Evitando o rootkit do BIOS no Ubuntu Linux

Tenha cuidado ao instalar software de fontes desconhecidas.

Você pode obter mais ideias de segurança observando este projeto:

link

Esse projeto é desenvolvido por especialistas em segurança.
A ideia é isolar trabalho, casa, brincar etc.

Você mesmo pode usar essa ideia de isolamento usando VirtualBox, KVM, instalação de convidado do cliente Qemu para "reproduzir", portanto, tendo algum isolamento de suas coisas reais importantes.

Você tem rkhunter instalado? É um programa de detecção de rootkit. Você pode instalá-lo e executar

sudo dpkg-reconfigure rkhunter

para ajustar as configurações ao seu gosto. Também é possível instalar o pacote chkrootkit , mas o chkrootkit pode fornecer mais alarmes falsos (dependendo de quais outros programas você instalará ou terá em execução O que é bom se puder descobrir o que está causando o alarme falso).

link

link

Além disso, você também pode instalar o Lynis para realizar uma verificação de segurança no seu computador.

link

Afaik não houve observação de BIOS malware rootkit em estado selvagem, apenas outros tipos de rootkit. Então, nesse aspecto, sua pergunta parece bastante hipotética neste momento, mas vou satisfazê-lo de qualquer maneira.

Todas as coisas que você está listando como exemplos são conselhos gerais de segurança contra todos os tipos de malware.

Se você está procurando por defesas especificamente contra malware no BIOS, sua melhor opção é Secure Boot que ajuda a impedir a injeção de carregadores de inicialização não assinados e módulos do kernel no processo de inicialização. Isso pressupõe que o rootkit da BIOS tenha conseguido se inserir no firmware do sistema, mas não desabilitar ou burlar a inicialização segura. Essa situação pode acontecer se o malware vier na forma de um módulo UEFI que não modifique o comportamento do firmware UEFI principal.

Além disso, não execute software não confiável em um ambiente confiável - especialmente não como superusuário ou no kernel - e não permita que pessoas indignas de confiança acessem fisicamente sua máquina, para que o ambiente confiável não seja convertido não confiável em si.

Não, você já cobriu todas as bases.

Desde que você entenda e siga os protocolos básicos de segurança (como você discutiu no seu post) e evite que pessoas não autorizadas usem sua máquina, não há muito o que fazer para evitar rootkits ou similares.

O ponto de entrada mais comum em um sistema bem conservado e projetado de forma simples seria através do uso de exploits de dia zero ou descobertos, mas ainda não corrigidos, mas estes são principalmente inevitáveis.

O outro conselho que pode ser útil é evitar criar uma superfície desnecessária para o ataque. Se você não precisa de algo instalado, elimine-o para evitar que ele seja usado contra você. O mesmo vale para os PPAs e similares. Além disso, ajuda a limpar sua máquina e facilita a administração.

Caso contrário, instale e use rkhunter e estratégias defensivas semelhantes, e continue fazendo o que você está fazendo normalmente. O isolamento de permissões do Linux é inerentemente seguro, portanto, a menos que você esteja fazendo algo para violar isso (como executar tudo que puder com sudo ), executando arbitrariamente executáveis, usando PPAs desconhecidos / não confiáveis, você deve estar bem.

Como para evitar especificamente os rootkits do BIOS, verifique se o seu BIOS possui um modo de "verificação de assinatura" ou similar. Esse modo impedirá a atualização do BIOS, a menos que ele detecte uma assinatura criptográfica válida, que geralmente está presente apenas em atualizações legítimas do fabricante.

Sim, não baixe e execute o kit raiz. É muito fácil obter um rootkit: baixe-o, compile-o se for uma fonte, execute-o e forneça sua senha de administrador (...).

O Ubuntu Software Center está livre de rootkits, vírus e malware. Os PPA's do Launchpad não são tão seguros quanto o USC, mas tem um bom histórico. Com alguma investigação sobre o PPA que você adiciona (ou seja, verifique askubuntu, ubuntuforums e os gostos de comentários de outros usuários).

Não baixe software aleatoriamente. Não use o Windows. Não use WINE.

E, na minha opinião, os detectores de rootkit são um desperdício de recursos. Mesmo que eles detectem um rootkit, você terá que percorrer tantos falsos positivos que o torna inútil. Sinta-se à vontade para pensar de forma diferente, mas ainda não vi ninguém encontrar um rootkit. Deixe sozinho um que tenha como alvo o BIOS do Linux. Os tópicos da web relacionados ao linux e rootkits, onde ele acaba sendo falsos positivos, muito mais longe do que os tópicos onde há um rootkit real. Desperdício de recursos. A sério.

Se você acredita que um detector de rootkit é uma coisa boa, você deve instalar dois deles e comparar os resultados. Se alguém afirma que há um rootkit e o outro não, você pode assumir que é um falso positivo. E mesmo que ambos afirmem que existe um rootkit, é mais do que provável que seja um falso positivo.

Se você usa ethernet com fio em uma CPU Intel vPro (Intel Core i3, i5, i7 e outras), pode não estar ciente do "Intel Management Engine" - um processador e um ambiente de processamento separados conectados à porta ethernet de hardware.

link

Este subsistema é capaz de:

• "Redirecionar remotamente a E / S do sistema por meio do redirecionamento do console por meio da serial over LAN (SOL). Esse recurso oferece suporte a solução remota de problemas, reparos remotos, atualizações de software e processos semelhantes."
• "Acesse e altere as configurações do BIOS remotamente. Esse recurso está disponível mesmo se a energia do PC estiver desligada, o SO estiver inoperante ou o hardware falhar. Esse recurso foi projetado para permitir atualizações remotas e correções das configurações. Esse recurso oferece suporte total Atualizações do BIOS, não apenas alterações em configurações específicas. "

Isso parece dar ao físico-ethernet essencialmente acesso físico ao dispositivo. Se estiver preocupado, talvez deixe o dispositivo desconectado da Ethernet.

Embora eu possa ver parte da utilidade de tudo isso em um ambiente corporativo, pode haver alguns problemas com um subsistema como este ... Google "vulnerabilidade do mecanismo de gerenciamento da Intel" e você encontrará muitos links.