web-dev-qa-db-fra.com

Prévenir le bios rootkit sur Ubuntu Linux

Outre les "pratiques recommandées" en matière de sécurité standard, telles que la mise en place d'un pare-feu efficace, un mot de passe administrateur fort, la mise à jour des derniers correctifs de sécurité et l'amélioration de la sécurité des routeurs, y a-t-il quelque chose de plus spécifique qui peut aider à prévenir (spécifiquement) un rootkit de bios via Ubuntu?

7
user637251

Soyez prudent avec l'installation de logiciels provenant de sources inconnues.

Vous pouvez obtenir plus d’idées de sécurité en consultant ce projet:

https://en.wikipedia.org/wiki/Qubes_OS

Ce projet est développé par des experts en sécurité.
L’idée est d’isoler le travail, la maison, les loisirs, etc.

Vous pouvez déjà utiliser vous-même cette idée d'isolement en utilisant Virtualbox, KVM, l'installation d'invité du client Qemu pour "jouer", ce qui vous permet d'isoler vos éléments les plus importants.

Avez-vous rkhunter installé? C'est un programme de détection de rootkit. Vous pouvez l'installer et lancer

Sudo dpkg-reconfigure rkhunter

pour ajuster les paramètres à votre goût. Vous pouvez également installer le paquet chkrootkit , mais chkrootkit peut vous donner plus de fausses alarmes (selon les autres programmes que vous allez installer ou avoir en cours d'exécution. Ce qui est bien de savoir ce qui est à l'origine de la fausse alarme ).

http://packages.ubuntu.com/search?keywords=rkhunter

https://en.wikipedia.org/wiki/Rkhunter

En outre, vous pouvez également installer Lynis pour effectuer un contrôle de sécurité sur votre ordinateur.

https://en.wikipedia.org/wiki/Lynis

5
albert j

En fait, il n’ya pas eu d’observation de BIOS programmes malveillants de rootkit dans la nature, mais uniquement d’autres types de rootkit. Donc, à cet égard, votre question semble assez hypothétique à ce stade-ci, mais je vais quand même vous faire plaisir.

Tous les exemples cités sont des conseils de sécurité généraux contre tous les types de programmes malveillants.

Si vous recherchez des défenses spécifiquement ​​contre les logiciels malveillants dans le BIOS, votre meilleure option est Secure Boot , ce qui permet d'éviter l'injection de chargeurs de démarrage non signés et de modules du noyau dans le démarrage. processus. Cela suppose que le rootkit BIOS a réussi à se placer dans le microprogramme du système, mais pas à désactiver ou à contourner le démarrage sécurisé. Cette situation peut se produire si le logiciel malveillant se présente sous la forme d'un module UEFI qui ne modifie pas le comportement du microprogramme UEFI principal.

En dehors de cela, ne lancez pas de logiciels non fiables dans un environnement sécurisé - en particulier pas en tant que super utilisateur ou dans le noyau - et n'accordez pas d'accès physique à votre machine à des personnes non fiables, sinon vous craignez que l'environnement ne soit corrompu.

4
David Foerster

Non, vous avez déjà couvert toutes les bases.

Si vous comprenez et suivez les protocoles de sécurité de base (comme indiqué dans votre message) et empêchez des personnes non autorisées d’utiliser votre ordinateur, vous ne pouvez rien faire de plus pour empêcher les rootkits ou similaires.

Le point d’entrée le plus courant sur un système bien entretenu et conçu de manière rationnelle serait l’utilisation d’exploits à zéro jour ou divulgués, mais non encore résolus, mais ils sont pour la plupart inévitables.

Un autre conseil qui peut être utile est d'éviter de créer une surface inutile d'attaque. Si vous n'avez pas besoin d'installer quelque chose, éliminez-le pour éviter qu'il ne soit utilisé contre vous. Il en va de même pour les AAE et similaires. De plus, cela facilite le nettoyage de votre machine et facilite son administration.

Sinon, installez et utilisez rkhunter et des stratégies défensives similaires, et continuez de faire ce que vous faites normalement. L'isolation des autorisations de Linux est intrinsèquement sûre. Par conséquent, à moins que vous ne violiez cela (comme tout ce que vous pouvez avec Sudo), l'exécution exécutable de manière arbitraire, à l'aide de PPA inconnus/non fiables, vous devriez aller.

Pour éviter spécifiquement les rootkits du BIOS, vérifiez si votre BIOS dispose d’un mode de "vérification de signature" ou similaire. Un tel mode empêchera votre BIOS de se mettre à jour s'il ne détecte pas une signature cryptographique valide, qui n'est généralement présente que sur les mises à jour légitimes de votre fabricant.

3
Kaz Wolfe

Oui, ne téléchargez pas et n'exécutez pas ce kit racine. Il est assez facile d’obtenir un rootkit: téléchargez-le, compilez-le s’il s’agit d’une source, lancez-le et donnez-lui votre mot de passe administrateur (...).

Ubuntu Software Center est exempt de rootkits, de virus et de logiciels malveillants. Les PPA de Launchpad ne sont pas aussi sûrs que USC, mais ils ont fait leurs preuves. Avec quelques recherches sur le PPA que vous ajoutez (par exemple, consultez askubuntu, ubuntuforums et autres pour des critiques d'autres utilisateurs).

Ne téléchargez pas de logiciel au hasard. N'utilisez pas Windows. N'utilisez pas de vin.

Et à mon avis, les détecteurs de rootkits sont un gaspillage de ressources. Même s’ils détectent un rootkit, vous devrez parcourir autant de faux positifs qu’il le rend inutile. N'hésitez pas à penser différemment, mais je n'ai encore vu personne trouver un rootkit. Laissez seul celui qui cible le BIOS de Linux. Les sujets sur le Web se rapportant à Linux et aux rootkits où il s’agit de faux positifs très loin des sujets contenant un véritable rootkit. Gaspillage de ressources. Sérieusement.

Si vous pensez qu'un détecteur de rootkit est une bonne chose, vous devez en installer deux et comparer les résultats. Si l'un prétend qu'il y a un rootkit et l'autre pas, vous pouvez en déduire qu'il s'agit d'un faux positif. Et même si les deux prétendent qu'il existe un rootkit, il est plus que probable qu'il s'agisse d'un faux positif.

2
Rinzwind

Si vous utilisez une connexion Ethernet câblée sur un processeur Intel vPro (Intel Core i3, i5, i7 et autres), vous n'êtes peut-être pas au courant du "Moteur de gestion Intel" - un environnement de processeur et de traitement distinct connecté au port Ethernet matériel.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Ce sous-système est capable de:

  • "Réorienter à distance les E/S du système via la redirection de console via le port série (LAN). Cette fonctionnalité prend en charge le dépannage à distance, la réparation à distance, les mises à niveau logicielles et autres processus similaires."
  • "Accéder aux paramètres du BIOS et les modifier à distance. Cette fonctionnalité est disponible même si le PC est éteint, si le système d'exploitation est en panne ou si le matériel est en panne. Cette fonctionnalité est conçue pour permettre les mises à jour à distance et les corrections des paramètres de configuration. Cette fonctionnalité prend en charge les mises à jour complètes du BIOS. pas seulement des modifications de paramètres spécifiques. "

Cela semble donner à ethernet physique un accès essentiellement physique au périphérique. Si vous êtes concerné, laissez peut-être l'appareil débranché d'Ethernet.

Bien que je puisse voir une partie de l'utilité de tout cela dans un environnement d'entreprise, il pourrait y avoir des problèmes avec un sous-système comme celui-ci ... Google "vulnérabilité de moteur de gestion intel" et vous trouverez de nombreux liens.

1
user621557