Coreboot, оно же LinuxBIOS: компрометация ядра и его защита

(Июнь 2019, idb)

Агентство национальной безопасности США присоединилось к разработке одной из открытых подсистем, критично важных для общей безопасности компьютера. Имеет смысл отчетливо представлять, почему это плохо. И каким образом такие вещи лечатся.

Что происходит

В июне 2019 года стало известно, что крупнейшая в мире спецслужба, АНБ США, вполне официально подключилась к работам по развитию Coreboot, известного международного проекта ПО с открытыми исходными кодами. Суть этого проекта, если совсем кратко, сводится к созданию и продвижению свободно открытой альтернативы для закрытых проприетарных кодов в прошивках программно-аппаратного обеспечения BIOS/UEFI.

Если же чуть подробнее, то Coreboot, прежде известный под названием LinuxBIOS, – это большой и долгосрочный проект движения программистов за открытые исходные коды, нацеленный на то, чтобы всюду, где только возможно, заменять загрузочные системы BIOS или UEFI, характерные для подавляющего большинства нынешних компьютеров, на их более подходящие альтернативы. Под более подходящими имеются в виду существенно облегченные, простые и быстрые программно-аппаратные прошивки, разработанные для выполнения минимального количества задач, необходимых для загрузки и запуска современной операционной системы.

Поначалу эта задача развивалась как проект в рамках движения ОС Linux, однако к настоящему времени Coreboot превращен в универсальный инструмент, позволяющий очень быстро и безопасно загружать в машину не только ядро Linux, но и множество прочих операционных систем или исполняемых файлов «полезной нагрузки».

Нынешнее же подключение к проекту со стороны американской спецслужбы ознаменовало, в частности, такое событие. Специалист-программист АНБ Юджин Майерс (Eugene Myers) начал передавать в Coreboot исходные тексты своих программ, реализующих важную подсистему монитора-гипервизора STM или SMI Transfer Monitor для процессоров Intel x86. Согласно официальным данным с веб-сайта АНБ, Майерс работает там в составе Исследовательской группы доверяемых систем, задача которой декларируется как «проведение и спонсирование исследований в области таких технологий, которые будут защищать завтрашние инфосистемы Америки»…

Еще чуть ранее, в начале июня этого года, АНБ сделало другой щедрый жест – открыто опубликовав для всех и с исходными текстами свой инструментальный пакет ПО Ghidra, предназначенный для обратного инженерного восстановления программ по их исполняемому коду. Практически сразу же вслед за этим сообщество разработчиков Coreboot взяло этот инструментарий в использование, поскольку он сильно облегчает работы по восстановлению кодов в проприетарных прошивках микросхем.

С одной стороны, как можно видеть, здесь обозначился неожиданно благолепный процесс «единения профессионалов» из мощной государственной спецслужбы и из движения сторонников за свободное программное обеспечение. Глядя же со стороны другой, однако, нет абсолютно никаких оснований предполагать, что АНБ США делает свои щедрые подарки ради «всеобщего блага и безопасности».

Если же присмотреться к происходящему чуть более внимательно, то становится ясно, что у проекта Coreboot обозначились тут очень большие и неприятные проблемы…

Читать «Coreboot, оно же LinuxBIOS: компрометация ядра и его защита» далее

UEFI как SNAFU

(Январь 2015)

Вольный перевод этих устоявшихся буквосочетаний на русский означает текущее состояние дел в одной конкретной области инфобезопасности: «С защитой BIOS в компьютерах ситуация нормальная – все профукано нафиг»…

snafu500

В компьютерной индустрии – также как в армии и в спецслужбах – страсть как любят применять всевозможные аббревиатуры. Любовь эта нередко бьет через край, и людей слабонервных доводит до бешенства. Ну а другим постоянно дает поводы поупражняться в остроумии.

Когда, скажем, на рынке появилось очередное чудо инфотехнологий под названием PCMCIA, то кто-то с юмором тут же расшифровал это спотыкучее буквосочетание так: People Cannot Memorize Computer Industry Abbreviations, то есть «Люди не способны запоминать аббревиатуры компьютерной индустрии». Шутка явно удалась, так что вскоре для той же самой вещи нашлось имя получше – просто «PC Card».

Но в общем и целом, впрочем, тучи всевозможных аббревиатур здесь были, есть и наверняка будут оставаться впредь. Ибо они неотъемлемой частью входят в технический жаргон профессионалов, а значит, пока есть специалисты, живет и этот птичий язык сокращений. Куда, кстати, органично входят не только технические, но и «ситуационные», так сказать, общечеловеческие крылатые выражения. Типа знаменитого SNAFU.

Местом и датой рождения этого не очень приличного термина принято считать американскую армию в начале 1940-х годов. Когда страна еще не вступила в войну, а скучающие призывники-резервисты на одной из баз развлекались тем, что для стандартных 5-буквенных групп в шифрованной телеграфной переписке придумывали свою собственную «расшифровку». Типа того, что сочетание букв НПЯСК в шифртексте следует читать как «Наш Полковник Ярдли Сущий Козёл».

Аналогично, для группы вида SNAFU придумали расшифровку «Situation Normal All Fucked Up» (ситуация нормальная – всем п***ц). Примерно тогда же случился разгром флота США в Пёрл-Харборе, подходящее новое словечко стало само вертеться на языке, пошло гулять по вооруженным силам, затем попало в прессу, а оттуда и в общий лексикон…

На сегодняшний день у термина «snafu» имеется собственная позиция практически в любом словаре современного английского языка – в культурно завуалированном, так сказать, значении «неразбериха, путаница». Однако, применительно к конкретной ситуации вокруг защиты компьютерной подсистемы BIOS и ее сравнительно новой инкарнации под названием UEFI, слово SNAFU куда больше подходит в своем грубо первозданном, очищенном от окультуривания виде.

Читать «UEFI как SNAFU» далее

BadBIOS, или Большие Проблемы

(Ноябрь 2013)

Третью неделю на сайтах и форумах компьютерной безопасности идет весьма эмоциональное обсуждение «новой» супер-угрозы под названием BadBIOS. Как это часто бывает, диапазон мнений и оценок тут довольно широк: от «параноидальная чушь» до «все это очень и очень серьезно».

bb

О том, почему данную компьютерную напасть следовало бы называть «новой» лишь в кавычках, будет рассказано чуть далее. Сначала же, для общего представления о масштабах проблемы, надо хотя бы в общих чертах обрисовать обстоятельства, при которых вредонос BadBIOS был обнаружен. А заодно и познакомиться с человеком, который ЭТО обнаружил, не первый год с изумлением изучает, и вот теперь вынес свои наблюдения на широкое обсуждение коллег и публики.

Читать «BadBIOS, или Большие Проблемы» далее

Угрозы на три буквы

(Май 2014)

Все знают, что выбор правильного названия для нового корабля, нового продукта или новой инициативы – дело очень важное. Особо же интересны такие случаи, когда тщательно подобранное название оказывается чем-то вроде «оговорки по Фрейду».

Malware-Trap

Ярчайший пример подобных казусов имел место весной 2003 года, когда госадминистрация США устроила международное военное вторжение в Ирак. Для общего именования этого мероприятия по свержению режима Саддама Хуссейна вашингтонские политтехнологи придумали специальное благородное название – Operation Iraqi Liberty, то есть «Операция Иракская Свобода».

Но затем красивое имя пришлось поспешно менять. Лишь после того, как исходное название уже было озвучено и растиражировано в средствах массовой информации, до лидеров великой державы дошло, наконец, что первые буквы их операции складываются в слово OIL или «НЕФТЬ». То есть в прямое указание на истинную цель новой войны, развязанной США абсолютно без всяких законных оснований и даже без сколь-нибудь убедительного повода.

История, о которой будет рассказано здесь, закручена вокруг совершенно других, казалось бы, вещей – типа цифровых мобильных устройств, компьютерной безопасности и тому подобного. Но если посмотреть на тему под определенным углом, то несложно заметить, что и здесь речь идет, в сущности, все о том же… Читать «Угрозы на три буквы» далее

Трындец, приехали, или Йожик здох…

(Апрель 2014)

Технический прогресс и логика шпионской жизни довели наши компьютеры вообще, и подсистему BIOS-UEFI в частности, до очень интересного состояния. И как теперь из него выбираться, никто толком не знает.

yozhik-v-tumane

В застойные брежневские времена ходил среди советских студентов такой, помнится, грустный анекдот.

Жили-были в лесной чаще два маленьких ёжика. Один совсем слепой, другой одноглазый. И вот решили они однажды развлечься – сходить к девочкам. Взял одноглазый слепого за лапку, и отправились они в путь. Долго шли по лесу, устали уже, и тут вдруг наткнулся зрячий ёжик на сучок – и лишился последнего глаза… «Ну все, трындец, пришли», – мрачно сказал проводник. «Здравствуйте, девочки!» – радостно воскликнул слепенький…

Созвучная этой притче история, о которой пойдет речь здесь, тоже начиналась довольно давно, еще в середине 1990-х годов. Именно тогда стали появляться первые новости о манипуляциях с прошивками BIOS, то есть с «базовой системой команд ввода-вывода» ПК, обеспечивающей самые начальные этапы загрузки компьютера сразу после включения питания.

В первом десятилетии нового века на хакерских конференциях не раз отмечались доклады, демонстрирующие, что в принципе код прошивки чипа BIOS (а также флеш-память других компонентов, вроде видеокарты, накопителя, сетевой платы и т.д.) позволяет прятать там шпионские бэкдоры или вирусы. При этом ни одна из антивирусных программ на рынке в таких местах искать вредоносные программы не умеет.

Докладчиков слушали, с выводами их соглашались, однако ничего конкретного для исправления ситуация никто практически не делал. Потому что память в BIOS очень маленькая, каждый производитель компьютеров (точнее, материнских плат) имеет для программирования BIOS собственное ПО и прошивки, заточенные под особенности конкретной архитектуры, все эти прошивки разных фирм имеют закрытый код и вообще друг с другом несовместимы.

Короче говоря, универсальной угрозы «для всех» тут не просматривалось и близко, а  масштабы распространения и серьезности вирусов «обычных» настолько огромны, что тема борьбы с инфекциями в BIOS представлялась всем, мягко говоря, неактуальной. Читать «Трындец, приехали, или Йожик здох…» далее

Против угона

(Июнь 2008)

В современные компьютеры очень энергично встраиваются неискоренимые «противоугонные средства». Иначе ту же самую технологию иногда называют «законный руткит». Может он, конечно, и законный, только вот с точки зрения безопасности – все равно – это очень опасный в потенциале руткит-вредонос.

laptop_chains

Современные компьютеры-ноутбуки имеют настолько заманчивое сочетание параметров типа размер / цена / рыночный спрос, что их кражи ныне стабильно занимают верхние строчки в полицейской статистике преступлений. По данным американского ФБР, сейчас по меньшей мере один из каждых 10 новых ноутбуков оказывается украден в течение первых 12 месяцев.

При несколько ином пересчете накопленных данных это означает, что за год лишь в одних США похищается порядка 2 миллионов ноутбуков. Откуда самоочевидно, насколько остра сегодня потребность в надежных и эффективных средствах для защиты от компьютерных краж.

На весеннем IDF, Форуме разработчиков Intel, в этом (2008) году проходившем в Шанхае, впервые прозвучало объявление об ATT или новой «противоугонной технологии» корпорации. Короткая аббревиатура расшифровывается как Anti-Theft Technology, а собственно подсистема, реализующая ATT, планируется к встраиванию непосредственно в чипы Intel и должна появиться на рынке уже совсем скоро.

По давно сложившейся традиции, всякий раз, когда речь заходит о новых технологиях безопасности, в Intel категорически не желают раскрывать подробности устройства и функционирования системы. Однако при этом весьма охотно рассказывают о том, какие цели планируется достичь с помощью новых разработок. Читать «Против угона» далее

UEFI: Хотели как лучше…

(Октябрь 2011)

На смену системе BIOS, обеспечивающей загрузку компьютера, приходит нечто совершенно новое под названием UEFI. К сожалению, помимо массы позитивных новшеств появляется и куча новых проблем, особенно с безопасностью.

WhatisUEFI

UEFI или BIOS 2.0

Разработанная свыше 30 лет назад для персональных компьютеров IBM PC, система BIOS (или «базовая система ввода-вывода») уже лет пятнадцать как считается реликтом древней эпохи. Жизнь, однако, распорядилась так, что подходящих альтернатив очень долго не находилось. Поэтому лишь теперь сложились подходящие обстоятельства и, соответственно, пошли разговоры, что BIOS, наконец-то, начинает сдавать свои доминирующие на рынке позиции.

На ее место приходит система UEFI, комплекс спецификаций в свое время появившийся как «загрузочная инициатива Интел» (Intel Boot Initiative) в далеком уже 1998 году. Причиной рождения инициативы было то, что обусловленные древностью BIOS ограничения стали ощутимо тормозить прогресс вычислительных систем на основе новейших в ту пору интеловских процессоров Itanium.

Несколько позже эта же инициатива стала называться EFI, а в 2005 году корпорация подарила свою разработку специально созданному под нее консорциуму UEFI Forum, главными членами которого стали – помимо Intel – ведущие фирмы компьютерной индустрии вроде AMD, Apple, IBM, Microsoft и так далее.

Не самая благозвучная на слух аббревиатра UEFI расшифровывается как Unified Extensible Firmware Interface и представляет собой весьма радикальное преобразование традиционной для компьютеров процедуры загрузки. Можно даже говорить, что перемены здесь настолько существенны, что UEFI не имеет практически ничего общего с системой PC BIOS, вместо которой она предназначена.

В то время как BIOS по сути своей является весьма жестким и фактически неизменным по содержанию кодом прошивки специального BIOS-чипа, система UEFI представляет собой скорее гибко программируемый интерфейс. А расположен этот интерфейс поверх всех аппаратных компонентов компьютера с их собственными прошивками-микрокодами. Поскольку BIOS системной платы тоже является одним из таких компонентов, вполне справедливо говорить, что UEFI может и действительно сидит поверх BIOS. Читать «UEFI: Хотели как лучше…» далее