保护计算机安全：平台安全性简介与威胁模型

👉表格目录

1. 引言

2. 平台安全威胁模型介绍

2.1 计算机固件作为攻击目标的原因

2.2 威胁模型的分类

2.3 保护计算机启动介质

2.4 保护运行时固件

2.5 保护硬件配置

3. 物理攻击和软件攻击

3.1 无限制物理攻击

3.2 有限制物理攻击

3.3 特权级别的软件攻击

3.4 非特权级别的软件攻击

4. 保护、检测和恢复机制

4.1 保护启动介质的机制

4.2 检测启动介质的机制

4.3 恢复启动介质的状态

4.4 保护运行时固件的机制

4.5 检测运行时固件的机制

4.6 恢复运行时固件的状态

4.7 保护硬件配置的机制

4.8 检测硬件配置的机制

4.9 恢复硬件配置的状态

5. Chipsec：一个检测工具

5.1 Chipsec简介

5.2 Chipsec的使用示例

6. 结论

7. 常见问题解答

👉引言

嗨！大家好，我是来自英特尔的Java Cadiz，我今天要和Brent Holt一起为大家介绍平台安全性。今天的演讲将分为两部分，首先是平台安全性的简介，然后是我们将要介绍的威胁模型。威胁模型是我们团队对于平台安全性进行研究时所使用的一种有趣的描述方式。

👉平台安全威胁模型介绍

1. 计算机固件作为攻击目标的原因

计算机固件作为攻击目标的原因是什么？这是我们在进行威胁模型研究时常常会考虑的问题。事实上，存在一些很好的原因可以解释为什么会有人选择攻击固件。我们可以通过以下方式来理解这些原因。

• 一方面，攻击者可能已经进入了计算机系统，他们希望保持这种访问状态，以便在需要时快速获取系统资源，或者以一种更隐蔽的方式获取资源，甚至是完全控制系统。不管是拒绝服务攻击还是恶意软件攻击，这些都是攻击者希望实现的目标。
• 另一方面，计算机固件安全逐渐受到关注，大型组织开始将安全标准纳入实施，并对安全性进行严格监管。例如，Microsoft开始执行安全标准，并出台了一系列与计算机固件安全相关的政策。这表明固件安全成为了主流话题，越来越多的投入到相关研究中。因此，固件安全不再是一种过时或仅仅是少数研究人员感兴趣的领域，许多研究者开始加入其中。

在这部分内容中，我们将详细介绍如何保护计算机的启动介质、运行时固件和硬件配置，并探讨各种威胁模型。

2. 威胁模型的分类

在平台安全性研究中，我们通常将威胁模型分为不同的类别，这样可以更好地理解和应对各种攻击。我们将在下面的内容中介绍三类主要的威胁模型。

2.1 无限制物理攻击

无限制物理攻击是指攻击者可以拥有足够的时间和资源，对计算机系统进行全面攻击的情况。这种情况下，攻击者可以使用各种复杂的设备和技术来获取敏感信息或控制系统。然而，这种类型的攻击在实际中并不常见，因为它需要较高的技术和成本。

2.2 有限制物理攻击

有限制物理攻击是指攻击者只能在有限的时间内访问您的计算机系统并进行攻击。例如，他们可能只有几分钟的时间进入您的计算机房间。这种类型的攻击更为常见，因此我们需要采取防护措施来防止或检测到这种攻击，并尽可能恢复到安全状态。

2.3 特权级别的软件攻击

特权级别的软件攻击是指攻击者在操作系统特权级别方面存在漏洞或问题，并利用这些漏洞或问题对计算机系统进行攻击。攻击者可能会尝试通过提升权限或绕过操作系统的保护机制来获取对系统的控制权。这种类型的攻击更为常见，因此我们需要关注和保护这些风险，并及时检测和恢复系统安全。

2.4 非特权级别的软件攻击

非特权级别的软件攻击是指攻击者在操作系统非特权级别方面存在漏洞或问题，并利用这些漏洞或问题对计算机系统进行攻击。尽管攻击者无法获得特权级别的访问权限，但仍然可以通过访问敏感信息或利用操作系统的弱点来造成损害。这种类型的攻击在安全研究中也是非常重要的一部分。

在接下来的部分中，我们将分别介绍如何保护、检测和恢复计算机的启动介质、运行时固件和硬件配置，以及如何处理各类攻击。

👉保护计算机启动介质

计算机的启动介质是系统启动的一部分，攻击者可能试图攻击该组件以获取对计算机系统的控制权。因此，我们需要采取一系列措施来保护启动介质的安全。以下是一些保护启动介质的机制：

4.1 保护机制

• 配置SPI控制器以锁定启动介质，避免被未经授权的修改。
• 使用安全模式管理(SMM)来实现固件的保护，SMM可以提供对CPU的额外保护，并与常规执行环境分离开来。
• 减少代码量，尽量减少可以利用的漏洞。

4.2 检测机制

• 使用硬件根信任的引导过程来验证启动介质的完整性。
• 可以使用可信的启动程序和测量启动程序完整性的技术（如Intel TXT）来检测到启动介质被修改的情况。

4.3 恢复机制

• 在检测到启动介质被修改或受到攻击时，可以使用固件更新的方式来修复和恢复系统。

保护计算机的启动介质是非常重要的，这可以有效地防止未经授权的操作和恶意软件的运行。

👉保护运行时固件

除了启动介质，运行时固件也是攻击者可能攻击的目标之一。为了保护运行时固件的安全性，我们可以采取一些措施。以下是一些保护运行时固件的机制：

4.4 保护机制

• 改进SMM机制，确保在运行时固件被执行时，只能进行受控的操作，并防止恶意代码的执行。
• 使用硬件和软件的联合保护，如FSP固件防护和操作系统自身的保护机制。
• 减小可信计算基（TCB），尽量减少需要具有特权级别的接口。

4.5 检测机制

• 使用硬件机制，如SMRAM的保护来防止运行时固件被非授权访问。
• 使用安全引导过程来验证运行时固件的完整性，将签名或散列值与可信的值进行比较以检测恶意操作。

4.6 恢复机制

• 使用胶囊更新或独立硬件更新等方法来修复和恢复受损的运行时固件。

保护运行时固件是确保计算机系统安全的重要环节，这将有助于防止恶意软件的执行和未经授权的操作。

👉保护硬件配置

硬件配置也是计算机系统安全性的一个关键方面。通过保护硬件配置，我们可以防止攻击者对计算机系统进行未经授权的更改。以下是一些保护硬件配置的机制：

4.7 保护机制

• 配置正确的寄存器和寄存器设置，确保硬件配置的正确性，如内存控制器的启用或禁用等。
• 遵循厂商提供的配置锁定指南，确保正确设置配置，并了解这些设置的原因。

4.8 检测机制

• 使用Chipsec等检测工具来检查硬件配置的正确性，确保配置的正确性和安全性。

4.9 恢复机制

• 在检测到硬件配置错误时，使用固件更新等方式来修复和恢复系统。

保护硬件配置是保障计算机系统安全的重要环节，确保硬件配置正确无误可以防止恶意操作和未经授权的访问。

👉Chipsec：一个检测工具

Chipsec是一个广泛应用于计算机系统安全性检测的工具。它是一个开源项目，可以用于检测和评估计算机系统的安全性。以下是关于Chipsec的一些详细信息：

5.1 Chipsec简介

Chipsec是一个用于检测计算机系统安全性的工具，于2014年首次推出。它包含两种模式：主要模式和实用模式。主要模式提供了一套测试套件，用于检测和评估计算机系统的硬件配置。实用模式允许用户根据自己的需求编写自定义测试，并根据特定的芯片组配置实施相关命令。

Chipsec的设计理念是为不同的操作系统和平台提供统一的测试框架，使得用户可以将自己编写的测试在不同的操作系统和平台上重用。目前，Chipsec主要支持Intel硬件，并提供针对不同操作系统的帮助器。

Chipsec是一个非常有用的工具，它可以作为系统管理员和安全研究人员的有力助手，帮助他们检测和评估计算机系统的安全性。

5.2 Chipsec的使用示例

下面是几个使用Chipsec的示例测试：

• 对内存控制器进行测试，确保其配置正确。
• 对描述符访问权限进行测试，防止非授权的访问。
• 对SPI控制器进行测试，确保其被正确配置和锁定。
• 对SMM进行测试，防止恶意代码的执行。
• 对硬件配置寄存器进行测试，确保正确的配置并进行锁定。

使用Chipsec进行测试是非常简单的，您只需运行相关的测试套件或自定义测试脚本即可。该工具将自动根据硬件配置和操作系统进行适配，方便用户进行测试和评估。

👉结论

通过本次演讲，我们详细介绍了平台安全性和威胁模型。我们强调了保护计算机启动介质、运行时固件和硬件配置的重要性，并介绍了一些相应的保护、检测和恢复机制。此外，我们还介绍了Chipsec作为一个有效的安全性检测工具，用于评估计算机系统的安全性。

希望通过这次演讲，大家对平台安全性有了更深入的了解，并能采取相应的措施来保护计算机系统的安全。

👉常见问题解答

Q: Chipsec支持哪些操作系统和平台？ A: Chipsec目前主要支持Intel硬件，并提供了针对Linux、Windows、EFI和OSX的帮助器。

Q: Chipsec如何保护计算机的启动介质？ A: Chipsec通过验证启动介质的完整性和使用固件更新等方式来保护计算机的启动介质。

Q: 如何检测计算机硬件配置的错误？ A: 可以使用Chipsec等检测工具来检查计算机硬件配置的正确性。

Q: 如何恢复计算机系统在受攻击后的安全状态？ A: 当检测到受攻击或配置错误时，可以使用固件更新等方式修复和恢复计算机系统。

Q: 保护计算机系统安全的最佳实践是什么？ A: 最佳实践包括定期更新固件、配置正确的硬件设置、使用安全引导过程验证启动介质等。

Q: 如何防止物理攻击对计算机系统造成损害？ A: 物理攻击可以通过确保计算机房间的物理安全性、限制机房访问权限等方式来防止。

Q: 如何防止软件攻击对计算机系统造成损害？ A: 软件攻击可以通过更新操作系统、使用安全软件、限制应用程序权限等方式来防止。

Q: 有没有其他类似于Chipsec的工具可以用于计算机安全性检测？ A: 是的，还有其他一些类似的工具，如UEFITool、FirmwareTestSuite等，可以用于计算机安全性检测。

Q: Chipsec适用于哪些硬件类型？ A: Chipsec主要适用于Intel硬件，但也可以用于其他类型的硬件，只需根据实际情况进行适配即可。

Q: Chipsec的开源社区如何？ A: Chipsec的开源社区非常活跃，用户可以通过提交问题、贡献代码等方式来参与其中。