О безопасности UEFI, часть шестая

    Все хорошее и не очень хорошее когда-нибудь заканчивается, пришла пора понемногу заканчивать и этот цикл статей.
    В этой предпоследней части речь пойдет о людях, пашущих на ниве безопасности UEFI с обеих сторон, о полезном в этом деле софте и его авторах и об источниках информации по теме для тех, кому она нужна. Заранее прошу прощения, если забуду упомянуть кого-то важного, поправьте меня в комментариях в таком случае.
    Как всегда, ссылки на предыдущие части опуса для тех, кто их пропустил, остальных прошу под кат.


    Часть шестая. О людях


    Как показывает практика, проблемами безопасности UEFI все время ее существования открыто занимаются практически одни и те же специалисты и компании, и потому «мир безопасности UEFI» достаточно мал, чтобы быть виртуально знакомым с ним практически целиком. Понятно, что той же темой интересуются и работники спецслужб, и разработчики средств криптографической защиты с драконовскими NDA, и «черные шляпы», глядящие на мир через цепочку прокси и десяток гейтов I2P->TOR->Internet, но речь пойдет не о них.
    Пойдет она о «широко известных в узких кругах» специалистах по UEFI, атакам на него, неразрушающей модификации прошивок и тому подобному. Если вдруг кого забуду невзначай (или просто будучи не в курсе) — рад вашим комментариям.

    Vincent Zimmer
    Блог, Твиттер.
    Инженер Intel, стоявший у истоков спецификации UEFI и продолжающий работать над ней уже более 10 лет. Автор и соавтор нескольких книг по UEFI (самая известная — Beyond BIOS), а также громадного количества статей, текстов и постов.
    В Твиттере пишет много разного, но в основном это ссылки на показавшиеся ему интересными статьи в прессе, так что если вас интересует только UEFI, только хардкор — за этим господином лучше не следовать, а вот блог рекомендую к прочтению целиком.

    LegbaCore: Corey Kallenberg и Xeno Kovah
    Сайт, Твиттер раз, два, Гитхаб.
    Стартап двух бывших исследователей безопасности прошивок из MITRE, организованный в 2015 году. В MITRE занимались разработкой системы предупреждения о заражении прошивки Copernicus, теперь занимаются исследованиями различных аспектов безопасности, консультируют по этим вопросам IBV и понемногу пилят продолжение Copernicus уже под другим именем. Наиболее известны как соавторы атаки на S3 BootScript (я описывал ее в третьей части) и «переоткрытие» атаки SMM Incursion (описана во второй части).
    В Твиттере стоит следовать за обоими, вместо блога стоит просматривать содержимое вот этой станицы их сайта — именно там появляются ссылки на исследования и их презентации.

    Invisible Things Lab: Rafal Wojtczuk и Joanna Rutkowska
    Сайт, Блог раз, два, Твиттер.
    Об этой команде исследователей во главе с мадам Рутковской на Хабре, наверное, слышали почти все. Занимаются они исследованиями всего подряд, в том числе и прошивок, но известны в основном как авторы Qubes OS и первооткрыватели атаки SMM cache poisoning (описана во второй части).
    Твиттер ведет только Йоанна, следовать за ней однозначно стоит, блог также почитать не помешает. Рафаль, кроме блога ITL, пишет иногда в блог проекта Bromium Labs, тоже однозначно рекомендую.

    Intel ATR: Александр matrosov Матросов, Юрий Булыгин, Александр Бажанюк, Андрей Фуртак и остальные
    Сайт раз, два, Твиттер раз, два, три, четыре, Гитхаб.
    Могучая кучка русскоязычных исследователей безопасности всего подряд, в том числе и прошивок, технологий виртуализации и прочего нижнего уровня. Кроме огромного количества статей и выступлений на конференциях являются авторами фреймворка Chipsec, радикально упростившего жизнь простого инженера IBV, за который я выражаю им отдельное огромное спасибо.
    В Твиттере следовать за всеми, блоги и работы читать обязательно.

    Дмитрий d_olex Олексюк
    Блог, Твиттер, Гитхаб.
    Еще один русскоязычный исследователь безопасности прошивок, известный своими статьями о практической безопасности (т.е. не просто «вот тут дыра», а «вот код, который ее эксплуатирует»), автор первого на моей памяти открытого SMM-руткита и множества других интересных проектов.
    В Твиттере следовать непременно, блог читать целиком.

    Pedro Vilaça
    Блог, Твиттер, Гитхаб.
    Очень известный исследователь безопасности продуктов Apple, в том числе и их прошивок, постоянно выступает на конференциях по всему миру, где делится своими наработками. Недавно обнаружил нашумевшую ошибку со сбросом PR-регистров после S3 на некоторых системах Apple (Prince Harming).
    В Твиттере пишет много и разное, следовать или нет — решайте сами. Блог и доклады почитать стоит однозначно.

    Trammell Hudson
    Блог, Гитхаб.
    Другой известный исследователь безопасности прошивок Apple, автор атак Thunderstrike и Thunderstrike 2. Занимается компьютерной безопасностью с незапамятных времен, автор множества интересных статей и постов (весь список). Блог читать обязательно.

    Teddy Reed
    Блог, Твиттер, Гитхаб.
    Еще один исследователь безопасности UEFI, автор проекта Subzero.io по каталогизации версий прошивкой и отслеживанию изменений в них, для чего написал утилиты uefi-spider и uefi-firmware-parser. В данный момент работает над проектом OSQuery.
    Стоит следования в Твиттере, блог тоже весьма интересный.

    Matthew Garrett
    Блог, Твиттер, Гитхаб.
    Специалист по безопасности из мира Linux, познакомивший этот самый мир с технологией SecureBoot. Автор множества интересных статей о прошивках и их взаимодействии с Linux.
    Пишет коротко и по делу, следовать в Твиттере и читать блог однозначно стоит.

    Lee Fisher
    Блог.
    Специалист по безопасности прошивок, ведущий блога FirmwareSecurity.com, в который практически каждый день пишет о найденных на просторах сети обрывках информации о безопасности UEFI. Для специалистов по теме и тех, кто хочет ими стать — в RSS и закладки.

    Donovan Cudney
    Блог, Гитхаб.
    Известный моддер прошивок, написавший о модификации UEFI не один десяток статей в своем блоге, и многократно помогавший с модификацией просителям на форуме bios-mods.com. Является автором утилиты Universal IFR Extractor, разительно упрощающей исследование UEFI Setup на предмет скрытых настроек.
    В блоге не пишет довольно давно, но некоторые статьи почитать стоит.

    Andy P
    Тема на форуме MDL.
    Еще один известный моддер прошивок, автор утилиты PhoenixTool, которая, несмотря на свой закрытый код и требование .NET 3.5, до сих пор остается одной из лучших утилит для неразрушающей модификации UEFI-совместимых прошивок.
    На форуме общается мало, статей не пишет, но не упомянуть его я не мог.

    Заключение


    Ну вот, рассказал и о людях, осталось собрать все упомянутые уязвимости в таблицу, как обещал еще в первой части, и написать вне этого цикла статью про практическое использование SecureBoot.
    Если у вас есть вопросы, или вам интересна какая-то относящаяся к UEFI тема, которую я еще не затронул — добро пожаловать в комментарии.
    Спасибо за внимание, читайте вышеуказанных товарищей и просвещайтесь.

    P.S.
    Ничего не написал про самого себя (а то еще, не дай рандом, в «Я пиарюсь» перенесут), но позволю себе процитировать Кори Калленберга:
    FYI for anyone who is interested in UEFI security issues, you should definitely also be following @NikolajSchlej
    • +22
    • 17,6k
    • 3
    Поделиться публикацией

    Похожие публикации

    Комментарии 3

      +1
      Огромнейшее спасибо!

      Давно слежу за вашим циклом «О безопасности UEFI».
      ИМХО, с части шестой следовало бы начать! ;))

      75% имен, если честно, мне не известны. Надеюсь будет полезно ознакомиться.
        +1
        Пожалуйста, спасибо, что читаете.
        Если с этой части начинать, мои тексты никто читать не станет — все разбегутся читать первосточники, там ведь картинки и PDFки, а у меня тут текст голимый и шутки несмешные. ;)
          +1
          Вспомнил препода по алгоритмическим языкам программирования у себя в ВУЗе…
          Он список литературы на последней лекции дал с тем же аргументами ;))

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое