web-dev-qa-db-fra.com

Avec le démarrage sécurisé désactivé, existe-t-il une vulnérabilité à long terme au code malveillant (sur les configurations multiboot 14.10 et 15.04 / Win)?

En un mot: est-ce vraiment une bonne idée de laisser Secure Boot désactivé?

J'ai deux ordinateurs portables avec LinuxMint, Xuntu, Ubuntu 14 et 5 Win 10 et Win 8.1 entre eux. Grub 2 fonctionne bien avec les partitions /,/boot et/home. Tout cela a pris de nombreuses réinstallations et bidouilles dans le BIOS, avec le démarrage hérité activé (mais UEFI restant en priorité) sur Lenovo.

J'adore ma configuration même si, par moments, je dois réintégrer le BIOS car Windows continue de s'affirmer en tant que démarrage prioritaire.

Ma question porte sur la menace croissante des logiciels malveillants, des exploits de hackers et sur l’apparition de nouvelles formes d’attaque telles que les rootkit et les ransomware.

Je gémis en songeant à ouvrir des boîtes de vers en réactivant Secure Boot. Mais - peut-être est-il tile comme mesure préventive pour commencer à expérimenter et voir si je peux démarrer en mode Secure Boot en mode ON maintenant, avant que la prochaine vague de programmes malveillants ne commence à tirer parti de ceux d'entre nous qui sommes passés à Secure Démarrez. Est-il temps de commencer à armer et d'exiger que les systèmes d'exploitation signés soient démarrés ou est-il toujours prudent de le laisser tomber et de tenter ma chance avec les exploits qui semblent proliférer à travers le monde?

Remarque: les deux utilisent le même BIOS Insyde compatible MS ou quelque chose comme ça sur le ram HP 2000 Pentium 4 Go, mais il s’agit bien d’un Lenovo 5080 i3 4 Go (oui, je vais mettre à niveau la mémoire dès que possible :-))

2
Flag Bear

Votre question repose sur la fausse prémisse qu'il existe des pratiques "sûres" et "non sécuritaires". Il n'y en a pas. Il n'y a que mesures relatives de sécurité relatives - la pratique A peut être plus sûre que la pratique B, mais appeler la pratique A "safe" est au mieux trompeur.

Dans cet esprit, Secure Boot, comme son nom l’indique, a été conçu pour accroître la sécurité. Nous pourrions débattre de son efficacité, mais même si vous êtes très sceptique à son sujet, l'activation de Secure Boot ne risque pas de nuire à la sécurité et son activation présente au moins des avantages théoriques.

Ubuntu prend en charge le démarrage sécurisé, en ce sens qu’Ubuntu est fourni avec un programme signé Shim afin que le système d’exploitation puisse démarrer avec le démarrage sécurisé activé. Comme le note Doug, le GRUB d'Ubuntu démarrera un noyau non signé, mais ce n'est qu'une menace potentielle pour la sécurité: un ordinateur avec Secure Boot désactivé démarrera tout ancien binaire EFI, même celui qui ne repose pas sur GRUB ou le noyau Linux de quelque manière que ce soit. Un tel fichier binaire pourrait être malveillant. Ainsi, si quelqu'un installait sur votre ordinateur, dans le cadre du processus de démarrage, un programme qui écrit un mégaoctet de données aléatoires dans des secteurs aléatoires de votre disque à chaque démarrage, vous auriez des problèmes. Un tel programme n'a pas besoin de s'appuyer sur GRUB ou sur un noyau Linux; ce pourrait être une application EFI autonome. Secure Boot aurait au moins une bonne chance de bloquer un programme aussi malveillant.

Le changement de GRUB dont il est question pour le 16.04 fera en sorte qu'Ubuntu fonctionne un peu plus comme Fedora - avec cette modification, le GRUB d'Ubuntu ne lancera que les noyaux Linux signés, pas les noyaux non signés. Cela ne devrait pas compliquer le lancement d'Ubuntu à moins que vous n'utilisiez vos propres noyaux compilés localement, car Ubuntu est déjà livré avec des noyaux signés. Dans les deux cas, lorsque Secure Boot est activé, vous devez utiliser Shim pour lancer GRUB, et Ubuntu est fourni avec un binaire Shim approprié. Ce changement, à l'instar de Secure Boot, augmentera la sécurité, mais ne rendra pas Ubuntu "sûre" dans un sens absolu.

En pratique, je ne sais pas à quel point les logiciels malveillants de pré-démarrage EFI sont courants. De tels outils existent certainement pour le BIOS, et j'ai entendu parler de programmes de démonstration pour EFI, mais je ne sais pas s'ils sont courants "à l'état sauvage". Même s’ils sont rares aujourd’hui, ils pourraient le devenir demain, il est donc logique de se protéger. Cette protection prend de nombreuses formes, dont aucune n’est adéquate en soi. Secure Boot peut faire partie de cette protection, tout comme les antivirus, les pare-feu, les bonnes pratiques de sécurité des comptes, etc.

Si vous installez correctement Ubuntu sur un système doté d'un système Secure Boot opérationnel, vous ne devriez même pas remarquer que celui-ci est actif - du moins, à moins que vous ne vouliez faire quelque chose comme compiler votre propre noyau ou utiliser un programme de démarrage. autre que GRUB. Votre commentaire selon lequel vous deviez ajuster vos paramètres "BIOS" (vraiment EFI) pour activer le support BIOS/CSM/legacy suggère que vous avez un EFI défectueux ou que vous avez agi à la dure. (De nombreuses pages donnent toujours de très mauvais conseils sur l'installation d'EFI.) Mon propre page Web sur Secure Boot fournit des informations générales et des conseils pratiques sur la façon de l'utiliser (ou sur la façon de la désactiver). Vous voudrez peut-être aussi lire ma page sur les installations Linux en mode EFI et le billet de blog d'Adam Williamson sur le fonctionnement de EFI pour plus d'informations de base sur le démarrage en mode EFI en général. Bien comprendre le démarrage en mode EFI avec Secure Boot actif n’est pas difficile à gérer.

3
Rod Smith