Угроза использования поддельных цифровых подписей BIOS

Угроза заключается в возможности установки уязвимой версии обновления BIOS/UEFI или версии, содержащей вредоносное программное обеспечение, но имеющей цифровую подпись. Данная угроза обусловлена слабостями мер по контролю за благонадёжностью центров выдачи цифровых подписей. Реализация данной угрозы возможна при условии выдачи неблагонадёжным центром сертификации цифровой подписи на версию обновления BIOS/UEFI, содержащую уязвимости, или на версию, содержащую вредоносное программное обеспечение (т.е. при осуществлении таким центром подлога), а также подмены нарушителем доверенного источника обновлений.

• Внешний нарушитель со средним потенциалом

• Нарушение целостности

Угроза использования поддельных цифровых подписей BIOS (или UEFI, которые фактически заменили традиционный BIOS) представляет собой серьезную опасность, поскольку она позволяет злоумышленникам устанавливать вредоносный код на низком уровне системы, который может быть чрезвычайно сложно обнаружить и удалить. Такой код может:

• Обходить защиту операционной системы
• Перехватывать управление загрузкой операционной системы
• Устанавливать руткиты
• Воровать конфиденциальные данные
• Повреждать аппаратное обеспечение

Для минимизации данной угрозы необходимо принять комплексные меры, охватывающие как аппаратное обеспечение, так и программное обеспечение, а также организационные аспекты.

1. Аппаратная защита:

• Secure Boot: Включить и правильно настроить Secure Boot. Secure Boot — это функция UEFI, которая проверяет цифровую подпись каждого загружаемого компонента (включая сам BIOS, загрузчики операционной системы и драйверы) перед его выполнением. Это предотвращает запуск неподписанного или поддельно подписанного кода.
  • Убедитесь, что Secure Boot включен в режиме UEFI, а не Legacy BIOS.
  • Защитите ключи Secure Boot. Ключи, используемые для подписи загрузочных компонентов, должны быть надежно защищены, чтобы злоумышленники не могли их украсть или подделать.
  • Регулярно обновляйте ключи Secure Boot.
• Trusted Platform Module (TPM): Использовать TPM (Trusted Platform Module) для хранения ключей шифрования и проверки целостности системы. TPM может использоваться для проверки целостности BIOS и других критически важных компонентов системы.
• Hardware Root of Trust: Убедитесь, что в системе реализован аппаратный корень доверия, который обеспечивает надежную основу для проверки целостности загрузочных компонентов.

2. Безопасность на уровне BIOS/UEFI:

• Надежный пароль BIOS/UEFI: Установите сложный и уникальный пароль для BIOS/UEFI и регулярно его меняйте. Этот пароль предотвратит несанкционированное изменение настроек BIOS.
• Запрет изменения настроек загрузки: Запретите изменение настроек загрузки без ввода пароля BIOS/UEFI. Это предотвратит загрузку с неподписанных или неавторизованных загрузочных носителей.
• Обновление BIOS/UEFI только с официального сайта: Загружайте обновления BIOS/UEFI только с официального сайта производителя материнской платы или ноутбука.
• Проверка цифровой подписи при обновлении BIOS/UEFI: Убедитесь, что процесс обновления BIOS/UEFI проверяет цифровую подпись обновления перед его установкой.
• Защита от даунгрейда BIOS/UEFI: Отключите возможность даунгрейда BIOS/UEFI до более старой версии, которая может содержать уязвимости.
• Функция Measured Boot: Включите функцию Measured Boot, которая записывает информацию о загружаемых компонентах в TPM. Эта информация может быть использована для проверки целостности системы после загрузки.

3. Безопасность операционной системы:

• Secure Boot Verification: Операционная система должна проверять, что система была загружена в режиме Secure Boot, и что все загрузочные компоненты были правильно подписаны.
• ELAM (Early Launch Anti-Malware): Использовать ELAM (Early Launch Anti-Malware) для запуска антивирусного программного обеспечения до загрузки всех компонентов операционной системы. Это позволит обнаружить и заблокировать вредоносный код на ранней стадии загрузки.
• Code Integrity Policy: Использовать Code Integrity Policy для ограничения запуска только доверенных программ.
• Мониторинг целостности системы: Использовать инструменты мониторинга целостности системы для обнаружения несанкционированных изменений в системных файлах.
• Защита от руткитов: Использовать инструменты для обнаружения и удаления руткитов, которые могут быть установлены вредоносным кодом в BIOS.

4. Сетевая безопасность:

• Межсетевые экраны (firewalls): Использовать межсетевые экраны для фильтрации сетевого трафика и блокировки несанкционированного доступа.
• Сегментация сети: Сегментировать сеть для ограничения распространения атак.
• Виртуальные частные сети (VPN): Использовать VPN для защиты сетевого трафика при удаленном доступе к системе.
• Системы обнаружения вторжений (IDS/IPS): Использовать IDS/IPS для обнаружения и предотвращения атак, направленных на компрометацию BIOS.

5. Организационные меры:

• Политика безопасности: Разработать и внедрить политику безопасности, которая определяет правила использования компьютеров и требования к безопасности BIOS.
• Обучение персонала: Обучить персонал основам безопасности и правилам защиты компьютеров от атак, направленных на компрометацию BIOS.
• Физическая безопасность: Ограничить физический доступ к компьютерам, чтобы предотвратить несанкционированное изменение BIOS.
• Аудит безопасности: Регулярно проводить аудит безопасности системы для выявления уязвимостей.
• Процедура реагирования на инциденты: Разработать и поддерживать в актуальном состоянии план реагирования на инциденты безопасности, который определяет действия, которые необходимо предпринять в случае обнаружения компрометации BIOS.
• Управление поставщиками: При выборе поставщиков оборудования учитывать их репутацию в области безопасности.

6. Дополнительные меры:

• Проверка подлинности оборудования: Использовать инструменты для проверки подлинности аппаратного обеспечения, чтобы убедиться, что компьютер не был подменен или скомпрометирован.
• Криптографическая защита: Использовать криптографические методы для защиты конфиденциальных данных, хранящихся в BIOS.

7. Меры для IoT-устройств и встроенных систем:

• Аппаратное шифрование: Использовать аппаратное шифрование для защиты кода BIOS.
• Защита от отката: Реализовать защиту от отката прошивки к предыдущим версиям.
• Удаленное стирание: Реализовать возможность удаленного стирания данных и прошивки в случае компрометации устройства.

Примеры атак:

• Evil Maid Attack: Злоумышленник получает физический доступ к компьютеру и устанавливает вредоносный код в BIOS.
• Rootkit в BIOS: Вредоносный код устанавливается в BIOS и перехватывает управление загрузкой операционной системы.
• Поддельные обновления BIOS: Злоумышленник распространяет поддельные обновления BIOS, содержащие вредоносный код.

Ключевые моменты:

• Комплексный подход: Необходим комплексный подход, сочетающий аппаратные, программные и организационные меры.
• Secure Boot: Правильная настройка и использование Secure Boot является критически важным.
• Регулярные обновления: Регулярно обновляйте BIOS, операционную систему и другое программное обеспечение для устранения уязвимостей.
• Физическая безопасность: Важно ограничить физический доступ к компьютерам.
• Осведомленность: Повышайте осведомленность пользователей о рисках, связанных с компрометацией BIOS.