web-dev-qa-db-ja.com

PCコンポーネントファームウェアの整合性とセキュリティ

最近、新しいラップトップを購入しました。

ニュースを読むと、ハードドライブファームウェア、MBR、およびその他の非表示パーティション上に存在するルートキットを含む、Vault 6およびVault 7のリーク(Wikileaksから)に気づいたはずです。それは公開されているので、国家の行為者だけがマルウェアを駆除するのを困難にすることができるはずです。

整合性(チェックサムなど)を確認し、ハードウェアコンポーネント(ハードドライブ、マザーボード、SSD、USBハブなど)のファームウェアを保護するにはどうすればよいですか?

rootkits
1
Sir Muffington

整合性をチェックする必要があると仮定します。つまり、購入後にデバイスのファームウェアが改ざんされていないことを前提とします。

購入後にデバイスのファームウェアをダンプします。これはデバイスによって異なります。 BIOSチップの場合、SPI=リーダーで通常十分です。一部のハードドライブとUSBデバイスは、ファームウェア(の一部)を保存するために同様のチップを使用します。SSDとUSBドライブは、ほとんどの場合、NANDフラッシュにファームウェアを保存します。通常ははんだ除去が必要なNANDを直接読み取るか、JTAGを試す必要があります。ファームウェアをダンプできる(アップロードのみの)パブリックコマンドについては知りません。リバースエンジニアリングで見つけることができるかもしれません。一部のファームウェアは時間の経過とともに自然に変化し、変更された構成や接続されたデバイスのようにチップ自体に書き込みます...したがって、チェックサムが以前のものと一致しない場合でも、最初はあまり心配しないでください。詳しく調べる必要があります。 。

ファームウェアを「保護」するために、チップ(WPピン)を書き込み保護しようとすることができます

1
usualguy

何かの不在を確認することは、何かの存在を確認することよりもはるかに困難です。

この声明は、情報セキュリティを含め、多くのことに当てはまります。

脅威モデルについて...

情報セキュリティの中心的な側面の1つは脅威モデルです。 「何から守ろうとしているの?」 Vault 6とVault 7について具体的に説明したので、脅威モデルは3文字のエージェンシー(またはMI\d、ファンシーなら)。

そのような脅威では、再び選択を行わなければなりません。あなたは個人的に標的にされていると思いますか、それとも集団監視について心配していますか?

大量監視が心配

TLAの目には、あなたは誰もいません。あなたはジョンスミスです。 NSA、CIA、ţ͟͡͝h̵̛͢͡é̷̷̕̕͡O̴̶n̷ȩ̨̛͜͟͡w̡h͟͠͞͏͟o̵̷̵̵̵͘͟͢͟͞W̵̛a̷҉̨t̵͢ć̷̴̶͢h̢̛͢͟e̵̴̛͢͟s̡̛͜͡などの教育機関は、販売されているすべてのラップトップにカスタムハードウェアを挿入するための無限の予算を持っていると想定するかもしれませんが、そのようなことは彼らの観点から実際には実現可能ではありません。

なんでそうなの?一般的な信念に反して、これらの機関は、誰に投票したか、どのYouTubeビデオを視聴したか、または海賊版音楽をダウンロードしたかどうかを特に気にしません。これらの機関は、自国への脅威、または自国の利益を促進する可能性のある情報を重視しています。

これらのターゲットのいずれかに該当しない限り、これらの機関があなたに関して収集するすべての情報は、彼らが簡単に収集して処理できる情報です。

これにはおそらく、誰と話しているのか、どのWebサイトにアクセスしているのか、誰も気付いていないことがたくさん含まれています。なんでそうなの?これらの種類の情報は、TelCo企業、ISPなどの単一のポイントで簡単に収集できるためです。

いくつかのマシンを Room 641A に入れるだけでよいのであれば、販売するすべてのスマートフォンにチップを入れる必要はありません。はるかに安く、はるかに効果的です。

さらに、TLAにキーロガーがこれまでに販売されたすべての1台のコンピューターにインストールされている場合を想像してください。 TLAが処理しなければならないデータの量は非常に大きいため、そこに収集された意味のある関連情報は、何百万ものユーザーがキーボードで打ち込むことによって生成される膨大なノイズによってすぐに失われます。

結果として、私はそれについて本当に心配することはないでしょう。とにかく、ほとんどのWebはHTTPSのみに移行しているため、近年のHTTPSの普及により、多くのことが助けられています。

私は個人的にターゲットにされています

ああ、あなたが配られたハンドは良く見えません。なぜあなたが標的にされているのかわかりません。恐らく抑圧的政権のジャーナリストなのかもしれませんが、個人的に3文字の機関のリストに載っている場合、状況は本当に悪いように見えます。

まず第一に、TLAは前のセクションからJohn Smithを見るよりも、かなりの金額を投資してあなたを見る可能性がはるかに高いです。つまり、まるでジョン・スミスのように振る舞う必要があります。

たとえば、Amazonでラップトップを購入して、自宅の住所に発送しないでください。傍受され、ルートキットが埋め込まれ、2営業日以内に出荷される可能性があります。

代わりに、自宅の住所から離れた大きな電気店でラップトップを購入してください。これらの店はかなりの量のハードウェアを手に入れ、バックドアをeveryラップトップに挿入することは、自宅の住居から100 km以内で販売され、かなりの量を要求するタスクです金融投資額-そしてそれでも、あなた-彼らのターゲット-がそれらの1つを購入するかどうかさえ確かではありません。

ユーザーが交換できる限り、同じことが個々のコンポーネントにも当てはまります。自分のSSD、HDD、オプティカルドライブなどを購入できます。どこかどこでも真ん中にあります。この特定のハードウェアがバックドアされる可能性はかなり低いです。

もちろん、これだけではありません。 OpSecは巨大な分野であり、私は表面をかろうじて引っ掻いているだけです。

すでに所有しているハードウェアのファームウェアをチェックするのはどうですか?

基本的に不可能な作業です。デバイスのファームウェアをダンプするためのハードウェアが必要で、このファームウェアのすべての命令を分析する手段が必要です。さらに、ハードウェアの回路図を確認し、ハードウェア上のすべてのチップを分析して、それらのいずれかに隠れたロジックがないことを確認する必要があります。

ファームウェアのハッシュサムをチェックするだけでは簡単ではない理由は、比較するものがないためです。ダンプしたファームウェアがベンダーによってダウンロード用に提供されているファームウェアと同じかどうかを確認できますが、それファームウェアもそうでないことをどうやって確認できますか? tバックドア?

ソースコードがある場合でも、 ソースコードのコンパイルに使用したコンパイラがバックドアを挿入しなかったことをどのように確認できますか? 表示に使用した逆アセンブラがそれを確認したことをどのように確認できますか?静かにバックドアを削除しませんか?ソースコードを確認するために使用したテキストエディターがバックドアを黙って隠していないことをどのように確認できますか?

まるでハットトークのように聞こえるかもしれませんが、ここでは3文字の機関による標的型攻撃について話しています。アルミ箔の帽子はのみを着用するのに適した帽子です。

2
MechMK1