¿Es Secure Boot realmente seguro?

1

Encontré el concepto de arranque seguro bastante intrigante. No puedo decir que sé mucho al respecto porque no, pero creo que entiendo su concepto principal.

El arranque seguro verifica la firma del ejecutable que está iniciando la computadora. (Por lo general, el caso es el gestor de arranque)

En una computadora sin arranque seguro, un atacante podría sobrescribir \EFI\Boot\bootx64.efi o \EFI\Boot\bootia32.efi dependiendo de la arquitectura con su propio programa, su programa de alguna manera infectaría el sistema operativo de la máquina y continuaría la ejecución con el cargador de arranque de Windows, que está almacenado en \EFI\Microsoft\Boot\bootmgr.efi

El arranque seguro evita eso porque el ejecutable EFI del atacante no está firmado.

Pero eso podría ser evadido fácilmente.

Un atacante podría instalar systemd-boot bootloader que llamaría al archivo EFI del atacante que llamaría al Bootloader de Windows después de que haga su trabajo.

¿Me estoy perdiendo algo?

    
pregunta ChrisK 03.03.2018 - 21:50
fuente

2 respuestas

2

systemd-boot también tiene que estar firmado. El gummiboot original firmado respeta el proceso de arranque 'seguro' y requiere que los archivos binarios que se lanzará también estén firmados: enlace

Así que no es tan trivial. Pero hay otros ataques en Arranque seguro que anulan las protecciones:

El mismo término seguro en relación con la arquitectura x86 es siempre relativo; Tiene que ser visto como una clasificación de choques automovilísticos: ningún automóvil es a prueba de choques, algunos solo requieren un poco más de fuerza para hacerlo fatal.

Esto es, hasta cierto punto, inherente a toda la seguridad, pero con otros diseños hay una curva S pronunciada desde "abierto" hasta "se necesita un microscopio electrónico y un haz de iones enfocado para agrietarse". Los esfuerzos para asegurar x86 son similares a tapar cada orificio en un tamiz para que sea apto para la navegación, con la condición de que cada tapón debe abrirse automáticamente cuando alguna característica heredada depende de la función original del tamiz de dejar pasar el agua.

    
respondido por el Therac 04.03.2018 - 05:32
fuente
3

Creo que la teoría es que cada nivel solo firma una instancia del siguiente nivel si implementa los controles de firma correctamente.

En otras palabras, se supone que systemd-boot realiza comprobaciones de firmas, y solo carga archivos que pasan la validación.

Obviamente puede haber brechas entre la teoría y la práctica ...

    
respondido por el Douglas Leeder 03.03.2018 - 22:05
fuente

Lea otras preguntas en las etiquetas