Aggiornamento del BIOS solo con firma PGP / crittografia dell'intero BIOS

0

Per difendere con successo il BIOS dall'installazione dannosa di rootkit o altro malware che si scrive all'interno del BIOS mi chiedo se queste idee siano possibili o addirittura ancora fatte:

  • È possibile programmare il BIOS stesso in modo che accetti solo i dati da scrivere nel BIOS che è stato firmato con il PGP-Key del BIOS-Manufacture? Sostanzialmente allo stesso modo, come i normali programmi userland, vengono installati gli aggiornamenti.

  • È possibile crittografare tutti i dati del BIOS per impedire agli hacker di "aggiornare" il proprio BIOS con il loro codice dannoso?

In entrambi i modi sarebbe sufficiente proteggere il BIOS solo dall'accesso da scrittura a BIOS. Durante la lettura dal BIOS non richiede l'autorizzazione.

Modifica: c'è un modo per implementarlo da solo? Ti piace proteggere il tuo HHD con Bitlocker o verificare un peer con crittografia a chiave pubblica.

    
posta user3200534 01.07.2014 - 11:23
fonte

2 risposte

1

Intel ha implementato una funzione chiamata BIOS guard che protegge il BIOS da aggiornamenti dannosi in un modo molto simile al primo proiettile che hai menzionato. Questa funzione è disponibile a partire da Haswell, ma non sono a conoscenza di quali produttori di computer ne approfittino ancora.

tratto dalle specifiche Intel per Haswell (4 gen core): La tecnologia Flash Armoring Platform è un potenziamento della protezione flash BIOS basata su chipset esistente capacità mirate ad affrontare la crescente minaccia di malware nella memoria flash del BIOS. Protegge il BIOS flash da modifica senza autorizzazione del costruttore della piattaforma, aiuta a difendere la piattaforma contro attacchi DOS di basso livello (denial of service) e ripristina il BIOS in uno stato buono noto dopo un attacco

    
risposta data 01.07.2014 - 12:47
fonte
1

Potresti usare l'avvio sicuro UEFI. 800-147 è tutto incentrato sull'autenticità degli aggiornamenti del firmware - afferma che il codice BIOS stesso dovrebbe essere protetto da una coppia di chiavi:

To prevent unintended or malicious modification of the system BIOS outside the 
authenticated BIOS update process, the RTU and the system BIOS (excluding configuration 
data used by the system BIOS that is stored in non-volatile memory) shall be protected 
from unintended or malicious modification with a mechanism that cannot be overridden 
outside of an authenticated BIOS update.  The protection mechanism shall itself be 
protected from unauthorized modification. 
    
risposta data 01.07.2014 - 13:24
fonte

Leggi altre domande sui tag