arranque seguro y rootkits UEFI

3

He oído que con el arranque seguro de UEFI habilitado no se ejecutará un módulo de kernel personalizado que no esté firmado, por lo tanto, puede ser difícil instalar un rootkit.

¿Puede un arranque seguro realmente bloquear la instalación de módulos de rootkit o simplemente es capaz de bloquear la carga de rootkits durante el arranque del sistema?

inicio seguro: enlace

    
pregunta Kevin Parker 14.10.2014 - 11:39
fuente

2 respuestas

6

UEFI secure boot garantiza que el firmware de UEFI carga y ejecuta solo las aplicaciones UEFI firmadas (incluidos los cargadores de arranque) y los controladores . Por lo tanto, un intento de modificarlos introduciendo un malware sería detectado y rechazado. Una vulnerabilidad o malware (incluidos los rootkits) también podría iniciar sesión en el código cargado o en los componentes cargados a continuación.

  

¿Puede un arranque seguro realmente bloquear la instalación de módulos rootkit o   ¿Es solo capaz de bloquear la carga de rootkits durante el sistema?   arranque?

El inicio seguro no protege a su sistema de la introducción de un malware después de que finaliza el proceso de inicio, entonces el sistema se comporta de la misma manera que sin un inicio seguro. Para mantener seguro el proceso de arranque, se debe garantizar la cadena de firmas del código cargado, ya que podría haber múltiples etapas de arranque. Vea abajo.

Cadena de componentes de software

La seguridad general depende de la cadena de los componentes individuales:

  1. hardware : la seguridad de todo el software depende del hardware en el que se ejecuta.
  2. UEFI : el firmware se encarga del arranque seguro, incluida la administración y el almacenamiento de las claves criptográficas utilizadas para la verificación de la firma de código. El certificado de inicio seguro de UEFI confía en los certificados almacenados en las variables UEFI.
  3. gestor de arranque : este (con posibles controladores y aplicaciones UEFI) es el único software (excepto el propio UEFI) en la cadena de arranque validado directamente por la firma de arranque seguro. Todos los siguientes componentes que se enumeran a continuación no están protegidos por la especificación de arranque seguro UEFI. Para mantener todo el procedimiento de arranque, asegure el cargador de arranque y, posiblemente, los siguientes componentes de arranque deben implementar mecanismos de comprobación de firma de código similares a un arranque seguro.
  4. gestor de arranque de la segunda etapa - componente opcional
  5. Kernel del sistema operativo : como el componente más complejo que se ejecuta la mayor parte del tiempo ofrece el mayor campo de juego para las vulnerabilidades.

Confiabilidad de los certificados de firma

La confiabilidad del gestor de arranque firmado depende de las claves de firma que se cargan en las variables UEFI con certificados de firma confiables. Por ejemplo, en algunas distribuciones de Linux se está utilizando un pequeño cargador de arranque llamado shim para superar el arranque y la carga seguros un gestor de arranque o kernel de segunda etapa sin firmar . Por lo tanto, cualquier persona que pueda escribir en el medio con el cargador de arranque o la imagen del kernel podría introducir cualquier vulnerabilidad o malware en él.

En muchas de las distribuciones actuales se está utilizando la simulación para cargar un código firmado por una clave diferente, por lo que el uso de la simulación por sí sola no significa que toda la cadena de arranque no esté protegida por firmas.

Referencias

respondido por el pabouk 14.10.2014 - 14:41
fuente
3

El arranque seguro es una tecnología de seguridad, no está completa. Puede haber ataques antes del arranque seguro, Intel creó Boot Guard para eso. Lea este libro de Apress para comprender mejor las distintas tecnologías de silicio y firmware de Intel: enlace Además, el arranque seguro varía en intensidad según el sistema operativo, consulte: enlace Gracias, Lee enlace

    
respondido por el Lee Fisher 07.08.2015 - 01:28
fuente

Lea otras preguntas en las etiquetas