Ключ Secure Boot, скомпрометированный в 2022 году, до сих пор используется более чем в 200 моделях

26 июля 2024, 18:23 / Технологии → Новости / Технологии

В 2023 году компания Binarly, занимающаяся безопасностью программного обеспечения, обнаружила, что устройства Acer, Dell, Gigabyte, Intel

Thumbnail: Intel «И́нтел» («Intel Corp.», МФА: [ˈɪntɛl ˌkɔːpə'reɪʃən]) — производитель электронных устройств и компьютерных компонентов (включая микропроцессоры, наборы системной логики (чипсеты) и др). Штаб-квартира — в Санта-Кларе (США, штат Калифорния). Википедия

и Supermicro взломали Secure Boot. Криптографический ключ, защищающий эти модели, просочился в конце 2022 года в общедоступный репозиторий GitHub. Любой, кто его скачал, мог обойти защиту, предлагаемую Secure Boot.

Помимо утечки 2022 года, Ars Technica также сообщила, что еще более 300 моделей использовали 21 ключ платформы с пометкой «НЕ ОТПРАВЛЯТЬ» или «НЕ ДОВЕРЯТЬ». Эти 21 ключ были предоставлены компанией American Megatrends, Inc. (AMI) в качестве тестовых ключей производителям материнских плат для настройки их прошивки UEFI. Это означает, что почти все производители, работавшие с AMI, имели копии этих ключей, и они являются открытой отраслевой тайной, известной сотням, если не тысячам сотрудников.

Основатель и генеральный директор Binarly Алекс Матросов сказал: «Представьте, что у всех людей в многоквартирном доме одинаковый замок и ключ от входной двери. Если кто-то потеряет ключ, это может стать проблемой для всего здания. А что, если дела обстоят еще хуже и в других зданиях будут такие же замки и ключи?» Он добавляет: «Если ключ будет утек, это повлияет на экосистему. Это не влияет ни на одно устройство».

Помимо пяти компаний, на которые повлияла утечка ключа на GitHub, ключи тестирования также затронули следующих производителей: Aopen, Foremelife, Fujitsu, HP и Lenovo. Широко распространенное влияние этой утечки Secure Boot Binarly назвала ее PKfail (сбой ключа платформы), в знак признания неспособности всей отрасли практиковать правильное управление криптографическими ключами.

По мнению команды Binarly, PKfail выявляет несколько проблем, касающихся безопасности цепочки поставок:

Плохое управление криптографическими материалами и появление закрытых ключей непосредственно в репозиториях кода с жестко запрограммированным путем из сценариев сборки.
Использование непроизводственных криптографических ключей, отвечающих за безопасность платформы производственных прошивок и устройств.
Никакой ротации криптографических ключей безопасности платформы для каждой линейки продуктов. Например, одни и те же криптографические ключи были подтверждены для клиентских и серверных продуктов. Аналогичное поведение было обнаружено при утечке ключа эталонного кода Intel Boot Guard. Один и тот же OEM-производитель использовал одни и те же криптографические ключи, связанные с безопасностью платформы, для встроенного ПО, созданного для разных производителей устройств. Аналогичное поведение было обнаружено при утечке ключа эталонного кода Intel Boot Guard.

К сожалению, отдельные пользователи не могут исправить это, если они затронуты. Если производитель платы не выпустит обновление BIOS, вы не сможете исправить устройство с этой уязвимостью.

«Мой вывод таков: да, [производители] все еще портят безопасную загрузку, на этот раз из-за ленивого управления ключами», но очевидно, что это не привело к изменению моего взгляда на мир (во многих случаях безопасная загрузка является мерой безопасности на фиговом листке). случаи)», — говорит HD, эксперт по безопасности встроенного ПО и генеральный директор runZero. «История такова, что вся цепочка поставок UEFI находится в полном беспорядке и с 2016 года не сильно улучшилась».

Источник: Tomshardware.com