ATA Security eXtension BIOS


English Version


Einleitung:

Die meisten modernen ATA- aber auch SATA Festplatten (IDE=ATA) unterstuetzen das "ATA Security Mode Feature Set".
Es beinhaltet spezielle Funktionen, um:

Entwickelt wurden diese "ATA Security Mode Feature Set"-Funktionen eigentlich fuer Laptops / Notebooks. Seit Microsoft diese Funktionen auch fuer die XBOX verwendet hat, werden diese heutzutage auch von fast allen 3.5" Festplatten unterstuetzt.

Die in den meisten PCs verwendeten BIOS Versionen bieten keine oder nur beschraenkte Unterstuetzung
der "ATA Security Mode Feature Set"-Funktionen.
Hierdurch entsteht eine Sicherheitsluecke, die Schadprogramme nutzen koennen.
Es koennten zum Beispiel boeswillige Personen gefaehrliche Viren erschaffen, die waehrend des Rechnerbetriebs unbemerkt und im Hintergrund ein Festplattenpasswort setzen und somit beim naechsten Neustart den Festplattenzugriff und das Booten eines Betriebssystems verweigern bzw. den Benutzer "aussperren".

Der Heise Verlag hat die Thematik der Festplattensicherheit in der c't 8/2005 - Artikel Baerendienst beschrieben. Es wird empfohlen, die Anfaelligkeit der Rechner zu pruefen und wenn noetig das BIOS zu aktualisieren.


Da viele Mainboardhersteller ihre BIOS Versionen nur fuer kurze Zeit erneuern, habe ich eine BIOS-Erweiterung geschrieben, die
Somit entstand das ATASX (ATA Security eXtension) BIOS.
Diese BIOS-Erweiterung kann mit zwei verschiedenen Methoden in ein PC/Notebook eingebunden und somit genutzt werden.

Download:
ATA Security eXtension BIOS v2.11 [56.0KB] 08.08.06
(frei fuer eigene Nutzung)


Aeltere Versionen:

ATA Security eXtension BIOS v2.10 [55.7KB] 01.08.06
(frei fuer eigene Nutzung)

ATA Security eXtension BIOS v2.02 [55.0KB] 06.05.06
(frei fuer eigene Nutzung)

ATA Security eXtension BIOS v2.01 [23.3KB] 23.12.05
(frei fuer eigene Nutzung)

ATA Security eXtension BIOS v2.00 [23.2KB] 06.10.05
(frei fuer eigene Nutzung)

ATA Security eXtension BIOS v1.00 [9.2KB] 27.06.05
(frei fuer eigene Nutzung)


Andere Tools:

ADDATASX v2 [6.6KB] 09.08.06
Werkzeug um den ATASX Code mit einem anderen ROM zu verknuepfen


Vorbereitung:

Das ATASX BIOS liegt in einer Rohform vor,
da es vor dem eigentlichen Einsatz noch in wenigen einfachen Schritten konfiguriert und der vorliegenden Hardware angepasst wird.

Dies geschieht mit dem beiliegendem Programm: BROMCFG

Mit BROMCFG Soll ein PCI-Erweiterungs-BIOS erstellt werden, dann fragt BROMCFG nach der Vendor ID und Device ID. Es werden dann die beiden vierstelligen IDs der Netzwerkkarte benoetigt, auf der das ATASX BIOS im BOOTROM-Chip zum Einsatz kommen soll.

Vendor ID und Device ID der zu nutzenden Netzwerkkarte koennen im Handbuch nachgelesen und/oder vom Hersteller (via Telefon/E-Mail erfragt werden). Auch Hardware-Diagnose-Programme, wie PC-Analyser, Dr. Hardware oder Everest zeigen die jeweiligen IDs an. Zudem koennen in der Windows XP SP2 Systemsteuerung unter Details-->Geraeteinstanzkennung die IDs der PCI-Karten abgelesen werden. Vendor, Device IDs und die Namen von allen Geraeten werden meist auch beim Systemstart angezeigt:

Animation von: Borg Number One -- Klicken um die Animation zu sehen.
Klicken um die Animation zu sehen. Animation von: Borg Number One.


ATASX BIOS im "PCI-Erweiterungs-BIOS"-Format: ATASX BIOS im "ISA-Erweiterungs-BIOS"-Format

Methode 1 - ATASX BIOS als Netzwerk BOOTROM

Viele Netzwerkkarten besitzen einen Sockel, in dem man kleine Speicherbausteine (ROMs, PROMs, EPROMs, EEPROMs/FLASH-(E)EPROMs) einsetzen kann. Normalerweise sind diese Speicherbausteine bereits im Sockel der Netzwerkkarte vorhanden und mit einer Software (Firmware, BOOTROM, ETHERBOOT) programmiert, die einen Bootvorgang von der Netzwerkkarte bzw. einen Bootvorgang von einem anderen Rechner im lokalen Netzwerk ermoeglichen.

Nun kann man diesen Sachverhalt nutzen, um anderen ausfuehrbaren Code, in diesem Fall das ATASX BIOS, in den BOOTROM-Chip der Netzwerkkarte ein zu programmieren und beim Bootvorgang des PCs automatisch starten zu lassen.

Netzwerkkarten werden im Normalfall mit einem vernuenftigen Treiberpaket ausgeliefert. Bei diesem Treiberpaket liegt auch ein kleines Programm zum Beschreiben und/oder Auslesen des BOOTROM-Chips bei. Dies dient eigentlich nur zur Aktualisierung der BOOTROM-Firmware.

Mit diesem Programm wird dann das mit BROMCFG fertigkonfigurierte ATA Security eXtension BIOS in den BOOTROM-Chip geschrieben. Nach erfolgreichen Programmiervorgang, steht dann das ATASX BIOS bei jedem Bootvorgang zur Verfuegung.

Falls nicht, ist gegebenenfalls die Aktivierung des Bootens von Netzwerkkarte einzustellen.

Ist man im Besitz eines P-/EP-/EEP-/FLASH-EP-/FLASH-EEP- ROM Programmiergeraetes, dann kann das ATASX BIOS auf den BOOTROM-Chip auch damit programmiert werden.

Anmerkungen:
a)
Vorteile:
+ Methode 1 ist eine einfache und guenstige Variante, um eine zusaetzliche ROM-Erweiterung in einen PC zu intergrieren.
+ Die ISA/PCI Netzwerkkarte und somit das ATASX BIOS kann ueberall hin transportiert und in andere ISA/PCI-Mainbaords eingesetzt werden.

Nachteile:
- Es ist immer eine Netzwerkkarte mit BOOTROM-Sockel und BOOTROM-Chip noetig.
- Portabilitaet als Vorteil ist aber nachteilig fuer die mechanische Beanspruchung der Netzwerkkarte selbst und nachteilig fuer den mit Arbeitsaufwand verbundenen Ein/Ausbauvorgang
- Nicht/kaum mit Notebooks anwendbar.

b)
Anleitung zur Nutzung der BOOTROM-Chip-Programmiersoftware und zum Programmieren des BOOTROM-Chips ist von Netzwerkkarte zu Netzwerkkarte unterschiedlich. Deshalb gilt es, das Handbuch zur jeweiligen Netzwerkkarte zu lesen.

Ist im Treiberpaket (Treiber-CD/Diskette) der Netzwerkkarte keine BOOTROM-Chip-Programmiersoftware aufzufinden, gilt es ebenfalls, den Hersteller/Haendler zu kontaktieren.

c)
Sollte kein Speicherbaustein im Sockel der Netzwerkkarte vorhanden sein, dann kann dieser nachtraeglich gekauft und eingestzt werden. Dazu einfach das Handbuch der Netzwerkkarte lesen und/oder den Hersteller/Haendler kontaktieren.

Methode 2 - ATASX BIOS als Teil des Mainboard-BIOS

Heutzutage ist (so gut wie) jedes BIOS, aehnlich einem gepackten Archiv aufgebaut, d.h. es besteht aus bestimmten gepackten Modulen, die fuer jeweils einen bestimmten Aufgabenbereich vorgesehen sind. Beim Award, Phoenix - Award und Phoenix BIOS gibt es (noch) die Moeglichkeit, "ISA-Erweiterungs-BIOS"-Modul(e) einzubinden, so dass dort das ATASX BIOS ohne Probleme als ISA-Erweiterungs-BIOS genutzt werden kann.

Beim AMI-BIOS gibt es derzeitig keine Moeglichkeit, ein ISA-BIOS-Modul einzufuegen. Das bedeutet, dass das ATASX BIOS nur als "PCI-Erweiterungs-BIOS" in ein AMI-BIOS eingebunden werden kann.

Dies setzt aber voraus, dass dann im "PCI-Erweiterungs-BIOS"-Format vorliegenden ATASX BIOS mit Hilfe von BROMCFG eine Vendor ID und Device ID gesetzt werden muss, zu denen es auch ein relles Onboard/PCI-Geraet im jeweiligen PC gibt.

Bsp.:
Ein PC mit AMI-BIOS besitzt eine (Onboard)/PCI-Netzwerkkarte (Ohne BOOTROM-Chip) mit der Device ID 1234 und der Vendor ID 5678. Um dann das ATASX BIOS nutzen zu koennen, muss es als "PCI-Erweiterungs-BIOS" mit der Device ID 1234 und der Vendor ID 5678 in das AMI-BIOS eingebunden werden.


Award BIOS / Phoenix - Award BIOS


Benoetigte Werkzeuge:
CBROM / CBROM32, Abdruck/Images des Mainboard-BIOS bzw. BIOS Update Datei.

Das fertigkonfigurierte ATASX-ISA-BIOS oder ATASX-PCI-BIOS, CBROM und die Mainboard-BIOS-Datei in ein Arbeitsverzeichnis kopieren und die Eingabeaufforderung starten.

Danach in das Arbeitsverzeichnis wechseln und sich mit der CBROM Befehlsreferenz und Hilfeseite auseinandersetzen

CBROM /? >Enter/Eingabetaste<


Nun wird das ATASX-ISA-BIOS/ATASX-PCI-BIOS als ISA/PCI-BIOS-Modul in die Mainboard-BIOS-Datei eingefuegt.

Gegebenenfalls vorher noch das PCI-BIOS-Modul (fuer die jeweilige PCI/Onboard-Karte) entfernen, das durch das ATASX BIOS ersetzt werden soll.

Zum Schluss erfolgt der Flash-Vorgang der modifizierten Mainboard-BIOS-Datei.

Fuer das Einfuegen des ATASX BIOS in ein AMI-BIOS oder in ein anderes BIOS, kann hier Kontakt mit Borg Number One aufgenommen werden.



Ab jetzt sollte der Rechner beim Booten auch die Erweiterung anzeigen:

Dank an  # Borg Number One #  fuer das Regenerieren der Bilder. Klicken fuer das Foto.
Anklicken fuer das Foto.
 
Die Fujitsu-Festplatte kennt die Sicherheitsfunktionen nicht.
Die IBM-Festplatte ist mit Passwort geschuetzt.


Das ATASX BIOS Setup kann mit STRG+S (CTRL+S) aufgerufen werden.

Dank an  # Borg Number One #  fuer das Regenerieren der Bilder. Klicken fuer das Foto.
Anklicken fuer das Foto.

Hier kann man die Sicherheitsoptionen der Festplatten aendern.

Bitte lesen sie auch die FAQ von Heise, da fuer einen umfassenden Schutz noch ein Dienst noetig ist, der die Funktion beim Aufwecken aus dem Stromspaarmode neu sperrt, da die Festplatte mit unter komplett abgeschaltet wird.

In meinem Forum hab ich die Ergebnisse meiner Tests zusammengestellt und ein paar Hinweise zu bestimmten Konfigurationen abgelegt.
Auch kann ueber das Forum und dessen Nachrichtensystem mit mir Kontakt aufgenommen werden.
Forum betreten



weitere Interessante Seiten

BNOBTC - Borg Number One Bios Tool Collection
Tipps und Werkzeuge zu BIOS-Modifikationen und zum Integrieren eigener Module ins Mainbord BIOS.

Haben Sie Probleme, ATASX in Ihr BIOS einzubinden, dann einfach im Forum das Problem schildern oder Kontakt mit Borg Number One aufnehmen.




Dank an  # Borg Number One #  fuer das Regenerieren der Bilder. Klicken fuer das Foto.

AMD K6-2 mit zusaetzlichem Highpoint 370 Controller


Dank an  # Borg Number One #  fuer das Regenerieren der Bilder. Klicken fuer das Foto.

A7N8X-E mit nVidia P-ATA und SiI 3112 S-ATA (SATA) Raid on board


Dank an  # Borg Number One #  fuer das Regenerieren der Bilder. Klicken fuer das Foto.

MSI Neo2-F mit nVidia P-ATA und 4x nVidia S-ATA (SATA-Raid) on board


Dank an  # Borg Number One #  fuer das Regenerieren der Bilder. Klicken fuer das Foto.

Alter 486 ohne PCI Bus, ATASX BIOS scannt 01F0 und 0170



Dank an: Borg Number One fuer