Com a inicialização segura desativada, há vulnerabilidade de longo prazo para códigos mal-intencionados (em 14.10 e 15.04 / Win multiboot setups)?

2

Resumindo: é realmente uma boa ideia deixar o Secure Boot desativado?

Eu tenho dois laptops com LinuxMint, Xuntu, Ubuntu 14 e 5 Win 10 e Win 8.1 entre eles. O Grub 2 funciona bem com as partições /, / boot e / home. Tudo isso levou muitas reinstalações e mexer na BIOS, com a inicialização legada habilitada (mas a UEFI permanecendo na prioridade) na Lenovo.

Adoro minha configuração, embora às vezes eu precise voltar ao BIOS, pois o Windows continua se reafirmando como a inicialização prioritária.

Minha pergunta está relacionada à ameaça crescente de malware, explorações de hackers e o advento de novas formas de ataque, como rootkit e ransomware.

Eu gemo em pensar em abrir latas de worms, reativando o Secure Boot. Mas - talvez valha a pena como uma medida preventiva para começar a experimentar e ver se eu posso inicializar no modo de Inicialização Segura agora, antes que a próxima onda de malware comece a tirar vantagem daqueles que se tornaram seguros Arranque. Está na hora de começar a blindar e exigir sistemas operacionais assinados para inicializar ou ainda é seguro deixá-lo desligado e me arriscar com os exploits que parecem estar se proliferando em todo o mundo?

Nota: ambos usam o mesmo BIOS Insyde compatível com MS ou algo parecido no HP 2000 Pentium 4 GB eo outro é um Lenovo 5080 i3 4 GB (sim, atualizarei a memória o mais rápido possível: -))

    
por Flag Bear 30.01.2016 / 02:54

1 resposta

3

Sua pergunta é construída sobre a falsa premissa de que existem práticas "seguras" e "inseguras". Não há. Existem apenas relativas medidas de segurança - a prática A pode ser mais segura do que a prática B, mas chamar a prática A de "segura" é enganosa na melhor das hipóteses.

Com isso em mente, o Secure Boot, como o nome indica, foi projetado para aumentar a segurança. Poderíamos debater o quão eficaz é fazer isso, mas mesmo se você estiver muito cético, é improvável que ativar o Secure Boot reduza a segurança, e há pelo menos benefícios teóricos para ativá-lo.

O Ubuntu suporta o Secure Boot, no sentido de que o Ubuntu vem com um programa assinado Shim para que o sistema operacional possa inicializar com o Secure Boot ativado. Como diz Doug, o GRUB do Ubuntu inicializará um kernel não assinado, mas essa é apenas uma possível ameaça à segurança - um computador com Secure Boot desativado inicializará qualquer binário EFI antigo, mesmo que não dependa do GRUB ou do kernel Linux em qualquer caminho. Esse binário pode ser malicioso, portanto, se alguém instalasse em seu computador, como parte do processo de inicialização, um programa que grava um megabyte de dados aleatórios em setores aleatórios em seu disco a cada inicialização, você estaria em apuros. Tal programa não precisa depender do GRUB ou de um kernel Linux; poderia ser um aplicativo EFI autônomo. O Secure Boot teria pelo menos uma boa chance de bloquear um programa tão malicioso.

A mudança para o GRUB que está sendo discutida no 16.04 fará com que o Ubuntu funcione um pouco mais como o Fedora - com essa mudança, o GRUB do Ubuntu lançará apenas kernels assinados do Linux, não kernels não assinados. Isso não deve dificultar o lançamento do Ubuntu, a menos que você esteja usando seus próprios kernels compilados localmente, já que o Ubuntu já vem com kernels assinados. Em ambos os casos, com o Secure Boot ativado, você precisa usar o Shim para iniciar o GRUB, e o Ubuntu vem com um binário Shim adequado. Essa mudança, como o Secure Boot, aumentará a segurança, mas não tornará o Ubuntu "seguro" em nenhum sentido absoluto.

Como uma questão prática, não sei quão comum é o malware pré-inicialização da EFI. Essas ferramentas certamente existem para o BIOS, e eu já ouvi falar de programas de demonstração para EFI, mas não sei se são comuns "em estado selvagem". Mesmo que eles sejam incomuns hoje, eles podem se tornar comuns amanhã, então se proteger faz sentido. Esta proteção assume muitas formas, nenhuma das quais é adequada por si só. O Secure Boot pode fazer parte dessa proteção, assim como scanners de vírus, firewalls, boas práticas de segurança de contas, etc.

Se você instalar o Ubuntu adequadamente em um sistema com um sistema Secure Boot funcionando, você nem perceberá que o Secure Boot está ativo - pelo menos, não a menos que você queira fazer algo como compilar seu próprio kernel ou usar um programa de inicialização diferente do GRUB. Seu comentário que você teve que ajustar suas configurações de "BIOS" (realmente EFI) para ativar o suporte a BIOS / CSM / legado sugere que você tenha uma EFI quebrada ou fez as coisas da maneira mais difícil. (Ainda há muitas páginas que dão conselhos muito ruins sobre a instalação do EFI.) Minha própria página da Web no Secure Boot fornece informações básicas e conselhos práticos sobre como usá-lo (ou como desativá-lo). Você também pode querer ler a minha página em instalações Linux em modo EFI e Postagem do blog de Adam Williamson sobre como o EFI funciona para obter mais informações sobre inicialização no modo EFI geralmente. Com uma compreensão adequada, a inicialização do modo EFI com inicialização segura ativa não é difícil de lidar.

    
por Rod Smith 31.01.2016 / 05:25