Chain of Trust — кто на самом деле хозяин твоего железа?⁠⁠

Многие думают, что безопасность — это сложный пароль, отпечаток пальца и иконка антивируса в трее. Да, всё это важно, но это лишь внутренняя безопасность ОС. Если враг прорвется через фундамент и инжектится в UEFI еще до старта системы — все ваши пароли и защитники превратятся в бесполезные декорации. (1) кто это придумал и зачем? Сама идея доверенной загрузки зародилась тогда когда, вирусы научили прятаться глубже Ос чтобы их Ос и антивирусы не видели и чтобы можно было проворачивать свои темные делишки. Тогда консоциум состоящая из ( Intel, IBM, Microsoft) решили что компьютер не должен верить софту на слово. Так и появилась спецификация UEFI SecureBoot. Каждое цепочка загрузки обязано предъявить свой паспорт(подпись). (2) Кого же первого проверяют? (1) кого после начала загрузки проверяют это Core Root of Trust это не изменяемый код в ПЗУ процессора его нельзя как то изменить или удалить.Он проверяет подпись самого BIOS/UEFI на подмену. (2) UEFI&Secure Boot: Пройдя проверку UEFI, берет власть Здесь входит еще один участник цепочки Secure Boot он смотрит в базу ключей (PK,KEK,db)чтобы проверить следующую цепочку.Если загрузчик не подписан ключом которому доверяет или если загрузчик был скомпромеритирован то загрузка блокируется и покажется такой экран.

Если загрузчик прошел проверку secure boot то он получает управление, но на этом параноя не заканчивается.Загрузчик начинает проверять цифровую подпись ядра Ос и драйвера которые загружаются проверяя их подписи.Если он замечает что-то не так то он блокирует загрузку и покажет такой экран.

3 Почему это опасно? Если вирус смог прорватся в UEFI то считай что это Game Over. Ведь тут антивирусы бесполезны так как он запускается на уже зараженной системе, и Буткит будет контролировать ядро, подменять вызовы, и тд а антивирус этого не увидит ведь для него легальный и безопасный файл.Если хакер украдет ключи производителя (как было с утечками Intel, MSI и Gigabyte) и подпишет свой вирус легально — Цепочка доверия сама пустит врага в святая святых. Он станет богом в твоем железе, а ты — гостем, которому милостиво позволяют двигать мышкой. Как же обезопасить свое устройство? 1) Обновляйте версию своего BIOS Это не просто стабильность системы. С обновлениями прилетают свежие базы dbx (черные списки). Если хакеры скомпрометировали какой-то загрузчик, только обновление BIOS заставит твой Secure Boot его заблокировать. 2) Используйте доверенные источники Никогда не качай оптимизированные сборки Windows или Linux с вырезанным Secure Boot. Чаще всего его вырезают не ради скорости, а чтобы внедрить в систему свой подарок, который Chain of Trust просто не пропустила бы. 3) включи пароль на Bios Да возможно вы скажите это тупо но это рабочий способ Без него любой, кто получит доступ к твоему ПК на 5 минут, может воткнуть флешку, сбросить ключи Secure Boot или прописать свой зловредный загрузчик в приоритет а с ним если пароль не вводился то загрузка и вход в Bios запрещается. 4) Если ты прям максимальный параноик и боишься всего то просто возьми и сотри заводские ключи и прошей свои собственные. Тогда твой ПК будет доверять только тому ядру и загрузчику, которые подписал лично ты. 5) Контролируй физический доступ Если твой комп стоит в публичном месте (офисе), помни: физический доступ — это 90% успеха для атаки на Chain of Trust через программатор или шину SPI.

Ресурсы: 1)UEFI Forum https://uefi.org/home 2) Microsoft Learn: Secure Boot Overview https://learn.microsoft.com/en-us/windows-hardware/design/de... 3) Eclypsium https://eclypsium.com/home/ 4) Binary (Supply Chain Security) https://www.binarly.io/ 5) he rEFInd Boot Manager https://www.rodsbooks.com/refind/