Как то можно занулить область UEFI BIOS?

https://www.theregister.co.uk/2018/09/28/uefi_rootkit_apt28/

Нет, эта «легаси» приблуда сбоку к UEFI — если по простому сказать.

А если не по простому, то Legacy обеспечивается через CSM (Compatibility Support Module) — это просто модуль, сегодня уже не всегда его включают в UEFI вообще.

А прошивка BIOS поможет?

Оригинальная прошивка BIOS ведь не всегда шьется поверх той же самой версии? Что делать, чтобы форсировать перешивку?

Наверно есть утилитки, подобные трояну, чтобы перешить BIOS в исходное состояние файлом прошивки?

Как-то бы прошить BIOS оригинальной прошивкой, выставить настройки. Потом образ слить на диск, сохранить копию в укромное место и каждый раз при включении или даже во время работы сверять чексумму BIOS.

Вообще это принципиально UEFI BIOS или старинный без UEFI?

Что мешает прошиться трояном в BIOS старого образца? Меньше свободного места? Менее документированная структура старого BIOS? UEFI как бы сделан специально модульным.

BIOS руткиты чем-то отличаются от обычных, кроме расположения своей точки активации и может быть части тела?

Они находятся сканингом оперативки?

Для этого нужно реверсом разработать BIOS с нуля для твоей материнской платы, после чего прошить его программатором.

Модификация UEFI не поможет, так как BIOS там только эмитируется. Ты просто угробишь себе материнку.

Если ты беспокоишься по поводу своей приватности из-за UEFI, то либо приобретай старое железо с чистым BIOS (на барахолках — навалом, стоит копейки, Linux с легким DE тянет), либо ознакомься с проектом https://libreboot.org/ — они как публикуют инструкции по перепрошивке, так и продают готовое железо.

Знаком уже и потихонечку закупаю замену, но хотелось бы какое-то время и старые матплаты использовать.

А что в платах с обычным BIOS примерно года 2010-ого? AMD AM3 без UEFI

А что в платах с обычным BIOS примерно года 2010-ого? AMD AM3 без UEFI

Я не столь разбираюсь, чтобы ответить на сей вопрос.

И если совсем параноишь, то ставь одобренные FSF дистрибутивы: https://www.gnu.org/distros/free-distros.html — для новичков проще всего Trisquel, у него есть легкая модификация, коль железо слабо. Хотя ты уже на них, наверное, раз про Libreboot знаешь.

Devuan без non-free чем-то хуже? Почему он не одобрен FSF?

А что мешает потом уже во время работы оси дошить вирусом в обычный BIOS к libre довесок в виде активатора неведомой хрени.

Есть какие-то проекты по сверке чексумм бивисов? Что-то типа heads, но heads скорее всего защищает от левых троянов и продвигает свой собственный от NSA.

Что-то бы опен сорсное типа clamav.

dmi Если твоя плата поддерживается опенсорсным coreboot+SeaBIOS то ты можешь вообще стереть весь UEFI нафиг. Ищи свою материнку в этом списке - https://coreboot.org/status/board-status.html . Если её там нету, то можешь конечно посмотреть насчёт похожести на уже поддерживаемую, чтобы возможно портировать, но проще будет купить готовую с нормальной поддержкой. сам сижу с прошитым coreboot на четырёхъядерном AMD-шном Lenovo G505S, причём даже нету аппаратных бекдоров Intel ME / AMD PSP в процессоре, и 16 гигов оперативки стоит - надолго хватит! И можно найти за ~15к в хорошем состоянии на авито - https://www.avito.ru/rossiya?s_trg=3&q=g505s a10-5750m - главное смотреть чтобы A10-5750M процессором стоял (процессор сокетный но отдельно покупать дороговато) ну и дискретная видеокарта - пусть она по производительности как интеграшка, зато лишний радиатор в системе охлаждения не помешает

Насчёт оставшихся блобов для G505S (т.е. почему это всё ещё coreboot а не libreboot) - поиск свободного ноутбука (комментарий) . С моей точки зрения ничего критичного нету, тем более что многие не являются обязательными; например: не нужен USB 3.0, сиди на USB 2.0 зато без блоба XHCI

Насколько я понял, суть этих бивисных троянов скрыть точку активации. Но ведь даже если не BIOS, то остаются еще куча разных заливаемых firmware, микрокодов и т.п.

Кроме того, когда критическая масса юзеров откажется от обновлений, что мешает спецслужбам заставить производителей включать трояны в свои официальные обновы бивисов.

Суть вкорячить точку активации хоть куда-нибудь незаметненько.

Это ты можешь реализовать сам; у SeaBIOS есть полный доступ к SPI flash, сделай так чтобы он перед печатью boot menu считывал весь SPI flash, вычислял её контрольную сумму (алгоритм можно где-то качнуть) и печатал её где-то в углу. Ну или хотя бы (намного проще) встрой туда своё кастомное сообщение, чтобы если в один прекрасный день не увидел его то сразу понял что что-то не так

Тем, что там можно подключить contrib non-free + у FSF и Debian team разные представления о free software. Мелочи, короче. Не обращай внимания, у тебя всё и так в порядке.

Если тебя даже микрокоды процессора волнуют, то например G505S может работать и без них, правда низкоуровневая виртуализация будет глючить (типа Xen/QubesOS) но более высокоуровневые (QEMU/VirtualBox) нормально работают. Intel ME / AMD PSP в процессоре не сидит. Оставшиеся пока ещё обязательные блобы без опенсорсной альтернативы - разобрали и ничего критического не нашли, а рано или поздно и их заменим на опенсорс, просто для расширения возможностей кастомизации. Например ты хочешь чтобы твой ноут сам включался когда ты просто его крышку открываешь, или чтобы вентилятор по более разумному (твоему?) алгоритму работал в зависимости от температуры; для этого нужно доделать опенсорсную прошивку для мультиконтроллера KB9012, она уже лампочками мигать умеет и кое-что ещё но ноут пока грузить не умеет

Большое спасибо за совет по выбору ноута, но у меня уже есть 3 штуки, один из которых либребутится, а второй корбутится

А Каспер ФСБшные трояны не видит? =)

Так почему же вы тогда их до сих пор не залибре/коребутили? ;) Или уже сделали, но осталось придумать доп.проверки из SeaBIOS на всякий случай?

https://usa.kaspersky.com/antivirus-for-uefi

разумеется не видит) а зачем вам антивирус? если нужна винда, установите QubesOS и запускайте винду в труъ изолированной огороженной виртуалке; если даже её и затроянят/завирусят то вылезти наружу в основную ОС не смогут

вылезти наружу в основную ОС не смогут

Кхм. В xen уже были баги с нарушением изоляции.
https://www.qubes-os.org/security/xsa/

Да, только трояны от ФБР.

да, к сожалению такие проколы иногда случаются... но вылезти из например VirtualBox/Vmware - проще, поэтому если волнует безопасность и нужна виртуализация, то лучше выбрать Qubes, правда жаль что он с systemd

Лень руками перебирать CVE - https://en.wikipedia.org/wiki/Virtual_machine_escape
По вот такому неавторитетному источнику коробка надежнее зена, а зен надежнее вмвэйр. Ну и единственный бонус кубов - вся ось просто бьет тебя по рукам за попытку сделать что-то не слишком секьюрно.

так Qubes к значительно части Xen-овских уязвимостей не подвержена, согласно тому же https://www.qubes-os.org/security/xsa/

Total time span: 7.7 years (2011-03-14 to 2018-11-06)
Total XSAs published: 273
Total XSAs affecting Qubes OS: 49
Percentage of XSAs affecting Qubes OS: 17.95%

Возможно, Xen в исполнении Qubes - это достойный вариант, 49 уязвимостей за 8 лет не так уж и много, может быть у коробки их побольше будет

так как BIOS там только эмитируется
эмитируется

значение знаешь?

возможно он хотел сказать «эмулируется»

А как вылезти из VBox в кратце - суть?

systemd как-то вообще доверия не внушает

Есть ли подобие Qubes с установкой на обычный дистр типа Devuan на базе KVM?

UEFI — это не BIOS.

Чтобы осталась только legacy?

Переписать прошивку (лишившись половины функционала) и прошить матплату самостоятельно. Вероятность успеха слишком низкая.

Как то можно занулить область UEFI BIOS?

Через /sys/firmware/efi. Но это не даст желаемого, только убьёт железку.

В общем, это не работает так, как ты хочешь.

Отсутствие Coreboot совместимых материнок на AM3 можно объяснить только тем, что аппаратно в этой платформе жучков было мало и это компенсировалось внедрением троянов в UEFI.

Что значит убить железку? Ее же можно будет программатором реанимировать?

Всегда делали разные патчики на прошивки.

Неужели нет патча, чтобы залочить UEFI BIOS на добавление модулей без программатора?

Например,берем оригинальный BIOS, прогоняем его некоторым патч тулзом меняющим в BIOS несколько байтов, чтобы залочить дефолтные трояны и возможность их устанавливать их обновы. Шьем результат программатором,

А чем тогда можно объяснить обилие Intel для coreboot? Тем, что me_clean и отключения загрузки обновлений микрокода недостаточно для полноценной очистки?

А чексуммы бесполезно сверять, потому что троян скрывает себя, наверно виртуализирует обращения.

А что тогда делать для защиты от троянов на UEFI материнках?

Мне кажется, раз в паблик все это пошло, значит теперь софтово шьют троянов в UEFI прям из любой блобной проги, браузер там или игрушка какая.

так как BIOS там только эмитируется

Это как?

Как-то так наверное :))

Я знаю значение слова «эмиссия», я вообще не пойму, каким боком оно тут :)

А значения слова «опечатка» тебе неизвестно? Ну перепутал я слова «имитация» и «эмитация», бывает. Я знаю значение обоих.

эмитация

Lol :)

А как вылезти из VBox в кратце - суть?

Имею ввиду уязвимости в VBox через которые виртуализированная система может что-то сделать с хостом. Например, у меня есть одна дискетка, если её попытаться запустить в VirtualBox на определённых линуксовых хостах то они намертво зависают

Есть ли подобие Qubes с установкой на обычный дистр типа Devuan на базе KVM?

К сожалению такого пока не придумали :( Вот дистр моей мечты:
1) Система безопасности с изолированными виртуалками от Qubes
2) Нормальная система инициализации как в Void Linux (Runit) или Artix (OpenRC)
3) Весьма свежие пакеты как в Void / Artix
4) Гарантированное отсутствие проприетарных пакетов/драйверов как в дистрах от FSF (Free Software Foundation)
Не знаю, возможно ли как-то скрестить эти дистры для получения идеального?

Действительно, Legacy часть (CSM) выполнена в виде отдельного модуля в дополнение к остальным существующим ~300 (это не шутка, в проприетарном UEFI который раньше стоял в моём G505S реально было около 300 UEFI-шных модулей !) и оставить её одну, без подпорки множества остальных модулей, невозможно

Через /sys/firmware/efi

это всего лишь интерфейс между UEFI и ОС, через который можно получить доступ ко всяким (не всем) UEFI-шным переменным. То есть ты можешь стереть то что лежит там, и может плата перестанет грузиться если криворукие делали, но сам UEFI при этом разумеется останется. Полностью его можно стереть либо внешним программатором (с прищепкой?) либо flashrom в режиме internal который работает не везде

Черт, совсем записался. Ладно — запишите в неграмотные.

UEFI != BIOS.

UEFI это вообще верхняя оконечность МПХ, если сравнивать с биосом, плодящая кучу проблем с онтопиком.

Отсутствие Coreboot совместимых материнок на AM3

Есть такие материнки на AM3! Посмотри https://coreboot.org/status/board-status.html и найдёшь несколько, правда для некоторых из них никто не отправил board_status, но это не значит что они не поддерживаются; а для ASUS M4A785T-M на AM3 есть и board_status свежий

можно объяснить только тем, что аппаратно в этой платформе жучков было мало и это компенсировалось внедрением троянов в UEFI

Наличие аппаратного бекдора AMD PSP зависит от поколения AMD-шного процессора: если 15h и ранний 16h (Jaguar) то не содержит, а поздний 16h (Puma) уже содержит! Можешь ещё посмотреть AM1, например материнка ASUS AM1I-A - это ранний 16h, последние перед эрой аппаратных бекдоров в амуде! Правда процессоры там худосочные 25W и даже самый мощный Athlon 5370 на 10% проигрывает тому A10-5750M из 15h который в ноуте G505S стоит. Зато порты десктопные есть - PCIe например (пусть и 4x), для многих это очень важно, и стоит очень дёшево: за 5 тысяч можно материнку+проц б/ушное комбо купить. Разве что с виртуализацией проблемы, а у G505S всё в порядке

Ее же можно будет программатором реанимировать?

Разумеется

Неужели нет патча, чтобы залочить UEFI BIOS на добавление модулей без программатора?

Только если «аппаратный патч» - или отпаять ножку DI (Data In) у BIOS чипа или что-то сделать с ножкой WP (Write Protect). Но смысл? Может там УЖЕ сидит вредоносный модуль, Computrace например или ещё что похуже

А что тогда делать для защиты от троянов на UEFI материнках?

Переходить на опенсорсные core/libreboot, очевидно же!
Правда coreboot, как ты уже сам заметил - это «гриб условно-съедобный»: для интересующей тебя коребутной платы нужно проверить, какие там блобы остались из-за которых она ещё не в либребуте, какие из них обязательные а без каких ты сможешь прожить (например не нужен USB 3.0, значит сидим на USB 2.0 зато без блоба XHCI), разбирал ли их кто-нибудь и насколько они могут быть опасны - смогут ли натворить дел без своего «мозгового центра» UEFI который ты выпилил?

Исследователи BIOS троянов пишут, мол после активации трояна они невидны ни в оперативке ни в BIOS.

если и «невидны» то Средствами ОС. Если ты сотрёшь содержимое BIOS-чипа аппаратно, внешним программатором, то и все трояны тоже сотрутся