大家新年第一个工作日好。

今天看到了一个令人震惊的消息，几乎所有的硬盘都被美国安全局植入监控代码，这个对存储业影响很大，因此还是想和大家来聊一聊。

我们先来看一下新闻是怎么说的：

网易科技讯 2月17日消息，据路透社报道，网络研究者和美国国家安全局(NSA)前特工表示，NSA已经知道如何在西部数据、希捷、东芝等公司生产的硬盘中深度隐藏间谍软件，从而窃听全世界大部分电脑。

莫斯科安全软件厂商卡巴斯基发现，30个国家的PC都被安装了1个或更多的间谍程序，其中感染最严重国家为伊朗、俄罗斯、巴基斯坦、阿富汗、中国、马里、叙利亚、也门和阿尔及利亚。目标包括政府和军事机构、电信公司、银行、能源公司、核能研究机构、媒体和伊斯兰激进分子。

卡巴斯基拒绝公开指明是哪个国家在这么做，但表示这与NSA领导开发的网络武器、曾用于攻击伊朗铀浓缩工厂的Stuxnet(震网病毒)有关。NSA是代表美国政府收集电子情报的机构。该机构前雇员表示，卡巴斯基的分析是正确的，还在NSA的人将这些间谍计划看得与Stuxnet一样重要。

另一位前情报特工证实，NSA开发了在硬盘中隐藏间谍软件的技术，但他不知道用于何种间谍行动。NSA女发言人瓦尼·怀恩斯(Vanee Vines)拒绝发表评论。

周一卡巴斯基公布了其研究的技术细节，这将有助于受感染机构检测到这些最早可追溯到2001年的间谍软件。这种曝光将进一步打击NSA监视的能力，此前NSA前承包商雇员爱德华·斯诺登大量披露机密文件，影响了美国与盟国的关系以及美国科技产品的销售。

这些新间谍工具的曝光可能导致更大抵制西方技术，特别是中国，该国已经制定法规要求多数银行技术提供商提供软件代码以备审查。美国总统奥巴马情报及通信技术评审小组5位成员之一彼得·斯怀尔(Peter Swire)称，卡巴斯基的报告显示，美国在决定使用软件漏洞知识用于情报收集前，应该考虑对贸易和外交关系的影响，这点很重要。

他表示：“这些可能对美国其他利益带来严重的负面影响。”卡巴斯基称，间谍在如何在隐藏代码固件中安装病毒取得突破，而固件在电脑每次开启时都会自动启动。硬盘固件被间谍和网络安全专家视为PC上第二有价值的目标，仅次于电脑启动时自动唤醒的BIOS代码。

卡巴斯基研究主管科斯汀·雷乌(Costin Raiu)称：“硬件能不断感染电脑。”他表示，虽然间谍活动主管能控制数千台电脑，盗取文件和窃听任何他们想窃听的内容，但间谍活动是精心挑选的，只针对最重要的外国目标的电脑进行远程控制。他称，卡巴斯基发现只有少数特别有价值的电脑硬盘被感染。

卡巴斯基复原间谍软件的行动显示，这些软件可在10多家公司的硬盘中运行，实际上威胁到了整个市场。西部数据、希捷、东芝、IBM、美光和三星的硬盘都包括在内。西部数据、希捷和美光表示，他们不知道有这种间谍软件。东芝和三星拒绝发表评论。IBM未回应评论要求。

获得源代码

雷乌表示，间谍软件的编写者必须获得引导硬盘运转的专有源代码，这种代码可作为了解漏洞的路线图使用，让间谍更容易发动攻击。他称：“只是使用公开信息，要重写硬盘操作系统的机会为0。”目前不清楚NSA是否获得了硬盘的源代码。

西部数据发言人史蒂夫·沙特克(Steve Shattuck)表示，该公司“没有向政府提供源代码”。其他硬盘制造商没有说他们是否向NSA提供了源代码。希捷发言人克里夫·奥夫(Clive Over)表示，其有了“安全措施防止篡改或逆向工程其固件和其他技术”。美光发言人丹尼尔·弗朗西斯科(Daniel Francisco)称，该公司认真对待产品安全性，“我们不知道任何外国代码的情况”。

但NSA前特工称，NSA有多种获得科技公司源代码的方法，包括直接索要和伪装成软件开发商。如果一家公司想出售产品给五角大楼或其他敏感的机构，政府会要求进行安全审查以确保源代码是安全的。卡巴斯基称间谍软件编写者为“公式团体”，因为他们喜欢使用复杂的加密公式。

他们使用各种方法散播其他间谍软件，如攻击圣战者网站、感染U盘和CD，开发自行传播的电脑病毒Fanny。与Stuxnet一样，Fanny也利用了相同的软件“零日”漏洞，说明2个团队有密切协作。

看完新闻，西瓜哥还是很震惊的。因为目前硬盘主要就是希捷、西数和东芝，它们都被植入后门，也就是说几乎已经没有一块硬盘是安全的了。

我还仔细看了一些路透社的原文报导(后有链接)，里面有一个感染的国家地图。

我们看到，伊朗和俄罗斯几乎每个行业都发现感染案例，中国还好，主要在外交部门和大学里面发现感染，而军队好像幸免于难。

西瓜哥再下载卡巴斯基实验室的研究报告，粗略了解了一下。

这个是报告里面的国家感染图，而路透社的图片应该是根据这个重新编制的。

卡巴斯基说，方程组(EQUATION GROUP)感染是其目前发现的最先进最复杂的网络攻击手段。为啥叫方程组，因为他们喜欢采用多种复杂的加密算法。他们最NB的地方是有能力感染硬盘固件。

卡巴斯基还发现，几乎所有的方程组都必须和windows环境才能激活，但也有少量支持MAC OS X的。

还好，没有看到LINUX，也许LUNIX是开源的，不好控制吧。这个也说明开源环境后门应该少一些。

通过今天的学习，西瓜哥有几点感慨：

美国的科技还是太牛了，特别是后门技术，原来听说在网络设备植入后门，没有想到，硬盘也能植入。不服不行。

从感染的情况看，美国还算对中国友好，感染好像还没有非常普遍，也许是中国早有一些措施(比如军队很少用windows?)。个人观点，这些技术掌握在美国手里，也许还有一些好处，比如打击恐怖分子，美国这个世界警察的角色虽然不受人欢迎，但目前好像还是有存在的必要。

硬盘的后门要发挥作用，好像要和主机的操作系统配合起来。如果采用外部存储的方式，由于存储的操作系统是各个厂商专有的(OEM除外)，因此，磁盘阵列上的硬盘也许有后门，但很难激活，外部存储应该不受硬盘后门的影响。因此，建议国家安全级别比较高的部门，采用国产的磁盘阵列应该相对安全一点，不建议采用SERVER SAN架构，因为这样容易激活硬盘后门。

由于固态硬盘的控制芯片和HDD完全不同，而且现在很多国产厂商都是自己研发控制芯片。因此，SSD植入后门比较困难。而HDD只有希捷、西数和东芝三个厂商，美国很好控制。因此，高级别的安全存储，采用国产SSD应该更安全一些。