it-swarm.com.de

Verhindern des BIOS-Rootkits unter Ubuntu Linux

Abgesehen von den "Best Practices" der Standardsicherheit, wie einer guten Firewall, einem starken Administratorkennwort, der Sicherstellung der neuesten Sicherheitspatches und der Erhöhung der Routersicherheit, gibt es etwas Spezifischeres, das dazu beitragen kann, ein BIOS-Rootkit über Ubuntu (speziell) zu verhindern?

7
user637251

Seien Sie vorsichtig bei der Installation von Software aus unbekannten Quellen.

Weitere Ideen zur Sicherheit erhalten Sie in diesem Projekt:

https://en.wikipedia.org/wiki/Qubes_OS

Dieses Projekt wird von Sicherheitsexperten entwickelt.
Die Idee ist, Arbeit, Zuhause, Spielen usw. zu isolieren.

Sie können diese Isolationsidee bereits selbst verwenden, indem Sie Virtualbox, KVM und Qemu-Client-Gastinstallationen zum "Spielen" verwenden, um sich von Ihren wirklich wichtigen Dingen zu isolieren.

Haben Sie rkhunter installiert? Es ist ein Rootkit-Erkennungsprogramm. Sie können es installieren und ausführen

Sudo dpkg-reconfigure rkhunter

um die Einstellungen nach Ihrem Geschmack anzupassen. Sie können auch das chkrootkit -Paket installieren, aber mit chkrootkit erhalten Sie möglicherweise mehr Fehlalarme (je nachdem, welche anderen Programme Sie installieren oder ausgeführt haben). Was in Ordnung ist, wenn Sie herausfinden können, was den Fehlalarm verursacht ).

http://packages.ubuntu.com/search?keywords=rkhunter

https://en.wikipedia.org/wiki/Rkhunter

Außerdem können Sie Lynis installieren, um eine Sicherheitsprüfung auf Ihrem Computer durchzuführen.

https://en.wikipedia.org/wiki/Lynis

5
albert j

Afaik gab es bisher keine Beobachtung von BIOS Rootkit-Malware in freier Wildbahn, nur andere Rootkit-Typen. In diesem Punkt klingt Ihre Frage ziemlich hypothetisch, aber ich werde Sie trotzdem verwöhnen.

Bei allen Beispielen handelt es sich um allgemeine Sicherheitshinweise für alle Arten von Malware.

Wenn Sie nach Abwehrmaßnahmen speziell gegen Malware im BIOS suchen, ist Secure Boot die beste Option, um das zu verhindern Injizieren von nicht signierten Bootloadern und Kernelmodulen in den Bootprozess. Dies setzt voraus, dass das BIOS-Rootkit es geschafft hat, sich in die Systemfirmware einzufügen, aber Secure Boot nicht zu deaktivieren oder zu umgehen. Diese Situation kann eintreten, wenn die Malware in Form eines UEFI-Moduls vorliegt, das das Verhalten der UEFI-Kernfirmware nicht ändert.

Führen Sie keine nicht vertrauenswürdige Software in einer vertrauenswürdigen Umgebung aus - insbesondere nicht als Superuser oder im Kernel - und gewähren Sie nicht vertrauenswürdigen Personen physischen Zugriff auf Ihren Computer, damit die vertrauenswürdige Umgebung nicht selbst als nicht vertrauenswürdig eingestuft wird.

4
David Foerster

Nein, Sie haben bereits alle Grundlagen abgedeckt.

Vorausgesetzt, Sie verstehen und befolgen grundlegende Sicherheitsprotokolle (wie in Ihrem Beitrag beschrieben) und verhindern, dass nicht autorisierte Personen Ihren Computer verwenden, können Sie nicht viel anderes tun, um Rootkits oder ähnliches zu verhindern.

Der häufigste Einstiegspunkt für ein gut gewartetes und vernünftig gestaltetes System wäre die Verwendung von Zero-Day-Exploits oder offengelegten, aber noch nicht festgelegten Exploits, die jedoch zumeist unvermeidbar sind.

Ein weiterer Ratschlag ist, keine unnötige Angriffsfläche zu schaffen. Wenn Sie etwas nicht installieren müssen, entfernen Sie es, um zu verhindern, dass es gegen Sie verwendet wird. Gleiches gilt für PPAs und ähnliches. Außerdem hilft es Ihnen, Ihren Computer aufzuräumen und die Verwaltung zu vereinfachen.

Andernfalls installieren und verwenden Sie rkhunter und ähnliche Abwehrstrategien, und machen Sie einfach weiter, was Sie normalerweise tun. Die Berechtigungsisolation von Linux ist von Natur aus sicher. Wenn Sie also nichts dagegen unternehmen (wie das Ausführen von allem, was Sie können, mit Sudo), beliebige ausführbare Dateien ausführen und unbekannte/nicht vertrauenswürdige PPAs verwenden, sollten Sie in Ordnung sein.

Um BIOS-Rootkits zu vermeiden, überprüfen Sie, ob Ihr BIOS über einen "Signaturverifizierungsmodus" oder einen ähnlichen Modus verfügt. Ein solcher Modus verhindert die Aktualisierung Ihres BIOS, es sei denn, es erkennt eine gültige kryptografische Signatur, die normalerweise nur bei legitimen Updates Ihres Herstellers vorhanden ist.

3
Kaz Wolfe

Ja, laden Sie das Root-Kit nicht herunter und führen Sie es nicht aus. Es ist ziemlich einfach, ein Rootkit zu bekommen: Laden Sie es herunter, kompilieren Sie es, wenn es sich um eine Quelle handelt, führen Sie es aus und geben Sie Ihr Administratorkennwort (...).

Ubuntu Software Center ist frei von Rootkits, Viren und Malware. Launchpad-PPAs sind nicht so sicher wie USC, haben aber eine gute Erfolgsbilanz. Bei einigen Nachforschungen zu dem von Ihnen hinzugefügten PPA (z. B. überprüfen Sie askubuntu, ubuntuforums und ähnliche, um Bewertungen von anderen Benutzern zu erhalten).

Laden Sie keine Software nach dem Zufallsprinzip herunter. Benutze kein Windows. Verwenden Sie keinen Wein.

Und meiner Meinung nach sind Rootkit-Detektoren eine Verschwendung von Ressourcen. Selbst wenn sie jemals ein Rootkit entdecken, müssen Sie so viele Fehlalarme durchgehen, dass es unbrauchbar wird. Fühlen Sie sich frei, anders zu denken, aber ich habe noch niemanden gesehen, der tatsächlich ein Rootkit findet. Ganz zu schweigen von einem, der auf das BIOS von Linux abzielt. Die Themen im Web beziehen sich auf Linux und Rootkits, bei denen es zu Fehlalarmen kommt, weit außerhalb der Themen, bei denen es ein aktuelles Rootkit gibt. Verschwendung von Ressourcen. Ernsthaft.

Wenn Sie glauben, dass ein Rootkit-Detektor eine gute Sache ist, sollten Sie ZWEI davon installieren und die Ergebnisse vergleichen. Wenn einer behauptet, dass es ein Rootkit gibt und der andere nicht, können Sie davon ausgehen, dass es sich um ein falsches Positiv handelt. Und selbst wenn beide behaupten, dass es ein Rootkit gibt, ist es mehr als wahrscheinlich, dass es sich um ein falsches Positiv handelt.

2
Rinzwind

Wenn Sie kabelgebundenes Ethernet auf einer Intel vPro-CPU (Intel Core i3, i5, i7 und andere) verwenden, ist Ihnen möglicherweise die "Intel Management Engine" - eine separate CPU- und Verarbeitungsumgebung, die mit dem Hardware-Ethernet-Port verbunden ist - nicht bekannt.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Dieses Subsystem kann:

  • "Remote-Umleitung der System-E/A über die Konsolenumleitung über Seriell über LAN (SOL). Diese Funktion unterstützt Remote-Fehlerbehebung, Remote-Reparatur, Software-Upgrades und ähnliche Prozesse."
  • "Fernzugriff auf und Fernänderung von BIOS-Einstellungen. Diese Funktion ist auch dann verfügbar, wenn der PC ausgeschaltet ist, das Betriebssystem heruntergefahren ist oder die Hardware ausgefallen ist. Diese Funktion ermöglicht Fernaktualisierungen und Korrekturen von Konfigurationseinstellungen. Diese Funktion unterstützt vollständige BIOS-Aktualisierungen. nicht nur Änderungen an bestimmten Einstellungen. "

Dies scheint physischem Ethernet im Wesentlichen physischen Zugriff auf das Gerät zu ermöglichen. Wenn Sie besorgt sind, lassen Sie das Gerät möglicherweise vom Ethernet getrennt.

Obwohl ich den Nutzen all dessen in einer Unternehmensumgebung sehen kann, kann es bei einem Subsystem wie diesem einige Probleme geben ... Google "Intel Management Engine Vulnerability" und Sie werden viele Links finden.

1
user621557