r   e   k   l   a   m   a
r   e   k   l   a   m   a

Laptopy nie do złamania – wolne i szyfrowane firmware, bez ME Intela

Strona główna AktualnościBEZPIECZEŃSTWO

Fizyczny dostęp do komputera podważa większość znanych modeli bezpieczeństwa. Nawet zaszyfrowanie dysku nie pomoże, jeśli w jakiś sposób napastnik zdoła zmodyfikować firmware komputera i umieścić w nim swój szpiegujący kod. Dostępne zaś zabezpieczenia dla firmware są zamknięte i własnościowe, można zaufać im tylko w takim stopniu, w jakim ufamy producentowi sprzętu – czyli tak sobie (pamiętajmy o ostatniej wpadce Gigabyte). Rozwiązać ten problem chce producent laptopów Purism, oferując wolne firmware, zapewniające całkowite bezpieczeństwo na własnych warunkach.

Purism dał się poznać jako producent laptopów Librem, maszyn, które w kwestii dawanej właścicielowi kontroli nad sprzętem znacząco wyprzedzają komputery konkurencji. Oczywiście wciąż jest to normalny sprzęt na bazie czipsetów i procesorów Intela, z kamerkami i mikrofonami, ale oferowane przez Purism modele wyróżnia:

  • całkowita swoboda wymiany komponentów (dysków, RAM, czipsetu radiowego i baterii),
  • sprzętowy wyłącznik układu radiowego, dający pewność, że komputer nie jest podłączony do sieci,
  • sprzętowe wyłączniki mikrofonu i kamery, dające pewność, że komputer nas nie podgląda,
  • domyślnie instalowany wolny system operacyjny PureOS, wykorzystujący wyłącznie wolne i otwarte oprogramowanie,
  • możliwość preinstalowania na życzenie Qubes OS-a, który jest dziś najbardziej bezpiecznym systemem na świecie,
  • możliwość zapłacenia za swoje zamówienie anonimowo, bitcoinami,
  • dyskretne wzornictwo – trudno na obudowie znaleźć choćby logo producenta.

Poza tym są to ładne, dobrze zrobione laptopy z procesorami Core i7 Skylake, sensowną liczbą złączy i pamięci, których jedynym minusem jest względnie wysoka cena. Przykładowo za aluminiowego Librem 13 z matowym wyświetlaczem 13” FullHD, procesorem Core i7-6500U, 8 GB RAM, 250 GB SSD M.2 przyjdzie nam zapłacić w USA niemal 1600 dolarów. Cóż, takie są konsekwencje wybierania komponentów nie pod względem ceny, ale bezpieczeństwa.

r   e   k   l   a   m   a

Wciąż jednak laptopy Librem mają problem – na najniższym poziomie nie należą do swojego właściciela, zarówno ze względu na UEFI/BIOS, jak i wbudowany w czipset Intela moduł Management Engine. To już niebawem ma się zmienić, tak że w konsekwencji dostaniemy sprzęt odporny na każdy informatyczny atak.

Już niebawem użytkownicy laptopów Librem będą mogli wypróbować na nich (na razie w wersji beta) całkowicie opensource’ową wersję firmware, tj. coreboot. Co więcej, oprócz zainstalowania wolnego firmware, zneutralizowane zostanie Intel Management Engine, a nawet wyłączone aktualizacje mikrokodu procesora. To jednak dopiero pierwszy krok.

Do współpracy zaproszono Trammella Hudsona, badacza znanego z jego efektownych i efektywnych ataków na Maki poprzez złącza Thunderbolt. Opracowuje on od jakiegoś czasu swoje własne firmware Heads, które pozwala na kryptograficzne podpisanie wszystkich komponentów systemu, od najniższych warstw. Teraz Heads ma zostać włączony do otwartego firmware’u. Wykorzystując sprzętowe zabezpieczenia, takie jak Flash Protection, Bootguard i Trusted Platform Module, pozwoli on na stworzenie zaufanego łańcucha rozruchu – całkowicie pozostającego pod kontrolą właściciela laptopa, a nie stron trzecich.

Taki łańcuch, pozostający w zabezpieczonej przed zapisem pamięci, uniemożliwia napastnikowi wprowadzenie zmian do systemu, nawet gdyby miał fizyczny dostęp: Heads ocenia stan firmware za pomocą czipu TPM, w którym przechowywane są też klucze deszyfrujące pamięć masową. Dodatkowo zabezpiecza też hiperwizor, jądro systemowe i obraz rozruchowy kluczami (oczywiście kontrolowanymi przez użytkownika), a nawet stan systemu plików root, tak by nie mogły go zmodyfikować żadne systemowe exploity.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.