Secure Boot: huda luknja v kritičnem sistemu na ogromno računalnikih

Secure Boot je varnostni protokol, ki ga je računalniška industrija zasnovala kot osrednji temelj zaščite ob zagonu naprave, saj zagotavlja, da lahko ta poganja le programsko opremo, katere legitimnost so potrdili proizvajalci računalnikov oziroma računalniških komponent.

Ključno vlogo v procesu potrjevanja, da je programska koda, ki jo želi računalnik naložiti, varna, ima digitalni podpis, za preverjanje katerega se uporablja kriptografski ključ. Gre za kritično pomemben element, brez katerega protokol Secure Boot ne deluje.

Kaj se je zgodilo?

Več kot 200 različnih modelov računalnikov oziroma računalniških komponent, kot so matične plošče, proizvajalcev Dell, Acer, Gigabyte, Intel in Supermicro pa je zdaj v nevarnosti, ker se je v javnosti znašel kriptografski ključ, s katerim so podpisovali svoje naprave, je v obširni analizi razkrilo podjetje s področja informacijske varnosti Binarly (vir).  

Novice Če imate enega od teh računalnikov, ste morda v nevarnosti

Seme ranljivosti, ki so jo poimenovali PKfail, je konec leta 2022 zasadila na videz nedolžna objava sicer šifriranega kriptografskega ključa na spletni servis za repozitorije programske kode GitHub, a ga je bilo mogoče dešifrirati zgolj z vnosom preprostega štirimestnega gesla, ki ga strokovnjakom podjetja Binarly ni bilo težko streti. Najverjetneje to ne bi bilo težko niti za nekoga, ki bi mu bila pridobitev takšnega ključa v velikem interesu. 

Nadaljnje analize podjetja so sicer pokazale, da mnogi OEM (kratica za Original Equipment Manufacturer oziroma proizvajalec strojne opreme) v svoje naprave že več let vgrajujejo t. i. testne kriptografske ključe, ki nosijo oznake DO NOT USE (ne uporabljaj) ali DO NOT TRUST (ne zaupaj). 

Prikaz zlorabe varnostne luknje PKfail:

Kaj vse to pomeni?

Dejstvo, da je kriptografski ključ, ki je ključni del protokola Secure Boot v napravah in komponentah zgoraj omenjenih podjetij, tako rekoč javen podatek, pomeni, da lahko morebitni hekerji ali kiberkriminalci na opremi teh proizvajalcev zaobidejo Secure Boot oziroma ga prepričajo, da digitalno podpiše in s tem potrdi identiteto zlonamerne programske kode, kot je zloglasni BlackLotus, ki lahko na računalniku na skrivaj onemogoči varnostne sisteme in s tem na široko odpre vrata napadalcem.

Gre za ranljivost, ki gre še posebej na roko hekerjem, ki delujejo po navodilih politike, saj omogoča napade na izredno specifične naprave oziroma računalnike in to na način, ki ga je zelo težko odkriti, saj se zlonamerna koda, podtaknjena pred tovrstne varnostne luknje, začne izvajati še pred nalaganjem in zagonom operacijskega sistema, kot so Windowsi. 

Alex Matrosov, ustanovitelj in direktor podjetja Binarly, o tem, za kakšno nevarnost gre

"Predstavljajte si, da imajo vsi prebivalci bloka na vhodnih vratih svojih stanovanj enake ključavnice in zanje enak ključ. Če ta ključ kdorkoli izgubi, bo to težava za vse prebivalce bloka. Toda kaj če stvari postanejo še veliko resnejše in imajo enake ključavnice in ključ tudi drugi bloki? Če se ključ izgubi, to vpliva na celoten ekosistem, ne samo na eno napravo," je PKfail z analogijo ponazoril Matrosov.

Takojšnje rešitve za težavo sicer ni. Kot opozarja Binarly, lahko lastniki ranljivih naprav ali namestijo posodobitev programske opreme UEFI, če je ta na voljo, ali pa čakajo, da bo kompromitiran kriptografski ključ preprosto preklican, kar pa bi povzročilo, da bi te naprave postale neuporabne. 

Katere naprave so ranljive?

Podjetje Binarly je v repozitoriju GitHub objavilo seznam vseh naprav, ki imajo zaradi kompromitiranega kriptografskega ključa ranljiv protokol Secure Boot. Velika večina vnosov na seznamu pripada podjetju Gigabyte, proizvajalcu matičnih plošč, grafičnih kartic in drugih računalniških komponent, so pa vmes tudi prenosniki in namizni računalniki podjetij Dell, Acer in Lenovo.

Povezava do seznama.