¿Qué tan seguro es el arranque seguro UEFI obligatorio de Microsoft, realmente?

18

He leído algunos artículos recientemente sobre la función de arranque seguro de UEFI y cómo Microsoft requerirá que se habilite de forma predeterminada en todos los sistemas x86 con certificación de Windows 8. En teoría, parece una buena idea: el sistema verificará la integridad del cargador de arranque antes de cada arranque. Sin embargo, también proporciona algunas complicaciones.

El problema principal surge cuando alguien quiere ejecutar un sistema operativo que no sea de Microsoft en un hardware x86 certificado por Windows 8. Dado que el hardware tendrá habilitado el arranque seguro, y es probable que solo tenga la clave de Microsoft instalada de manera predeterminada, el usuario tiene que solucionar el problema de varias maneras:

  1. Desactivar arranque seguro : esta es, por supuesto, la solución menos ideal. Sin embargo, para algunos, puede ser la única opción disponible.
  2. Instalar un certificado personalizado : una opción para el técnico inclinado, pero no es probable que los usuarios finales normales consideren fácilmente.
  3. Elija un sistema operativo con un cargador de arranque firmado por Microsoft : este es probablemente el más amigable para el usuario final, aunque puede limitar sus opciones. Fedora ha anunciado que estarán entre estas opciones. Esto no requiere modificaciones en el UEFI o la eliminación de certificados personalizados. Simplemente instale el sistema operativo firmado por Microsoft y listo.
  4. Obtenga su cargador de arranque firmado por Microsoft : quizás la opción menos preferible, ya que tiene un costo real (tarifa única de $ 99). Sin embargo, es útil si está creando su propia distribución y desea compartirla con amigos.

Sin embargo, esas dos últimas opciones son realmente mi punto de preocupación. Si solo cuesta $ 99, una sola vez, tener el privilegio de que Microsoft firme todos sus cargadores de arranque, ¿es realmente tan grande una barrera para los escritores de malware que se enfrentan a ¿Hacer millones con sus rootkits firmados por Microsoft?

¿Hay algo que me esté perdiendo aquí o este requisito de arranque seguro (y todo lo que se ha creado para admitirlo) puede llevar a una falsa sensación de mejora de la seguridad? ¿Qué tipo de complicaciones podrían surgir si el sistema es abusado de esta manera? ¿Tendremos que actualizar nuestros UEFI cada vez que se publique una nueva CRL?

    
pregunta Iszi 19.06.2012 - 19:38
fuente

3 respuestas

10

Matthew Garrett tiene algunas publicaciones de blog interesantes sobre UEFI Secure Boot. Con respecto a su pregunta, escribe :

  

Cualquier persona puede pagar $ 99 y obtener sus binarios firmados. Entonces, ¿por qué los autores de malware no hacen eso? Para empezar, deberá proporcionar algún tipo de ID plausible para que Verisign lo autentique y le otorgue acceso. Entonces, claro, usted proporciona algún tipo de identificación falsa. Ese es el tipo de cosas que tiende a irritar a las autoridades locales. No solo está hablando de romper en un montón de computadoras, sino que está hablando de cometer el tipo de delito que resulta en cosas realmente malas que le suceden si lo atrapan. Y, en segundo lugar, la única forma de acceder al sistema es mediante el uso de algunas tarjetas inteligentes físicas que Verisign le envía. Por lo tanto, también tuvo que entregar una dirección física real, e incluso si ha usado algún tipo de servicio de redirección que todavía lo hará más fácil rastrearlo. Estás tomando algunos riesgos reales bastante significativos.

El almacenamiento de las credenciales de acceso para su clave en una tarjeta inteligente fue la nueva información que me convenció de que UEFI Secure Boot no es solo un teatro de seguridad. Como dijo Matthew, eso te hace más rastreable. También reduce significativamente la probabilidad de robo, lo que hubiera sido la forma inteligente de obtener su clave de firma deshonesta en mi opinión.

Todavía es bastante probable que aparezca un malware firmado. Pero los ataques a gran escala serán más fáciles de mitigar, primero revocando la clave de firma y segundo rastreando al firmante a través de su dirección física.

El sistema no es perfecto (y es bastante corto en comparación con lo que se podría haber logrado), pero dificultará aún más la escritura de los bootkits. Y de la misma manera en que ASLR y el bit NX nos hacen un poco más seguros contra el malware, aunque los ataques de desbordamiento de búfer siguen siendo viables, el arranque seguro no es una pérdida de tiempo.

Respecto a la CRL He oído que habrá una interfaz UEFI estándar para que el sistema operativo introduzca nuevas listas de revocación en la BIOS. Eso hará que las actualizaciones automáticas sean muy convenientes.

    
respondido por el Perseids 19.06.2012 - 21:37
fuente
5

Las mejoras de seguridad reales se crean si está comprando para una empresa comercial o gubernamental pero a un costo relacionado con la compatibilidad. Para la mayoría de los usuarios domésticos que no desean nada más que un escritorio de Microsoft y nunca modifican el sistema adquirido, también brindan seguridad adicional. Para el usuario doméstico que desea un arranque dual (una fuerza de mercado muy pequeña) complicará la vida y proporcionará poca o ninguna mejora de seguridad, ya que las características estarán deshabilitadas por definición.

Considere el contexto en el que se utilizará este paradigma de arranque confiable con su validación de componentes fundamentales en el proceso de arranque. Si usted es responsable de proteger una gran empresa, las características serán muy atractivas y se sumarán a su conjunto de herramientas para realizar su trabajo. Tendrá un fuerte incentivo para comprar el sistema operativo y el hardware habilitado para bloquear su empresa.

Si usted es un usuario doméstico que desea un arranque dual en Linux, es un gran problema. Por supuesto, usted tiene el control físico de su sistema doméstico y podrá desactivar la función. Esto complica aún más su experiencia con Linux.

Se agrega seguridad para aquellos que tienen control físico de sus sistemas y un deseo de limitar la efectividad de los ataques virtuales que modifican los componentes fundamentales del sistema operativo.

Hay muchas funciones más allá de la seguridad que vienen con esta solución. Por un lado, la complejidad de la administración aumentará ya que estos sistemas serán más difíciles de actualizar y modificar. También crea un efecto de jardín amurallado para un sistema operativo conocido por su amplio soporte en un momento en que ese sistema operativo compite contra un sistema operativo de jardín amurallado. Adicionalmente el anonimato del usuario será disminuido. Las fuerzas del mercado hoy favorecen los jardines amurallados y la pérdida del anonimato.

La preocupación de la comunidad de Linux es que este cambio hace que sea más difícil para los usuarios moverse casualmente a Linux. Esa es una preocupación válida. Sin embargo, no es un problema de seguridad. En términos de seguridad, para la gran mayoría de los usuarios mejorará la seguridad.

    
respondido por el zedman9991 20.06.2012 - 14:58
fuente
3

El arranque seguro para PC es inflexible y le deja pocas opciones si su sistema está roto de alguna manera. Tampoco está diseñado para escalar en un entorno con múltiples partes interesadas; digamos que su empresa desea usar el arranque seguro para garantizar no solo una instalación adecuada de Windows sino también un conjunto de ciertas herramientas de cumplimiento de políticas. No es posible salir de la caja.

Trusted Boot, donde se miden los componentes pero solo se verifica opcionalmente más tarde, se inventó precisamente debido a estas limitaciones. Por lo tanto, el hecho de que Microsoft requiera un mecanismo diferente a pesar de ser parte del comité de estándares que definió Trusted Boot es estúpido desde un punto de vista técnico (tomar una mala decisión a pesar de conocer mejor). Obviamente, tienen objetivos diferentes a la seguridad.

La mejor manera de usar el arranque seguro es cargar un motor neutral de aplicación de políticas, como un hipervisor de código abierto, que luego mide y carga otros componentes de manera confiable. De esta manera, tiene toda la flexibilidad, pero en realidad no necesita el TPM de hardware, solo la esperanza de que este hipervisor permanezca seguro e informe correctamente lo que está sucediendo. El diseño es conocido desde hace muchos años, pero, por supuesto, MS no tiene ningún interés en proporcionar una solución tan neutral.

En respuesta a su pregunta, la firma del código se asegura más fácilmente al verificar quién solicita el código a firmar. Esto parece razonable por un costo de $ 99. Los escritores de malware probablemente no estarán tan interesados en proporcionar su ID, y los cargadores de arranque de código abierto son lo suficientemente estables y seguros para mantener una buena reputación. También significa que no ayudará en absoluto contra el espionaje a nivel gubernamental y las próximas guerras cibernéticas. Los clientes serán los únicos que no tengan una llave :-)

    
respondido por el pepe 19.06.2012 - 21:10
fuente

Lea otras preguntas en las etiquetas