Matthew Garrett to znany deweloper jądra Linux, który dużo czasu spędza nad kwestiami bezpieczeństwa sektorów uruchamiania systemów. Kilka dni temu podczas konferencji Chaos Computer Club 32C3 zrobił krótką prezentację na temat określenia, czy nasz system jest w pełni bezpieczny, zanim jeszcze zaczniemy na nim pracować i udostępniać nasze różne poufne dane. Dotyczy się to także kryptografii systemu plików oraz samych dysków twardych. Jeżeli atakujący jest w stanie przejąć kontrolę nad tym co robimy, w procesie uruchamiania systemu to znaczy, że nasz komputer nie jest w pełni godny zaufania.
https://youtu.be/xGVp62Lxxpg
Jak zatem prezentują się obecnie w tej kwestii systemy operacyjne:
Windows: Wspiera w znaczący sposób UEFI Secure Boot. Wspiera kontrolowany proces rozruchu, ale nie zapewnia mechanizmu do sprawdzania, czy zabezpieczenia systemu nie zostały złamane
Linux: Wspiera UEFI Secure Boot, ale nie sprawdza sygnatów dla initrd. Oznacza to, że takie ataki, jak Evil Abigail są cały czas możliwe. Rozruch kontrolowany nie jest w dobrym stanie, ale jest możliwość ręcznego dostosowania. Na starcie w pełni podatny na atak, ale można go skonfigurować lepiej od Windowsa
OS X: od 2012 roku firma Apple nie zrobiła nic, aby zabezpieczyć sposób uruchamiania systemu. Wtedy to mogliśmy zobaczyć sławną prezentację ataku: DE MYSTERIIS DOM JOBSIVS:MAC EFI ROOTKITS, podczas konferencji Black Hat USA 2012. Obecnie nie ma nawet wsparcia dla UEFI Secure Boot, czy nawet Trusted Platform Module. Przez takie coś nie ma możliwości sprawdzenia, czy nasz system nie został w jakikolwiek sposób zainfekowany lub przejęty.
Oczywiście, nadal istnieją ataki przed którymi Windows i Linux nie są w stanie się obronić. Nie oznacza to jednak, że programiści, producenci, czy użytkownicy powinni ignorować bezpieczeństwo. Udoskonalanie obecnego stanu bezpieczeństwa rozruchu oznacza większą trudność dla atakującego do przejęcia naszego sprzętu, czy nawet ostrzeżenia nas o takowej możliwości.
Przecież to jest żałosne.
Żeby zainstalować jakiegokolwiek rootkita, czy posłużyć się takim śmiesznym narzędziem do infekowania jak EvilAbigail, trzeba mieć dostęp do komputera. Albo fizyczny, albo przynajmniej zdalny z prawami roota.
Skoro ktoś zdobędzie już taki dostęp, to i tak jest już w posiadaniu najcenniejszej rzeczy: naszych danych. A CAŁY system jest już w tym momencie do zaorania (albo odtworzenia z kopii zapasowej).
Jaki ma sens zabezpieczanie się przed instalacją rootkita w momencie, gdy reszta systemu jest już skompromitowana?
To jest idiotyczne rozwiązanie, które nic nie wnosi a jedynie utrudnia normalne użytkowanie komputera i pozwala na kontrolę użytkownika. Zupełnie jak DRM. Precz z tym gównem UEFI.