Perché non è Secure Boot proteggere da ransomware come PETYA

Naviga le tue risposte
6

Alcuni ransomware, come PETYA , stanno crittografando l'MBR e chiedendo un riscatto. Non capisco perché Secure Boot non impedisca che ciò accada.

    
posta paulgreg 11.01.2017 - 10:10
fonte

2 risposte

6

Secure Boot impedisce al computer di avviarsi se il bootloader (memorizzato nell'MBR, sui dischi MBR) o altro codice di avvio viene manomesso. In realtà non impedisce tale manomissione stessa. Lo scopo di Secure Boot è impedire che il codice di avvio dannoso comprometta il tuo computer in modo invisibile - pensa che lo spyware registri le battiture e i file - non per proteggerti dal malware che cerca di negare l'accesso al tuo computer.

In termini InfoSec, Secure Boot garantisce l'integrità - sai se qualcosa è stato manomesso - e può anche fornire l'autenticazione (se ti fidi solo di una chiave di firma, puoi essere certo che se il tuo computer avvia la sua immagine di avvio è stato firmato da quella chiave). Non fornisce la disponibilità (protezione contro gli attacchi denial-of-service, che è in pratica cos'è ransomware) o l'autorizzazione (controlli di controllo dell'accesso che controllano cosa il software è autorizzato a fare) tranne nel senso che impedisce all'avvio della macchina se il l'immagine di avvio è stata manomessa.

Di solito è possibile bloccare le scritture sull'MBR dal firmware (BIOS o (U) EFI).

    
risposta data 11.01.2017 - 10:34
fonte
0

SecureBoot do protegge dalla manomissione del codice di avvio. Questo è ciò che Microsoft scrive nel suo blog :

UEFI Secure Boot is the security standard that uses hardware features to protect boot process and firmware against tampering. This protection will stop the dangerous disk encryption executed by Petya with a bootloader. After Petya’s forced reboot, a machine with Secure Boot will detect the anomalous bootloader and prevent further execution, containing the damage and preventing the very dangerous encryption of disk sectors leading to a complete loss of data.

Inoltre, in questo blog nelle opzioni di ripristino dell'avvio, MS descrive chiaramente un messaggio di esempio che viene mostrato all'utente dopo tale prevenzione e suggerisce di utilizzare il ripristino di avvio per tale scopo.

Quindi, la risposta scelta probabilmente non è tecnicamente corretta, o era intesa a modifiche Petya più recenti (irrecuperabili).

    
risposta data 12.07.2017 - 17:04
fonte

Leggi altre domande sui tag

Cracking MD4 hash Se il mio telefono per l'autenticazione a due fattori viene rubato, l'utente malintenzionato può accedere al mio account tramite una reimpostazione della password?