Preocupado com bootkits, rootkits, nasties UEFI? Já tentou ligar o Secure Boot, ask the No Sh*! Agency

Views: 119
0 0
Read Time:3 Minute, 28 Second

A NSA publicou online um guia para administradores de TI para manter os sistemas livres de bootkits e rootkits.

O explicador de 39 páginas da superagência de vigilância americana [PDF] cobre a segurança da UEFI e, em particular, como as pessoas podem dominar o Secure Boot e evitar desligá-lo por razões de compatibilidade.

Um bootkit é um software que é executado antes do SISTEMA OPERACIONAL iniciar e adulterar com ele para garantir que ele execute algum tipo de código malicioso mais tarde. Esse código pode ser um rootkit que garante que outra peça do quebra-cabeça – spyware ou ransomware, por exemplo – seja implantada e executada com poderes de nível sysadmin. Secure Boot é um mecanismo que usa criptografia para garantir que você está inicializando um sistema operacional que não foi secretamente intrometido; qualquer adição de um bootkit ou rootkit deve ser pego pelo Secure Boot.

O guia orienta as pessoas através das etapas para implantar o Secure Boot. O importante é impedir que um miscreant que conseguiu obter acesso físico ou administrativo a um computador ganhe controle oculto persistente sobre a máquina, alterando o sistema operacional e qualquer software em cima dele a partir do nível de firmware.

“Atores mal-intencionados visam que o firmware persista em um ponto final”, observou a agência.

“O firmware é armazenado e executado a partir da memória separada do sistema operacional e da mídia de armazenamento. O software antivírus, que é executado após o carregamento do sistema operacional, é ineficaz na detecção e remediação de malware no ambiente de firmware de inicialização que é executado antes do sistema operacional. O Secure Boot fornece um mecanismo de validação que reduz o risco de exploração bem-sucedida de firmware e mitiga muitas vulnerabilidades publicadas no início da inicialização.”

Embora o documento seja destinado a servir como um guia para administradores em organizações governamentais dos EUA, como o Departamento de Defesa, ele também tem bons conselhos para aqueles no setor privado preocupados com informações de software, insiders desonestos e outros miscreants ganhando uma posição robusta nas redes corporativas.

A melhor maneira de evitar problemas, diz No Such Agency, é simplesmente evitar desligar o Secure Boot em primeiro lugar. A NSA reconhece que isso nem sempre é prático, e há uma série de situações em que o Secure Boot fica no caminho. Com isso em mente, a agência recomenda o seguinte:

* As máquinas executando o BIOS legado ou o Módulo de Suporte à Compatibilidade (CSM) devem ser migradas para o modo nativo UEFI.

* O Secure Boot deve ser ativado em todos os pontos finais e configurado para auditar módulos de firmware, dispositivos de expansão e imagens de SISTEMA INICIALIZÁVEIS (às vezes referido como Modo Completo).

* O Secure Boot deve ser personalizado, se necessário, para atender às necessidades das organizações e de seu hardware e software de suporte.

* O firmware deve ser protegido usando um conjunto de senhas de administrador apropriadas para os recursos de um dispositivo e caso de uso.

* O firmware deve ser atualizado regularmente e tratado tão importante quanto as atualizações do sistema operacional e do aplicativo.

* Um Módulo de Plataforma Confiável (TPM) deve ser aproveitado para verificar a integridade do firmware e a configuração Secure Boot.

Lembre-se, isso não significa que o firmware seguro-boot é infalível em parar infecções por bootkit e rootkit. A NSA observou que os PCs com o UEFI Fast Boot ativado podem não vetar o software tão completamente e, portanto, podem permitir que malwares como o LoJax passem.

Por causa disso, a agência aconselha as agências governamentais que são particularmente paranoicas com a segurança de sua rede a verificar as configurações do Secure Boot em todas as máquinas para se certificar de que eles configuraram as proteções adequadas e desativaram quaisquer desvios.

Outras opções para melhorar a segurança do Secure Boot incluem rodar seus próprios bancos de dados de licença e lista de negação e remover o banco de dados do Microsoft Certificate que é usado por padrão para verificar sistemas operacionais e componentes de hardware. Isso impediria, segundo a NSA, que os atacantes dentro rebaixem o SO ou instalassem outros componentes de hardware.

FONTE: THE REGISTER

Previous post O Chrome agora permite que usuários de APP de alto risco digitalizem arquivos suspeitos sob demanda
Next post Processo alega que hospital de NY reteve acesso EHR, violando HIPAA

Deixe um comentário