PDA

View Full Version : Rischio bootkit anche per UEFI e Windows 8


Redazione di Hardware Upg
20-09-2012, 13:18
Link alla notizia: http://www.hwfiles.it/news/rischio-bootkit-anche-per-uefi-e-windows-8_43853.html

ITSEC ha realizzato un bootkit - proof-of-concept - in grado di funzionare anche con sistemi che utilizzano UEFI e sistema operativo Windows 8.

Click sul link per visualizzare la notizia.

Unrealizer
20-09-2012, 13:43
Niente di strano, prima esistevano i virus che si installavano nell'MBR, ora fanno lo stesso tramite UEFI.

Secure Boot è nato per questo.

Mookas
20-09-2012, 13:47
Microsoft si trova ad essere sempre più simile ad Apple per colpa della sicurezza, bloccando a destra e manca, non ci si può fare nulla finchè al mondo esistono i disonesti, solo con le chiavi si tengono fuori di casa (e a volte non bastano).

pabloski
20-09-2012, 13:49
Niente di strano, prima esistevano i virus che si installavano nell'MBR, ora fanno lo stesso tramite UEFI.

Secure Boot è nato per questo.

Il problema è che UEFI rende il tutto molto più semplice. Ad esempio non c'è più il limite dei 512 bytes imposto da MBR, c'è un bel framework a disposizione per scrivere malware pure complesso che gira senza os.

Insomma, un bel vantaggio per i cattivi.

Riguardo il secure boot, nemmeno lo considero, visto che rubare 2 chiavi private è ormai cosa semplicissima per la criminalità organizzata.

Thehacker66
20-09-2012, 14:15
Se il fine ultimo è quello di avere accesso ai dati, basta usare BitLocker e si può stare tranquilli. Zero impatto sulle prestazioni durante l'uso quotidiano (di qualsiasi tipo) e massima sicurezza. Anche con i mezzi della criminalità mi faccio quattro risate a pensare quanto ci metterebbero a decriptare la chiave a 128 bit AES.

pabloski
20-09-2012, 14:19
Se il fine ultimo è quello di avere accesso ai dati, basta usare BitLocker e si può stare tranquilli. Zero impatto sulle prestazioni durante l'uso quotidiano (di qualsiasi tipo) e massima sicurezza. Anche con i mezzi della criminalità mi faccio quattro risate a pensare quanto ci metterebbero a decriptare la chiave a 128 bit AES.

Bitlocker non ti può proteggere da un malware che parte prima del sistema operativo, poi carica il sistema operativo con tanto di richiesta d'inserimento della chiave d'accesso.

Qui non si parla di un programma che analizza offline il disco, ma di un programma che fa parte della sequenza di bootstrap.

DooM1
20-09-2012, 14:54
Secondo me certe cose base, come BIOS, MBR, ecc., devono rimanere più semplici possibile.
Più sono complesse e facilitate, e più sono "bucabili".
Altrimenti ci vuole qualcosa tipo una soluzione hardware per poter lockare e unlockare quella parte del disco, in modo che ci si possa scrivere solo quando lo dico io, per il resto del tempo, la maggior parte, quando non devo installare nessun sistema operativo, rimane a sola lettura.

Thehacker66
20-09-2012, 15:03
Bitlocker non ti può proteggere da un malware che parte prima del sistema operativo, poi carica il sistema operativo con tanto di richiesta d'inserimento della chiave d'accesso.

Qui non si parla di un programma che analizza offline il disco, ma di un programma che fa parte della sequenza di bootstrap.

Non cambia nulla per me che uso una chiavetta usb per sbloccare BitLocker ancora prima che parta il sistema operativo. Quindi anche se dopo questo passaggio mi intercettassero la password di windows, mi farei lo stesso quelle quattro risate di prima.

AlexSwitch
20-09-2012, 15:22
Invece cambia perché i sistemi EFI/UEFI sono molto diversi dal BIOS....
Come ha scritto pabloski, UEFI è un microOS, con tanto di framework, che si occupa dell'inizializzazione dell'hardware e del boot dell'OS. Inserire un malware all'interno del codice UEFI anticiperebbe le protezioni di BitLocker visto che potrebbe accedere alla chiave indipendentemente dal supporto ove questa risieda, dalle modalità con cui viene usata ed in maniera diretta ( soprattutto se l'hardware è fornito di chip TPM che dovrebbe essere riconosciuto ed inizializzato da UEFI ).

pabloski
20-09-2012, 15:50
Non cambia nulla per me che uso una chiavetta usb per sbloccare BitLocker ancora prima che parta il sistema operativo. Quindi anche se dopo questo passaggio mi intercettassero la password di windows, mi farei lo stesso quelle quattro risate di prima.

La chiavetta usb fornisce solo il keyfile al sistema operativo, ma è sempre quest'ultimo ad occuparsi di tutto lo sblocco del filesystem.

Un rootkit EFI ti patcha il sistema operativo al volo, durante il bootstrap e in questo modo può leggere pure la chiave memorizzata nella chiavetta usb.

Il punto è che il malware sta lì, in ram, e puoi spiare tutto quello che succede. Quindi o tu semplicemente non accedi ai volumi criptati oppure sei fregato in ogni caso.

I volumi criptati hanno valore solo quando l'attaccante ne analizza il contenuto offline ( ad esempio sfilando l'hard disk dal computer e cercando di leggerlo ).

Spectrum7glr
20-09-2012, 16:54
a parte il proof of concept come si potrebbe iniettare il codice malevolo dall'esterno? un conto è aveer il pc in mano, un altro è cercare di farlo dall'esterno...

Z80Fan
20-09-2012, 17:05
Mi chiedevo giusto quanto ci avrebbero messo a crackare il Secure Boot...

E cmq io non capisco proprio: se volevano impedire che un malware si installasse dentro la flash del BIOS, non potevano mettere di default la flash read-only, e un banale bottoncino sulla scheda madre che la abilitava in caso uno volesse aggiornare il BIOS? Di sicuro non è un'operazione talmente frequente che è necessaria una flash sempre scrivibile.

Cmq io penso che UEFI sia stata un'involuzione: tutto quello che avrebbero dovuto fare per ottenere un BIOS moderno sarebbe stato eliminare tutta la roba a 16-bit e avere del codice accessibile in modalità protetta, niente altro. Via tutti gli interrupt e cose simili a 16 bit, al diavolo MS-DOS, lasciare solo delle funzioni che permettono all'OS di fare query sull'hardware presente e basta, tanto il BIOS viene già tagliato fuori dall'OS nelle primissime fasi di boot.

Unrealizer
20-09-2012, 18:19
Mi chiedevo giusto quanto ci avrebbero messo a crackare il Secure Boot...


Infatti non hanno crackato il secure boot

pabloski
20-09-2012, 18:41
a parte il proof of concept come si potrebbe iniettare il codice malevolo dall'esterno? un conto è aveer il pc in mano, un altro è cercare di farlo dall'esterno...

Se ti riferisci al malware per EFI, i metodi di iniezione sono i soliti. Funzionano tutti senza avere accesso fisico al pc.

LMCH
21-09-2012, 02:56
Se ti riferisci al malware per EFI, i metodi di iniezione sono i soliti. Funzionano tutti senza avere accesso fisico al pc.

Che a pensarci è davvero grottesco.
I sistemi attuali sono così complessi che devono per forza essere aggiornabili, ma il fatto di essere aggiornabili li rende potenzialmente vulnerabili a prescindere, non importa quali meccanismi di sicurezza essi utilizzano.
Ovvero: se si può riscrivere è pure crackabile.

!fazz
26-09-2012, 14:20
Mi chiedevo giusto quanto ci avrebbero messo a crackare il Secure Boot...

E cmq io non capisco proprio: se volevano impedire che un malware si installasse dentro la flash del BIOS, non potevano mettere di default la flash read-only, e un banale bottoncino sulla scheda madre che la abilitava in caso uno volesse aggiornare il BIOS? Di sicuro non è un'operazione talmente frequente che è necessaria una flash sempre scrivibile.

Cmq io penso che UEFI sia stata un'involuzione: tutto quello che avrebbero dovuto fare per ottenere un BIOS moderno sarebbe stato eliminare tutta la roba a 16-bit e avere del codice accessibile in modalità protetta, niente altro. Via tutti gli interrupt e cose simili a 16 bit, al diavolo MS-DOS, lasciare solo delle funzioni che permettono all'OS di fare query sull'hardware presente e basta, tanto il BIOS viene già tagliato fuori dall'OS nelle primissime fasi di boot.

il bottoncino costa :-(

DooM1
26-09-2012, 14:29
il bottoncino costa :-(
Mah non più di tanto.
Esistono vari metodi, come per esempio quello del jumper, che ha un costo basso, non parlo del jumper in sé, ma anche dell'implementazione sulla scheda, non penso proprio che sia tanto costoso.
Il problema sono poi gli OEM che richiederebbero all'utente di aprire il PC per aggiornare, mentre invece non vorrebbero che ci mettessero il naso.
Ma è risolvibile con un pulsante fuori dal case, pochi € di roba.
Magari un interruttore a chiave per alcuni modelli prestigiosi.

Unrealizer
26-09-2012, 17:03
il bottoncino costa :-(

Mah non più di tanto.
Esistono vari metodi, come per esempio quello del jumper, che ha un costo basso, non parlo del jumper in sé, ma anche dell'implementazione sulla scheda, non penso proprio che sia tanto costoso.
Il problema sono poi gli OEM che richiederebbero all'utente di aprire il PC per aggiornare, mentre invece non vorrebbero che ci mettessero il naso.
Ma è risolvibile con un pulsante fuori dal case, pochi € di roba.
Magari un interruttore a chiave per alcuni modelli prestigiosi.

Non vorrei sbagliarmi, ma mi pare che su alcune mobo Intel (come la DG945CLF in firma) ci sia proprio un jumper da spostare per portare il bios in modalità reflash. Appena ho 5 minuti di tempo cerco il manuale e verifico :D

DooM1
26-09-2012, 17:30
Metteranno uno sportellino?
Beh non è che aggiungono uno sportellino solo per il jumper.
Basta a mettere il jumper dove c'è uno sportellino ;)


Non vorrei sbagliarmi, ma mi pare che su alcune mobo Intel (come la DG945CLF in firma) ci sia proprio un jumper da spostare per portare il bios in modalità reflash. Appena ho 5 minuti di tempo cerco il manuale e verifico :D
Si si su alcune c'è, ma sono molto rare.
E comunque qui stiamo parlando che dovrebbero fare la stessa cosa per l'MBR (o meglio i settori di avvio) dell'Hard Disk :)