Материалы
16 - 17 ноября 2017
|
Москва, КЦ ЗИЛ
17 ноября

Предаем BIOS: что не так со стражами BIOS

Track 2

Эта презентация призвана стать сигналом для поставщиков оборудования, исследователей безопасности BIOS и специалистов по безопасности, а также продвинутых заинтересованных лиц, которые хотят знать об актуальных исследованиях UEFI и обнаруженных угрозах. Ситуация серьезная, но с правильными инструментами и знаниями мы одержим вверх. В последние годы ситуация с безопасностью прошивки UEFI становится все более критической. С одной стороны, повысилась активность со стороны сообщества исследователей ИБ. С другой, появляется все больше информации об имплантах для UEFI, например, это профинансированные государством импланты от HackingTeam. Чаще всего информация становится достоянием общественности из-за утечек, потому что средств обнаружения имплантов для UEFI нет, а сами импланты используют для нацеленных атак.

Роль UEFI в мире значительно возросла в последние годы: прошивку используют в компьютерах и ноутбуках, умных устройствах, автомобилях, дронах и так далее. К счастью, безопасность UEFI также улучшается по многим направлениям. Уровень безопасности, который показывают современные поставщики оборудования для предприятий значительно вырос. Однако не все поставщики одинаковые. К сожалению, некоторые из них не используют современные аппаратные средства защиты, например, представленные Intel много лет назад защитные биты для SMM и SPI (BLE, BWE, PRx). Так как активной защиты памяти на аппаратном уровне нет, устройства этих производителей становятся легкими мишенями для атакующих. В моем выступлении на Black Hat Asia в этом году я показал эти уязвимости, установив постоянный руткит во флэш-память с SPI (на компьютере с Microsoft Windows 10 и активным Secure Boot). Однако производители оборудования, такие как Intel, представили технологии защиты, например Boot Guard (начиная с Haswell) и BIOS Guard (начиная с Skylake). При загрузке платформы Boot Guard проверяет, входит ли UEFI в список доверенных компонентов Secure Boot, и, таким образом, защищает его от атак с использованием прошивки. При активном BIOS Guard флэш-память с SPI могут модифицировать только защищенные модули, что защищает от постоянных имплантов. Обе технологии запускаются на отдельном процессоре, известном как ACM (Authenticated Code Module), который изолирует их от злоумышленников и защищает от атак в состоянии гонки. Такие защитные технологии иногда называют убийцами руткитов UEFI. Об этих технологиях нет подробных сведений.

В данной презентации я расскажу о конкретных возможностях их применения на оборудовании с самыми современными процессорами Intel, например Skylake и Kaby Lake. Большая часть доступной информации была получена из модулей прошивки UEFI с помощью обратной инженерии. Данные модули (DXE и PEI) можно запускать, настраивать и устанавливать, используя код ACM. Кроме того, в докладе я затрону слабые стороны таких защитных технологий. Что не так со стражами BIOS? Насколько сложно обойти такую защиту и установить постоянный руткит из операционной системы? Ответы на эти вопросы вы получите в докладе.

Регистрация

Перейти к заказу билетов

Как добраться?

Москва, Культурный Центр ЗИЛ