Ubuntu-ში ჩაკეტვის დაცვის გამორთვის მეთოდები UEFI Secure Boot-ის დისტანციურად გვერდის ავლით

ანდრეი კონოვალოვი Google-იდან გამოქვეყნებული დაცვის დისტანციურად გამორთვის გზა Lockdownშემოთავაზებული Linux-ის ბირთვის პაკეტში, რომელიც გაიგზავნება Ubuntu-სთან (თეორიულად შემოთავაზებული ტექნიკა აქვს იმუშავეთ Fedora-ს ბირთვთან და სხვა დისტრიბუციებთან, მაგრამ ისინი არ არის გამოცდილი).

Lockdown ზღუდავს root მომხმარებლის წვდომას ბირთვზე და ბლოკავს UEFI Secure Boot შემოვლითი ბილიკებს. მაგალითად, ჩაკეტვის რეჟიმში, წვდომა /dev/mem, /dev/kmem, /dev/port, /proc/kcore, გამართვის რეჟიმი, kprobes გამართვის რეჟიმი, mmiotrace, tracefs, BPF, PCMCIA CIS (ბარათის ინფორმაციის სტრუქტურა), ზოგიერთი ინტერფეისები შეზღუდულია CPU-ს ACPI და MSR რეგისტრები, ზარები kexec_file-ზე და kexec_load დაბლოკილია, ჰიბერნაცია აკრძალულია, DMA გამოყენება PCI მოწყობილობებისთვის შეზღუდულია, ACPI კოდის იმპორტი EFI ცვლადებიდან აკრძალულია, I/O პორტებით მანიპულირება დაუშვებელია. , მათ შორის შეფერხების ნომრის და I/O პორტის შეცვლა სერიული პორტისთვის.

დაბლოკვის მექანიზმი ახლახან დაემატა Linux-ის მთავარ ბირთვს 5.4, მაგრამ დისტრიბუციებში მიწოდებულ ბირთვებში ის მაინც დანერგილია პატჩების სახით ან დამატებული პაჩებით. ერთ-ერთი განსხვავება სადისტრიბუციო კომპლექტებში მოწოდებულ დანამატებსა და ბირთვში ჩაშენებულ იმპლემენტაციას შორის არის მოწოდებული ჩაკეტვის გამორთვის შესაძლებლობა, თუ გაქვთ სისტემაზე ფიზიკური წვდომა.

Ubuntu-სა და Fedora-ში კლავიშთა კომბინაცია Alt+SysRq+X მოცემულია Lockdown-ის გამორთვისთვის. გასაგებია, რომ კომბინაცია Alt+SysRq+X შეიძლება გამოყენებულ იქნას მხოლოდ მოწყობილობაზე ფიზიკური წვდომით, ხოლო დისტანციური ჰაკერების და root წვდომის შემთხვევაში, თავდამსხმელი ვერ შეძლებს გამორთოს Lockdown და, მაგალითად, ჩატვირთოს მოდული rootkit-ით, რომელიც ციფრულად არ არის შესული ბირთვში.

ანდრეი კონოვალოვმა აჩვენა, რომ კლავიატურაზე დაფუძნებული მეთოდები მომხმარებლის ფიზიკური ყოფნის დასადასტურებლად არაეფექტურია. Lockdown-ის გამორთვის უმარტივესი გზა იქნება პროგრამულად სიმულაცია დაჭერით Alt+SysRq+X /dev/uinput-ის საშუალებით, მაგრამ ეს პარამეტრი თავდაპირველად დაბლოკილია. ამავდროულად, შესაძლებელი გახდა ჩანაცვლების კიდევ ორი ​​მეთოდის იდენტიფიცირება Alt+SysRq+X.

პირველი მეთოდი მოიცავს "sysrq-trigger" ინტერფეისის გამოყენებას - მის სიმულაციისთვის, უბრალოდ ჩართეთ ეს ინტერფეისი და ჩაწერეთ "1" /proc/sys/kernel/sysrq-ზე და შემდეგ ჩაწერეთ "x" /proc/sysrq-trigger-ზე. თქვა ხუფმა აღმოფხვრილი დეკემბრის Ubuntu ბირთვის განახლებაში და Fedora 31-ში. აღსანიშნავია, რომ დეველოპერები, როგორც /dev/uinput-ის შემთხვევაში, თავდაპირველად შეეცადა დაბლოკეთ ეს მეთოდი, მაგრამ დაბლოკვა არ მუშაობდა იმის გამო შეცდომები კოდში.

მეორე მეთოდი მოიცავს კლავიატურის ემულაციას USB/IP შემდეგ კი ვირტუალური კლავიატურიდან Alt+SysRq+X მიმდევრობის გაგზავნა. Ubuntu-სთან მიწოდებული USB/IP ბირთვი ჩართულია ნაგულისხმევად (CONFIG_USBIP_VHCI_HCD=m და CONFIG_USBIP_CORE=m) და უზრუნველყოფს ციფრულად ხელმოწერილი usbip_core და vhci_hcd მოდულებს, რომლებიც საჭიროა ოპერაციისთვის. თავდამსხმელს შეუძლია შექმნა ვირტუალური USB მოწყობილობა, დაიწყო ქსელის დამმუშავებელი loopback ინტერფეისზე და მისი დაკავშირება დისტანციური USB მოწყობილობის სახით USB/IP-ის გამოყენებით. მითითებული მეთოდის შესახებ იტყობინება Ubuntu-ს დეველოპერებს, მაგრამ შესწორება ჯერ არ გამოქვეყნებულა.

წყარო: opennet.ru