¿Firmware de código abierto como mitigación contra el malware persistente de firmware?

4

Me preocupa la amenaza de malware persistente arraigado en el firmware del dispositivo. No estoy familiarizado con las complejidades de la seguridad del firmware, por lo que me dirijo a SE en busca de ayuda.

Recientemente me enteré de computadoras portátiles con certificación FSF a las que se les retiró todo el firmware propietario, y que vienen con firmware de código abierto, bios y sistema operativo. Por ejemplo, el Taurinus X200 .

Mi pregunta es si una computadora portátil de este tipo ofrece una mayor protección contra el malware de firmware, como BadBIOS ? ¿Hay mitigaciones que las computadoras portátiles de firmware abierto tienen que las computadoras portátiles de firmware propietario no tienen, como la capacidad de inspeccionar el firmware en busca de cambios, o tal vez la capacidad de volver a cargar el firmware de manera regular? ¿Hay otros aspectos del firmware abierto que hay que tener en cuenta? Gracias de antemano por cualquier información!

    
pregunta taltman 16.10.2015 - 19:17
fuente

3 respuestas

0

Creo que Ken Thompson resolvió este problema en Reflexiones sobre la confianza en la confianza papel.

  

No puedes confiar en el código que no creaste totalmente. Ninguna cantidad de verificación o escrutinio a nivel de origen lo protegerá de usar código no confiable.

Por lo tanto, lo único que podemos hacer es enumerar las posibles amenazas en nuestro modelo de amenazas y colocar un nivel nominal de confianza. a un nivel particular de profundidad.

  

Mi pregunta es si una computadora portátil de este tipo ofrece una mayor protección contra el malware de firmware, como BadBIOS?

No hay una respuesta mágica a esta pregunta, sin embargo, en general, debería buscar computadoras portátiles que ofrezcan cadenas de arranque confiables. Las características como el arranque seguro de Microsoft, un TPM de hardware, un sistema operativo con soporte de TPM, etc. son lo más cerca que se puede llegar a mitigaciones a nivel comercial del mundo real contra BadBIOS y otras variantes de ataque.

  

¿Hay mitigaciones de que las computadoras portátiles con firmware abierto tienen las que tienen las computadoras portátiles con firmware propietario, como la capacidad de inspeccionar el firmware en busca de cambios, o quizás la capacidad de volver a cargar el firmware regularmente?

No es específico de OSS, pero nuevamente, confiar en el TPM de una computadora portátil para proporcionar un nivel de confianza es el enfoque general que debe buscar aquí.

    
respondido por el breadtk 11.01.2017 - 01:17
fuente
1

No, el firmware de código abierto no proporciona "una mayor protección contra el malware de firmware" solo porque está "abierto". Todavía puede tener las mismas vulnerabilidades que el firmware de código cerrado (ver, por ejemplo, BARing El sistema: Nuevas vulnerabilidades en Coreboot y sistemas basados en UEFI ).

Disminuye significativamente la posibilidad de infección solo porque su firmware no es de una variedad común y no es parte del monocultivo de los pocos fabricantes de BIOS (consulte para obtener información sobre el problema), de la misma manera que usar Mac o Linux lo hace inmune a los virus de Windows ( pero los virus de Mac y Linux sí existen.

Sin embargo, el firmware de código abierto puede implementar protecciones adicionales que lo hacen más resistente a las infecciones. Por ejemplo, los Chromebooks usan firmware firmado y casi cualquier las modificaciones de la misma harán que la máquina no pueda arrancar (a menos que habilite el modo de desarrollador que requiere acceso físico). Tenga en cuenta que el reciente Intel BootGuard ofrece la misma característica (excepto que no tiene modo de desarrollador; una vez habilitada, no se pueden eliminar los cheques de firma).

P.S. Tenga en cuenta que BadBIOS no ha sido confirmado como real. Hubo algunos rootkits de prueba de concepto presentados por los investigadores y hubo algo en los archivos filtrados de Equation Group que apuntaban a BIOS de algunos dispositivos de red, pero AFAIK, la única infección confirmada de BIOS salvaje fue Mebromi, que solo ataca a personas bastante antiguas. Premio BIOS en versiones. Le sugiero que piense en su modelo de amenaza y se concentre primero en las amenazas más realistas (por ejemplo, phishing / ingeniería social).

    
respondido por el Igor Skochinsky 07.03.2017 - 14:58
fuente
0

Sí, el Libiquity Taurinus X200 es una excelente manera (hay otros que afirman que el firmware está abierto, pero Libiquity parece ser el más completo a finales de 2016) para proporcionar transparencia a través del firmware abierto. Si desea realizar una revisión segura del código, bueno, el código es de código abierto, así que simplemente puede leer el código.

Si desea probar esas propiedades, le sugiero que aprenda cómo construir el código a través de analizadores estáticos y que revise el trabajo aquí - enlace

    
respondido por el atdre 12.10.2016 - 20:45
fuente

Lea otras preguntas en las etiquetas