Il y a quelques semaines un de nos collègues ici sur le blog a parlé du travail de Slimbook pour implémenter Coreboot sur leurs ordinateurs, où, du fait que beaucoup de leurs utilisateurs en faisaient la demande, Slimbook écoutait leur appel (vous pouvez lire la note complète dans ce lien).
Pour ceux qui ne connaissent toujours pas Coreboot, ils doivent savoir que ce est une alternative open source au système d'E / S de base traditionnel (BIOS) qui était déjà sur les PC MS-DOS 80s et le remplaçant par UEFI (Unified Extensible). Interface du micrologiciel) publié en 2007. Y maintenant, la NSA a commencé à affecter des développeurs au projet Coreboot.
Eugene Myers de la NSA a commencé à fournir un code d'implémentation pour SMI Transfer Monitor (STM) ciblant les processeurs x86.
Eugene Myers travaille pour le Trusted Systems Research Group de la NSA, un groupe qui, selon le site Web de l'agence, vise à «diriger et parrainer la recherche sur les technologies et les techniques qui sécuriseront les systèmes d'information américains».
Le STM est un hyperviseur qui démarre en mode "System Management" (SMM), un environnement isolé "ring -2" dans lequel l'exécution normale du système d'exploitation est interrompue pour que le code système (gestion de l'alimentation, contrôle matériel, etc.) peuvent être exécutés avec des privilèges plus élevés.
L'entreprise a publié la spécification STM (type de VMM qui gère les machines virtuelles contenant du code SMM) et la documentation de la fonction de sécurité du micrologiciel STM en 2015.
Initialement, STM était censé fonctionner avec une version Intel TXT, mais la dernière spécification permet à STM de fonctionner uniquement avec la technologie de virtualisation Intel (VT). TXT n'était pas suffisant pour protéger ces services contre les attaques et STM a l'intention de le faire.
La NSA travaille sur des projets open source?
La NSA a déjà travaillé sur des projets de sécurité ouverts au public, y compris Security Enhanced Linux, un module de sécurité pour Linux.
Les critiques des performances de la NSA sont nombreuses et constantes. Par conséquent, il est rare que l'Agence nationale de sécurité soit reconnaissante de sa contribution à la société.
Cependant, dans le cas de l'un de vos projets open source publics, il sera utilisé pour aider le personnel Coreboot.
Étant un peu plus précis, la NSA a publié l'outil de rétro-ingénierie Ghidra comme source et il a été adopté par les développeurs Coreboot.
L'idée est que le logiciel NSA aidera le projet Coreboot. Plus précisément, dans le firmware pour l'ingénierie inverse.
Ghidra est un framework de rétro-ingénierie développé par la NSA Research Division pour la mission de cybersécurité de la NSA. Il facilite l'analyse des codes malveillants et des logiciels malveillants, tels que les virus et permet aux professionnels de mieux comprendre les vulnérabilités possibles de leurs réseaux et systèmes.
Tout le code Coreboot, y compris toutes les contributions STM de la NSA, est open source. En théorie, tout le monde peut vérifier qu'il n'y a pas de portes dérobées.
Puisque ce projet ne vient pas de la NSA, mais d'un projet auquel ils ont choisi de contribuer. Par conséquent, ce sont les auteurs Coreboot qui sont responsables d'accepter ou de ne pas accepter les contributions de la NSA.
Mais dans la pratique, la NSA aurait pu écrire le code de manière moins sécurisée avec des vulnérabilités difficiles à détecter sans chercheurs en sécurité plus expérimentés. Vous pouvez également exploiter cette implémentation des années plus tard, une fois que la surveillance a diminué.
Puisqu'il ne serait pas étonnant de voir ce type d'action venir d'une agence comme la NSA.
Depuis que la NSA a récemment tenté de déplacer deux algorithmes cryptographiques dans le processus de normalisation ISO, les algorithmes ont été massivement rejetés par les examinateurs en raison d'un manque de confiance et de l'incapacité de la NSA à répondre à certaines questions techniques.
Enfin, les personnes intéressées à connaître l'avancement du projet, peuvent consulter ce dans le lien suivant.
Je veux dire vraiment? et vont-ils lui faire confiance?
La dernière chose qu'il ferait serait de faire confiance au logiciel NSA et à ses «bonnes intentions». De telles agences d'espionnage devraient être interdites de contribuer au logiciel libre car elles le corrompent.