计算机可能会由于其 被黑 由于其 BIOS /UEFI 固件 被 恶意软件 感染(这种感染是由于恶意力量造成的)。这适用于 智能手机 、瘦客户机 和传统的 PC 。
由于这种可能性,有时需要 重新安装 BIOS/UEFI 固件。
自定义 BIOS /UEFI 固件 比硬件供应商的 BIOS/UEFI 具有更高的安全性,可以 安装 。这听起来是个好主意。事实上,Qubes OS 4.0.3 指南建议安装名为 Coreboot 的自定义 BIOS/UEFI,以代替硬件供应商的 BIOS。
"所有从 2012 年开始发布的 ChromeOS 设备(Chromebook、Chromebox、Chromebit 等)都使用 Coreboot 作为其主系统固件。 ..." - https://doc.coreboot.org/distributions.html
上面的摘录表明,通过一个希望没有被入侵的设备,重新刷新 刷新 Chromebook 的 Coreboot 固件,可能有效。对于 Chromebook,使用 MrChromebox Coreboot 固件 可能比标准的 Chromebook 固件更安全。
看起来 Coreboot 可以安装为 Android 手机的固件 。
Heads BIOS/UEFI 启动固件系统会将引导加载程序 存储在ROM 中,这样引导加载程序就不必再是攻击媒介 ,因为它不再存储在驱动器(HDD 、SSD 等)上。Heads 似乎是 Coreboot 的改编版本,或者是在 Coreboot 之上运行的系统。无论哪种方式,使用 Heads 而不是原始版本的 Coreboot 似乎能提供更好的安全性。
Heads(以及可能是 Coreboot)可以利用主板的 TPM(可信平台模块 )来确保计算机固件没有被篡改[ 1] 密码 安全系统,部分原因是攻击时销毁密钥安全 ,但也因为该系统存在于 TPM 中。
英国国家网络安全中心(NCSC )强调了更新固件的重要性,并提供了相关指南和信息(请参阅此处 和此处 )。
已安装的操作系统(操作系统 )必须受到保护,它们对确保计算机安全至关重要。
使用OEM 预装的操作系统容易受到中间人攻击 的攻击,即相关机器在到达客户之前被拦截和黑客攻击(尤其是在针对个人的情况下)。本文档中“关于如何获取软件 ”部分介绍了获取操作系统安装软件 的更安全的方法。
安装完成后,操作系统提供的安全性可能会意味着用户可以从互联网上下载 更多软件 ,而无需过多担心(假设采取了合理的安全预防措施)。
关于使用操作系统的某些一般安全建议是,用户应拥有一个管理员帐户 ,该帐户不同于用于日常计算的标准帐户。标准帐户具有较少的权限 。功能更强大的管理员帐户也具有更高的相关安全风险,由于它仅在需要时使用,因此也应该将风险“最小化”;在不需要时,应使用风险较低的标准帐户。
Linux 操作系统(操作系统 )以比 Windows 操作系统更安全而闻名。能够从源代码编译 Linux ,而无法从源代码编译 Windows,这增加了 Linux 的安全性,这将在本文档的后面部分(在“从源代码编译 ”部分) 进一步阐述。
鉴于使用 Windows 的各种优势,不得不选择 Linux 而不是 Windows 会让人感到有些恼火,但为了确保安全性,这可能是必要的。Windows 模拟器 (如Wine )可能始终有效地用于需要在 Windows 上运行某些软件的情况。在 Windows 和 Linux 之间进行双重启动 可能没有太大意义,因为如果 Windows 被黑客攻击,那么 Linux 安装也会被通过被黑客攻击的 Windows 黑客攻击,从而破坏了 Linux 提供的安全优势;实际上,这一点在Qubes 网站上的指南 中明确提到。
如果选择 Linux,Qubes 4.0.3 发行版似乎是最安全的 Linux 发行版,至少是最安全的 Linux 发行版之一。因此,如果要安装 Linux 发行版,安装 Qubes OS 4.0.3 似乎是个好主意。
英国国家网络安全中心(NCSC )提供了一些针对特定平台(和操作系统)的指南,此处 有相关内容。
Qubes OS 4.0.3 有记录表明它无法很好地处理 专门从3D 优化硬件 中受益的软件 。由于用户很可能希望使用这种优化,因此在同一台机器上使用这种优化的最佳方法可能是执行以下操作,或执行与以下操作相同的操作
在SSD 外部驱动器 上安装 一个Linux 操作系统 ,该系统具有良好的安全性,但仍具有利用 3D 优化硬件的能力,这样,这个其他操作系统就不会在 Qubes 上运行,而是与 Qubes 分开运行。
当想要使用这个其他 Linux 操作系统时,在以下任一位置禁用内部驱动器(包含 Qubes):
从 SSD 启动 以运行这个其他 Linux。
使用非 Qubes 安装后,由于非 Qubes 安装可能会将恶意软件引入 BIOS 固件,因此可以选择刷新 BIOS 固件,以确保 Qubes 安装不会因固件恶意软件 在下次使用 Qubes 时受到破坏。
通过遵循上述步骤,并在步骤中选择最安全的选择,由于
通过 BIOS 禁用内部驱动器,
物理断开包含 Qubes 安装的驱动器,以及
在“重新连接”Qubes 安装之前刷新 BIOS 固件,
任何其他操作系统都不应该能够访问甚至“接触”Qubes OS安装,从而有望保护Qubes安装免受通过其他可能不太安全的操作系统进行的攻击。
如果
全盘加密 被使用,该操作系统 具有很高的安全级别,
硬件被入侵或被入侵的风险非常低,
该引导加载程序 保存在安全的USB 存储棒 (或SD卡 )上,在不使用时被锁起来,
该密码 和密钥 (如适用)很难获得(无论是通过密码破解 或其他方式),也许借助USB安全令牌 [ 2]
以及
系统定期使用全新的密钥进行重新加密 (以减轻对新发现的安全漏洞 的利用,这些漏洞存在于加密系统的历史副本中[ 3]
那么看来,这很可能足以保护操作系统在合法用户将机器设置为关闭状态的期间免受恶意女仆攻击 的入侵。
另一种方法是将操作系统存储在只读 Live DVD [ 4] 锁起来 ,并且您可能保留多个副本存储在不同的位置,以帮助确保任何一个选定的副本都是“正版”[ 5] 系统速度通常会降低 ,因为以这种方式运行操作系统。
秘密犯罪组织 可能会发现,在大型实体店中,用恶意软件 修改后的版本替换每个特定软件 的副本,比用下载 或交付给特定最终用户的商品进行同样的替换要困难得多。因此,“用户从实体货架上随机选择单元 ” 小节中概述的广泛安全原则可能至少适用于获取操作计算机所需的基础软件(即操作系统 ,BIOS 固件 等),并且至少在用于整体解决方案的一部分方面适用。
“订购相同产品的多个单元 ” 小节中概述的广泛安全原则也适用。
借用图书馆 软件DVD 和CD 可能是另一种渠道 ,通过该渠道可以有效地获取软件。
一旦为计算设备(重新)安装 了操作系统和 BIOS 固件,就可以通过该设备使用标准安全预防措施(例如,使用HTTPS 连接,验证签名 等)来下载软件,这对于获取更多软件来说可能已经足够安全。
如果所有计算设备都被入侵,并且除了使用设备上可通过互联网 下载 获取的某些软件外,无法在设备上重新建立安全性(例如,某些固件 重新安装程序 ),该怎么办?购买全新的计算机可能很昂贵,即使不是在特定的一次,也是在需要重新建立安全性的若干次。
智能手机的出现似乎对这个问题有很大帮助。它看起来像是便宜的、没有妥协的智能手机,仅仅是为了通过 WiFi 下载文件而设计的,这种手机是从工厂直接包装好的,可以很容易地通过以下两种方式购买:首先,用户需要亲自前往距离其地址较远的大型商店;其次,用户需要从该商店的货架上随机挑选出手机(这一原则在“用户随机选择货架上的产品”部分中概述)。
本文件中名为“数字存储”的部分提供了有关在移动设备中使用 SD 卡下载软件时所涉及的一些安全问题的相关信息。
将下载内容放到合适的计算设备的安装介质上可能是需要考虑的事情。似乎可以为智能手机获得 DVD 刻录机和 USB 内存棒。还可以为移动电话中使用的 SD 卡获得 USB 适配器。许多笔记本电脑都内置了读卡器,用于与 SD 卡连接,并且根据维基百科,这些笔记本电脑有时可以从 SD 卡启动,这有可能极大地简化操作。从简短的网络搜索来看,使用 Android 移动设备和连接的存储介质将仅仅用于存储和检索的介质(例如带有 DVD 驱动器的 DVD、内存棒、SD 卡等)格式化为可启动介质,可能并不难。在重新安装某些类别的软件时,通常需要可启动介质。请参考名为“数字存储”的部分,以获取有关使用哪种存储介质的更多指导。
购买这种手机的价格最初可能会令人担忧,这类手机的最低价格可能在 40 英镑左右。但是,通过将手机作为二手设备出售,应该能够收回一些支出。平板电脑可能比手机便宜;应该调查一下这方面的价格。
即使你确定旧手机没有经过任何篡改,使用全新的手机通常也比使用旧手机更好。原因是,全新的手机应该更安全,因为
例如,存在安全漏洞修复程序,
可能存在技术上的改进,以及
新手机中的一些安全证书可能尽可能新,以匹配它们各自的证书类别。
使用智能手机或平板电脑可能比使用电脑键盘更安全,因为基于屏幕的软件键盘可能有效地减少或消除键盘记录程序的有效性。此外,智能手机非常流行,这使得通过亲自前往商店进行随机选择变得更加容易和有效(因为商店的货架上应该有大量的库存,并且更多的商店应该出售这类产品)。此外,由于市场对安全移动电话的需求更大,以及与树莓派设备相比,生产的单位更多,因此可以依赖更多的安全测试。
有趣的是,使用所谓的“一次性手机 ”,似乎与本节“获取一个未受损的智能手机并获取软件 ”中提出的建议密切相关。
最初似乎最
尤其当你怀疑现有的电脑可能已被入侵时,是购买一个全新的树莓派 Zero 产品,从实体店货架上购买,通过用户在商店中使用随机 选择[ 7]
优点:
由于该设备的普及和单价,它很可能可以很容易地通过实地访问商店购买,然后通过用户从实体货架上随机 选择[ 8] 篡改 或欺诈 替换。
该操作系统 的完整性可能可以进一步信任 ,首先将操作系统复制到SD 卡 或USB 记忆棒 上,然后使用另一台电脑(即使该电脑可能已被入侵),检查操作系统是否与通过另一台电脑下载的操作系统副本匹配。
非常便宜,价格约为5 英镑全新的 。
它被简化了,去除了许多“花里胡哨 ”,否则会带来更多风险。
没有WiFi ,这迫使用户使用有线连接 访问互联网 ,这更安全,而且实际上是理想的[ 9]
它使用的操作系统 是Linux 发行版 ,Linux 以其相对的安全而闻名[ 10] 开源 的,它应该能够用于创建可启动介质 ,使用Pi 设备,这可能需要重新安装 固件 ,以及更普遍地,对已入侵的系统的重新安装。
该操作系统会及时更新,以提高安全性。
树莓派 已经存在了一段时间,因此很可能由于这个原因而更加值得信赖 且安全。
它似乎拥有广泛的用户群,包括安全社区的个人,因此,由于这个原因,它可能提高了安全性和可靠性。
它具有用于连接记忆棒 的USB 连接器。
它可以自由地进行目视检查 其部件,这被认为可以更容易地检测到硬件篡改 [ 11]
缺点:
似乎需要USB 键盘 。根据Micah Lee 在Qubes OS 视频中发布的内容此处 (跳转至 29 分 47 秒) ,USB 而不是PS/2 连接键盘,存在一定的安全风险。
似乎需要屏幕 ,这是一个漏洞 。例如,如果连接到电视 ,
一个黑客 可以控制电视输出,以显示完全不同的输出,以便钓鱼 获取你的安全凭证。
虽然相关硬件 可以以这样的方式购买,即I/O 设备漏洞并不那么重要,但这样做会提高整个设置的成本,使得其他方案更具吸引力。此外,相关硬件 在某种程度上降低了去除不必要的“花里胡哨 ”的优势
(换句话说,它降低了保持简单,从而降低风险的优势。)
尽管上面列出了缺点,但树莓派 或类似解决方案的主要优势仍然存在——即它沿着相当简陋 的路线前进。通过一些调整 ,树莓派或类似设备可以成为解决本文中概述问题的有效安全解决方案的一部分,甚至可能成为一个可销售的产品 。但是,在这样的产品出现之前,由于存在缺点,建议使用智能手机 (如上一节所述)而不是树莓派 Zero 设备。这很遗憾,因为通过一些相当简单的修改,也许树莓派 Zero 设备将成为解决此处讨论的安全问题的理想主要设备。
根据 安德鲁“邦尼”黄 的说法,由于存在 可重编程 固件 “捆绑”在性能相当强大的 微控制器 上,再加上大量的 闪存 ,所有这些都 嵌入 在单个 SD 卡 中,成本非常低廉,SD 卡可以成为 非常廉价的硬件来源 ,用于 DIY 项目。此外,还有内置 WiFi 硬件 的 SD 卡。因此,将 支持 WiFi 的 SD 卡 重新编程为“安全的 下载器 ”(正如建议的那样,对 树莓派零 设备进行一些调整),可能是可行的。如果可行,这可能比尝试使用“树莓派 ”之类的设备进行类似操作更便宜,而且更安全,因为它包含的“花里胡哨 ”更少,而且 SD 卡体积更小,这意味着很难对 SD 卡进行物理 篡改 。但是,应该牢记的是,重新编程它似乎只能采取一种 黑客 式的项目,因为与这种嵌入式微控制器交互的规范似乎完全无法在 SD 卡的生产过程中使用之外获得。
是否应该从头开始构建 Qubes OS (和其他 软件 )?理智似乎表明,如果你有软件的 源代码 进行检查,那么检测软件中的 恶意软件 会更容易。原因如下:
某些恶意软件模式在检查源代码时比在检查编译后的代码时更容易识别,🄰🄽🄳
新编译的源代码与历史编译的源代码之间的差异,可以揭示编译后引入的恶意软件。
GitHub 发布的安全信息,这里 似乎支持第 2 点。反思一下 编程 主要涉及 设计模式 的应用(例如,某些 算法 、数据结构 等的实现) 代码库 中),可以通过公开的 同行评审 对 代码 进行“多方审查”,包括 安全研究人员 的审查(有时只是为了完成完全不同的任务,例如向代码库贡献新代码),从而揭示恶意软件。GitHub 似乎也对检测恶意软件有专门的规定,如上面提到的 GitHub 互联网地址 中所述。如果在源代码中检测恶意软件在计算上很昂贵,那么像 GitHub 这样的提供商可能(或者也许他们已经)在后台使用强大的 服务器 ,在他们的代码库上运行自动化的 AI 恶意软件检测算法,也许有时会运行数月,用于检测源代码中的恶意软件。此外,GitHub 的 协作开发 结构本质上 审计 了所有源代码更改,这破坏了许多旨在将恶意软件引入软件的努力。这些想法让人倾向于选择从 GitHub 获取源代码,而不是从某个特定软件开发实体的网站获取。它们也让人倾向于选择从源代码构建。
特拉梅尔·哈德森 [ 13] 33c3 演讲中表示,可重复构建 非常重要,该演讲的视频托管在 这里 [跳转到 31m:07s] (可能是出于安全原因)。
目前尚不清楚可重复构建是否比简单地从 源代码 编译 提供了显著的安全优势。然而,考虑到其他知名人士对它的推崇,它们可能确实具有优势。可重复构建似乎更擅长揭示与提供商系统中的漏洞有关的特定安全漏洞,而不是用户系统中的漏洞。但是,由于这两者(提供商系统和用户系统)是相互依赖的,因此揭示此类漏洞必然意味着用户的安全也得到了一些提高。
`Diffoscope ` 似乎是一个潜在的有用工具,用于检测 恶意软件 在已发布版本的 闭源 软件 之间的引入,当 “可复现构建 协议” 用于 软件编译 时。在 维基百科 页面上关于 逆向工程 ,暗示 提取 从这种闭源软件中 源代码 ,以自动方式,然后在源代码上运行 `diff `,可能可以更好地发现恶意软件的引入。
完整系统加密 在使用计算机进行商业用途时,应该被认为是必需的。
有 各种软件 可以提供这种 加密 。有用的是,Qubes OS 常见问题解答 说 Qubes OS 4.0.3 默认安装了完整磁盘加密,因此如果您使用 Qubes 4.0.3,您可能不需要采取额外的步骤来确保完整磁盘加密已设置。
恶意秘密替换 FDE具有已知漏洞的历史克隆系统 [ 编辑 | 编辑源代码 ]
一个 攻击者 可以利用特定系统使用在很长一段时间内使用的相同 密钥 进行完整磁盘加密。例如,假设 Windows 三年前使用相同密钥进行了 完整磁盘加密 ,并且攻击者三年前克隆了该系统。然后假设在今天,已知该历史克隆的 Windows 安装存在 安全漏洞 。攻击者可以恶意地用三年前记录的内容替换系统磁盘的内容,用户对此一无所知。用户使用相同的 密码 登录,并且没有怀疑该系统是三年前的。然后,攻击者可以潜在地利用该系统中使用的 安全漏洞 ,即使该系统实际上是用户三年前的系统,并且存在 安全漏洞 ,这些漏洞在今天是已知的。
缓解这种攻击类型的方法:定期更改 完整磁盘加密密钥 和密码,非常频繁(也许每个月一次),但不要过于频繁以至于过度磨损系统磁盘(通常是 HDD 或 SSD )。有趣的是,这个解决方案可以从用户免费赠送的旧 硬盘驱动器 中获益,从而缓解因频繁 重新加密 而导致的 驱动器 劣化问题,每次密钥更改时都要重新加密。
正如在名为 “如何确保安装的操作系统在机器不应开启期间不会因恶意女佣攻击而受到损害 ” 的小节中所暗示的那样,安全地将 引导加载程序 存储在计算机关闭期间远离计算机,是一个好主意。原因是,存储在计算机系统中的引导加载程序是潜在的 攻击媒介 [ 14] Heads BIOS 固件 系统部分克服了 攻击 的传统形式,通过实际上将引导加载程序存储在计算机系统的内部 ROM 中,而不是存储在内部 驱动器 上(或者如刚才建议的那样,存储在计算机系统外部)。目前尚不清楚将 引导加载程序 (例如存储在 安全锁定 的 SD 卡 上)存储起来,使其比 Heads 系统提供的解决方案更安全或更不安全。但是,据推测,Heads 解决方案更安全,否则 Heads 创建者 可能不会实施它。
定期对计算设备 执行恢复出厂设置 是一个好主意吗?如果执行此类重置可以清除可能已进入设备的任何恶意软件 ,那么也许每周执行一次此类重置,例如在周一工作日开始前执行,是一个好主意。
对于网页客户端计算机 (例如Chromebook ),执行恢复出厂设置 可能很少会涉及备份 和恢复问题,因为文件 通常大多存储在(因此也备份 在)云端 。
对于智能手机 ,每次恢复出厂设置 后可能需要更长的时间来配置,但操作起来仍然相对简单。
对传统笔记本电脑 执行恢复出厂设置 是一个更大的问题。频繁地对内部驱动器 进行密集使用,以执行任何频繁的定期恢复出厂设置,可能会缩短内部驱动器的使用寿命 ,从而显著地、不利地和不可接受地影响驱动器,在无法更换驱动器的情况下(可能是由于财务限制)。此外,在两次此类重置之间需要备份 的数据量可能会非常大。请注意,如果您决定使用可启动 DVD/CD 来加载您的操作系统 ,也许还包括其他软件 ,并且DVD /CD 已经被设计成使其几乎不可能更改介质上的数据(参见标题为“可重写介质与光学 ROM 磁盘 ”的章节,了解如何执行此操作) ,那么关于操作系统和可能其他软件的恢复出厂设置可能变得完全没有必要,并且在某些情况下,可以克服有关内部驱动器过度损耗 的这些问题。
每次设备 需要在恢复出厂设置后更新时,都需要互联网 带宽 和配额。标准WiFi 路由器 通常可以在没有安全问题的情况下用于此类更新,因为中间人(MITM )攻击 通常不可能发生,因为更新使用了HTTPS 连接(或其他此类连接)。但是,如果任何依赖的历史安全证书 (这些证书可以追溯到设备生产时)在设备生产时间和执行恢复出厂设置时间之间的间隔时间内遭到破坏(这可能会发生在您的系统之外),则存在漏洞。如果此漏洞被认为是重大危险,所有者可能会故意选择不恢复其设备的出厂设置以避免此危险,而是可以采用其他方法重新安装设备的固件 和已安装 操作系统 ,例如在标题为“关于如何获取软件 ”的章节中概述的方法。应根据替代方法是否切实可行以及是否更安全来评估任何替代方法。
即使在恢复出厂设置过程中没有发生MITM 攻击的风险,对设备进行恢复出厂设置 是否足以删除恶意软件 ?不幸的是,在所有情况下都无法做到这一点。每当恶意软件感染了BIOS /UEFI 固件 时,恢复出厂设置可能不足以删除恶意软件[ 15]
关于恢复出厂设置 ,令人烦恼的一点是它会清除所有存储的cookies 。为了保留您的cookies,请尝试使用备份 和恢复工具来备份您的cookies[ 16]
与物理隔离和锁 的概念相关的是沙箱 和云计算 的概念。
Qubes OS 4.0.3 和Chromebooks 专门使用沙箱来减轻软件 恶意软件 的风险。沙箱的概念在一定程度上可以扩展到云计算,在云计算中,基于服务器端 处理进行软件隔离,在客户端(用户)端 ,只需要瘦客户端 软件(有时软件只是一个网页浏览器 )。这实际上将最终用户 安全 问题转变为一个很大程度上是服务器端安全问题的问题,在某些方面更容易处理。请注意,云计算可能会带来新的安全风险,例如与将数据存储在远程而不是本地相关的风险。
您可能希望使用云计算资源运行您的软件,并仅使用瘦客户端与软件交互,作为提高安全性的可能方法。例如,您可以创建一个Oracle Cloud Linux 计算实例,在其上安装Linux软件,远程运行软件,然后使用在客户端运行的x 终端 (瘦客户端)访问软件的GUI 。另一种更简单的“云计算”方法是简单地将Chromebook与为ChromeOS 提供的许多基于 Web 的应用程序 结合使用。
脚注
↑ 也许通过谨慎使用环氧树脂 在主板 上封装某些关键部件(例如引脚和芯片 ),以一种几乎完全防范的方式。 ↑ 此类产品将在后面名为“密钥令牌 ”的部分中进行部分处理。 ↑ 有关此类攻击 的更多信息,请参见名为“恶意秘密替换具有已知漏洞的历史系统克隆的 FDE 系统 ”的部分。 ↑ 有关确保光盘 确实是只读 的最佳实践,请参见名为“可重写介质与光学 ROM 磁盘 ”的部分。 ↑ 保留多个副本,类似于“使用多个渠道获取产品 ”部分中概述的原则。 ↑ 如后面名为“用户从物理货架上随机选择单元 ”的部分中详细介绍。 ↑ 如后面名为“用户从物理货架上随机选择单元 ”的部分中详细介绍。 ↑ 如后面名为“用户从物理货架上随机选择单元 ”的部分中详细介绍。 ↑ 有关这方面的更多信息,请参见后面名为“有线与无线 ”的部分。 ↑ 有关这方面的更多信息,请参见名为“哪个操作系统? ”的部分。 ↑ 参见Andrew "bunnie" Huang 的博客文章,名为“我们能构建可信的硬件吗? ”。 ↑ 参见 ↑ 高度安全的Heads 引导加载程序 固件 系统的创建者。 ↑ 参见此处 以获取进一步支持这种信念的信息。 ↑ 有关BIOS /UEFI 固件 安全性的信息,请参见名为“BIOS/UEFI 固件的安全性 ”的部分。 ↑ 有关更多信息,请参见此处 ,此处 和此处 。
与其他操作系统
