A Agência de Segurança Nacional dos EUA (NSA) publicou orientações sobre a personalização de inicialização segura da Unified Extensible Firmware Interface (UEFI).
A Agência de Segurança Nacional dos Estados Unidos (NSA) publicou orientações sobre como o recurso Desempous da Unified Extensible Firmware Interface (UEFI) Secure Boot (Unified Extensible Firmware Interface) secure boot que pode ser organizações personalizadas.
A UEFI (Unified Extensible Firmware Interface, interface de firmware extensível unificada) é uma especificação que define uma interface de software entre um sistema operacional e um firmware de plataforma. O UEFI substitui a interface de firmware do Sistema Básico de Entrada/Saída (BIOS) originalmente presente em todos os computadores pessoais compatíveis com PC da IBM, com a maioria das implementações de firmware UEFI fornecendo suporte para serviços de BIOS legados. A UEFI pode suportar diagnósticos remotos e reparo de computadores, mesmo sem sistema operacional instalado.
Ao longo dos anos, especialistas observaram vários ataques empregando rootkits que foram especificamente desenvolvidos para atingir o firmware para alcançar persistência e ignorar soluções de segurança.
O mecanismo Secure Boot permite a execução de apenas um software confiável pelo OEM (Original Equipment Manufacturer).
“O Secure Boot pode ser personalizado para atender às necessidades de diferentes ambientes. A personalização permite que os administradores percebam os benefícios das defesas de malware de inicialização, mitigações de ameaças internas e proteções de dados em repouso.” afirma o relatório técnico da NSA. “Os administradores devem optar por personalizar o Secure Boot em vez de desativá-lo por razões de compatibilidade.”
O relatório da NSA revelou que várias organizações frequentemente desativam o Secure Boot para problemas de incompatibilidade, mas a Agência recomenda fortemente personalizá-lo para atender às necessidades da organização.
“A personalização permite que os administradores percebam os benefícios das defesas de malware de inicialização, mitigações de ameaças internas e proteções de dados em repouso. Os administradores devem optar por personalizar o Secure Boot em vez de desabilitá-lo por razões de compatibilidade.” continua o relatório. “A personalização pode – dependendo da implementação – exigir que as infraestruturas assinem seus próprios binários de inicialização e drivers”,
A NSA apontou que o Secure Boot pode ser configurado para auditar módulos de firmware, dispositivos de expansão e imagens de SISTEMA INICIALIZÁVEIS (às vezes referido como Modo Completo). O relatório afirma que o TPM (Trusted Platform Module, módulo de plataforma confiável) pode ser usado para validar a integridade do Secure Boot DO UEFI.
O relatório da NSA inclui detalhes sobre como os administradores podem personalizar o Secure Boot, incluindo informações sobre opções avançadas de personalização que podem ser aplicadas pelas organizações para atender às suas necessidades.
FONTE: SECURITY AFFAIRS