Все хорошее и не очень хорошее когда-нибудь заканчивается, пришла пора понемногу заканчивать и этот цикл статей.
В этой предпоследней части речь пойдет о людях, пашущих на ниве безопасности UEFI с обеих сторон, о полезном в этом деле софте и его авторах и об источниках информации по теме для тех, кому она нужна. Заранее прошу прощения, если забуду упомянуть кого-то важного, поправьте меня в комментариях в таком случае.
Как всегда, ссылки на предыдущие части опуса для тех, кто их пропустил, остальных прошу под кат.
Как показывает практика, проблемами безопасности UEFI все время ее существования открыто занимаются практически одни и те же специалисты и компании, и потому «мир безопасности UEFI» достаточно мал, чтобы быть виртуально знакомым с ним практически целиком. Понятно, что той же темой интересуются и работники спецслужб, и разработчики средств криптографической защиты с драконовскими NDA, и «черные шляпы», глядящие на мир через цепочку прокси и десяток гейтов I2P->TOR->Internet, но речь пойдет не о них.
Пойдет она о «широко известных в узких кругах» специалистах по UEFI, атакам на него, неразрушающей модификации прошивок и тому подобному. Если вдруг кого забуду невзначай (или просто будучи не в курсе) — рад вашим комментариям.
Инженер Intel, стоявший у истоков спецификации UEFI и продолжающий работать над ней уже более 10 лет. Автор и соавтор нескольких книг по UEFI (самая известная — Beyond BIOS), а также громадного количества статей, текстов и постов.
В Твиттере пишет много разного, но в основном это ссылки на показавшиеся ему интересными статьи в прессе, так что если вас интересует только UEFI, только хардкор — за этим господином лучше не следовать, а вот блог рекомендую к прочтению целиком.
Стартап двух бывших исследователей безопасности прошивок из MITRE, организованный в 2015 году. В MITRE занимались разработкой системы предупреждения о заражении прошивки Copernicus, теперь занимаются исследованиями различных аспектов безопасности, консультируют по этим вопросам IBV и понемногу пилят продолжение Copernicus уже под другим именем. Наиболее известны как соавторы атаки на S3 BootScript (я описывал ее в третьей части) и «переоткрытие» атаки SMM Incursion (описана во второй части).
В Твиттере стоит следовать за обоими, вместо блога стоит просматривать содержимое вот этой станицы их сайта — именно там появляются ссылки на исследования и их презентации.
Об этой команде исследователей во главе с мадам Рутковской на Хабре, наверное, слышали почти все. Занимаются они исследованиями всего подряд, в том числе и прошивок, но известны в основном как авторы Qubes OS и первооткрыватели атаки SMM cache poisoning (описана во второй части).
Твиттер ведет только Йоанна, следовать за ней однозначно стоит, блог также почитать не помешает. Рафаль, кроме блога ITL, пишет иногда в блог проекта Bromium Labs, тоже однозначно рекомендую.
Могучая кучка русскоязычных исследователей безопасности всего подряд, в том числе и прошивок, технологий виртуализации и прочего нижнего уровня. Кроме огромного количества статей и выступлений на конференциях являются авторами фреймворка Chipsec, радикально упростившего жизнь простого инженера IBV, за который я выражаю им отдельное огромное спасибо.
В Твиттере следовать за всеми, блоги и работы читать обязательно.
Еще один русскоязычный исследователь безопасности прошивок, известный своими статьями о практической безопасности (т.е. не просто «вот тут дыра», а «вот код, который ее эксплуатирует»), автор первого на моей памяти открытого SMM-руткита и множества других интересных проектов.
В Твиттере следовать непременно, блог читать целиком.
Очень известный исследователь безопасности продуктов Apple, в том числе и их прошивок, постоянно выступает на конференциях по всему миру, где делится своими наработками. Недавно обнаружил нашумевшую ошибку со сбросом PR-регистров после S3 на некоторых системах Apple (Prince Harming).
В Твиттере пишет много и разное, следовать или нет — решайте сами. Блог и доклады почитать стоит однозначно.
Другой известный исследователь безопасности прошивок Apple, автор атак Thunderstrike и Thunderstrike 2. Занимается компьютерной безопасностью с незапамятных времен, автор множества интересных статей и постов (весь список). Блог читать обязательно.
Еще один исследователь безопасности UEFI, автор проекта Subzero.io по каталогизации версий прошивкой и отслеживанию изменений в них, для чего написал утилиты uefi-spider и uefi-firmware-parser. В данный момент работает над проектом OSQuery.
Стоит следования в Твиттере, блог тоже весьма интересный.
Специалист по безопасности из мира Linux, познакомивший этот самый мир с технологией SecureBoot. Автор множества интересных статей о прошивках и их взаимодействии с Linux.
Пишет коротко и по делу, следовать в Твиттере и читать блог однозначно стоит.
Специалист по безопасности прошивок, ведущий блога FirmwareSecurity.com, в который практически каждый день пишет о найденных на просторах сети обрывках информации о безопасности UEFI. Для специалистов по теме и тех, кто хочет ими стать — в RSS и закладки.
Известный моддер прошивок, написавший о модификации UEFI не один десяток статей в своем блоге, и многократно помогавший с модификацией просителям на форуме bios-mods.com. Является автором утилиты Universal IFR Extractor, разительно упрощающей исследование UEFI Setup на предмет скрытых настроек.
В блоге не пишет довольно давно, но некоторые статьи почитать стоит.
Еще один известный моддер прошивок, автор утилиты PhoenixTool, которая, несмотря на свой закрытый код и требование .NET 3.5, до сих пор остается одной из лучших утилит для неразрушающей модификации UEFI-совместимых прошивок.
На форуме общается мало, статей не пишет, но не упомянуть его я не мог.
Ну вот, рассказал и о людях, осталось собрать все упомянутые уязвимости в таблицу, как обещал еще в первой части, и написать вне этого цикла статью про практическое использование SecureBoot.
Если у вас есть вопросы, или вам интересна какая-то относящаяся к UEFI тема, которую я еще не затронул — добро пожаловать в комментарии.
Спасибо за внимание, читайте вышеуказанных товарищей и просвещайтесь.
P.S.
Ничего не написал про самого себя (а то еще, не дай рандом, в «Я пиарюсь» перенесут), но позволю себе процитировать Кори Калленберга:
В этой предпоследней части речь пойдет о людях, пашущих на ниве безопасности UEFI с обеих сторон, о полезном в этом деле софте и его авторах и об источниках информации по теме для тех, кому она нужна. Заранее прошу прощения, если забуду упомянуть кого-то важного, поправьте меня в комментариях в таком случае.
Как всегда, ссылки на предыдущие части опуса для тех, кто их пропустил, остальных прошу под кат.
Часть шестая. О людях
Как показывает практика, проблемами безопасности UEFI все время ее существования открыто занимаются практически одни и те же специалисты и компании, и потому «мир безопасности UEFI» достаточно мал, чтобы быть виртуально знакомым с ним практически целиком. Понятно, что той же темой интересуются и работники спецслужб, и разработчики средств криптографической защиты с драконовскими NDA, и «черные шляпы», глядящие на мир через цепочку прокси и десяток гейтов I2P->TOR->Internet, но речь пойдет не о них.
Пойдет она о «широко известных в узких кругах» специалистах по UEFI, атакам на него, неразрушающей модификации прошивок и тому подобному. Если вдруг кого забуду невзначай (или просто будучи не в курсе) — рад вашим комментариям.
Vincent Zimmer
Блог, Твиттер.Инженер Intel, стоявший у истоков спецификации UEFI и продолжающий работать над ней уже более 10 лет. Автор и соавтор нескольких книг по UEFI (самая известная — Beyond BIOS), а также громадного количества статей, текстов и постов.
В Твиттере пишет много разного, но в основном это ссылки на показавшиеся ему интересными статьи в прессе, так что если вас интересует только UEFI, только хардкор — за этим господином лучше не следовать, а вот блог рекомендую к прочтению целиком.
LegbaCore: Corey Kallenberg и Xeno Kovah
Сайт, Твиттер раз, два, Гитхаб.Стартап двух бывших исследователей безопасности прошивок из MITRE, организованный в 2015 году. В MITRE занимались разработкой системы предупреждения о заражении прошивки Copernicus, теперь занимаются исследованиями различных аспектов безопасности, консультируют по этим вопросам IBV и понемногу пилят продолжение Copernicus уже под другим именем. Наиболее известны как соавторы атаки на S3 BootScript (я описывал ее в третьей части) и «переоткрытие» атаки SMM Incursion (описана во второй части).
В Твиттере стоит следовать за обоими, вместо блога стоит просматривать содержимое вот этой станицы их сайта — именно там появляются ссылки на исследования и их презентации.
Invisible Things Lab: Rafal Wojtczuk и Joanna Rutkowska
Сайт, Блог раз, два, Твиттер.Об этой команде исследователей во главе с мадам Рутковской на Хабре, наверное, слышали почти все. Занимаются они исследованиями всего подряд, в том числе и прошивок, но известны в основном как авторы Qubes OS и первооткрыватели атаки SMM cache poisoning (описана во второй части).
Твиттер ведет только Йоанна, следовать за ней однозначно стоит, блог также почитать не помешает. Рафаль, кроме блога ITL, пишет иногда в блог проекта Bromium Labs, тоже однозначно рекомендую.
Intel ATR: Александр matrosov Матросов, Юрий Булыгин, Александр Бажанюк, Андрей Фуртак и остальные
Сайт раз, два, Твиттер раз, два, три, четыре, Гитхаб.Могучая кучка русскоязычных исследователей безопасности всего подряд, в том числе и прошивок, технологий виртуализации и прочего нижнего уровня. Кроме огромного количества статей и выступлений на конференциях являются авторами фреймворка Chipsec, радикально упростившего жизнь простого инженера IBV, за который я выражаю им отдельное огромное спасибо.
В Твиттере следовать за всеми, блоги и работы читать обязательно.
Дмитрий d_olex Олексюк
Блог, Твиттер, Гитхаб.Еще один русскоязычный исследователь безопасности прошивок, известный своими статьями о практической безопасности (т.е. не просто «вот тут дыра», а «вот код, который ее эксплуатирует»), автор первого на моей памяти открытого SMM-руткита и множества других интересных проектов.
В Твиттере следовать непременно, блог читать целиком.
Pedro Vilaca
Блог, Твиттер, Гитхаб.Очень известный исследователь безопасности продуктов Apple, в том числе и их прошивок, постоянно выступает на конференциях по всему миру, где делится своими наработками. Недавно обнаружил нашумевшую ошибку со сбросом PR-регистров после S3 на некоторых системах Apple (Prince Harming).
В Твиттере пишет много и разное, следовать или нет — решайте сами. Блог и доклады почитать стоит однозначно.
Trammell Hudson
Блог, Гитхаб.Другой известный исследователь безопасности прошивок Apple, автор атак Thunderstrike и Thunderstrike 2. Занимается компьютерной безопасностью с незапамятных времен, автор множества интересных статей и постов (весь список). Блог читать обязательно.
Teddy Reed
Блог, Твиттер, Гитхаб.Еще один исследователь безопасности UEFI, автор проекта Subzero.io по каталогизации версий прошивкой и отслеживанию изменений в них, для чего написал утилиты uefi-spider и uefi-firmware-parser. В данный момент работает над проектом OSQuery.
Стоит следования в Твиттере, блог тоже весьма интересный.
Matthew Garrett
Блог, Твиттер, Гитхаб.Специалист по безопасности из мира Linux, познакомивший этот самый мир с технологией SecureBoot. Автор множества интересных статей о прошивках и их взаимодействии с Linux.
Пишет коротко и по делу, следовать в Твиттере и читать блог однозначно стоит.
Lee Fisher
Блог.Специалист по безопасности прошивок, ведущий блога FirmwareSecurity.com, в который практически каждый день пишет о найденных на просторах сети обрывках информации о безопасности UEFI. Для специалистов по теме и тех, кто хочет ими стать — в RSS и закладки.
Donovan Cudney
Блог, Гитхаб.Известный моддер прошивок, написавший о модификации UEFI не один десяток статей в своем блоге, и многократно помогавший с модификацией просителям на форуме bios-mods.com. Является автором утилиты Universal IFR Extractor, разительно упрощающей исследование UEFI Setup на предмет скрытых настроек.
В блоге не пишет довольно давно, но некоторые статьи почитать стоит.
Andy P
Тема на форуме MDL.Еще один известный моддер прошивок, автор утилиты PhoenixTool, которая, несмотря на свой закрытый код и требование .NET 3.5, до сих пор остается одной из лучших утилит для неразрушающей модификации UEFI-совместимых прошивок.
На форуме общается мало, статей не пишет, но не упомянуть его я не мог.
Заключение
Ну вот, рассказал и о людях, осталось собрать все упомянутые уязвимости в таблицу, как обещал еще в первой части, и написать вне этого цикла статью про практическое использование SecureBoot.
Если у вас есть вопросы, или вам интересна какая-то относящаяся к UEFI тема, которую я еще не затронул — добро пожаловать в комментарии.
Спасибо за внимание, читайте вышеуказанных товарищей и просвещайтесь.
P.S.
Ничего не написал про самого себя (а то еще, не дай рандом, в «Я пиарюсь» перенесут), но позволю себе процитировать Кори Калленберга:
FYI for anyone who is interested in UEFI security issues, you should definitely also be following @NikolajSchlej
PavelMSTU
Огромнейшее спасибо!
Давно слежу за вашим циклом «О безопасности UEFI».
ИМХО, с части шестой следовало бы начать! ;))
75% имен, если честно, мне не известны. Надеюсь будет полезно ознакомиться.
CodeRush
Пожалуйста, спасибо, что читаете.
Если с этой части начинать, мои тексты никто читать не станет — все разбегутся читать первосточники, там ведь картинки и PDFки, а у меня тут текст голимый и шутки несмешные. ;)
PavelMSTU
Вспомнил препода по алгоритмическим языкам программирования у себя в ВУЗе…
Он список литературы на последней лекции дал с тем же аргументами ;))