Предотвращение руткита bios на ubuntu Linux

Question 1

Сначала отредактируйте crontab с помощью crontab -e, а не один из файлов под / etc (например, /etc/cron.hourly).

Затем вам нужно объявить переменную DISPLAY в самой cronjob:

DISPLAY=:0 /path/to/your/script

Question 2

Afaik до сих пор не наблюдал вредоносного ПО руткита в BIOS, только другие типы руткитов. Итак, в этом аспекте ваш вопрос звучит довольно гипотетично на данный момент, но я все равно буду побаловать вас.

Все, что вы перечисляете в качестве примеров, - это общие советы по безопасности против всех типов вредоносных программ.

Если вы ищете защиту BIOS от вредоносного ПО в BIOS, то лучшим вариантом является «Безопасная загрузка», которая помогает предотвратить загрузку неподписанных загрузчиков и модулей ядра в процесс загрузки. Это предполагает, что руткит BIOS удалось помещать себя в прошивку системы, но не отключать или обходить безопасную загрузку. Эта ситуация может возникнуть, если вредоносное ПО поставляется в виде модуля UEFI, который не изменяет поведение основной прошивки UEFI.

Кроме этого, не запускайте ненадежное программное обеспечение в надежной среде - особенно а не как суперпользователь или ядро - и не давайте ненадежным людям физический доступ к вашему компьютеру, чтобы надежная среда не оказалась ненадежной.

Question 3

Question 4

Нет, вы уже рассмотрели все базы.

Если вы понимаете и следуете основным протоколам безопасности (как вы уже обсуждали в своем сообщении) и не позволяете неавторизованным пользователям использовать ваш компьютер,

Наиболее распространенная точка входа в хорошо поддерживаемую и безопасную систему будет заключаться в использовании нулевого дня или раскрытого, но не-ноу-хау, но это в основном неизбежно.

Еще один совет, который может быть полезен, заключается в том, чтобы избежать создания ненужной поверхности для атаки. Если вам не требуется что-то установленное, избавитесь от него, чтобы он не использовался против вас. То же самое касается PPA и тому подобного. Кроме того, он помогает очистить ваш компьютер и упростить администрирование.

В противном случае установите и используйте rkhunter и аналогичные защитные стратегии и просто продолжайте делать то, что вы обычно делаете. Изоляция разрешений Linux по своей сути безопасна, поэтому, если вы не делаете что-то, чтобы нарушить это (например, запускать все, что вы можете с помощью sudo), произвольно выполняя исполняемые файлы, используя неизвестные / ненадежные PPA, вы должны быть в порядке.

[d5 ] Что касается предотвращения использования руткитов BIOS специально, проверьте, есть ли в вашем BIOS режим проверки подписи или аналогичный. Такой режим будет препятствовать обновлению BIOS, если он не обнаружит действительную криптографическую подпись, которая обычно присутствует только в законных обновлениях от вашего производителя.

Question 5

Да, не загружайте и не запускайте этот корневой набор. Довольно легко получить руткит: загрузите его, скомпилируйте, если он источник, запустите его и дайте ему пароль администратора (...).

Ubuntu Software Center свободен от руткитов, virusses и вредоносное ПО. Launchpad PPA не так безопасны, как USC, но он имеет хорошую репутацию. С некоторыми расследованиями о PPA вы добавляете (то есть, проверяете askubuntu, ubuntuforums и понравившиеся отзывы для других пользователей).

Не произвольно загружать программное обеспечение. Не используйте Windows. Не используйте WINE.

И, на мой взгляд, детекторы Rootkit - это пустая трата ресурсов. Даже если они когда-нибудь обнаружат руткит, вам придется пробираться сквозь столько ложных срабатываний, что делает его бесполезным. Не стесняйтесь думать по-другому, но я еще не видел, чтобы кто-то действительно находил руткит. Не говоря уже о том, который нацелен на BIOS из Linux. Темы в Интернете, связанные с linux и руткитами, где он заканчивается ложными срабатываниями, намного далеки от тем, где есть реальный руткит. Отходы ресурсов. Шутки в сторону.

Если вы считаете, что детектор руткитов - это хорошая вещь, вы должны установить два из них и сравнить результаты. Если вы утверждаете, что есть руткит, а другой нет, вы можете предположить, что это ложный позитив. И даже если оба утверждают, что есть руткит, он скорее всего будет ложным.

Question 6

Если вы используете проводной ethernet на процессоре Intel vPro (Intel Core i3, i5, i7 и др.), вы можете не знать о «Intel Management Engine» - отдельном процессоре и среде обработки, подключенной к порту ethernet.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Эта подсистема способна:

«Удаленное перенаправление ввода / вывода системы через консоль перенаправление через последовательный порт по локальной сети (SOL). Эта функция поддерживает удаленное устранение неполадок, удаленный ремонт, обновление программного обеспечения и аналогичные процессы ». «Доступ и изменение настроек BIOS удаленно.Эта функция доступна, даже если питание ПК выключено, ОС выключена или аппаратное обеспечение не работает.Эта функция предназначена для удаленного обновления и исправления параметров конфигурации.Эта функция поддерживает полную обновление BIOS, а не только изменения конкретных настроек ».

Это, по-видимому, дает физическому-ethernet, по сути, физический доступ к устройству. Если вы беспокоитесь, возможно, вы оставите устройство отключенным от ethernet.

Хотя я вижу некоторые из полезности всего этого в корпоративной среде, могут возникнуть некоторые проблемы с такой подсистемой ... Google " intel management engine ", и вы найдете много ссылок.

Question 7

Question 8

Если вы используете проводной ethernet на процессоре Intel vPro (Intel Core i3, i5, i7 и др.), вы можете не знать о «Intel Management Engine» - отдельном процессоре и среде обработки, подключенной к порту ethernet.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Эта подсистема способна:

«Удаленное перенаправление ввода / вывода системы через консоль перенаправление через последовательный порт по локальной сети (SOL). Эта функция поддерживает удаленное устранение неполадок, удаленный ремонт, обновление программного обеспечения и аналогичные процессы ». «Доступ и изменение настроек BIOS удаленно.Эта функция доступна, даже если питание ПК выключено, ОС выключена или аппаратное обеспечение не работает.Эта функция предназначена для удаленного обновления и исправления параметров конфигурации.Эта функция поддерживает полную обновление BIOS, а не только изменения конкретных настроек ».

Это, по-видимому, дает физическому-ethernet, по сути, физический доступ к устройству. Если вы беспокоитесь, возможно, вы оставите устройство отключенным от ethernet.

Хотя я вижу некоторые из полезности всего этого в корпоративной среде, могут возникнуть некоторые проблемы с такой подсистемой ... Google " intel management engine ", и вы найдете много ссылок.

Question 9

Если вы используете проводной ethernet на процессоре Intel vPro (Intel Core i3, i5, i7 и др.), вы можете не знать о «Intel Management Engine» - отдельном процессоре и среде обработки, подключенной к порту ethernet.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Эта подсистема способна:

«Удаленное перенаправление ввода / вывода системы через консоль перенаправление через последовательный порт по локальной сети (SOL). Эта функция поддерживает удаленное устранение неполадок, удаленный ремонт, обновление программного обеспечения и аналогичные процессы ». «Доступ и изменение настроек BIOS удаленно.Эта функция доступна, даже если питание ПК выключено, ОС выключена или аппаратное обеспечение не работает.Эта функция предназначена для удаленного обновления и исправления параметров конфигурации.Эта функция поддерживает полную обновление BIOS, а не только изменения конкретных настроек ».

Это, по-видимому, дает физическому-ethernet, по сути, физический доступ к устройству. Если вы беспокоитесь, возможно, вы оставите устройство отключенным от ethernet.

Хотя я вижу некоторые из полезности всего этого в корпоративной среде, могут возникнуть некоторые проблемы с такой подсистемой ... Google " intel management engine ", и вы найдете много ссылок.

Question 10

Если вы используете проводной ethernet на процессоре Intel vPro (Intel Core i3, i5, i7 и др.), вы можете не знать о «Intel Management Engine» - отдельном процессоре и среде обработки, подключенной к порту ethernet.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Эта подсистема способна:

«Удаленное перенаправление ввода / вывода системы через консоль перенаправление через последовательный порт по локальной сети (SOL). Эта функция поддерживает удаленное устранение неполадок, удаленный ремонт, обновление программного обеспечения и аналогичные процессы ». «Доступ и изменение настроек BIOS удаленно.Эта функция доступна, даже если питание ПК выключено, ОС выключена или аппаратное обеспечение не работает.Эта функция предназначена для удаленного обновления и исправления параметров конфигурации.Эта функция поддерживает полную обновление BIOS, а не только изменения конкретных настроек ».

Это, по-видимому, дает физическому-ethernet, по сути, физический доступ к устройству. Если вы беспокоитесь, возможно, вы оставите устройство отключенным от ethernet.

Хотя я вижу некоторые из полезности всего этого в корпоративной среде, могут возникнуть некоторые проблемы с такой подсистемой ... Google " intel management engine ", и вы найдете много ссылок.

David Foerster · Answer 1 · 23 May 2018 в 02:26

Afaik до сих пор не наблюдал вредоносного ПО руткита в BIOS, только другие типы руткитов. Итак, в этом аспекте ваш вопрос звучит довольно гипотетично на данный момент, но я все равно буду побаловать вас.

Все, что вы перечисляете в качестве примеров, - это общие советы по безопасности против всех типов вредоносных программ.

Если вы ищете защиту BIOS от вредоносного ПО в BIOS, то лучшим вариантом является «Безопасная загрузка», которая помогает предотвратить загрузку неподписанных загрузчиков и модулей ядра в процесс загрузки. Это предполагает, что руткит BIOS удалось помещать себя в прошивку системы, но не отключать или обходить безопасную загрузку. Эта ситуация может возникнуть, если вредоносное ПО поставляется в виде модуля UEFI, который не изменяет поведение основной прошивки UEFI.

Кроме этого, не запускайте ненадежное программное обеспечение в надежной среде - особенно а не как суперпользователь или ядро - и не давайте ненадежным людям физический доступ к вашему компьютеру, чтобы надежная среда не оказалась ненадежной.

4

ответ дан David Foerster 23 May 2018 в 02:26

1

Спасибо, Дэвид, у меня ограниченный доступ к my.bios на 2 шт. С linux на них. Ограничение предполагает изменение в BIOS, например, я не могу отключить Wi-Fi или Bluetooth. Кажется, что Bluetooth и Wi-Fi - это то, как начинаются атаки. Там было возможно, что руткит был установлен. Перед тем, как я преобразовал из окон в li ux. Может ли это быть другой формой руткита, которая влияет на настройки BIOS? Я хочу убедиться, что это не произойдет с еще одним компьютером. – user637251 16 January 2017 в 16:50
2

Это почти что-то другое. Как я уже сказал, до настоящего времени не было обнаружено руткита в BIOS, но в лаборатории есть доказательства работы. В отличие от операционных систем, реализации BIOS, как правило, отличаются друг от друга гораздо больше, что делает их противниками сложными и неэкономичными для преступников. Итак, если вы не разозлили какое-то правительство или наркокартель, нет причин ожидать заражения BIOS в вашей системе. – David Foerster 16 January 2017 в 20:11
3

Я очень личный, большую часть своего времени я занимаюсь изучением & amp; за работой. Скорее всего, это крупная горнодобывающая компания, к которой я призывал плохое поведение, когда я работал над ними в проекте безопасности (очевидно, я не был экспертом по безопасности там). Эта компания практически управляет страной, в которой я живу. У них есть неограниченные ресурсы в их распоряжении, нет этики. Раньше я думал, что это происходит только в кино, но если я расскажу о событиях в моей жизни за последний год, вы найдете это невероятным. Сейчас полиция работает со мной, но я не очень надеюсь. Спасибо за совет. – user637251 21 January 2017 в 08:31
4

Даже если «неограниченные ресурсы» были верны, что не означает, что у них этот вид ресурсов. Если горнодобывающая компания тесно связана с правительством, у них может быть косвенный доступ к государственным ресурсам, тем не менее, чем меньше и чем больше коррумпировано правительство, тем менее вероятно, что он имеет доступ к таким технологиям, как кровотечение. В этот момент никто не будет использовать его на простом диссиденте, потому что это будет пустой тратой. – David Foerster 21 January 2017 в 12:49
5

Я полностью согласен с расходованием средств на меня. Я тоже этого не понимаю. Это все, что я мог придумать. У меня было несколько атак на нескольких устройствах в течение длительного времени. Кроме этого, мотив ускользает от меня. Я определенно не занимаюсь правительственными деятелями или наркокартелями. Я почти никто. – user637251 21 January 2017 в 13:54

Kaz Wolfe · Answer 2 · 23 May 2018 в 02:26

Нет, вы уже рассмотрели все базы.

Если вы понимаете и следуете основным протоколам безопасности (как вы уже обсуждали в своем сообщении) и не позволяете неавторизованным пользователям использовать ваш компьютер,

Наиболее распространенная точка входа в хорошо поддерживаемую и безопасную систему будет заключаться в использовании нулевого дня или раскрытого, но не-ноу-хау, но это в основном неизбежно.

Еще один совет, который может быть полезен, заключается в том, чтобы избежать создания ненужной поверхности для атаки. Если вам не требуется что-то установленное, избавитесь от него, чтобы он не использовался против вас. То же самое касается PPA и тому подобного. Кроме того, он помогает очистить ваш компьютер и упростить администрирование.

В противном случае установите и используйте rkhunter и аналогичные защитные стратегии и просто продолжайте делать то, что вы обычно делаете. Изоляция разрешений Linux по своей сути безопасна, поэтому, если вы не делаете что-то, чтобы нарушить это (например, запускать все, что вы можете с помощью sudo), произвольно выполняя исполняемые файлы, используя неизвестные / ненадежные PPA, вы должны быть в порядке.

[d5 ] Что касается предотвращения использования руткитов BIOS специально, проверьте, есть ли в вашем BIOS режим проверки подписи или аналогичный. Такой режим будет препятствовать обновлению BIOS, если он не обнаружит действительную криптографическую подпись, которая обычно присутствует только в законных обновлениях от вашего производителя.

Rinzwind · Answer 3 · 23 May 2018 в 02:26

Да, не загружайте и не запускайте этот корневой набор. Довольно легко получить руткит: загрузите его, скомпилируйте, если он источник, запустите его и дайте ему пароль администратора (...).

Ubuntu Software Center свободен от руткитов, virusses и вредоносное ПО. Launchpad PPA не так безопасны, как USC, но он имеет хорошую репутацию. С некоторыми расследованиями о PPA вы добавляете (то есть, проверяете askubuntu, ubuntuforums и понравившиеся отзывы для других пользователей).

Не произвольно загружать программное обеспечение. Не используйте Windows. Не используйте WINE.

И, на мой взгляд, детекторы Rootkit - это пустая трата ресурсов. Даже если они когда-нибудь обнаружат руткит, вам придется пробираться сквозь столько ложных срабатываний, что делает его бесполезным. Не стесняйтесь думать по-другому, но я еще не видел, чтобы кто-то действительно находил руткит. Не говоря уже о том, который нацелен на BIOS из Linux. Темы в Интернете, связанные с linux и руткитами, где он заканчивается ложными срабатываниями, намного далеки от тем, где есть реальный руткит. Отходы ресурсов. Шутки в сторону.

Если вы считаете, что детектор руткитов - это хорошая вещь, вы должны установить два из них и сравнить результаты. Если вы утверждаете, что есть руткит, а другой нет, вы можете предположить, что это ложный позитив. И даже если оба утверждают, что есть руткит, он скорее всего будет ложным.

user · Answer 4 · 23 May 2018 в 02:26

Если вы используете проводной ethernet на процессоре Intel vPro (Intel Core i3, i5, i7 и др.), вы можете не знать о «Intel Management Engine» - отдельном процессоре и среде обработки, подключенной к порту ethernet.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Эта подсистема способна:

«Удаленное перенаправление ввода / вывода системы через консоль перенаправление через последовательный порт по локальной сети (SOL). Эта функция поддерживает удаленное устранение неполадок, удаленный ремонт, обновление программного обеспечения и аналогичные процессы ». «Доступ и изменение настроек BIOS удаленно.Эта функция доступна, даже если питание ПК выключено, ОС выключена или аппаратное обеспечение не работает.Эта функция предназначена для удаленного обновления и исправления параметров конфигурации.Эта функция поддерживает полную обновление BIOS, а не только изменения конкретных настроек ».

Это, по-видимому, дает физическому-ethernet, по сути, физический доступ к устройству. Если вы беспокоитесь, возможно, вы оставите устройство отключенным от ethernet.

Хотя я вижу некоторые из полезности всего этого в корпоративной среде, могут возникнуть некоторые проблемы с такой подсистемой ... Google " intel management engine ", и вы найдете много ссылок.

Спасибо, что позволили мне это узнать. Не имел представления. Да, оба этих ноутбука попадают в эти категории: оба i5. Bios полностью недоступен для обоих сейчас. Я обязательно оставлю ноутбуки в автономном режиме. — user637251, 26 January 2017 в 16:01

user · Answer 5 · 23 May 2018 в 02:26

Если вы используете проводной ethernet на процессоре Intel vPro (Intel Core i3, i5, i7 и др.), вы можете не знать о «Intel Management Engine» - отдельном процессоре и среде обработки, подключенной к порту ethernet.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Эта подсистема способна:

«Удаленное перенаправление ввода / вывода системы через консоль перенаправление через последовательный порт по локальной сети (SOL). Эта функция поддерживает удаленное устранение неполадок, удаленный ремонт, обновление программного обеспечения и аналогичные процессы ». «Доступ и изменение настроек BIOS удаленно.Эта функция доступна, даже если питание ПК выключено, ОС выключена или аппаратное обеспечение не работает.Эта функция предназначена для удаленного обновления и исправления параметров конфигурации.Эта функция поддерживает полную обновление BIOS, а не только изменения конкретных настроек ».

Это, по-видимому, дает физическому-ethernet, по сути, физический доступ к устройству. Если вы беспокоитесь, возможно, вы оставите устройство отключенным от ethernet.

Хотя я вижу некоторые из полезности всего этого в корпоративной среде, могут возникнуть некоторые проблемы с такой подсистемой ... Google " intel management engine ", и вы найдете много ссылок.

user · Answer 6 · 23 May 2018 в 02:26

Если вы используете проводной ethernet на процессоре Intel vPro (Intel Core i3, i5, i7 и др.), вы можете не знать о «Intel Management Engine» - отдельном процессоре и среде обработки, подключенной к порту ethernet.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Эта подсистема способна:

«Удаленное перенаправление ввода / вывода системы через консоль перенаправление через последовательный порт по локальной сети (SOL). Эта функция поддерживает удаленное устранение неполадок, удаленный ремонт, обновление программного обеспечения и аналогичные процессы ». «Доступ и изменение настроек BIOS удаленно.Эта функция доступна, даже если питание ПК выключено, ОС выключена или аппаратное обеспечение не работает.Эта функция предназначена для удаленного обновления и исправления параметров конфигурации.Эта функция поддерживает полную обновление BIOS, а не только изменения конкретных настроек ».

Это, по-видимому, дает физическому-ethernet, по сути, физический доступ к устройству. Если вы беспокоитесь, возможно, вы оставите устройство отключенным от ethernet.

Хотя я вижу некоторые из полезности всего этого в корпоративной среде, могут возникнуть некоторые проблемы с такой подсистемой ... Google " intel management engine ", и вы найдете много ссылок.

user · Answer 7 · 23 May 2018 в 02:26

Если вы используете проводной ethernet на процессоре Intel vPro (Intel Core i3, i5, i7 и др.), вы можете не знать о «Intel Management Engine» - отдельном процессоре и среде обработки, подключенной к порту ethernet.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Эта подсистема способна:

«Удаленное перенаправление ввода / вывода системы через консоль перенаправление через последовательный порт по локальной сети (SOL). Эта функция поддерживает удаленное устранение неполадок, удаленный ремонт, обновление программного обеспечения и аналогичные процессы ». «Доступ и изменение настроек BIOS удаленно.Эта функция доступна, даже если питание ПК выключено, ОС выключена или аппаратное обеспечение не работает.Эта функция предназначена для удаленного обновления и исправления параметров конфигурации.Эта функция поддерживает полную обновление BIOS, а не только изменения конкретных настроек ».

Это, по-видимому, дает физическому-ethernet, по сути, физический доступ к устройству. Если вы беспокоитесь, возможно, вы оставите устройство отключенным от ethernet.

Хотя я вижу некоторые из полезности всего этого в корпоративной среде, могут возникнуть некоторые проблемы с такой подсистемой ... Google " intel management engine ", и вы найдете много ссылок.

Предотвращение руткита bios на ubuntu Linux

7 ответов

Другие вопросы по тегам:

Похожие вопросы: