Biztonságos bootfolyamat a Microsoft új technológiájával

Az elmúlt évtized fontos fejleménye volt az IT-biztonságban, hogy az operációs rendszerek (úgy általában) sokkal biztonságosabbá, szilárdabbá váltak. Egy modern rendszer mélységi védelmet nyújt a felhasználók számára, egy-egy sikeres támadáshoz már nem elegendő egyetlen biztonsági rés, hanem a különböző védelmi szinteken átjutást biztosító rések láncba fűzésére van szükség.

BESZIVÁROGNAK

A támadók azonban olyanok, mint a víz: arra mennek, amerre a legkisebb ellenállást érzékelik. És mivel az operációs rendszer már túl kemény dió, új, kevésbé védett elemekre vadásznak a számítógépeken. Az egyik ilyen pedig az operációs rendszer "alatt" dolgozó firmware (PC-n BIOS vagy UEFI, tableteken más technológia is használatos).

A számítógép bekapcsolásakor hagyományosan a firmware indul el elsőként, inicializálja a hardverkomponenseket, megkeresi az operációs rendszert és átadja annak az indítási folyamat vezérlését. A firmware azonban ezzel nem kapcsol le, a hardver és az operációs rendszer közötti összekötőként végzi a dolgát folyamatosan. A modern firmware-ek már roppant fejlett mini operációs rendszernek tekinthetőek, fejlett funkciókkal (például hálózatkezelés), ami miatt vonzó célponttá nőttek a potenciális támadók szemében.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

De nem csak ezért: a firmware tevékenységére az operációs rendszernek hagyományosan nagyon kis rálátása van, az ott futó kód teljesen transzparensen fut, azt sem az antivírus, sem az operációs rendszer más védelmi vonalai nem ellenőrzik (és nem is védik). A gyakorlatban ez azt jelenti, hogy ha az alaplapi UEFI támadás áldozatává válik, a támadók úgy szerezhetnek meg adatokat a gépről, hogy arról az operációs rendszernek arról voltaképpen "fogalma sincs".

A problémát a Microsoft új technológiája, a System Guard Secure Launch (SGSL) orvosolná. Ezt a várakozások szerint mind az Intel, mind az AMD implementálni fogja, utóbbi gyártó alapos dokumentációját az Ars Technica túrta fel, az Intel egyelőre csak marketinges szövegekben emlékezett meg az SGSL-ről.

Az SGSL frappáns megoldást nyújt a firmware-problémára: az igazi gond ugyanis az alaplapok elképesztő sokszínűsége, ami ellenőrizhetetlenné teszi az UEFI-frissítések ezreit (millióit?). A boot folyamat legeslegelején viszont nincs ilyen sokszínűség: a CPU ugyanis ma már két gyártótól érkezik a PC-s világban, az AMD-től vagy az Inteltől. Az SGSL ezért a CPU-ra integrált, ismerten biztonságos elemtől kezdi a tánclépéseket, amelynek végén ugye az operációs rendszer kezdheti a bootolást.

Az AMD esetében az első elem a SKINIT utasítás, amely teljesen alaphelyzetbe állítja a CPU összes paraméterét, így ismerten biztonságos konfigurációból indulhat a bootfolyamat. A következő elem a Secure Loader, amely átveszi a folyamat elejét és a TPM chippel együttműködésben levezényli a firmware betöltését és végrehajtását. A Secure Loader a firmware "alatt" dolgozik, validálja a firmware-t és a bootloadert, az operációs rendszer számára pedig olyan alacsony szintű adatokat gyűjt ki (memóriakiosztás, stb.), amelyek egy potenciális fertőzés jeleit tartalmazhatják. Ezeket betöltődés után az operációs rendszer ellenőrizni tudja, így betekintést kap a firmware tulajdonképpeni működésébe.

MÁR ITT IS VAN

Az Ars Technica kiemeli, ahogy az SGSL fontos eleme, hogy megakadályozza, hogy a firmware "takarítson" maga után: az ugyanis írásvédett formában a memóriában marad, így utólag az operációs rendszer ellenőrizheti, hogy pontosan milyen kód is futott előtte a számítógépen és utólag validálni tudja azt.

A jó hír, hogy a Secured-core PC kezdeményezés nem csak a következő években kerül a boltokba - a technológiával ellátott eszközök már most megvásárolhatóak, ezeket a Microsoft a saját Secured-core oldalán listázza is.