Угроза использования слабых криптографических алгоритмов BIOS

Угроза заключается в сложности проверки реальных параметров работы и алгоритмов, реализованных в криптографических средствах BIOS/UEFI. При этом доверие к криптографической защите будет ограничено доверием к производителю BIOS. Данная угроза обусловлена сложностью использования собственных криптографических алгоритмов в программном обеспечении BIOS/UEFI. Возможность реализации данной угрозы снижает достоверность оценки реального уровня защищённости системы.

• Внешний нарушитель с высоким потенциалом

• Нарушение конфиденциальности
• Нарушение целостности
• Нарушение доступности

Угроза использования слабых криптографических алгоритмов в BIOS (или UEFI, как его современной замене) представляет собой серьезный риск безопасности. BIOS является низкоуровневым программным обеспечением, которое загружается первым при включении компьютера. Если злоумышленник сможет скомпрометировать BIOS, он сможет получить полный контроль над системой, обходя защиту операционной системы и устанавливая вредоносный код на самом низком уровне. Использование слабых криптографических алгоритмов делает BIOS более уязвимым для атак, таких как подделка подписи, перехват ключей и компрометация процесса безопасной загрузки (Secure Boot).

Для минимизации этой угрозы необходимо принять следующие меры, разбитые по категориям:

1. Аппаратное обеспечение и производители BIOS/UEFI:

• Использование современных криптографических алгоритмов: Производители BIOS/UEFI должны использовать только современные, надежные и рекомендованные криптографические алгоритмы, такие как:
  • AES (Advanced Encryption Standard): для симметричного шифрования. Рекомендуемая длина ключа – 256 бит.
  • RSA (Rivest-Shamir-Adleman): для асимметричного шифрования и цифровых подписей. Рекомендуемая длина ключа – 3072 бита или выше. Альтернативно, можно использовать эллиптические кривые (ECC).
  • SHA-256 (Secure Hash Algorithm 256-bit): или SHA-3 (и выше) для хеширования.
• Отказ от устаревших алгоритмов: Полностью отказаться от использования устаревших и скомпрометированных алгоритмов, таких как:
  • MD5 (Message Digest 5)
  • SHA-1 (Secure Hash Algorithm 1)
  • DES (Data Encryption Standard)
  • RC4 (Rivest Cipher 4)
• Управление ключами: Обеспечить надежное управление криптографическими ключами, используемыми для подписи и шифрования BIOS. Ключи должны генерироваться и храниться в защищенной среде, например, в Hardware Security Module (HSM).
• Аппаратный корень доверия (Hardware Root of Trust): Использовать аппаратный корень доверия (например, TPM) для хранения ключей и проверки целостности BIOS.
• Безопасные обновления BIOS/UEFI: Обеспечить безопасный процесс обновления BIOS/UEFI, который включает проверку цифровой подписи обновления перед его установкой.
• Регулярное обновление BIOS/UEFI: Выпускать регулярные обновления BIOS/UEFI для исправления уязвимостей и улучшения безопасности.

2. Настройки Secure Boot:

• Включение Secure Boot: Secure Boot должен быть включен в режиме UEFI (не Legacy BIOS). Secure Boot предотвращает загрузку неподписанного или поддельно подписанного кода BIOS и загрузчиков операционных систем.
• Настройка Secure Boot: Правильно настроить Secure Boot, чтобы он проверял цифровую подпись всех загружаемых компонентов.
• Защита ключей Secure Boot: Ключи, используемые для Secure Boot, должны быть надежно защищены. Нельзя допускать их утечки или подмены.
• Использование PK (Platform Key), KEK (Key Exchange Key), и db (Database): Понимание и правильная настройка этих ключей крайне важна для безопасности Secure Boot.

3. Операционная система и антивирусная защита:

• Поддержка Secure Boot: Убедиться, что операционная система полностью поддерживает Secure Boot и проверяет целостность загрузочных компонентов.
• Early Launch Anti-Malware (ELAM): Использовать ELAM для запуска антивирусного программного обеспечения до загрузки всех компонентов операционной системы. Это позволяет обнаружить вредоносный код на ранней стадии загрузки.
• Мониторинг целостности системы: Использовать инструменты мониторинга целостности системы для обнаружения несанкционированных изменений в системных файлах и BIOS.

4. Физическая безопасность:

• Ограничение физического доступа: Ограничить физический доступ к компьютерам, чтобы предотвратить несанкционированное изменение BIOS.
• Защита от Evil Maid Attack: Реализовать меры защиты от Evil Maid Attack, когда злоумышленник получает физический доступ к компьютеру и изменяет BIOS или загрузчик.

5. Организационные меры и политики безопасности:

• Политика безопасности: Разработать и внедрить политику безопасности, которая определяет правила использования компьютеров и требования к безопасности BIOS.
• Обучение персонала: Обучить персонал основам безопасности и правилам защиты компьютеров от атак, направленных на компрометацию BIOS.
• Аудит безопасности: Регулярно проводить аудит безопасности системы для выявления уязвимостей.
• Процедура реагирования на инциденты: Разработать и поддерживать в актуальном состоянии план реагирования на инциденты безопасности, который определяет действия, которые необходимо предпринять в случае обнаружения компрометации BIOS.

6. Дополнительные меры:

• Trusted Platform Module (TPM): Использовать TPM для хранения ключей шифрования и проверки целостности системы.
• Hardware Root of Trust: Использовать Hardware Root of Trust для обеспечения надежной основы для проверки целостности загрузочных компонентов.
• Функция Measured Boot: Включить функцию Measured Boot, которая записывает информацию о загружаемых компонентах в TPM. Эта информация может быть использована для проверки целостности системы после загрузки.
• Детектирование и предотвращение атак на BIOS: Использовать специализированные решения для детектирования и предотвращения атак на BIOS, которые могут использовать слабые криптографические алгоритмы.

Примеры конкретных уязвимостей и мер по их предотвращению:

• Длина ключа RSA менее 2048 бит: Запретить использование RSA-ключей длиной менее 2048 бит.
• Использование MD5 или SHA-1 для подписи BIOS: Запретить использование MD5 и SHA-1 для подписи BIOS.
• Отсутствие проверки цепочки сертификатов: Убедиться, что BIOS проверяет цепочку сертификатов при проверке цифровой подписи.
• Уязвимости в реализации Secure Boot: Регулярно обновлять BIOS и операционную систему для исправления уязвимостей в реализации Secure Boot.

Ключевые моменты:

• Современные алгоритмы: Использование только современных и надежных криптографических алгоритмов.
• Secure Boot: Правильная настройка и использование Secure Boot.
• Регулярные обновления: Регулярное обновление BIOS и операционной системы.
• Многоуровневая защита: Комплексный подход, сочетающий аппаратные, программные и организационные меры.
• Осведомленность: Повышение осведомленности пользователей и администраторов о рисках и мерах безопасности.