Здравствуйте!
Начитался всяких ужасов про современные вирусы, которые пишут себя прямо в биос и обходят все защиты, даже линуксы и БсДы.
В частности здесь:
http://www.reddit.com/r/badBIOSХочу найти такую криптографически стойкую материнскую плату, современную, для PC. Что бы она была не уязвима для любого рода таких атак.
Как я себе это представляю:
1. Есть производитель, пускай, например, GigaByte.
2. У производителя есть криптографическая пара priv_key / pub_key.
3. Все up-dates для Биоса он производит подписывая их своим priv_key. Т.е. если надо будет вдруг шить.
4. А pub_key - аппаратно зашит в материнку, без возможности его перебить из нутри компьютера, т.е. средствами ОС, и может даже аппаратно, т.е. средствами паяльника, например, есть же технология PUF physical unclonable function.
Тогда на стадии загрузки, ещё до биоса - будет проверка подписи текущей прошивки, и соответстенно любая гадость будет вычеслена на стадии загрузки.
+ Вот сейчас, у меня стоит 2-dual-bios какой-то, т.е. есть вторая копия биоса.
Я себе представляю такую дефолтную сборку дублирующего биоса - забитую в материнку прямо на заводе, без возможности перебить её програмно, только апаратно.
Т.е. если какая - то АНБ-шная или Китайская, или на худой конец ФСБ-шная шняга просачится через Firefox, и сразу прошьёт мой биос, то у меня:
а) Материнка проверит подпись производителя, и если она сделана не тем priv_key, который подходит к бортовому pub_key, то update для bios будет откланён.
б) Будет чистая версия биоса всегда на борту материнки.
И на стадии загрузки, будет возможность заменить даже официальное обновление <s>сырым</s> заводским, чистым биосом.
Как в старь, вынул батарейку - и часы сбились...
Всё это зашито должно быть в материнку, без возможности изменить не вмешиваясь аппаратно в железо.
Бывает такое? Или я мечтатель?
Помогите подобрать материнку, что бы был Биос не пробиваемый руткитами.
Jul 5 2015, 07:10
