Isolare (sicuro) più immagini di avvio danneggiando il mio PC


0

È possibile proteggere il mio bare-metal dal compromesso, così posso essere abbastanza sicuro che (ad esempio) il ripristino di un'immagine del sistema VHDX ogni mese mi tiene pulito? Se é cosi, come?

Sto costruendo un nuovo PC piuttosto costoso. Mi piacerebbe isolare il mio sviluppo e gli ambienti di gioco dal firmware il più possibile, soprattutto per motivi di sicurezza (ad esempio bootkits e firmware rootkit). Ogni giorno mi preoccupo di più di aver fiducia nel mio software richiesto.

Configurazione corrente:

  • Ambienti: Game (Steam, Oculus) vs. Development (Visual Studio)
  • Windows 10 Professional, più licenze
  • Acquistato il supporto di installazione del SO appena impacchettato per assicurarsi che sia pulito
  • Esecuzione dello sviluppo da VHDX tramite Hyper-V
  • L'ambiente di gioco beneficia della GPU diretta, quindi meno utile tramite Hyper-V
  • Ho attivato Secure Boot
  • Il sistema supporta TPM, disposto ad installare e abilitare
  • Non usare BitLocker, ma è disposto a farlo

Mi interessa meno delle vulnerabilità a singola istanza (ad esempio compromettere la password di un conto bancario o lisciviare alcune GPU oggi) rispetto a problemi a lungo termine (ad esempio un bootkit che, per i prossimi quattro anni di vita di questo PC, rende tutte le password cambiamenti inefficaci o miniere continuamente criptovaluta).

Il desiderio di isolamento è anche per motivi di prestazioni banali (ad esempio, SQL Server separato dal downloader di Steam), ma attenzione hawk-like ai processi in esecuzione o semplicemente agli indirizzi dual-boot che.

Una domanda correlata, Il doppio avvio è più sicuro rispetto all'installazione di un singolo sistema operativo? , solleva ma non risolve il problema delle minacce a lungo termine. Inoltre, ritengo che la risposta accettata sottovaluti il ​​valore per gli aggressori di compromettere una grande quantità di PC insignificanti, sottovalutando così la probabilità che ciò accada.


Secure Boot e la crittografia FDE implementate all'interno di ogni sistema operativo virtuale, praticamente impediscono il 99% degli attacchi dannosi. A proposito, puoi avviare direttamente le macchine virtuali Hyper-V. Non si fa menzione del processore, ma per sfruttare l'avvio su una macchina virtuale e utilizzare l'hardware collegato, sono necessarie funzionalità di virtualizzazione specifiche. Quali caratteristiche sono ben documentate. Naturalmente, il modo in cui ti proteggi da rootkit e altri software dannosi non ha nulla a che fare con VM e Secure Boot, ma previeni questi attraverso il comportamento degli utenti.
Ramhound

Grazie Ramhound. Capisco (penso) il tuo commento per indicare che FDE su partizioni specifiche dell'ambiente (OS / Data) mantiene i sistemi operativi sicuri gli uni dagli altri, mentre Secure Boot mantiene l'ambiente pre-SO sicuro, coprendo quindi la maggior parte dei vettori di attacco del disco. Se è così, 1) il TPM è necessario per questo, e 2) l'avvio di un VHDX crea ulteriori vettori? Infine, presumo che il mio intero sistema sarebbe ancora vulnerabile alle vulnerabilità di Spectre / Meltdown-like?
shannon

Inoltre, non intendo essere polemico, ma il mio comportamento è già cauto, e sto dicendo che desidero andare oltre. Questo è il punto della mia domanda. Sto cercando soluzioni per rafforzare ulteriormente un sistema da rootkit e altri software dannosi. È logicamente possibile che tali strumenti esistano, e quindi mi chiedo se lo fanno.
shannon

Ogni azione di sicurezza comporta un equilibrio tra usabilità e sicurezza. Se desideri proteggere completamente il tuo computer, lascialo inzuppato da qualsiasi rete, e si spegne a livello di hardware, ma ovviamente non è utile se non per le autorità di certificazione di root, dove accendi il computer una volta ogni tanto per aggiornare certificati autorevoli. Per un computer utilizzabile quotidianamente è necessario accettare una certa quantità di rischio. I vari metodi per proteggere un computer per uso normale sono ben noti e devi solo accettare che non sono perfetti.
music2myear

Grazie per la musica, capisco il tuo commento, e essendo un consulente di sistemi informatici da 25 anni conosco l'improbabilità di avere tutto ciò che desideriamo. Tuttavia, so anche che da quando ho studiato per l'ultima volta la fondamentale sicurezza del sistema Intel, sono state introdotte molte tecnologie relative a questo argomento (ad esempio UEFI, TXT, SGX, ecc.). Penso che sia giusto dire che alcune di queste tecnologie non sono ben note rispetto al pubblico che cercherebbe informazioni (su SuperUser) qui. Spero che altri siano disposti ad ampliare qualsiasi soluzione utile correlata alla mia domanda.
shannon
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.