come proteggere i miei dati da malware / spyware che hanno infettato il mio BIOS?

1

sappiamo tutti che alcuni paesi fanno del loro meglio per spiare i loro cittadini e i cittadini di altri paesi e che i paesi forse hanno agenzie spionistiche specializzate con la loro fama o meno, e, dalla mia comprensione di base che il modo più efficace è per infettare il firmware dell'hard disk o del BIOS.

Ora l'HDD infetto può essere evitato usando un altro supporto di memorizzazione, ad es. Chiavette USB e per utilizzare il sistema operativo di avvio dal vivo che utilizza RAM anziché HDD, ad es. Tails OS, ma il vero problema che mi preoccupa è il BIOS già infetto e la mia domanda è:

Che cosa posso fare per proteggere le mie chiavi private di crittografia in caso di BIOS infetto? si noti che presumo che il BIOS sia già infetto poiché i governi possono modificare e moderare con il firmware del BIOS prima di essere venduto nel loro paese.

    
posta Бассел Жаббор 06.08.2015 - 23:39
fonte

3 risposte

2

IMO, l'unico modo per essere sicuri del tuo firmware è se lo costruisci e lo fai da solo, e non lasciare che il sistema torni dalle tue mani. Intel Tunnel Mountain e MinnowBoard sono le piattaforme di sviluppo Intel per UEFI. Puoi costruire il tuo firmware su queste scatole. Se sei preoccupato per questo tipo di cose, potresti voler usare un Novena o forse un laptop Purism (il loro firmware deve ancora essere determinato ...), realizzato da OEM che si occupano di questo aspetto demografico. Oppure utilizzare una scatola ARM, dove è possibile utilizzare coreboot o U-Boot come alternative UEFI, l'elenco di compatibilità di Linaro delle schede di sviluppo ARM spesso è in grado di aggiornare il firmware e offrono opzioni UEFI o U-Boot. Salva copie della tua ROM, prima e dopo aver attraversato i checkpoint dove è stata confiscata la tua scatola, per diffare le ROM. BIOS Diff è uno strumento per questo. Alcuni strumenti elencati qui: link . Grazie, Lee link

    
risposta data 07.08.2015 - 01:44
fonte
3

L'unico modo per ottenere il controllo del computer, che funziona sempre, è sostituire fisicamente il chip flash BIOS infetto con uno non infetto (a condizione che solo il BIOS sia infetto). È possibile che le utilità lampeggianti non siano infettate dal governo, quindi è possibile persino far lampeggiare un BIOS non infetto all'interno di un sistema, che viene fornito con i propri problemi da risolvere come acquisire un tale firmware o accedendo a il bus lampeggiante necessario tramite gli strumenti hardware, ma in generale, non esiste un modo economico per "bootstrap trust" per sfiducia nell'hardware.

Dovrai scoprire come esattamente, e quanto profondamente il governo infetta il tuo computer con il loro spyware, e quindi provare a contrastarlo, l'unica risposta generale a questo è sostituire le parti hardware reali.

    
risposta data 07.08.2015 - 00:53
fonte
0

Guarda le recensioni di Phoronix.com per il Purismo, Michael ha pubblicato alcuni post sul blog, tra cui alcune polemiche su ciò che il Purismo sta facendo con il loro firmware. IBV tradizionali (Independent BIOS Vendors) come AMI / Phoenix / Insyde hanno codebase di origine chiuse. Intel ha Firmware Support Package (FSP) e AMD ha ASGEA (sp) che contiene i blob necessari che una soluzione firmware (come UEian's tianocore.org o coreboot.org deve lavorare sui loro sistemi.) Nuovi OEM di Linux (System76, ThinkPenguin, ecc. .) di solito utilizzano il BIOS azionario da IBV tradizionali, quindi blob 100%. Alcuni produttori, come Sage Engineering e apparentemente Purism, hanno licenze sorgente FSP Intel, sotto NDA, in modo che possano modificare la sorgente FSP e modificarli, sperando di rendere le cose "migliori". "(la tua definizione, configurabilità o sicurezza), ma sono sotto NDA di Intel, quindi probabilmente non possono dire molto: i BLOB open source tianocore (UEFI) o coreboot + FSP sono meglio della soluzione IBV closed-source al 100%, se ti piace il codice open source, ma l'hardware di oggi HA BISOGNO di blob da eseguire, guarda l'hardware antico / limitato su cui gira libreboot (coreboot senza alcun baco FSP). Se il firmware di un sistema ha malware e hai i software e gli strumenti fisici giusti per il reflash, e il sistema abilita il reflashing e hai accesso ai binari della buona fortuna o puoi ricostruire i nuovi binari, allora potresti essere in grado di salvare il sistema . Altrimenti, diventa un mattone da utilizzare come fermaporta. (Ma mandami una copia di quella ROM per l'analisi, vedi il blog per email). Grazie, Lee RSS: link

    
risposta data 07.08.2015 - 23:35
fonte

Leggi altre domande sui tag