞄准目标早已经到了BIOS后门、硬盘固件、骨干路由器、wifi、INTERNET海底光缆……查看目标显示器内容、自动0day攻击、模拟GSM基站……装备早以为NSA服役多年。无论电脑还是手机，对于所有信息安全防卫措施，ANT都拥有专门的破解工具……
在这次硬盘固件暗藏间谍软件曝光之前，其实早在就有爆料，HP、Dell的机器bios中均有NSA的后门程序。原文说——
简单说就是在Dell和HP销售的机器中，bios里都故意留了后门，NSA可以通过后门来远程访问机器或者连接USB设备……还有即使关闭了WIFI，NSA一样可以通过无线网卡获取你的数据……
&NSA还有工具获取iphone和WP上的短信和各种数据，并能远程控制手机上的摄像头和麦克风。&而且NSA还有工具去修改(原文是replace)希捷、西数、迈拓硬盘的firmware从而获取数据。
感兴趣的俺在最后附上了英文内容，据说目前仍然需要接触到手机才能把后门给装上去。
与此相比的新闻就有点小儿科了。称：在此之前，外国网站就曾曝光了一份长达50页的NSA工具库目录，其中所包含的众多黑客工具可令NSA侵入当今各种主流硬件设备并实现不同等级的控制功能，而且被隐密性极高。NSA中有一大批技术专家能够使用这些入侵工具并实现获取情报、监视、发动攻击等各种目的。
明镜周刊：美国NSA拦截电子产品安装后门
新浪科技讯北京时间12月30日上午消息，德国《明镜周刊》周日刊文，曝光了美国国家安全局(以下简称“NSA”)内部的精英秘密部门“获取特定情报行动办公室”(以下简称“TAO”)。该部门能采取一切必要方式入侵各类电子设备。
　　根据《明镜周刊》的报道，在笔记本等硬件设备发货前，TAO可以在这些硬件设备中安装恶意软件，从而对用户发起间谍活动。这一过程被称作“封锁”。在这一过程中，NSA将消费类设备发往秘密地点，而情报人员将谨慎地拆箱，在安装恶意软件后重新装箱，而用户将很难发现被拆箱的痕迹。
　　TAO的情报人员还可以利用微软Windows操作系统的漏洞来进行攻击。例如，当Windows用户看到报错的弹出窗口时，TAO就可以了解用户试图通过互联网发送什么数据。这些数据将帮助TAO利用Windows的漏洞，在用户PC中安装恶意软件。
　　此外，TAO还可以接入大型运营商使用的海底光缆，获得光缆上传输的互联网数据。通过这种方式，NSA可以监控跨国的互联网通信。
《明镜》揭秘NSA间谍武器库：思科华为产品被攻破
　　导语：德国《明镜周刊》网络版周日刊文称，美国国家安全局(以下简称“NSA”)的一份50页的内部目录显示，大量电子设备中都存在可以被情报机构利用的“后门”。这证实了公众多年以来的猜测。
　　以下为文章全文：
　　作为全球第二大网络设备制造商，Juniper毫不掩饰对该公司防火墙产品的赞誉。Juniper的在线营销资料称，其防火墙产品能“非常理想地”保护大公司和计算中心，阻止来自外部的无许可访问。Juniper同时表示，该公司的这些产品“无与伦比”，是行业顶级的。然而，这些产品至少无法抵御一种攻击者：NSA。
　　多年以前，NSA的专家就已成功入侵Juniper的防火墙。《明镜周刊》获得的一份类似产品目录的文件显示，NSA下属部门ANT已成功渗透了行业中主要公司开发的几乎所有安全架构，其中包括来自思科、华为和戴尔的产品。
　　50页目录
　　这些NSA特工擅长利用电子设备的后门，因此可以了解普通人数字生活的方方面面，无论是从计算中心还是个人电脑，无论笔记本还是手机，对于所有信息安全防卫措施，ANT都拥有专门的破解工具。而无论企业设置什么样的防火墙，NSA的专家都可以进行成功的渗透。
　　这一50页的目录文件令人产生了这样的印象，这份文件看起来似乎像是电子邮件产品目录。根据这份文件，NSA的其他人员可以要求ANT提供技术支持，以获得目标人员的各种数据。这份目录列出了所有攻击工具的价格，具体价格为免费至25万美元。
　　对于Juniper的产品，专门的破解工具名为“FEEDTROUGH”。这一恶意软件能入侵Juniper防火墙，并将NSA的其他工具植入大型机。此外，该软件在计算机重启和升级后也可以继续存在。通过这种方式，美国情报人员可以获得计算机网络的永久访问权限。文件显示，FEEDTROUGH“已被部署在许多目标平台中”。
　　“技术大师”
　　ANT的全称为“先进网络技术”或“入侵网络技术”。该部门的人员可以被认为是NSA下属“获取特定情报行动办公室”(以下简称“TAO”)中的技术大师。当TAO通常的黑客手段和数据收集方式无法发挥作用时，ANT的人员将使用专门工具介入，入侵网络设备，监控手机和计算机通信，记录甚至篡改数据。在NSA建立全球互联网监控系统的过程中，ANT发挥了可观的作用。
　　ANT提供的部分工具成本很便宜。例如，一种“帮助TAO人员查看目标显示器内容”的显示器线缆价格仅为30美元。不过，另一种“活跃GSM基站”的成本则达到4万美元。该工具能模拟手机基站，并监控连接至该工具的手机。而一款形似USB插座、能利用无法探知的射频频谱收发数据的计算机漏洞设备价格为50至100多万美元不等。
　　恶意软件的“留存”
　　ANT不仅制造监控硬件，同时也开发专用软件。ANT的开发者很喜欢将恶意代码植入计算机的BIOS中。BIOS位于计算机主板，当计算机开机时将被最先加载。
　　这样做能带来许多优势：被感染的PC或服务器能正常工作，因此防病毒软件和其他安全软件无法探测到恶意软件。即使被感染计算机的硬盘被完全清空，操作系统被重新安装，ANT的恶意软件仍可以继续发挥作用，在新系统启动时自动加载。ANT的开发者将其称作“留存”，认为这种方式能帮助他们获得永久访问权限。
　　而另一个恶意软件则可以攻击西部数据、希捷、迈拓和三星等公司硬盘的固件。除三星之外，所涉及的硬盘厂商全部为美国公司。NSA似乎很熟悉美国厂商的技术和产品。
　　ANT的其他恶意软件还能瞄准路由器和防火墙。许多数字攻击工具可以“远程安装”，即通过互联网安装。而另一些工具则直接瞄准终端用户设备。
　　《明镜周刊》获得的文件并未显示，这些设备的制造商向NSA提供了技术支持，或是知晓NSA的这些间谍活动。思科在一份公告中称：“思科没有与任何政府部门合作修改设备，也没有在产品中植入所谓的‘后门’。”而西部数据、Juniper和华为的人士也都表示，对于这一问题并不知情。戴尔发言人则表示，该公司“尊重并遵守全球各国的法律”。
　　这份文件中列出的许多软件解决方案时间为2008年，而部分目标服务器系统目前已不再销售。不过，ANT的人员不太可能止步不前，而是很可能仍在继续开发工具库。例如在2008年的这份目录中，一些页面列出了当时尚无攻击工具的新系统。但文件作者承诺，将继续开发新工具，并“在未来版本中”发布。
博主注——绝密电子窃听机构TAO（Office of Tailored Access
Operations）“定制入口行动”办公室的介可以参看《年耗资两千万美元的PRISM、思科google等上千企业参与“棱镜门”、TAO潜伏中国网络15年》
TAO 和 ANT 部门如何监控各种设备及全球网络
德国的《明镜周刊》在今天的报道中提供了关于美国国家安全局（National Security Agency，缩写
NSA）电子监听范围的最新解密。简而言之，NSA 对于个人数据的侵入似乎比我们之前想象得还要严重。
《明镜周刊》表示，该报纸获得了揭露 Tailored Access Operations (TAO)
小组侵入程度之深、涉及范围之广的文件。据报道，这个 NSA
内部小组执行的任务是以保护国家安全为名，获取境外计算机系统的访问权，实际上也就是获取数据。
该报纸这样写道：
“根据《明镜周刊》看到的 NSA
内部文件，这些待命的电子水管修理工参与了美国情报机构组织的许多敏感行动……从这些文件可以看出，TAO
行动中使用的工具已经多元化到了怎样的程度——以及它如何利用 IT
行业（从微软，到思科以及华为）的技术弱点进行谨慎而有效的攻击。”
《明镜周刊》还称，NSA
设立了一个名叫“ANT”（先进网络技术）的部门，专门收集各种特殊的黑客方法，攻击的对象无所不包，从高端网络设备到消费级电子产品。
“从《明镜周刊》获取到的一份类似产品目录的文件中可以看出，一个名叫 ANT 的 NSA
部门已经设法钻入了由行业巨头（包括美国的全球市场领导者思科和其中国对手华为，还包括大众市场产品的生产方如美国的电脑制造商戴尔）搭建的整道安全体系。”
这些擅长于从后门侵入的 NSA
特工能够监视我们数字生活的一举一动——从计算中心到个人电脑，从笔记本到智能手机。对于每一把锁，ANT
几乎都能找到对应的钥匙。无论公司防火墙是多么坚实，NSA 的专家们总能够设法绕过。
以上就是翻完 50
页文件的第一观感。这一清单看起来像是个邮购目录，NSA 其他员工可以通过这本 ANT
部门提供的手册，订购相关技术来获取目标数据。这个目录甚至还列出了种种电子侵入工具的价格，从免费到 25
万美元不等。
《明镜周刊》的完整报道：
大杀器：揭密NSA黑客部队的超级间谍工具包
在明镜周刊披露的NSA绝密间谍工具中，DROPOUTJEEP是唯一一个针对苹果的间谍软件，广受媒体广泛关注，但实际上在明镜周刊披露的长达50页的NSA黑客与间谍工具库中，还有很多让资深黑客也为之拍案的技术，例如安全牛之前独家报道的自动化0Day漏洞攻击平台FoxAcid，以下安全牛网为大家重点介绍几款NSA的“大杀器”：
一、吼猴(HOWLERMONKEY)。
这是个“永久后门”，专门用来入侵华为和Juniper（J、M和T系列）路由器。另外一个永久后门水头（HEADWATER）则专门用于入侵华为路由器。据悉华为现在正准备退出美国市场，因为美国对其进行间谍活动。讽刺的是2012年10月，在接到美国国会对华为“从事间谍活动”的指控后，白宫对华为进行了长达18个月的安全性调查评估，得出的结论是“没有证据显示华为在为中国政府从事间谍活动”，但白宫的报告也指出：“但华为公司存在其他方面的风险，比如华为设备可能存在被黑客利用的漏洞，但不清楚这些漏洞是故意设计的还是单纯的系统缺陷。”
现在人们终于明白，白宫调查中安全专家发现的这些“可疑”漏洞中，原来有NSA的菜。
&这是一种BIOS攻击，后门程序和恶意软件最害怕的莫过于系统重装，NSA也不例外，但是NSA通过在硬盘主控、主板BIOS中植入后门，可以成功躲避系统重装和硬盘格式化的杀伤，并且每次开机时都能先于操作系统加载。NSA的BIOS攻击还利用了戴尔和惠普服务器中的板载系统管理模式（SMM），可以在固件层面远程控制服务器，例如在服务器操作系统运行rootkits。
对于那些无法顺利实施BIOS攻击的对象，NSA还会使用其他工具安装永久后门。例如GINSU，可以通过PCI总线设备搭建代号推土机（BULLDOZER）的秘密无线网桥，TAO部门可以通过这个无线网桥来遥控后门，如果系统中的rootkit（代号KONGUR）在系统重装时被删除了，GINSU后门工具可以在下一次系统启动时自动重新安装（rootkit）。
三、床头柜（NIGHTSTAND）和水蝮蛇一号（COTTONMOUTH-I）
NIGHTSTAND这个无线劫持硬件工具可以入侵8英里外的WiFi网络（理想条件下），通过包注入的方式在目标网络中的电脑里安装后门，NIGHTSTAND还能与另外一个Windows后门”SOMBERKNAVE”组合使用，后者可以利用计算机的WiFi无线网卡偷偷回传数据，这甚至能窃取未联网（但有无线网卡）电脑中的数据。
NSA的另外一个强大的无线间谍工具是水蝮蛇一号（COTTONMOUTH-I）。看起来像是普通的老实优盘，但其实是一个小型间谍电脑。目录上说它可以创建“无线桥接网络接入到目标网络中，还可以向目标电脑上传破坏软件。”
自动化的0day攻击——FoxAcid：NSA的绝密武器
作者：王萌 日
近日德国明镜周刊爆料，并与运营商合作监控互联网海底电缆。人们不禁好奇，NSA的黑客部队为何有如此强大的攻击力，连IT业最顶尖的技术厂商都无法幸免？本文我们将深入探究NSA的网络攻击军武库，为大家揭示网络世界大战中NSA的真实“火力”。
与传统的武器一样，网络武器例如DDoS工具，间谍软件，恶意软件正在成为政府武器库里的重要部分。而在政府的网络攻击武器库中，最基本的装备就是针对0Day漏洞的知识库了，而FoxAcid，则是NSA设计的一个威力巨大的0Day漏洞攻击平台，可以对攻击的主要步骤实施自动化，甚至让没有什么网络攻击经验的运营商也参与进来，成为一件威力巨大的”大规模入侵工具”。
NSA FoxAcid平台
Scheier是一位安全领域的著名专家，他最先向外界揭示了NSA拥有一个0Day漏洞库，用以进行网络窃听和网络攻击。其实在安全圈里，这并非是什么耸人听闻的消息，圈里人都知道美国政府在网络攻击和防御方面下了很大功夫。各个情报机构内部都成立里专门进行网络攻击和网络窃听的黑客部队。几乎所有的政府都在致力与提高他们的网络能力，很多情况下，他们也在网络网络作战武器。
最近， 一份由FireEye公司发布的名为“World War
C”的研究报告:
把网络称为新的”战场“，它提供的证据显示了由政府支持的网络攻击。从90年代前苏联对美国实施的Moonlight
Maze, 到2000年左右发现的来自中国的名为“Titan
Rain”的系列APT攻击，到最近在伊朗和格鲁吉亚的网络攻击，都显示了网络战的来临。
“网络正在成为一个全新的战场，各国政府在这个看不见的舞台上大显身手。曾经仅仅是犯罪工具的网络攻击，变成了政府的战争工具。“FireEye的报告这样写道。
与传统的武器一样，
网络武器例如DDoS工具，间谍软件，恶意软件正在成为政府武器库里的重要部分。而在政府的网络攻击武器库中，最基本的就是针对0Day漏洞的知识库了。
根据斯诺登最新解密的文件，CIA搞了一个名为“FoxAcid”的服务器平台用来针对目标计算机的漏洞进行攻击的项目。 Bruce
Scheier介绍说：“FoxAcid是这样运行的， NSA首先诱导对方访问这些服务器， 在此之前，
NSA已经对目标的身份，可能获取的数据有所了解。基于这些信息，服务器就可以根据对目标采取攻击所带来的风险和收益来自动地判定使用哪些漏洞可以用来针对这一目标。”
作为前情报咨询顾问，
Scheier的文件显示了美国的情报机构可以依靠大量的漏洞来进行攻击。他们有一个平台来对目标的状态，目标受攻击后的反应等等进行判断。从而选择最有效的漏洞进行攻击。
“验证者（Validator)”是默认的攻击工具，而FoxAcid服务器还有一大批攻击工具，如Radon, Dewsweeper,
United Rake, Peddle Cheap, Packet Wrench以及Beach Head.
为了诱使目标访问FoxAcid服务器， NSA依靠与美国电信公司的秘密合作，
NSA把代号为“量子”的服务器放在Internet骨干网，这样就保证了“量子”服务器的反应速度要快于实际网站服务器的反应速度。利用这个速度差，
“量子”服务器就可以在实际网站反应之前，模仿这个网站，诱使目标机器的浏览器来访问FoxAcid服务器。
NSA的数据中心
NSA设计的这个平台可以对攻击的主要步骤实施自动化， 从而可以让没有什么网络攻击经验的运营商也能够参与进来。
NSA的黑客们可以利用对目标机器搜集的大量信息，通过实时地从目标机器的防护系统得到的信息，可以选择最佳的攻击方式。根据泄露出来的信息，
FoxAcid服务器可以提供一个多选的菜单列有各种攻击方式，而攻击者只需要选择合适的攻击方式进行攻击就可以了。
“如果目标机器价值很高，
FoxAcid可能会利用一个少见的0Day漏洞进行攻击，这个漏洞可能是NSA自己发现的，也可能是买来的。如果目标机器的攻击技术上复杂度高，
FoxAcid可能会判断攻击被发现的可能性很大，它会选择不进行攻击，从而保持这个0Day漏洞的秘密。 如果目标机器的价值不高，
FoxAcid可能会利用一个较低价值的漏洞，如果目标机器价值很低而攻击的技术复杂度很高的话，FoxAcid甚至可能会利用一个公开的漏洞进行尝试。”Bruce
Schneier写道。
Schneier的解密文件专门介绍了对漏洞攻击的成本收益分析方法。运营FoxAcid的运营商可以采取一种详细而复杂的流程图来涵盖一次攻击的所有步骤和结果，比如遇到目标机器有个人安全软件，
FoxAcid可能会停止攻击以避免被发现， 或者根据目标系统的反应，采取其他攻击策略。
FoxAcid系统还可以用来追踪个人访问匿名的Tor网络的情况。利用FoxAcid系统，
NSA破解了一系列Tor网络里的服务器， NSA利用这些服务器来窃听用户在Tor网络的访问。
Schnerer认为，对NSA来说，掌握这样一个庞大的窃听网络的能力非常重要。 “在技术层面， NSA的风险收益分析具有超群的能力，
不过，在政策层面，这个分析似乎就差多了， 比如，
NSA能够精确分析如果对目标进行情报收集时被发现后的风险，它们显然没有估算到如果这种情报收集一旦成为报纸头条时所带来的后果。“
Radon和Dewsweeper
Radon和Dewsweeper都是硬件主机，可以让攻击者隐蔽地连接到目标网络。这两个攻击工具在法国世界报披露的代号为“
Closed Access SIGADS 01”的文件中，和其他NSA工具被一起提到，
Dewsweeper和Rondon都可以用来对目标系统进行渗透攻击。 其中，
Dewsweeper有一个射频子系统，可以利用无线方式连接到目标系统，而Radon则依赖于以太网技术，通过注入以太网数据包进入目标系统。
这两个工具都是USB设备，你可以想象一下它在类似于一些正常设备，比如USB令牌，加上内置的射频接受器以及隐藏天线。当设备插在PC和其他设备上时，可以依靠USB口供电。
这样的设备，最主要需要解决的问题就是如何隐藏自身，这包括用户界面以及在USB令牌上加的那些硬件设备等。这些需要被悄悄安装在目标机器上而不产生任何告警。这样才能不引起设备管理员或者网管的注意。为了做到这一点，
NSA利用了一些重要的USB漏洞，使得USB设备能够被授予目标机器的root权限。
Windows的USB漏洞
为了理解这两个NSA的USB工具是如何做到隐藏自身的，我们可以具体分析一个USB漏洞，以及他们如何使得闪存盘获得主机的root权限的。
2013年3月，微软对Windows系统中的一个漏洞(MS13-027)做了一个补丁，这个漏洞可以使得攻击者利用USB设备取得目标机器的完全控制权。在补丁发布时，微软的安全专家把这个补丁定位“重要”而不是“严重”，因为利用这个漏洞需要对目标机器的物理访问。但是，我们设想一下，在一个展会上，把一些USB盘或者USB
充电器作为礼物发放，用户可能完全没有意识到这些礼物的危险性。
事实上，这样的攻击方式可以使得攻击者攻击那些与互联网物理隔离的网络。这正是“震网”病毒传播的方式。最近，微软修补了一系列与USB相关的漏洞，比如LNK文件漏洞就可以让“震网”病毒在插入U盘的机器上感染病毒。
微软把这一漏洞（MS12-027)定为“重要”。它指出，这一漏洞使得在内核模式下的驱动可能进行提权。微软警告说通过把恶意格式化的USB盘插入目标机器可能攻击者利用这一漏洞进行攻击。这个漏洞攻击其实很简单。
Windows的USB设备驱动通过枚举各个设备，通过解析特定的设备描述符，攻击者可以使得系统在内核模式下执行， 从而具有完全权限。
微软的专家Josh Carlson和William
Peteroy在博客中表示，这一漏洞发生在枚举设备的过程中，因此不需要用户干预。这样，漏洞攻击甚至可以在计算机被锁定或者无用户登录的状态下进行。
MS13-027漏洞影响所有版本的Windows，从Windows 8 到
Windows XP SP2, 也包括很多版本的Windows
Server。微软承认在其他一些通过底层USB设备枚举的软件，也可能产生类似的攻击手段，这样甚至不需要通过物理访问目标机器。
利用恶意的USB描述符进行攻击
这里是一个攻击者如何利用恶意的USB设备描述符进行漏洞攻击，从而运行的过程：
1）攻击者需要分析目标机器的操作系统以及如何与设备驱动进行通信的方式
2）攻击者确定USB设备的描述符的格式
3）通过定制的USB设备描述符，攻击者分析它是如何通过USB设备传给USB驱动的，从而试图找到存储数据的内存地址
4）攻击者构造一个恶意的设备描述符（比如说，构造一个超长的描述符），然后观测操作系统如何处理。攻击者可以计算内存溢出的位置从而用恶意引导代码覆盖原有指令。
5）攻击者把USB设备描述符替换为攻击者的恶意引导代码。
6）攻击者然后需要重新构造USB设备描述符，确保在USB设备描述符代码执行时能够到达恶意引导代码指令的地址。
7）当USB设备描述符是为非正常长度时，就会导致一个缓冲区溢出攻击，而恶意引导代码就隐藏在USB设备描述符中
8）这个注入的恶意引导代码就如同操作系统内核的一部分一样在运行，
9）注入的恶意引导代码可以进一步载入加密的恶意代码，而这些代码也通常会隐藏在USB设备里。
前面我们讨论了如何通过USB漏洞来隐藏恶意代码。
Randon和Dewsweeper也肯定是采用类似的技术来实现了。可以想象的是，这两个工具都已经有很多年的历史了。在他们的演进过程中，利用了不少0Day漏洞，而这些漏洞也随后被打上了补丁。而这两个攻击工具很可能在利用一些我们依然未知的USB漏洞。
如果你用Google搜索，你会惊奇的发现，一家叫做Netragard的公司，&.&通过网站可以了解到，
Netragard是一家位于美国马萨诸塞州的一家安全公司， 提供包括渗透测试， 漏洞扫描， 网站安全检测等服务。 2012年，
Netragard对美国政府和私人企业销售了超过50个安全漏洞。 价格从2万美金到25万美金不等。 公司创始人 Adriel
Desautels说其中的一些漏洞可以用来制作“网络武器”。也就是说，美国政府购买这些漏洞可以用来进行网络攻击。
在Nettragard的网站上， 他们写道：
我们在对目标进行不可恢复的攻击是采用的方法是：
1）通过某一单点获取访问途径通过下述三种途径
2）安装特制的后门软件（我们自己研发的安全的，隐蔽的工具Radon)
甄别并入侵域名控制器（大多数情况下往往意想不到地容易）
4）获取并破解密码（我们有巨大的彩虹表并且采用GPU破解）
5）攻击网络上的其他主机。
在这里， 他们提到了Radon.
而且他们还描述了一个利用Radon进行攻击的场景。“在2012年，我们接受委托对一家医疗机构进行渗透测试。我们通过客户网站上的一个招聘信息，发现客户在寻找一个懂的Web安全应用的开发者，我们造了一份完美的简历，使得我们得到了一个面试的机会。&
当我到公司的时候，我被我的联系人带到他的办公室进行面试，我跟他要了一杯水，趁他出去的大约两分钟的时间，我们利用USB盘上的Radon工具感染了他的台式机。等他倒水回来的时候，我们继续面试，最后我得到了这个工作，但是拒绝了。”
尽管我们不能说这里的Radon就是法国世界报透露的NSA的攻击工具。然而有很大的可能就是NSA从Netragard定制了类似Radon的工具。
0Day漏洞市场
对棱镜门的解密以及FoxAcid系统的存在，使得0Day漏洞市场成为热门话题。0Day漏洞的丰富程度很大程度上决定了网络武器的成功与否。政府的网络部队和犯罪组织都把0Day漏洞看作是不可或缺的资源。
Netragard的创始人 Adriel
Desautels说他在漏洞销售市场已经摸爬滚打了10年了。
而去年，这个市场有了爆炸性的增长。他说，现在有更多有钱的买主，而且以前每月才有买主找来，现在几乎每周都有。几年前，一个买主也就是要4到6个漏洞，而现在他们平均购买12到14个。
NSA当然就是这些有钱的买主之一。每年拥有超过100亿美元预算的NSA对漏洞的兴趣非常广泛。按照泰唔士报的说法，
NSA的情报活动，不光是针对敌人，也针对注入法国和德国这样的盟友以取得“外交优势”以及针对日本巴西这样的国家以取得“经济优势”。
而NSA的TAO部门的职责就是入侵全球的计算机系统获取数据，并相机植入间谍软件。
TAO对于NSA来日益重要，因为这样可以不必去破解截获的加密信息，而直接可以得到未加密的文件。
Radon和Dewsweeper只是NSA武器库里的一部分，我们可以管中窥豹地了解NSA是如何通过这些工具进行运作的。而隐藏在水面下的冰山也许更加惊人。
Group：美帝NSA被曝在全球硬盘中藏间谍软件
Insider中文站&&&
2月17日报道
多名网络研究人员与前特工人员曝光称，美国国家安全局（NSA）在美国Western
Digital（西部数据）、希捷公司、日本东芝以及其他顶级硬盘制造商的硬盘中暗藏间谍软件，该机构可以借此窃听全世界的大多数电脑。
这个间谍软件计划首先是俄罗斯安全软件制造商卡巴斯基实验室发现的，该机构曾曝光了一系列西方国家网络间谍行动。卡巴斯基实验室称，他们发现全球30个国家的个人电脑被感染一种或多种间谍程序，其中被感染电脑最多的是伊朗，其次为俄罗斯、巴基斯坦、阿富汗、中国、马里、叙利亚、也门以及阿尔及利亚。感染目标包括政府和军事机构、电信公司、银行、能源公司、核研究人员、媒体、伊斯兰活动家的电脑硬盘。
尽管卡巴斯基实验室拒绝公开这起间谍事件的幕后操纵国家，但称其与“震网”病毒密切相关。而“震网”病毒是美国国安局领导研发的网络武器，曾被用于攻击伊朗铀浓缩工厂。国安局是代表美国负责收集电子情报的机构。
一名前国安局雇员透露，卡巴斯基实验室的分析师是对的，国安局人员像对待“震网”病毒那样高度重视这些间谍程序。另一名前特工也证实，国安局已经研发出在硬盘中隐藏间谍软件的技术，但他不知道哪些间谍行动使用了它们。国安局女发言人范妮·瓦因斯拒绝置评。
　　远程控制高价值电脑
　　根据卡巴斯基实验室的研究，国安局取得了一项技术突破，可以将间谍软件植入硬盘固件的代码内，而每次开机时，固件都会启动。
　　卡巴斯基实验室首席研究员科斯廷·拉尤在接受采访时表示，藏在固件中的间谍软件能够不断地感染电脑。拉尤认为，虽然利用这项技术能够控制数以千计的电脑，盗窃文件和实施监控，但幕后主使却精心挑选目标，只是远程控制一些具有很高价值的电脑。
　　此外，卡巴斯基实验室发现，西部数据、希捷、东芝、IBM、米克伦技术公司、三星电子有限公司等10多家公司制造的硬盘都能被感染间谍软件，而这些公司几乎覆盖了整个硬盘市场。西部数据、希捷和米克伦技术公司表示，它们并不知道这些间谍程序，东芝和三星拒绝置评，而IBM也未作出回应。
　　拉尤认为，这些间谍软件的编写者肯定获得了这些硬盘专有的源代码，通过这些源代码找到弱点，从而更容易发动攻击。&
卡巴斯基实验室公布了他们研究所发现的技术细节，这应该有助于硬盘被感染的机构发现这些间谍程序，有些程序甚至可追溯到2001年。卡巴斯基实验室的曝光可能进一步破坏国安局的监控能力，此前承包商爱德华·斯诺登（Edward
Snowden）大量泄密已经损害其声誉和能力。斯诺登泄密已经损害美国及其部分盟友关系，导致美国科技产品在国外销量下降。
而新的间谍工具曝光可能掀起更大规模的反对西方科技及产品的高潮，特别是中国等国。这些国家已经起草相关法规，要求大多数银行技术供应商提供复制的软件代码以供检查。
阿巴斯基实验室还曝光称，通过研究明白如何将恶意软件植入晦涩难懂的固件源代码中，间谍技术已经取得重大突破。硬盘固件被间谍和网络安全专家视为PC界价值第二高的“房地产”，仅次于BIOS代码，后者可促使电脑自动开机。卡巴斯基首席研究员克斯汀·莱乌（Costin
Raiu）说：“硬件也能够感染电脑。”
尽管依然活跃的间谍行动领导者们可能已经控制成千上万台电脑，并获得窃取文件或窃听他们想要的任何信息的能力，但间谍们依然有选择性地窃取资料，只针对最有价值的外国目标的电脑建立完整的远程操控。卡巴斯基实验室发现，只有少数价值特别高的电脑硬盘被感染。
卡巴斯基实验室重组间谍程序显示，这些程序可在数十家公司出售的硬盘中运行，这些硬盘几乎覆盖整个硬盘市场，包括Western
Digital、希捷公司、日本东芝公司、、Micron以及三星等。Western
Digital、希捷公司以及Micron公司表示，他们还不知道这些间谍程序。东芝与三星也拒绝发表评论，IBM也未对此作出反应。
莱乌说，间谍程序的编写者肯定侵入了这些硬盘专有的源代码中，这个代码可以成为漏洞路线图，允许那些研究它的人对其更轻松发动攻击。莱乌说：“如果有人想利用公共信息重写硬盘的操作系统，这种机会只有零。”但在google和其他美国公司2009年遭到高调网络攻击后，侵入源代码的担忧日增。调查人员表示，他们已经发现证据，黑客从多家美国科技和国防公司获得硬盘源代码。
现在还不清楚国安局如何获得硬盘源代码。Western
Digital发言人史蒂夫·沙特克（Steve
Shattuck）说：“我们没有向政府机构提供源代码。”其他硬盘制造商没有证实他们是否曾与国安局共享源代码。希捷公司发言人克利夫·奥弗（Clive
Over）表示：“我们拥有可预防固件和其他技术篡改或逆向工程的防范措施。”
但是一些前特工曝光称，国安局有很多办法获得科技公司的源代码，包括直接要求科技公司提供，或假扮软件开发者骗取。如果一家公司想向五角大楼或其他敏感政府机构出售产品，政府就可以要求进行安全审查，以确保其源代码安全。安全咨询公司Bishop
Fox合伙人、前国安局分析员文森特·刘（Vincent
Liu）说：“国安局不会承认，但他们会说：‘我们会做评估，我们需要源代码。’国安局进行评估很正常，但索要并要求保存源代码就有些越权。”
卡巴斯基实验室称间谍程序编写者为“Equation
group”，因为他们特别擅长复杂的加密公式。这个组织利用各种方式传播其他间谍程序，比如通过圣战网站、感染的USB和CD、以及开发一种可以自我传播的病毒“Fanny”。
　　拉尤说，“Fanny”病毒与“震网”病毒存在相似之处，这表明它们的开发者可能有过合作。拉尤表示，“Equation
Group”非常可能利用“Fanny”病毒为“震网”在伊朗寻找袭击目标，然后进行扩散。
　　媒体认为，在卡巴斯基实验室16日公布研究细节后，可以帮助一些受到感染的机构发现间谍软件。
　　此外，最新曝光可能会影响国安局的监控能力，此前的“斯诺登事件”已经让国安局受挫，不仅让美国一些盟友不满，而且使得美国技术产品在海外销售放缓。路透社认为，这次曝光可能在一些国家引起更为强力的反弹，影响美国对外贸易和外交关系。
饱受质疑的NSA也有话说——http://www.freebuf.com/news/20475.html
近期在CBS的对话节目《60分钟》里，美国国家安全局（NSA）高官表示，中国已经开发了一款基于BIOS的病毒，可以远程摧毁计算机。
通过这个节目，显然NSA也在正努力修复其因“监听门”受损的形象，NSA局长General Keith
Alexander以及信息保障部主管Debora Plunkett做了一系列解释。&
&HP、Dell的机器bios中均有NSA的后门程序
best-selling servers of Dell are among a swathe of IT products
released by US companies that have been compromised by the National
Security Agency, information security enthusiasts were told at a
conference overnight.
Delivering a keynote speech at the 30th Chaos
Computer Club conference in Hamburg, Germany, Tor
contributor-cum-Der Spiegel journalist Jacob Applebaum presented a
snapshot of dozens of zero day exploits used to spy on both US
citizens and foreigners.
revealed numerous leaked NSA-branded slides detailing the agency's
armoury of exploits - most of which are yet to be published by any
news outlet.
Applebaum, a cryptography expert, was yesterday
named as an author of an explosive article in Der Spiegel listing
the names and details of several NSA exploits. The Germany magazine
published NSA documents that boasted of the agency's ability to use
zero-day exploits to spy on communications passing through the
switches and routers of the world’s largest networking vendors,
Cisco, Juniper Networks and Huawei, among others.
detailed previously unreported exploits targeting the most popular
lines of servers manufactured by Dell and HP, as well as
smartphones of Apple and Samsung.
made no apologies for naming the companies in his
presentation.
the companies, he added, the pressure builds for these technology
vendors to come forward and disclose whether they were
co-conspirators in the NSA’s spying efforts, or fellow
“In order
to have truth and reconciliation, we need a little truth,” he
explained that the NSA had compromised many of these server
hardware systems at the BIOS level.
(basic input output system) is firmware that provides the most
basic instructions to a system on how to operate the hardware. This
has perplexed security researchers, he said, as they “don’t have
the forensics tools” to locate the malware, even when they can see
its result.
The NSA’s
documents boast that these exploits work across servers running the
Microsoft Windows, Linux, FreeBSD and even Sun Solaris operating
“How many
people in Al Qaida are using Solaris?” Applebaum asked the crowd,
referring to an operating system now owned by Oracle and most often
used by western telcos, large banks and other
corporations.
NSA] are interested in compromising systems, not just people," he
said. "They want to colonise systems with these tools.”
NSA-created slide specifically pointed out that Dell’s best-selling
PowerEdge servers (, ), which the Texas-based
vendor has sold in Australia since 2005, all feature a
vulnerability that allows the NSA to post spyware iton the BIOS
using either remote access or via the inserting of a USB
humble USB drive, often handed out as free gifts at IT fairs, was
the expected attack vector for the Stuxnet virus, which sabotaged
an Iranian power plant and several other industrial systems across
the globe that used the same Siemens controller as Iran's nuclear
enrichment program.]
NSA exploit - named GODSURGE - uses a JTAG debugging interface in
the Dell PowerEdge 1950 and 2950. A JTAG debugging interface is
usually used to test the BIOS/firmware for bugs, but it can also be
used to reflashthe BIOS from scratch.
they release these servers with that software?” Applebaum asked the
audience. “Is that a bug or a backdoor? This is an Advanced
Persistent Threat.”
popular Proliant 380DL G5 server was named in an NSA slide as being
a target for another tool, IRONCHEF, which extracted data from the
server using two-way RF communication.
exploit, however, required what the NSA terms ‘interdiction’ -
physical access to a target’s server for the installation of a
hardware-based implant. Physical access usually requires an NSA
operative to break-in to a premises, to detain a suspect and
confiscate their computers and smartphones, or - as Der Spiegel
sensationally reported yesterday - for NSA agents to intercept
newly purchased computing devices before they are shipped to a
servers and switches, the NSA’s extensive list of exploits included
IRATEMONKEY, which replaces the firmware on hard drives produced by
Western Digital, Seagate, Maxtor and Samsung to retrieve data from
laptops and desktop computers.
slide revealed how a combination of the SOMBERKNAVE, VALIDATOR and
OLYMPUS exploits can be used to extract data from Windows XP PCs
that are “air-gapped”, i.e. not connected to any public networks.
After taking control of a nearby wireless access point, SOMBERKNAVE
is able to connect to a machine even if its embedded 802.11 device
(WiFi cards are standard fare in business and consumer PCs) has
been disabled.
slide revealed that the NSA has developed USB cables called
COTTONMOUTH that - whilst appearing to be industry standard -
feature embedded bugs to tap wireless network traffic and gain
access to a user’s machine.
target is mobile and connecting to cellular or WiFi networks, the
NSA has further tools up its sleeve.
has developed its own base station routers as well as tools that
mimic base stations - the latter being a ‘GSM Telephone Tripwire’
imaginatively named ‘CANDYWIRE’.
also briefly touched on MONKEYCALENDAR, a software implant the NSA
has developed for injection into the SIM cards of GSM (mobile)
phones. This software, injected either over the network or
physically via a USB smart card reader, keeps the NSA continually
abreast of its location by sending geolocation data to the NSA via
encrypted SMS. The NSA slide suggests this exploit may require the
cooperation of the target’s mobile network provider.
has also developed exploits for tapping Apple’s iPhone
(DROPOUTJEEP) and Microsoft’s Windows Phone (TOTEGHOSTLY),
revealing the device’s location, reading its SMS, voicemail and
contact list and providing remote control of its camera and/or
microphone, but at the time the NSA slides were leaked, the agency
still required physical access to the phones to install its
software bugs. That said, the NSA’s ANT team claimed to be pursuing
a remote installation capability.
SEARCH FOR MALWARE
told the 30c3 audience that he expects the InfoSec community to now
search systems for evidence of the NSA malware in use.
“A lot of
malware researchers will have a lot to say about this in the
future,” he said.
left IT security managers with a handy tip to begin their search.
He suggested they search for suspect traffic sent via the UDP
protocol and secured by the RC6 encryption algorithm developed and
freely released by RSA Technologies, which prior leaks suggest was
the recipient of a $10 million prize for its efforts to aid the
work for the NSA, I’d like to encourage you to leak more
documents,” Applebaum concluded.
“I’ll be
available until I am assassinated to answer questions.”
餐后小点——
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。}