Rischio bootkit anche per UEFI e Windows 8

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/rischio-b...s-8_43853.html

ITSEC ha realizzato un bootkit - proof-of-concept - in grado di funzionare anche con sistemi che utilizzano UEFI e sistema operativo Windows 8.

Click sul link per visualizzare la notizia.

[Unrealizer]

Niente di strano, prima esistevano i virus che si installavano nell'MBR, ora fanno lo stesso tramite UEFI.

Secure Boot è nato per questo.

[Mookas]

Microsoft si trova ad essere sempre più simile ad Apple per colpa della sicurezza, bloccando a destra e manca, non ci si può fare nulla finchè al mondo esistono i disonesti, solo con le chiavi si tengono fuori di casa (e a volte non bastano).

[pabloski]

Quote:

Originariamente inviato da Unrealizer

Niente di strano, prima esistevano i virus che si installavano nell'MBR, ora fanno lo stesso tramite UEFI.

Secure Boot è nato per questo.

Il problema è che UEFI rende il tutto molto più semplice. Ad esempio non c'è più il limite dei 512 bytes imposto da MBR, c'è un bel framework a disposizione per scrivere malware pure complesso che gira senza os.

Insomma, un bel vantaggio per i cattivi.

Riguardo il secure boot, nemmeno lo considero, visto che rubare 2 chiavi private è ormai cosa semplicissima per la criminalità organizzata.

[Thehacker66]

Se il fine ultimo è quello di avere accesso ai dati, basta usare BitLocker e si può stare tranquilli. Zero impatto sulle prestazioni durante l'uso quotidiano (di qualsiasi tipo) e massima sicurezza. Anche con i mezzi della criminalità mi faccio quattro risate a pensare quanto ci metterebbero a decriptare la chiave a 128 bit AES.

[pabloski]

Quote:

Originariamente inviato da Thehacker66

Se il fine ultimo è quello di avere accesso ai dati, basta usare BitLocker e si può stare tranquilli. Zero impatto sulle prestazioni durante l'uso quotidiano (di qualsiasi tipo) e massima sicurezza. Anche con i mezzi della criminalità mi faccio quattro risate a pensare quanto ci metterebbero a decriptare la chiave a 128 bit AES.

Bitlocker non ti può proteggere da un malware che parte prima del sistema operativo, poi carica il sistema operativo con tanto di richiesta d'inserimento della chiave d'accesso.

Qui non si parla di un programma che analizza offline il disco, ma di un programma che fa parte della sequenza di bootstrap.

[DooM1]

Secondo me certe cose base, come BIOS, MBR, ecc., devono rimanere più semplici possibile.
Più sono complesse e facilitate, e più sono "bucabili".
Altrimenti ci vuole qualcosa tipo una soluzione hardware per poter lockare e unlockare quella parte del disco, in modo che ci si possa scrivere solo quando lo dico io, per il resto del tempo, la maggior parte, quando non devo installare nessun sistema operativo, rimane a sola lettura.

[Thehacker66]

Quote:

Originariamente inviato da pabloski

Bitlocker non ti può proteggere da un malware che parte prima del sistema operativo, poi carica il sistema operativo con tanto di richiesta d'inserimento della chiave d'accesso.

Qui non si parla di un programma che analizza offline il disco, ma di un programma che fa parte della sequenza di bootstrap.

Non cambia nulla per me che uso una chiavetta usb per sbloccare BitLocker ancora prima che parta il sistema operativo. Quindi anche se dopo questo passaggio mi intercettassero la password di windows, mi farei lo stesso quelle quattro risate di prima.

[AlexSwitch]

Invece cambia perché i sistemi EFI/UEFI sono molto diversi dal BIOS....
Come ha scritto pabloski, UEFI è un microOS, con tanto di framework, che si occupa dell'inizializzazione dell'hardware e del boot dell'OS. Inserire un malware all'interno del codice UEFI anticiperebbe le protezioni di BitLocker visto che potrebbe accedere alla chiave indipendentemente dal supporto ove questa risieda, dalle modalità con cui viene usata ed in maniera diretta ( soprattutto se l'hardware è fornito di chip TPM che dovrebbe essere riconosciuto ed inizializzato da UEFI ).

[pabloski]

Quote:

Originariamente inviato da Thehacker66

Non cambia nulla per me che uso una chiavetta usb per sbloccare BitLocker ancora prima che parta il sistema operativo. Quindi anche se dopo questo passaggio mi intercettassero la password di windows, mi farei lo stesso quelle quattro risate di prima.

La chiavetta usb fornisce solo il keyfile al sistema operativo, ma è sempre quest'ultimo ad occuparsi di tutto lo sblocco del filesystem.

Un rootkit EFI ti patcha il sistema operativo al volo, durante il bootstrap e in questo modo può leggere pure la chiave memorizzata nella chiavetta usb.

Il punto è che il malware sta lì, in ram, e puoi spiare tutto quello che succede. Quindi o tu semplicemente non accedi ai volumi criptati oppure sei fregato in ogni caso.

I volumi criptati hanno valore solo quando l'attaccante ne analizza il contenuto offline ( ad esempio sfilando l'hard disk dal computer e cercando di leggerlo ).

[Spectrum7glr]

a parte il proof of concept come si potrebbe iniettare il codice malevolo dall'esterno? un conto è aveer il pc in mano, un altro è cercare di farlo dall'esterno...

[Z80Fan]

Mi chiedevo giusto quanto ci avrebbero messo a crackare il Secure Boot...

E cmq io non capisco proprio: se volevano impedire che un malware si installasse dentro la flash del BIOS, non potevano mettere di default la flash read-only, e un banale bottoncino sulla scheda madre che la abilitava in caso uno volesse aggiornare il BIOS? Di sicuro non è un'operazione talmente frequente che è necessaria una flash sempre scrivibile.

Cmq io penso che UEFI sia stata un'involuzione: tutto quello che avrebbero dovuto fare per ottenere un BIOS moderno sarebbe stato eliminare tutta la roba a 16-bit e avere del codice accessibile in modalità protetta, niente altro. Via tutti gli interrupt e cose simili a 16 bit, al diavolo MS-DOS, lasciare solo delle funzioni che permettono all'OS di fare query sull'hardware presente e basta, tanto il BIOS viene già tagliato fuori dall'OS nelle primissime fasi di boot.

[Unrealizer]

Quote:

Originariamente inviato da Z80Fan

Mi chiedevo giusto quanto ci avrebbero messo a crackare il Secure Boot...

Infatti non hanno crackato il secure boot

[pabloski]

Quote:

Originariamente inviato da Spectrum7glr

a parte il proof of concept come si potrebbe iniettare il codice malevolo dall'esterno? un conto è aveer il pc in mano, un altro è cercare di farlo dall'esterno...

Se ti riferisci al malware per EFI, i metodi di iniezione sono i soliti. Funzionano tutti senza avere accesso fisico al pc.

[LMCH]

Quote:

Originariamente inviato da pabloski

Se ti riferisci al malware per EFI, i metodi di iniezione sono i soliti. Funzionano tutti senza avere accesso fisico al pc.

Che a pensarci è davvero grottesco.
I sistemi attuali sono così complessi che devono per forza essere aggiornabili, ma il fatto di essere aggiornabili li rende potenzialmente vulnerabili a prescindere, non importa quali meccanismi di sicurezza essi utilizzano.
Ovvero: se si può riscrivere è pure crackabile.

[!fazz]

Quote:

Originariamente inviato da Z80Fan

Mi chiedevo giusto quanto ci avrebbero messo a crackare il Secure Boot...

E cmq io non capisco proprio: se volevano impedire che un malware si installasse dentro la flash del BIOS, non potevano mettere di default la flash read-only, e un banale bottoncino sulla scheda madre che la abilitava in caso uno volesse aggiornare il BIOS? Di sicuro non è un'operazione talmente frequente che è necessaria una flash sempre scrivibile.

Cmq io penso che UEFI sia stata un'involuzione: tutto quello che avrebbero dovuto fare per ottenere un BIOS moderno sarebbe stato eliminare tutta la roba a 16-bit e avere del codice accessibile in modalità protetta, niente altro. Via tutti gli interrupt e cose simili a 16 bit, al diavolo MS-DOS, lasciare solo delle funzioni che permettono all'OS di fare query sull'hardware presente e basta, tanto il BIOS viene già tagliato fuori dall'OS nelle primissime fasi di boot.

il bottoncino costa :-(

[DooM1]

Quote:

Originariamente inviato da !fazz

il bottoncino costa :-(

Mah non più di tanto.
Esistono vari metodi, come per esempio quello del jumper, che ha un costo basso, non parlo del jumper in sé, ma anche dell'implementazione sulla scheda, non penso proprio che sia tanto costoso.
Il problema sono poi gli OEM che richiederebbero all'utente di aprire il PC per aggiornare, mentre invece non vorrebbero che ci mettessero il naso.
Ma è risolvibile con un pulsante fuori dal case, pochi € di roba.
Magari un interruttore a chiave per alcuni modelli prestigiosi.

[Unrealizer]

Quote:

Originariamente inviato da !fazz

il bottoncino costa :-(

Quote:

Originariamente inviato da DooM1

Mah non più di tanto.
Esistono vari metodi, come per esempio quello del jumper, che ha un costo basso, non parlo del jumper in sé, ma anche dell'implementazione sulla scheda, non penso proprio che sia tanto costoso.
Il problema sono poi gli OEM che richiederebbero all'utente di aprire il PC per aggiornare, mentre invece non vorrebbero che ci mettessero il naso.
Ma è risolvibile con un pulsante fuori dal case, pochi € di roba.
Magari un interruttore a chiave per alcuni modelli prestigiosi.

Non vorrei sbagliarmi, ma mi pare che su alcune mobo Intel (come la DG945CLF in firma) ci sia proprio un jumper da spostare per portare il bios in modalità reflash. Appena ho 5 minuti di tempo cerco il manuale e verifico

[DooM1]

Quote:

Originariamente inviato da M47AMP

Metteranno uno sportellino?

Beh non è che aggiungono uno sportellino solo per il jumper.
Basta a mettere il jumper dove c'è uno sportellino

Quote:

Originariamente inviato da Unrealizer

Non vorrei sbagliarmi, ma mi pare che su alcune mobo Intel (come la DG945CLF in firma) ci sia proprio un jumper da spostare per portare il bios in modalità reflash. Appena ho 5 minuti di tempo cerco il manuale e verifico

Si si su alcune c'è, ma sono molto rare.
E comunque qui stiamo parlando che dovrebbero fare la stessa cosa per l'MBR (o meglio i settori di avvio) dell'Hard Disk