Verhindern des BIOS-Rootkits unter Ubuntu Linux

Gibt es außer den üblichen "Best Practices" für die Sicherheit wie einer guten Firewall, einem starken Administratorkennwort, der Sicherstellung der neuesten Sicherheitspatches und der Erhöhung der Routersicherheit etwas Spezifischeres, das dazu beitragen kann, ein BIOS-Rootkit (speziell) über Ubuntu zu verhindern?

Seien Sie vorsichtig bei der Installation von Software aus unbekannten Quellen.

Wenn Sie sich dieses Projekt ansehen, erhalten Sie möglicherweise weitere Sicherheitsideen:

https://en.wikipedia.org/wiki/Qubes_OS

Dieses Projekt wird von Sicherheitsexperten entwickelt.
Die Idee ist, Arbeit, Zuhause, Spiel usw. zu isolieren.

Sie können diese Isolationsidee bereits selbst verwenden, indem Sie die Gastinstallation von Virtualbox, KVM und Qemu Client für "Play" verwenden, um sich von Ihren wirklich wichtigen Dingen zu isolieren.

Haben Sie rkhunter installiert? Es ist ein Rootkit-Erkennungsprogramm. Sie können es installieren und ausführen

sudo dpkg-reconfigure rkhunter

um die Einstellungen nach Ihrem Geschmack anzupassen. Sie können auch das chkrootkit- Paket installieren , aber chkrootkit gibt möglicherweise mehr Fehlalarme aus (abhängig davon, welche anderen Programme Sie installieren oder ausführen. Was in Ordnung ist, wenn Sie herausfinden können, was den Fehlalarm verursacht).

http://packages.ubuntu.com/search?keywords=rkhunter

https://en.wikipedia.org/wiki/Rkhunter

Darüber hinaus können Sie Lynis installieren , um eine Sicherheitsüberprüfung auf Ihrem Computer durchzuführen.

https://en.wikipedia.org/wiki/Lynis

Afaik gab es bisher keine Beobachtung von BIOS- Rootkit-Malware in freier Wildbahn, nur andere Rootkit-Typen. In dieser Hinsicht klingt Ihre Frage an dieser Stelle ziemlich hypothetisch, aber ich werde Sie trotzdem verwöhnen.

Alle Dinge, die Sie als Beispiele auflisten, sind allgemeine Sicherheitshinweise für alle Arten von Malware.

Wenn Sie im BIOS nach Schutzmaßnahmen speziell gegen Malware suchen, ist Secure Boot die beste Option , um zu verhindern, dass nicht signierte Bootloader und Kernelmodule in den Startvorgang eingefügt werden. Dies setzt voraus, dass es dem BIOS-Rootkit gelungen ist, sich in die Systemfirmware einzufügen, Secure Boot jedoch nicht zu deaktivieren oder zu umgehen. Diese Situation kann auftreten, wenn die Malware in Form eines UEFI-Moduls vorliegt, das das Verhalten der UEFI-Kernfirmware nicht ändert.

Führen Sie außerdem keine nicht vertrauenswürdige Software in einer vertrauenswürdigen Umgebung aus - insbesondere nicht als Superuser oder im Kernel - und gewähren Sie nicht vertrauenswürdigen Personen keinen physischen Zugriff auf Ihren Computer, damit die vertrauenswürdige Umgebung nicht selbst nicht vertrauenswürdig wird.

Nein, Sie haben bereits alle Grundlagen abgedeckt.

Vorausgesetzt, Sie verstehen und befolgen grundlegende Sicherheitsprotokolle (wie in Ihrem Beitrag beschrieben) und verhindern, dass nicht autorisierte Personen Ihren Computer verwenden, können Sie nicht viel anderes tun, um Rootkits oder ähnliches zu verhindern.

Der häufigste Einstiegspunkt in ein gut gewartetes und vernünftig gestaltetes System wäre die Verwendung von Zero-Day- oder offengelegten, aber noch nicht festgelegten Exploits, die jedoch größtenteils unvermeidbar sind.

Ein weiterer Ratschlag, der hilfreich sein kann, besteht darin, die Schaffung einer unnötigen Angriffsfläche zu vermeiden. Wenn Sie nichts installiert haben müssen, entfernen Sie es, um zu verhindern, dass es gegen Sie verwendet wird. Gleiches gilt für PPAs und ähnliches. Außerdem hilft es dabei, Ihre Maschine aufzuräumen und die Verwaltung zu vereinfachen.

Andernfalls installieren und verwenden Sie rkhunterähnliche Verteidigungsstrategien und machen Sie einfach weiter, was Sie normalerweise tun. Die Berechtigungsisolation von Linux ist von Natur aus sicher. Wenn Sie also nicht etwas tun, um dies zu verletzen (z. B. alles sudoausführen, was Sie können ), willkürlich ausführbare Dateien ausführen und unbekannte / nicht vertrauenswürdige PPAs verwenden, sollten Sie in Ordnung sein.

Überprüfen Sie, ob Ihr BIOS über einen Modus zur Überprüfung der Signatur oder ähnliches verfügt, um BIOS-Rootkits speziell zu vermeiden. Ein solcher Modus verhindert, dass Ihr BIOS aktualisiert wird, es sei denn, es erkennt eine gültige kryptografische Signatur, die normalerweise nur bei legitimen Aktualisierungen Ihres Herstellers vorhanden ist.

Ja, laden Sie das Root-Kit nicht herunter und führen Sie es nicht aus. Es ist ziemlich einfach, ein Rootkit zu erhalten: Laden Sie es herunter, kompilieren Sie es, wenn es sich um eine Quelle handelt, führen Sie es aus und geben Sie ihm Ihr Administratorkennwort (...).

Das Ubuntu Software Center ist frei von Rootkits, Viren und Malware. Launchpad-PPAs sind nicht so sicher wie USC, haben aber eine gute Erfolgsbilanz. Mit einigen Nachforschungen über die PPA, die Sie hinzufügen (z. B. überprüfen Sie askubuntu, ubuntuforums und dergleichen auf Bewertungen von anderen Benutzern).

Laden Sie keine Software nach dem Zufallsprinzip herunter. Verwenden Sie kein Windows. Verwenden Sie keinen Wein.

Und meiner Meinung nach sind Rootkit-Detektoren eine Verschwendung von Ressourcen. Selbst wenn sie jemals ein Rootkit entdecken, müssen Sie so viele Fehlalarme durchgehen, dass es unbrauchbar wird. Fühlen Sie sich frei, anders zu denken, aber ich habe noch niemanden gesehen, der tatsächlich ein Rootkit gefunden hat. Ganz zu schweigen von einem, das auf das BIOS von Linux abzielt. Die Themen im Web bezogen sich auf Linux und Rootkits, bei denen es sich um Fehlalarme handelt, weit weit entfernt von den Themen, bei denen es tatsächlich ein Rootkit gibt. Verschwendung von Ressourcen. Ernsthaft.

Wenn Sie glauben, dass ein Rootkit-Detektor eine gute Sache ist, sollten Sie ZWEI davon installieren und die Ergebnisse vergleichen. Wenn einer behauptet, dass es ein Rootkit gibt und der andere nicht, können Sie davon ausgehen, dass es sich um ein falsches Positiv handelt. Und selbst wenn beide behaupten, dass es ein Rootkit gibt, ist es mehr als wahrscheinlich, dass es falsch positiv ist.

Wenn Sie kabelgebundenes Ethernet auf einer Intel vPro-CPU (Intel Core i3, i5, i7 und andere) verwenden, ist Ihnen möglicherweise die "Intel Management Engine" nicht bekannt - eine separate CPU- und Verarbeitungsumgebung, die mit dem Hardware-Ethernet-Port verbunden ist.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Dieses Subsystem kann:

• "Remote-Umleitung der E / A des Systems über die Konsolenumleitung über Serial over LAN (SOL). Diese Funktion unterstützt Remote-Fehlerbehebung, Remote-Reparatur, Software-Upgrades und ähnliche Prozesse."
• "Remotezugriff auf und Ändern von BIOS-Einstellungen. Diese Funktion ist auch dann verfügbar, wenn der PC ausgeschaltet ist, das Betriebssystem ausfällt oder die Hardware ausgefallen ist. Diese Funktion ermöglicht Remote-Updates und Korrekturen der Konfigurationseinstellungen. Diese Funktion unterstützt vollständige BIOS-Updates. nicht nur Änderungen an bestimmten Einstellungen. "

Dies scheint dem physischen Ethernet im Wesentlichen physischen Zugriff auf das Gerät zu ermöglichen. Wenn Sie besorgt sind, lassen Sie das Gerät möglicherweise vom Ethernet getrennt.

Während ich einige der Nützlichkeiten all dessen in einer Unternehmensumgebung sehen kann, könnte es einige Probleme mit einem Subsystem wie diesem geben ... Google "Intel Management Engine Vulnerability" und Sie werden viele Links finden.