UEFI secure boot e rootkit

3

Ho sentito che con UEFI secure boot abilitato, un modulo kernel personalizzato non firmato non verrà eseguito, quindi un rootkit potrebbe essere difficile da installare.

Un avvio sicuro può davvero bloccare i moduli rootkit dall'installazione o è solo in grado di bloccare il caricamento dei rootkit durante l'avvio del sistema?

avvio sicuro: link

    
posta Kevin Parker 14.10.2014 - 11:39
fonte

2 risposte

6

L'avvio sicuro UEFI garantisce che il firmware UEFI carichi ed esegua solo applicazioni UEFI con segno (inclusi bootloader) e driver . Quindi un tentativo di modificarli introducendo un malware verrebbe rilevato e rifiutato. Una vulnerabilità o malware (inclusi i rootkit) potrebbe anche essere firmato nel codice caricato o nei componenti caricati successivamente.

Can a secure boot really block rootkit modules from being installed or is it just capable of blocking rootkits from loading during the system bootup?

L'avvio sicuro non protegge il tuo sistema dall'introduzione di un malware al termine del processo di avvio, quindi il sistema si comporta come se non avessi un avvio sicuro. Per mantenere il processo di avvio sicuro, la catena di firma del codice caricato deve essere garantita perché potrebbero esserci più fasi di avvio. Vedi sotto.

Catena di componenti software

La sicurezza complessiva dipende dalla catena dei singoli componenti:

  1. hardware : la sicurezza di tutto il software dipende dall'hardware su cui è in esecuzione.
  2. UEFI : il firmware si occupa di avvio sicuro, compresa la gestione e l'archiviazione delle chiavi crittografiche utilizzate per la verifica della firma del codice. I certificati memorizzati nelle variabili UEFI sono considerati affidabili dall'avvio sicuro UEFI.
  3. bootloader - Questo (con possibili driver e applicazioni UEFI) è l'unico software (tranne UEFI stesso) nella catena di avvio convalidato direttamente dalla firma di avvio sicura. Tutti i seguenti componenti elencati di seguito non sono protetti dalle specifiche di avvio sicuro UEFI. Per mantenere l'intera procedura di avvio sicuro del bootloader e possibile i prossimi componenti di avvio devono implementare meccanismi di controllo delle firme del codice simili all'avvio protetto.
  4. bootloader della seconda fase - componente facoltativo
  5. kernel del sistema operativo : poiché il componente più complesso che esegue la maggior parte delle volte offre il più grande campo di gioco per le vulnerabilità.

Attendibilità dei certificati di firma

L'affidabilità del bootloader firmato dipende dalle chiavi di firma che vengono caricate nelle variabili UEFI con certificati di firma attendibili. Ad esempio in alcune distribuzioni di Linux viene utilizzato un piccolo bootloader chiamato shim per superare l'avvio e il caricamento sicuri un bootloader o un kernel di secondo stadio unsigned . Quindi chiunque possa scrivere sul supporto con il bootloader o l'immagine del kernel potrebbe introdurre qualsiasi vulnerabilità o malware.

Shim in molte distribuzioni correnti viene utilizzato per caricare un codice firmato da una chiave diversa, quindi l'utilizzo dello shim da solo non significa che l'intera catena di avvio non sia protetta dalle firme.

Riferimenti

risposta data 14.10.2014 - 14:41
fonte
3

Secure Boot è una tecnologia di sicurezza, non è completa. Ci possono essere attacchi prima di Secure Boot, Intel ha creato Boot Guard per questo. Leggi questo libro di Apress per una migliore comprensione delle varie tecnologie di silicio e firmware Intel: link Inoltre, l'avvio protetto varia in base all'OS, vedere: link Grazie, Lee link

    
risposta data 07.08.2015 - 01:28
fonte

Leggi altre domande sui tag