0
0
A NSA publicou online um guia para administradores de TI para manter os sistemas livres de bootkits e rootkits.
O explicador de 39 páginas da superagência de vigilância americana [PDF] cobre a segurança da UEFI e, em particular, como as pessoas podem dominar o Secure Boot e evitar desligá-lo por razões de compatibilidade.
Um bootkit é um software que é executado antes do SISTEMA OPERACIONAL iniciar e adulterar com ele para garantir que ele execute algum tipo de código malicioso mais tarde. Esse código pode ser um rootkit que garante que outra peça do quebra-cabeça – spyware ou ransomware, por exemplo – seja implantada e executada com poderes de nível sysadmin. Secure Boot é um mecanismo que usa criptografia para garantir que você está inicializando um sistema operacional que não foi secretamente intrometido; qualquer adição de um bootkit ou rootkit deve ser pego pelo Secure Boot.
O guia orienta as pessoas através das etapas para implantar o Secure Boot. O importante é impedir que um miscreant que conseguiu obter acesso físico ou administrativo a um computador ganhe controle oculto persistente sobre a máquina, alterando o sistema operacional e qualquer software em cima dele a partir do nível de firmware.
“Atores mal-intencionados visam que o firmware persista em um ponto final”, observou a agência.
“O firmware é armazenado e executado a partir da memória separada do sistema operacional e da mídia de armazenamento. O software antivírus, que é executado após o carregamento do sistema operacional, é ineficaz na detecção e remediação de malware no ambiente de firmware de inicialização que é executado antes do sistema operacional. O Secure Boot fornece um mecanismo de validação que reduz o risco de exploração bem-sucedida de firmware e mitiga muitas vulnerabilidades publicadas no início da inicialização.”
Embora o documento seja destinado a servir como um guia para administradores em organizações governamentais dos EUA, como o Departamento de Defesa, ele também tem bons conselhos para aqueles no setor privado preocupados com informações de software, insiders desonestos e outros miscreants ganhando uma posição robusta nas redes corporativas.
A melhor maneira de evitar problemas, diz No Such Agency, é simplesmente evitar desligar o Secure Boot em primeiro lugar. A NSA reconhece que isso nem sempre é prático, e há uma série de situações em que o Secure Boot fica no caminho. Com isso em mente, a agência recomenda o seguinte:
* As máquinas executando o BIOS legado ou o Módulo de Suporte à Compatibilidade (CSM) devem ser migradas para o modo nativo UEFI.
* O Secure Boot deve ser ativado em todos os pontos finais e configurado para auditar módulos de firmware, dispositivos de expansão e imagens de SISTEMA INICIALIZÁVEIS (às vezes referido como Modo Completo).
* O Secure Boot deve ser personalizado, se necessário, para atender às necessidades das organizações e de seu hardware e software de suporte.
* O firmware deve ser protegido usando um conjunto de senhas de administrador apropriadas para os recursos de um dispositivo e caso de uso.
* O firmware deve ser atualizado regularmente e tratado tão importante quanto as atualizações do sistema operacional e do aplicativo.
* Um Módulo de Plataforma Confiável (TPM) deve ser aproveitado para verificar a integridade do firmware e a configuração Secure Boot.
Lembre-se, isso não significa que o firmware seguro-boot é infalível em parar infecções por bootkit e rootkit. A NSA observou que os PCs com o UEFI Fast Boot ativado podem não vetar o software tão completamente e, portanto, podem permitir que malwares como o LoJax passem.
Por causa disso, a agência aconselha as agências governamentais que são particularmente paranoicas com a segurança de sua rede a verificar as configurações do Secure Boot em todas as máquinas para se certificar de que eles configuraram as proteções adequadas e desativaram quaisquer desvios.
Outras opções para melhorar a segurança do Secure Boot incluem rodar seus próprios bancos de dados de licença e lista de negação e remover o banco de dados do Microsoft Certificate que é usado por padrão para verificar sistemas operacionais e componentes de hardware. Isso impediria, segundo a NSA, que os atacantes dentro rebaixem o SO ou instalassem outros componentes de hardware.
FONTE: THE REGISTER