Um grupo de engenheiros de softwares ligados a segurança e firmwares no Linux, incluindo o “famoso” Richard Hughes (Red Hat) estão implementando o FwupdPlugin, uma especificação de testes para informar o usuário final sobre o nível de segurança do seu computador.
Através do serviço LVFS (Linux Vendor Firmware Service) já é possível verificar uma enorme quantidade de informações sobre máquinas, via relatórios assinados enviados para o LVFS e de analisar binários de firmware. No entanto, essas informações por si só não explicam a segurança do firmware para o usuário, de uma maneira que ele possa realmente interpretar.
Atualmente para se ter informações de features de segurança em seu hardware, se pesquisa em: documentações, manuais, especificações fornecidas pelo fabricante em material de marketing e em muitos casos apenas se “confia” nelas.
Esta implementação está em progresso e provavelmente sofrerá mudanças futuramente.
Para se ter uma ideia de como está ficando o uso deste plugin/especificação no GNOME, atualmente no 43.alpha em configurações / privacidade / Device Secuty:
Esta print foi tirada do Fedora Rawhide em VM. Acho bem provável em breve implementarem no KDE Plasma também.
Ao clicar em “Sem proteção”:
E em “O Arranque Seguro está inativo”:
Como podem ver além de informar que o secureboot não está ativo, não existe muita informação aí.
Mas se caso não tenha percebido o “HSI: 0” na segunda print, este é o nível de segurança do dispositivo.
ATUALIZAÇÃO:
Poderá ver o nível via CLI:
fwupdmgr security
Explicando os níveis “HSI” no blog:
HSI: 0 (Estado inseguro)
Proteção limitada do firmware.
O nível de segurança mais baixo com pouca ou nenhuma proteção de firmware detectada. Este é o nível de segurança padrão se nenhum teste for executado ou alguns testes no próximo nível de segurança falharam.
HSI: 1 (Estado Crítico)
Proteção básica, mas qualquer falha levaria a um impacto crítico na segurança.
Este nível corresponde às proteções de segurança mais básicas consideradas essenciais pelos profissionais de segurança. Quaisquer falhas nesse nível teriam um impacto crítico e provavelmente poderiam ser usadas para comprometer o firmware do sistema sem acesso físico.
HSI: 2 (Estado do Risky)
O falha só acontece pela exploração teórica em laboratório.
Esse nível de segurança corresponde a problemas de segurança de firmware, que representam uma preocupação teórica ou onde qualquer exploração seria difícil ou impraticável de usar. Neste nível várias tecnologias podem ser empregadas para proteger o processo de inicialização, de uma possível modificação por um invasor com acesso local à máquina.
HSI: 3 (Estado protegido)
O firmware do sistema tem apenas alguns problemas menores que não afetam o status de segurança.
Esse nível de segurança corresponde a proteção out-of-band do firmware do sistema, talvez incluindo recuperação.
HSI: 4 (Estado seguro)
O sistema está em um estado seguro.
O sistema corresponde a vários tipos de criptografia e proteção de execução para o firmware do sistema.
HSI: 5 (Estado Provado Seguro)
Esse nível de segurança corresponde a atestação out-of-band do firmware do sistema. Atualmente, não há testes implementados para HSI :5 e por isso este nível de segurança ainda não pode ser obtido.
No blog dão mais informações e sobre testes de segurança via Fwupd.
Concluindo
Parece que o HSI: 5 é o nível “instinto superior” de segurança, mas na realidade, creio que a maioria dos usuários de desktop vão ter nível HSI:0 ou 1, levando em conta que usuários da Nvidia automaticamente já perdem o secureboot.
Espero que isso tenha impacto positivo para a busca de mais segurança ou conscientização dos usuários e também dos fabricantes de hardware, pelo menos, os “especializados” em Linux. Provavelmente / talvez em futuras reviews de hardwares com Linux, veremos o nível de segurança sendo um dos fatores a se levar em consideração no produto.
Se deseja me dar sugestões, mande para fastos2016@gmail.com ou nas redes sociais.
Deixe um comentário