أندري كونوفالوف من Google
يقيد التأمين وصول المستخدم الجذر إلى kernel ويمنع مسارات تجاوز التمهيد الآمن لـ UEFI. على سبيل المثال ، يقيد وضع التأمين الوصول إلى / dev / mem و / dev / kmem و / dev / port و / proc / kcore و debugfs و kprobes debug mode و mmiotrace و tracefs و BPF و PCMCIA CIS (بنية معلومات البطاقة) وبعض الواجهات يتم حظر سجلات ACPI و MSR لوحدة المعالجة المركزية ، والمكالمات إلى kexec_file و kexec_load ، والانتقال إلى وضع السكون محظور ، واستخدام DMA لأجهزة PCI محدود ، واستيراد رمز ACPI من متغيرات EFI محظور ، والتلاعب باستخدام I / O المنافذ غير مسموح بها ، بما في ذلك تغيير رقم المقاطعة ومنفذ الإدخال / الإخراج للمنفذ التسلسلي.
تمت إضافة آلية Lockdown مؤخرًا إلى جوهر Linux kernel.
في Ubuntu و Fedora ، يتم توفير مجموعة المفاتيح Alt + SysRq + X لتعطيل Lockdown. من المفهوم أنه لا يمكن استخدام تركيبة Alt + SysRq + X إلا من خلال الوصول المادي إلى الجهاز ، وفي حالة الاختراق عن بُعد والحصول على الوصول إلى الجذر ، لن يتمكن المهاجم من تعطيل Lockdown ، وعلى سبيل المثال ، تحميل وحدة غير موقعة مع rootkit في النواة.
أظهر أندري كونوفالوف أن الأساليب المعتمدة على لوحة المفاتيح لتأكيد التواجد المادي للمستخدم غير فعالة. أسهل طريقة لتعطيل Lockdown ستكون برمجيًا
تتضمن الطريقة الأولى استخدام واجهة "sysrq-Trigger" - للمحاكاة ، يكفي تمكين هذه الواجهة بكتابة "1" إلى / proc / sys / kernel / sysrq ، ثم كتابة "x" إلى / proc / sysrq- مشغل. ثغرة محددة
الطريقة الثانية تتعلق بمحاكاة لوحة المفاتيح من خلال
المصدر: opennet.ru