Preocupado com bootkits, rootkits, nasties UEFI? Já tentou ligar o Secure Boot, ask the No Sh*! Agency

Views: 36
0 0
Read Time:3 Minute, 28 Second

A NSA publicou online um guia para administradores de TI para manter os sistemas livres de bootkits e rootkits.

O explicador de 39 páginas da superagência de vigilância americana [PDF] cobre a segurança da UEFI e, em particular, como as pessoas podem dominar o Secure Boot e evitar desligá-lo por razões de compatibilidade.

Um bootkit é um software que é executado antes do SISTEMA OPERACIONAL iniciar e adulterar com ele para garantir que ele execute algum tipo de código malicioso mais tarde. Esse código pode ser um rootkit que garante que outra peça do quebra-cabeça – spyware ou ransomware, por exemplo – seja implantada e executada com poderes de nível sysadmin. Secure Boot é um mecanismo que usa criptografia para garantir que você está inicializando um sistema operacional que não foi secretamente intrometido; qualquer adição de um bootkit ou rootkit deve ser pego pelo Secure Boot.

O guia orienta as pessoas através das etapas para implantar o Secure Boot. O importante é impedir que um miscreant que conseguiu obter acesso físico ou administrativo a um computador ganhe controle oculto persistente sobre a máquina, alterando o sistema operacional e qualquer software em cima dele a partir do nível de firmware.

“Atores mal-intencionados visam que o firmware persista em um ponto final”, observou a agência.

“O firmware é armazenado e executado a partir da memória separada do sistema operacional e da mídia de armazenamento. O software antivírus, que é executado após o carregamento do sistema operacional, é ineficaz na detecção e remediação de malware no ambiente de firmware de inicialização que é executado antes do sistema operacional. O Secure Boot fornece um mecanismo de validação que reduz o risco de exploração bem-sucedida de firmware e mitiga muitas vulnerabilidades publicadas no início da inicialização.”

Embora o documento seja destinado a servir como um guia para administradores em organizações governamentais dos EUA, como o Departamento de Defesa, ele também tem bons conselhos para aqueles no setor privado preocupados com informações de software, insiders desonestos e outros miscreants ganhando uma posição robusta nas redes corporativas.

A melhor maneira de evitar problemas, diz No Such Agency, é simplesmente evitar desligar o Secure Boot em primeiro lugar. A NSA reconhece que isso nem sempre é prático, e há uma série de situações em que o Secure Boot fica no caminho. Com isso em mente, a agência recomenda o seguinte:

* As máquinas executando o BIOS legado ou o Módulo de Suporte à Compatibilidade (CSM) devem ser migradas para o modo nativo UEFI.

* O Secure Boot deve ser ativado em todos os pontos finais e configurado para auditar módulos de firmware, dispositivos de expansão e imagens de SISTEMA INICIALIZÁVEIS (às vezes referido como Modo Completo).

* O Secure Boot deve ser personalizado, se necessário, para atender às necessidades das organizações e de seu hardware e software de suporte.

* O firmware deve ser protegido usando um conjunto de senhas de administrador apropriadas para os recursos de um dispositivo e caso de uso.

* O firmware deve ser atualizado regularmente e tratado tão importante quanto as atualizações do sistema operacional e do aplicativo.

* Um Módulo de Plataforma Confiável (TPM) deve ser aproveitado para verificar a integridade do firmware e a configuração Secure Boot.

Lembre-se, isso não significa que o firmware seguro-boot é infalível em parar infecções por bootkit e rootkit. A NSA observou que os PCs com o UEFI Fast Boot ativado podem não vetar o software tão completamente e, portanto, podem permitir que malwares como o LoJax passem.

Por causa disso, a agência aconselha as agências governamentais que são particularmente paranoicas com a segurança de sua rede a verificar as configurações do Secure Boot em todas as máquinas para se certificar de que eles configuraram as proteções adequadas e desativaram quaisquer desvios.

Outras opções para melhorar a segurança do Secure Boot incluem rodar seus próprios bancos de dados de licença e lista de negação e remover o banco de dados do Microsoft Certificate que é usado por padrão para verificar sistemas operacionais e componentes de hardware. Isso impediria, segundo a NSA, que os atacantes dentro rebaixem o SO ou instalassem outros componentes de hardware.

FONTE: THE REGISTER

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *