О безопасности UEFI, часть шестая
Все хорошее и не очень хорошее когда-нибудь заканчивается, пришла пора понемногу заканчивать и этот цикл статей.
В этой предпоследней части речь пойдет о людях, пашущих на ниве безопасности UEFI с обеих сторон, о полезном в этом деле софте и его авторах и об источниках информации по теме для тех, кому она нужна. Заранее прошу прощения, если забуду упомянуть кого-то важного, поправьте меня в комментариях в таком случае.
Как всегда, ссылкина предыдущие части опуса для тех, кто их пропустил, остальных прошу под кат.
Часть шестая. О людях
Как показывает практика, проблемами безопасности UEFI все время ее существования открыто занимаются практически одни и те же специалисты и компании, и потому «мир безопасности UEFI» достаточно мал, чтобы быть виртуально знакомым с ним практически целиком. Понятно, что той же темой интересуются и работники спецслужб, и разработчики средств криптографической защиты с драконовскими NDA, и «черные шляпы», глядящие на мир через цепочку прокси и десяток гейтов I2P->TOR->Internet, но речь пойдет не о них.
Пойдет она о «широко известных в узких кругах» специалистах по UEFI, атакам на него, неразрушающей модификации прошивок и тому подобному. Если вдруг кого забуду невзначай (или просто будучи не в курсе) — рад вашим комментариям.Vincent Zimmer
Блог, Твиттер.
Инженер Intel, стоявший у истоков спецификации UEFI и продолжающий работать над ней уже более 10 лет. Автор и соавтор нескольких книг по UEFI (самая известная — Beyound BIOS), а также громадного количества статей, текстов и постов.
В Твиттере пишет много разного, но в основном это ссылки на показавшиеся ему интересными статьи в прессе, так что если вас интересует только UEFI, только хардкор — за этим господином лучше не следовать, а вот блог рекомендую к прочтению целиком.LegbaCore: Corey Kallenberg и Xeno Kovah
Сайт, Твиттер раз, два, Гитхаб.
Стартап двух бывших исследователей безопасности прошивок из MITRE, организованный в 2015 году. В MITRE занимались разработкой системы предупреждения о заражении прошивки Copernicus, теперь занимаются исследованиями различных аспектов безопасности, консультируют по этим вопросам IBV и понемногу пилят продолжение Copernicus уже под другим именем. Наиболее известны как соавторы атаки на S3 BootScript (за которую Кори получил в этом году Pwnie Award в категории Priviledge Escalation, я описывал ее в третьей части) и «переоткрытие» атаки SMM Incursion (описана во второй части).
В Твиттере стоит следовать за обоими, вместо блога стоит просматривать содержимое вот этой станицы их сайта — именно там появляются ссылки на исследования и их презентации.Invisible Things Lab: Rafal Wojtczuk и Joanna Rutkowska
Сайт, Блог раз, два, Твиттер.
Об этой команде исследователей во главе с мадам Рутковской на Хабре, наверное, слышали почти все. Занимаются они исследованиями всего подряд, в том числе и прошивок, но известны в основном как авторы Qubes OS и первооткрыватели атаки SMM cache poisoning (описана во второй части).
Твиттер ведет только Йоанна, следовать за ней однозначно стоит, блог также почитать не помешает. Рафаль, кроме блога ITL, пишет иногда в блог проекта Bromium Labs, тоже однозначно рекомендую.Intel ATR: Александр matrosov Матросов, Юрий Булыгин, Александр Бажанюк, Андрей Фуртак и остальные
Сайт раз, два, Твиттер раз, два, три, четыре, Гитхаб.
Могучая кучка русскоязычных исследователей безопасности всего подряд, в том числе и прошивок, технологий виртуализации и прочего нижнего уровня. Кроме огромного количества статей и выступлений на конференциях являются авторами фреймворка Chipsec, радикально упростившего жизнь простого инженера IBV, за который я выражаю им отдельное огромное спасибо.
В Твиттере следовать за всеми, блоги и работы читать обязательно.Дмитрий d_olex Олексюк
Блог, Твиттер, Гитхаб.
Еще один русскоязычный исследователь безопасности прошивок, известный своими статьями о практической безопасности (т.е. не просто «вот тут дыра», а «вот код, который ее эксплуатирует»), автор первого на моей памяти открытого SMM-руткита и множества других интересных проектов.
В Твиттере следовать непременно, блог читать целиком.Pedro Vilaça
Блог, Твиттер, Гитхаб.
Очень известный исследователь безопасности продуктов Apple, в том числе и их прошивок, постоянно выступает на конференциях по всему миру, где делится своими наработками. Недавно обнаружил нашумевшую ошибку со сбросом PR-регистров после S3 на некоторых системах Apple (Prince Harming).
В Твиттере пишет много и разное, следовать или нет — решайте сами. Блог и доклады почитать стоит однозначно.Trammell Hudson
Блог, Гитхаб.
Другой известный исследователь безопасности прошивок Apple, автор атак Thunderstrike и Thunderstrike 2. Занимается компьютерной безопасностью с незапамятных времен, автор множества интересных статей и постов (весь список). Блог читать обязательно.Teddy Reed
Блог, Твиттер, Гитхаб.
Еще один исследователь безопасности UEFI, автор проекта Subzero.io по каталогизации версий прошивкой и отслеживанию изменений в них, для чего написал утилиты uefi-spider и uefi-firmware-parser. В данный момент работает над проектом OSQuery.
Стоит следования в Твиттере, блог тоже весьма интересный.Matthew Garrett
Блог, Твиттер, Гитхаб.
Специалист по безопасности из мира Linux, познакомивший этот самый мир с технологией SecureBoot. Автор множества интересных статей о прошивках и их взаимодействии с Linux.
Пишет коротко и по делу, следовать в Твиттере и читать блог однозначно стоит.Lee Fisher
Блог.
Специалист по безопасности прошивок, ведущий блога FirmwareSecurity.com, в который практически каждый день пишет о найденных на просторах сети обрывках информации о безопасности UEFI. Для специалистов по теме и тех, кто хочет ими стать — в RSS и закладки.Donovan Cudney
Блог, Гитхаб.
Известный моддер прошивок, написавший о модификации UEFI не один десяток статей в своем блоге, и многократно помогавший с модификацией просителям на форуме bios-mods.com. Является автором утилиты Universal IFR Extractor, разительно упрощающей исследование UEFI Setup на предмет скрытых настроек.
В блоге не пишет довольно давно, но некоторые статьи почитать стоит.Andy P
Тема на форуме MDL.
Еще один известный моддер прошивок, автор утилиты PhoenixTool, которая, несмотря на свой закрытый код и требование .NET 3.5, до сих пор остается одной из лучших утилит для неразрушающей модификации UEFI-совместимых прошивок.
На форуме общается мало, статей не пишет, но не упомянуть его я не мог.
Заключение
Ну вот, рассказал и о людях, осталось собрать все упомянутые уязвимости в таблицу, как обещал еще в первой части, и написать вне этого цикла статью про практическое использование SecureBoot.
Если у вас есть вопросы, или вам интересна какая-то относящаяся к UEFI тема, которую я еще не затронул — добро пожаловать в комментарии.
Спасибо за внимание, читайте вышеуказанных товарищей и просвещайтесь.
P.S.
Ничего не написал про самого себя (а то еще, не дай рандом, в «Я пиарюсь» перенесут), но позволю себе процитировать Кори Калленберга:
FYI for anyone who is interested in UEFI security issues, you should definitely also be following @NikolajSchlej