Google想干掉服务器上的Intel ME和私有UEFI

HardenedLinux 写道 " 近日在捷克布拉格举行的 Open Source Summit 上 的工程师 Ron Minnich 谈到面对 Intel ME 和私有 UEFI 实现时 Google 感到很害怕 目前和其他一些厂商以及自由软件社区合作开发基于自由固件 coreboot 一个叫 NERF 的项目,NERF 是一个基于 内核的变种作为 coreboot 的 payload 运行在固件启动阶段,借鉴了之前另外一个名为 HEADS 的 coreboot payload 实现,因此 NERF 在固件阶段可以非常灵活的定制各类操作。coreboot 是一个完全开放源代码的固件项目所以不存在不可审计的问题(闭源固件的二进制审计成本过高),另一方面,coreboot 相比私有 UEFI 大大降低了攻击平面。 ME 方面,虽然今天很多应用是运行于 ME 平台上,但其安全方面不仅存在漏洞的风险,更存在后门的风险,所以一般核运行核心业务的机器都会禁用,这也是为什么 NSA 在作为可信保障规划的 HAP 项目中也禁用了 ME。HardenedLinux 社区的基础平台防御方案 Hardening the COREs 在最极端的场景下不仅开启 HAP bit(学习 NSA 的做法)禁用 Intel ME,同时也删除必要代码模块以外的所有模块包括 AMT 和 SGX,云计算场景中诱人的 feature 比如基础资产管理和 remote attestation 可以通过 OS 层面的实现和 meansuredboot+TPM 来实现,虚拟化层面则配合 PaX/Grsecurity 和定制 SMI 实现联动防御对抗逃逸和测信道,内核本身的加固可以参考 PaX/Grsecurity 的特性根据业务场景和威胁建模进行适配,只有当 RING 0 到 RING -3 的基础防御问题得到有效解决时我们才有精力真正意义上去 hacking RING -4 的世界,这次是真的应该给 Google 点个赞了;-)"

来源:Solidot

发布者

小旭旭

iOpenV 创始人,80后,从事:项目管理、网站建设方案、网站优化策略;职务:网站管理员、部门主管、技术总监、经理。

发表评论

电子邮件地址不会被公开。 必填项已用*标注