BIOS/UEFI/Firmware書換えプロテクトの重要性

->デュアルソケット・ザ・ワールドの目次は こちら へ。
-----------------------------------------------
現代のコンピュータは、省略して書くと下記の階層構造になっていますが、一般的にセキュリティソフトが面倒見ているのはオペレーティングシステムとアプリ、あとはせいぜいデバイスドライバまでで、物によってはマザーボードのBIOS/UEIFのプロテクトをする物も有りますが、デバイス固有のFirmwareの様に変更可能かつ人間でいえば脊椎や神経に相当する重要部分がセキュリティソフトの保護対象になっておらず赤字部分がノーガードになっている事があります。

    CPU
   ↑ ↓
 マイクロコード
   ↑ ↓
 OperatingSystem ← → アプリ
   ↑ ↓
 デバイスドライバ
   ↑ ↓
 BIOS/UEFI/Firmware
   ↑ ↓
 各種デバイス
   ↑ ↓
   ユーザ

このFirmwareマイクロコードはHDDやSSDではなく各デバイスの基板やLSIに内蔵されているEEP-ROMなど書き換え可能な半導体メモリに記憶されている為、これらが変更され乗っ取られると視神経を乗っ取られる様なもので非常に厄介な事に成ります。

実際、NSAがBadUSBでOS管理外のCPU動作モードを使って核施設のシーメンス製遠心分離機のFirmwareを変更して回転数を変更する事でプルトニウム濃縮率を変更し破壊工作をした事からも判る様に、一見して気付かないレベルのFirmware変更により重大な事態に陥ったり、或いは情報が筒抜けになる様にSisco製ルータにバックドアを仕込んでから輸出する様な工作活動もしていますので、コンピュータ単体でガードするだけでは足りない側面もあります。

バックドアが仕込まれたルータを使うと、

 コンピュータ
   ↑ ↓
   ルータ(偽造SSL鍵でサーバを擬態し解読) ← → 盗聴者
   ↑ ↓
   サーバ

という構造が出来上がり、SSLの暗号通信が全て簡単に解読され盗聴されてしまいます。
そんな簡単に解読出来るの?と思われるかもしれませんが、ルート証明の有る偽造鍵を使えばルータが鍵をすり替えてクライアントに渡すだけで仕組みが出来ますので、とても簡単に解読出来てしまいます(つまり、既にSSLの仕組みは破綻しており、全て解読済みと思った方が良いです)。

支那では、こういった盗聴と規制(Googleが使えないなど)を回避する目的で独自暗号鍵のVPNで西側諸国と通信するのがアンダーグランドで流行している様ですが、これは人民解放軍の規制により禁止の方向になる様な噂を先日聞きました。

話がそれましたが、各種デバイスのFirmwareを保護・プロテクトするような何か良い方法はないものでしょうかね?

 
関連記事
スポンサーサイト

コメントの投稿

非公開コメント

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

Re: No title

> どうにもならないと仮定しその上で出来るのは、日立の秘文に代表される暗号化を施し出来る限り個人情報を扱わないように気をつける自主自衛しかないように思えます。

そうなんですよね。。。

> 仕事関係となれば、諜報されていると思い敢えて特定の人にしか分からない暗号文を構築するしかないでしょう。

仕事関係で独自暗号プログラムは幾度か作った事がありますが、リング0を乗っ取られたら成す術がありません。
そうなると対策はx86-64やARMなどの既存の物とは全く異なる命令体系を持つハードウエアアーキテクチャが必要になります。
プロフィール

DualSocketTheWorld

Author:DualSocketTheWorld
自作を始めて20台目くらいになりますが、最初からデュアルソケット限定(始めた当時はデュアルスロット)で自作しており、近年になってAMD K6を試したくなりSocket7でK6-2+のシングル構成で組んだのがシングル初です。

シングルマザー(含:シングルソケットマルチコア)や4ソケット以上の自作は基本的にしませんし、メーカー製PCの改造も基本的にはしません(ノートPCのSSD化くらいはしますが・・・)

基本路線はワークステーションと呼ばれる分野での自作で、OSもWindows系であればProfesionalが主な対象に成ります。

ゲーマーの様なOverClockは行わず、WS路線としてハイエンドCPUとハイエンドGPUの組み合わせで定格或いはDownClockで発熱を抑えつつ、その時のアーキテクチャに置いて爆速かつ静音を目指し、30年以上の長期に渡り稼動状態をキープする事を目指します。

※基本的にリンクフリーです。どこでも自由にどうぞ。

※画像は時々変ります。

※お決まりの文章ですが、改造は個人の責任で行ってください。ここに記載された情報は間違いを含んでいる可能性が有り、それを元に製作や改造などをして失敗しても筆者は一切責任持てませんので悪しからず。

筆者略歴:
小学生時代にゴミ捨て場で拾ったジャンクテレビ数台を分解して部品を取り出し真空管アンプを自作、中学生時代にPC8801mkⅡsrでZ80アセンブラを始める。社会人になって初のプログラムは弾道計算、後に医療系・金融系プログラマ~SEを経て100~200人規模プロジェクトのジェネラルマネジャを数年経験、独立して起業。現在は不動産所得で半引退生活。
(人物特定を避ける目的で一部経歴を変更しています)

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
アクセスカウンター
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR