Verhindern des BIOS-Rootkits unter Ubuntu Linux

7

Gibt es außer den üblichen "Best Practices" für die Sicherheit wie einer guten Firewall, einem starken Administratorkennwort, der Sicherstellung der neuesten Sicherheitspatches und der Erhöhung der Routersicherheit etwas Spezifischeres, das dazu beitragen kann, ein BIOS-Rootkit (speziell) über Ubuntu zu verhindern?

kernel security bios rootkit user637251
quelle
1
Sehr relevant .
Boris die Spinne

Antworten:

5

Seien Sie vorsichtig bei der Installation von Software aus unbekannten Quellen.

Wenn Sie sich dieses Projekt ansehen, erhalten Sie möglicherweise weitere Sicherheitsideen:

https://en.wikipedia.org/wiki/Qubes_OS

Dieses Projekt wird von Sicherheitsexperten entwickelt.
Die Idee ist, Arbeit, Zuhause, Spiel usw. zu isolieren.

Sie können diese Isolationsidee bereits selbst verwenden, indem Sie die Gastinstallation von Virtualbox, KVM und Qemu Client für "Play" verwenden, um sich von Ihren wirklich wichtigen Dingen zu isolieren.

Haben Sie rkhunter installiert? Es ist ein Rootkit-Erkennungsprogramm. Sie können es installieren und ausführen

sudo dpkg-reconfigure rkhunter

um die Einstellungen nach Ihrem Geschmack anzupassen. Sie können auch das chkrootkit- Paket installieren , aber chkrootkit gibt möglicherweise mehr Fehlalarme aus (abhängig davon, welche anderen Programme Sie installieren oder ausführen. Was in Ordnung ist, wenn Sie herausfinden können, was den Fehlalarm verursacht).

http://packages.ubuntu.com/search?keywords=rkhunter

https://en.wikipedia.org/wiki/Rkhunter

Darüber hinaus können Sie Lynis installieren , um eine Sicherheitsüberprüfung auf Ihrem Computer durchzuführen.

https://en.wikipedia.org/wiki/Lynis

albert j
quelle
4

Afaik gab es bisher keine Beobachtung von BIOS- Rootkit-Malware in freier Wildbahn, nur andere Rootkit-Typen. In dieser Hinsicht klingt Ihre Frage an dieser Stelle ziemlich hypothetisch, aber ich werde Sie trotzdem verwöhnen.

Alle Dinge, die Sie als Beispiele auflisten, sind allgemeine Sicherheitshinweise für alle Arten von Malware.

Wenn Sie im BIOS nach Schutzmaßnahmen speziell gegen Malware suchen, ist Secure Boot die beste Option , um zu verhindern, dass nicht signierte Bootloader und Kernelmodule in den Startvorgang eingefügt werden. Dies setzt voraus, dass es dem BIOS-Rootkit gelungen ist, sich in die Systemfirmware einzufügen, Secure Boot jedoch nicht zu deaktivieren oder zu umgehen. Diese Situation kann auftreten, wenn die Malware in Form eines UEFI-Moduls vorliegt, das das Verhalten der UEFI-Kernfirmware nicht ändert.

Führen Sie außerdem keine nicht vertrauenswürdige Software in einer vertrauenswürdigen Umgebung aus - insbesondere nicht als Superuser oder im Kernel - und gewähren Sie nicht vertrauenswürdigen Personen keinen physischen Zugriff auf Ihren Computer, damit die vertrauenswürdige Umgebung nicht selbst nicht vertrauenswürdig wird.

David Foerster
quelle
Danke David, ich habe nur eingeschränkten Zugriff auf my.bios auf 2 PCs mit Linux. Die Einschränkung schlägt vor, auf BIOS geändert zu werden, z. B. kann ich WLAN oder Bluetooth nicht ausschalten. Bluetooth und WLAN scheinen der Beginn der Angriffe zu sein. Es besteht die Möglichkeit, dass das Rootkit installiert wurde. Bevor ich von Windows zu Linux konvertierte. Könnte es sich um eine andere Form des Rootkits handeln, die sich auf die BIOS-Einstellungen auswirkt? Ich möchte sicherstellen, dass es keinem weiteren PC passiert.
user637251
Es ist mit ziemlicher Sicherheit etwas anderes. Wie ich bereits sagte, wurde bisher kein BIOS-Rootkit in freier Wildbahn gemeldet, obwohl es im Labor funktionierende Proofs of Concept gibt. Im Gegensatz zu Betriebssystemen unterscheiden sich BIOS-Implementierungen in der Regel erheblich, was Exploits gegen sie für Kriminelle schwierig und unwirtschaftlich macht. Wenn Sie also keine Regierung oder kein Drogenkartell verärgert haben, gibt es keinen Grund, eine BIOS-Infektion auf Ihrem System zu erwarten.
David Foerster
Ich bin sehr privat, ich verbringe die meiste Zeit mit Lernen und Arbeiten. Höchstwahrscheinlich ist es die große Bergbaugesellschaft, die ich wegen schlechten Verhaltens gerufen habe, als ich für sie an einem Sicherheitsprojekt gearbeitet habe (offensichtlich war ich dort nicht der Sicherheitsexperte). Diese Firma leitet praktisch das Land, in dem ich lebe. Sie verfügen über unbegrenzte Ressourcen, keine Ethik. Früher dachte ich, dass dieses Zeug nur in Filmen passiert ist, aber wenn ich die Ereignisse in meinem Leben für das letzte Jahr erzähle, würde man es unglaublich finden. Die Polizei arbeitet jetzt mit mir daran, aber ich habe nicht viel Hoffnung. Danke für den Hinweis.
user637251
Selbst wenn "unbegrenzte Ressourcen" wahr wären, heißt das nicht, dass sie über diese Art von Ressourcen verfügen . Wenn das Bergbauunternehmen eng mit der Regierung verbunden ist, hat es möglicherweise indirekten Zugang zu staatlichen Ressourcen. Je kleiner und korrupter die Regierung ist, desto geringer ist jedoch die Wahrscheinlichkeit, dass es Zugang zu modernster Überwachungstechnologie wie dieser hat. Zu diesem Zeitpunkt würde niemand es für einen einfachen Andersdenkenden verwenden, weil es eine Verschwendung wäre.
David Foerster
Ich stimme voll und ganz den verschwendeten Ressourcen zu. Ich verstehe es auch nicht. Das war alles, was ich mir einfallen lassen konnte. Ich hatte über einen langen Zeitraum mehrere Angriffe auf mehrere Geräte. Davon abgesehen entgeht mir ein Motiv. Ich beschäftige mich definitiv nicht mit Regierungsvertretern oder Drogenkartellen. Ich bin so ziemlich niemand.
user637251
3

Nein, Sie haben bereits alle Grundlagen abgedeckt.

Vorausgesetzt, Sie verstehen und befolgen grundlegende Sicherheitsprotokolle (wie in Ihrem Beitrag beschrieben) und verhindern, dass nicht autorisierte Personen Ihren Computer verwenden, können Sie nicht viel anderes tun, um Rootkits oder ähnliches zu verhindern.

Der häufigste Einstiegspunkt in ein gut gewartetes und vernünftig gestaltetes System wäre die Verwendung von Zero-Day- oder offengelegten, aber noch nicht festgelegten Exploits, die jedoch größtenteils unvermeidbar sind.

Ein weiterer Ratschlag, der hilfreich sein kann, besteht darin, die Schaffung einer unnötigen Angriffsfläche zu vermeiden. Wenn Sie nichts installiert haben müssen, entfernen Sie es, um zu verhindern, dass es gegen Sie verwendet wird. Gleiches gilt für PPAs und ähnliches. Außerdem hilft es dabei, Ihre Maschine aufzuräumen und die Verwaltung zu vereinfachen.

Andernfalls installieren und verwenden Sie rkhunterähnliche Verteidigungsstrategien und machen Sie einfach weiter, was Sie normalerweise tun. Die Berechtigungsisolation von Linux ist von Natur aus sicher. Wenn Sie also nicht etwas tun, um dies zu verletzen (z. B. alles sudoausführen, was Sie können ), willkürlich ausführbare Dateien ausführen und unbekannte / nicht vertrauenswürdige PPAs verwenden, sollten Sie in Ordnung sein.

Überprüfen Sie, ob Ihr BIOS über einen Modus zur Überprüfung der Signatur oder ähnliches verfügt, um BIOS-Rootkits speziell zu vermeiden. Ein solcher Modus verhindert, dass Ihr BIOS aktualisiert wird, es sei denn, es erkennt eine gültige kryptografische Signatur, die normalerweise nur bei legitimen Aktualisierungen Ihres Herstellers vorhanden ist.

Kaz Wolfe
quelle
2

Ja, laden Sie das Root-Kit nicht herunter und führen Sie es nicht aus. Es ist ziemlich einfach, ein Rootkit zu erhalten: Laden Sie es herunter, kompilieren Sie es, wenn es sich um eine Quelle handelt, führen Sie es aus und geben Sie ihm Ihr Administratorkennwort (...).

Das Ubuntu Software Center ist frei von Rootkits, Viren und Malware. Launchpad-PPAs sind nicht so sicher wie USC, haben aber eine gute Erfolgsbilanz. Mit einigen Nachforschungen über die PPA, die Sie hinzufügen (z. B. überprüfen Sie askubuntu, ubuntuforums und dergleichen auf Bewertungen von anderen Benutzern).

Laden Sie keine Software nach dem Zufallsprinzip herunter. Verwenden Sie kein Windows. Verwenden Sie keinen Wein.

Und meiner Meinung nach sind Rootkit-Detektoren eine Verschwendung von Ressourcen. Selbst wenn sie jemals ein Rootkit entdecken, müssen Sie so viele Fehlalarme durchgehen, dass es unbrauchbar wird. Fühlen Sie sich frei, anders zu denken, aber ich habe noch niemanden gesehen, der tatsächlich ein Rootkit gefunden hat. Ganz zu schweigen von einem, das auf das BIOS von Linux abzielt. Die Themen im Web bezogen sich auf Linux und Rootkits, bei denen es sich um Fehlalarme handelt, weit weit entfernt von den Themen, bei denen es tatsächlich ein Rootkit gibt. Verschwendung von Ressourcen. Ernsthaft.

Wenn Sie glauben, dass ein Rootkit-Detektor eine gute Sache ist, sollten Sie ZWEI davon installieren und die Ergebnisse vergleichen. Wenn einer behauptet, dass es ein Rootkit gibt und der andere nicht, können Sie davon ausgehen, dass es sich um ein falsches Positiv handelt. Und selbst wenn beide behaupten, dass es ein Rootkit gibt, ist es mehr als wahrscheinlich, dass es falsch positiv ist.

Rinzwind
quelle
1

Wenn Sie kabelgebundenes Ethernet auf einer Intel vPro-CPU (Intel Core i3, i5, i7 und andere) verwenden, ist Ihnen möglicherweise die "Intel Management Engine" nicht bekannt - eine separate CPU- und Verarbeitungsumgebung, die mit dem Hardware-Ethernet-Port verbunden ist.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Dieses Subsystem kann:

  • "Remote-Umleitung der E / A des Systems über die Konsolenumleitung über Serial over LAN (SOL). Diese Funktion unterstützt Remote-Fehlerbehebung, Remote-Reparatur, Software-Upgrades und ähnliche Prozesse."
  • "Remotezugriff auf und Ändern von BIOS-Einstellungen. Diese Funktion ist auch dann verfügbar, wenn der PC ausgeschaltet ist, das Betriebssystem ausfällt oder die Hardware ausgefallen ist. Diese Funktion ermöglicht Remote-Updates und Korrekturen der Konfigurationseinstellungen. Diese Funktion unterstützt vollständige BIOS-Updates. nicht nur Änderungen an bestimmten Einstellungen. "

Dies scheint dem physischen Ethernet im Wesentlichen physischen Zugriff auf das Gerät zu ermöglichen. Wenn Sie besorgt sind, lassen Sie das Gerät möglicherweise vom Ethernet getrennt.

Während ich einige der Nützlichkeiten all dessen in einer Unternehmensumgebung sehen kann, könnte es einige Probleme mit einem Subsystem wie diesem geben ... Google "Intel Management Engine Vulnerability" und Sie werden viele Links finden.


quelle
Vielen Dank, dass Sie mich darüber informiert haben. Ich hatte keine Ahnung. Ja, beide fraglichen Laptops fallen in diese Kategorien: beide i5. BIOS auf beiden jetzt völlig unzugänglich. Ich werde die Laptops definitiv offline lassen.
user637251