Depuis Firewire manque de sécurité , permettant à un périphérique branché d'accéder à la mémoire d'accueil, c'est une bonne chose à désactiver complètement. Si nous n'utilisons pas le BIOS pour désactiver le port Firewire, comment pouvons-nous le faire en utilisant des "méthodes logicielles"? L'OS fonctionnant sur le PC est OpenBSD ou Fedora ou Ubuntu.
Edit: Est-il suffisant de désactiver la prise en charge du FireWire dans le système d'exploitation pour empêcher un dispositif d'attaque Firewire d'accéder à la mémoire? Quelles mesures sont nécessaires pour empêcher ce type de menace?
OpenBSD ne prend pas en charge FireWire par défaut:
https://fr.wikipedia.org/wiki/comparon_of_open_source_operating_systems#supported_hardware
Méthode logicielle:
La désactivation du pilote Firewire empêche l'utilisation d'un périphérique FireWire, car il désactive le contrôleur de matériel Firewire. Pour que les attaques de travailler plusieurs exigences existent: le conducteur doit être chargé de manière à ce que le contrôleur soit initialisé (maîtrisage des bus, etc.), il doit être configuré pour "ouvrir l'accès" et non par périphérique, et DMA doit être activé. (OHCI1394 avait une option DMA désactivée).
Les pilotes FireWire Ubuntu sont des modules de noyau. Il existe un moyen facile de les afficher: Open /etc/modprobe.d/blacklist-firewire.conf
, vous y trouverez une liste de modules pour être sur la liste noire.
blacklist ohci1394
blacklist sbp2
blacklist dv1394
blacklist raw1394
blacklist video1394
#blacklist firewire-ohci
#blacklist firewire-sbp2
Il suffit de supprimer le #
devant tout et sauver-le. Puis courez Sudo update-initramfs -k all -u
Autres méthodes:
La compilation d'un noyau personnalisé qui manque de support de périphérique pour l'interface Firewire devrait suffire. Qu'est-ce qui vous empêche de limiter l'accès à ces périphériques par des paramètres d'autorisations?
Supprimer le pilote empêchera les périphériques branchés d'établir DMA Transferts:
... Vous pouvez également régler l'accès aux périphériques utilisant/etc/fbbab
basé sur une connexion via Firewire/USB/autres ports, tout peut être désactivé