В чем опасность UEFI для пользователей Linux
Free Software Foundation начала акцию протеста против опции Secure Boot в Windows, которая предназначается для предотвращения запуска неавторизованных программных компонентов во время загрузки компьютера. Представители Microsoft утверждают, что технология безопасной загрузки Secure Boot не блокирует загрузчиков операционной системы.
FSF убеждена, что новая технология Secure Boot в Windows направлена на то, чтобы помешать пользователям устанавливать Linux, а не просто проверять подлинность компонентов, как уверяют производители ПК.
Технология безопасной загрузки Secure Boot была разработана, чтобы устранить риск заражения компьютера вредоносным ПО в процессе загрузки, пока система и антивирусное ПО ещё не запущены. Она не является компонентом Windows, а входит в UEFI (Unified Extensible Firmware Interface) — прошивку, которая заменит BIOS в компьютерах нового поколения. Принцип работы Secure Boot заключается в том, что UEFI проверяет наличие сертификатов безопасности перед тем, как загрузить тот или иной компонент.
Беспокойство Free Software Foundation было основано на допущении того, что Secure Boot может помешать устанавливать на новые ПК альтернативные операционные системы, в частности разновидности Linux. Кроме того, в FSF утверждают, что может стать невозможным лечение заражённых ПК при помощи Live CD. Окажется недоступной и замена аппаратных компонентов аналогами от других производителей, а также замена видеокарт, сетевых карт и пр. «Нас беспокоит то, что Microsoft и производители аппаратного обеспечения реализуют эту функцию таким образом, что на компьютерах нельзя будет запускать ничего, кроме Windows», — утверждает FSF в своем заявлении.
«Microsoft может потребовать, чтобы все производители аппаратного обеспечения включали в UEFI их ключи», ― утверждает Мэтью Гаррет (Matthew Garret), сотрудник Red Hat и один из инициаторов акции протеста. «Red Hat не может гарантировать, что наши ключи будут в каждой сборке ПК. Canonical тоже не может. И Nvidia, и AMD, и другие производители комплектующих. В этой сфере у Microsoft больше влияния, чем у Intel»,- продолжает он.
Microsoft, в свою очередь, уверена, что сможет обеспечить работу этой технологии на компьютерах большинства производителей, и не видит тут проблемы. По словам представителей компании, опасения FSF совершенно напрасны. Задача Secure Boot — обеспечение безопасности компьютера до загрузки ОС, гарантия аутентичности компонентов и защита системы от угрозы руткитов и буткитов. «Безопасная загрузка не "блокирует" загрузчики операционной системы, она представляет собой политику, которая позволяет встроенному ПО проверять подлинность компонентов», ― говорится в официальном заявлении на сайте Microsoft.
Тони Мангефест (Tony Mangefeste), член команды Windows 8 Ecosystem, разъясняет в личном блоге, что всё будет зависеть от производителя ПК. Именно он решает, блокировать альтернативные загрузчики или нет. «Microsoft оставляет поставщикам оригинальных сборок возможность определять, как будет реализовано управление ключами, их импортом и безопасной загрузкой в целом», - пишет он.
Напомним, что возможность отключения безопасной загрузки не только уже реализована технически, но и была продемонстрирована в момент первого появления Windows 8 «на публике» ― в сентябре 2011 г. во время конференции BUILD, на примере планшета Samsung с предварительной версией Windows 8 для разработчиков.
Комментарии
pomodor
14 ноября, 2011 - 16:29
Удивительные чудаки в этом Микрософте работают. Молчали бы про безопасность. Вместо латания дыр в дуршлаге под названием Windows они с загрузкой Линукса борются.
MrBison
14 ноября, 2011 - 19:54
Увы, стоит сказать, что и линуксы не безупречны -- в некоторые дни бывает, что уязвимостей находят и побольше, чем в винде.
pomodor
14 ноября, 2011 - 20:02
Ничего идеального не существует. Но я как-то не слышал об устойчивых ботнетах на Линуксе. Сама по себе дырка еще ни о чем не говорит. Важно насколько эффективно ее можно использовать на практике, как быстро закрывают, как часто новые дыры появляются и т.п. Вы же не будете всерьез утверждать, что постоянно испытываете неудобства из-за дырявости Линукса?
MrBison
14 ноября, 2011 - 20:05
Честно говоря, не испытываю, да и обновляется (даже в моём дебиане) всё оперативно.
Единственный ботнет для линукса, который я видел, к счастью, проходил только к тем, кто не менял пароли на роутерах (т.е. уязвимости в ядре или ПО не использовались).
Sunrise
4 ноября, 2014 - 16:53
А причём тут уязвимости? Речь вообще не об этом. Вот тот же GRUB2 позволяет запускать как GNU/Linux, так и Windows, а вот Microsoft похоже, пытается сохранить популярность своих продуктов, не давая пользователям использовать альтернативы вроде GNU/Linux или FreeBSD.
MrBison
14 ноября, 2011 - 19:49
У меня есть такое подозрение, что секьюрбут тут вообще к безопасности отношения не имеет.
Во-первых, более-менее массовые вирусы, заражающие загрузчик, перестали создавать лет эдак 20 назад.
Во-вторых, сейчас заражение ЖД компьютера противоречит главному интересу автора любой малвари: остаться незамеченным (в том числе honeypot-системами антивирусомейкеров -- а как же им иначе ловить свежую малварь?) как можно дольше. Модификация загрузчика вызовет немало подозрений у систем мониторинга (вне зависимости от того, у юзера они стоят или у антивирусомейкера), что значительно ускорит выход лекарства.
Сейчас же современная малварь вообще ЖД не трогает, оставаясь в памяти и исчезая при перезагрузке -- но это не проблема, т.к. если малварь проникла один раз, она проникнет ещё много раз, пока не залатают дыры или не обновят софт.
P.S. Стоит сказать, что знакомые фанаты Windows так и не нашли, чем на это ответить.
pomodor
14 ноября, 2011 - 20:11
Заражение загрузчика тоже имеет большой смысл. Если зловредный код получает управление вперед операционной системы, то можно намного эффективнее скрывать свое присутствие. А самое главное, что юзер-лопушок едва ли вычистит такой вирус/руткит сам, даже переустановив Windows. Помнится, где-то на сайте официальной поддержки MS была статья про boot-вирус, который даже специалисты MS не смогли одолеть. В качестве борьбы рекомендуется не только переустановка с нуля, но и переформатирование и очистка MBR.
MrBison
14 ноября, 2011 - 20:22
Только проблема в том, что как в любой современной ОС, так и в винде*, доступ к загрузчику требует администраторских привилегий (а в винде, так как администраторские привилегии имеются у большинства пользователей -- системных). То есть вероятность заражения, скажем, браузера, надо умножить на (ещё более низкую) вероятность одновременного существования незапатченной уязвимости, повышающей привилегии. А такой загрузочный руткит сможет легко быть обнаружен и вылечен (даже не надо наличия в базе -- просто по факту отличия загрузочной записи/файлов загрузчика от системных) любым антивирусным Live CD.
*Если же говорить честно, то начиная с висты, винда очень сильно приблизилась к званию современной ОС (которое сейчас IMHO занимают макось и линуксы)
omg
15 ноября, 2011 - 10:32
Возникло несколько вопросов:
1. Как разработчики будут получать эти самые самые сертификаты безопасности?
2. Что будет (или не будет) делать UEFI обнаружении недействительного/измененного сертификата?
3. Есть гарантии что сертификаты безопасности не утекут в Сеть как любое другое ПО и, соответственно, станут бесполезными в свете заявленных целей?
Интересно - будет ли обращение в антимонопольные органы...
P.S.: Касперский молчит? Надеется получить кучку сертификатов для своего "лифчика"?
Platon
15 ноября, 2011 - 15:55
«Знаешь за счёт чего ты выжил? Ты заставляешь людей нуждаться в тебе, ты заставляешь людей нуждаться в том, что имеешь, и потом им уже некуда деваться - Мы заставим их нуждаться в нас.» (c) Билл Гейтс «Пираты силиконовой долины»
Среди проблем, уже обозначившихся вокруг UEFI, есть одна особенная, очень важная для всех операционных платформ без исключения. Касается она защиты информации, а потому речь об этом удобно начать с мнения спецслужб и работающих на них специалистов.
В конце сентября в американском городе Орландо, штат Флорида, проходила специализированная выставка-конференция под названием NSA Trusted Computing, организованная Агентством национальной безопасности США.
На этом мероприятии доклад об угрозах компьютерам со стороны BIOS и о путях укрепления защиты на этом направлении сделал Эндрю Регеншайд (Andrew Regenscheid), сотрудник подразделения компьютерной безопасности в составе NIST, американского Национального института стандартов и технологий. Именно это ведомство в тесном сотрудничестве с АНБ занимается подготовкой и изданием технических федеральных стандартов на защиту информации.
В апреле текущего года НИСТ выпустил специальный документ SP 800-47 с рекомендациями о том, каким образом производители компьютеров и использующие их структуры должны работать с BIOS для максимального предотвращения заражений и атак. Одним из главных соавторов данного документа и был Эндрю Регеншайд.
По свидетельству этого эксперта, несмотря на весьма ограниченную роль BIOS в современных компьютерах (где, как принято полагать, функции устаревшей системы сводятся лишь к загрузке ОС), реально BIOS на сегодняшний день представляет собой «нарастающий вектор угроз» для компьютеров и их пользователей. Ощутимый прогресс в защите операционных систем заставил злоумышленников изобретательно искать в компьютерах новые уязвимости. При этом специалисты, занимающиеся безопасностью, о BIOS долгое время забывали. А в совокупности все это стало означать, что креативные злодеи с заметным успехом ныне могут эксплуатировать уязвимости и в кодах прошивки микросхем.
Случаи атак через BIOS уже есть. Так, в начале сентября китайская антивирусная фирма обнаружила в компьютерах весьма опасный руткит, получивший название Mebromi, который успешно заражает своим шпионским компонентом память BIOS-чипов AWARD. Проникнув в BIOS и попутно подменяя MBR, главную загрузочную запись жесткого диска, эта вредоносная программа прописывается в машине так основательно, что удалить ее стандартными средствами не представляется возможным. Просто потому что антивирусные программы не занимаются лечением BIOS.
Как сказал об этом Регеншайд, «если злоумышленник способен проникать в BIOS и модифицировать его код, он получает возможности не только «убить» систему, не допуская ее загрузки, но и внедрить свое шпионское ПО на чрезвычайно высоких по привилегиям уровнях работы системы».
И вот теперь, существенно усложняя общий «ландшафт угроз» для компьютерной безопасности в аспектах BIOS, на сцене появляется UEFI BIOS. То есть следующее поколение системы, в своих спецификациях добавляющее множество новых возможностей как для администраторов и конечных пользователей, так и для злоумышленников.
Совершенно очевидно, что, в отличие от традиционных BIOS, система UEFI способна на много, много большее, чем просто процесс загрузки. Эндрю Регеншайд, в частности, в своем докладе особо подчеркнул набор рабочих сервисов, которые можно вызывать даже в таких условиях, когда основная ОС уже давно загружена и, как принято обычно считать, полностью управляет компьютером. Эта специфическая особенность, а также другие свойства UEFI BIOS, по свидетельству Регеншайда, очень ощутимо расширяют пространство возможных атак на систему.
В дополнение к этому, сказал докладчик, стандарт UEFI BIOS намного более подробно документирован, нежели предыдущие спецификации BIOS. Это, да в сочетании с тем, что систему UEFI понадобится обновлять через сеть куда более часто, чем BIOS, открывает широкий простор для создания и внедрения самых разнообразных вредительских и шпионских закладок.
Странная история получается, правда? С одной стороны, во имя безопасности происходит изменение правил игры, существенно осложняющее жизнь «маленьким» участникам. А с другой — уже сейчас, на старте, есть существенные сомнения в том, что этой самой безопасности всерьез прибавится.
Зато никому долго не будет скучно.
Source
Чингачгук
29 октября, 2015 - 16:23
Так пусть FSF свою железку разработает и выпустит без всяких UEFI. В чём проблема-то? Попутно пусть свой проц и память придумают со стопроцентной гарантией от закладок в железе. В сталкера не поиграешь и фотошоп не поставишь, ибо будет не на x86 и дико тормозное — зато понтануться можно — мы свободные, типа:)
Sunrise
29 октября, 2015 - 16:35
Насчёт железки не уверен, но есть свободная реализация BIOS под названием coreboot.
Чингачгук
29 октября, 2015 - 16:39
Есть такое, не сталкивался но слышал. И OpenBIOS есть. Только ведь закладки в железе всё равно никто не отменял.
Комментировать