Серия «вирусология/безопасность»

1) Как оно появилось?
История Knox началась в начале 2010-х. В то время миром корпоративной безопасности правил BlackBerry, а Android считался дырявым решетом для школьников. Samsung решили Хотим контракты с Пентагоном и создали проект под кодовым названием Knox (в честь Форт-Нокса, золотого хранилища США). Впервые технологию представили на Galaxy S4 в 2013 году. Это был вызов Samsung нужно было доказать министерствам обороны, что данные генералов не утекут в сеть, даже если те скачают кривой Angry Birds. Позже технология спустилась из высших эшелонов во все линейки, включая A и M, превратившись в стандарт.

3) Это не софт, а железный замок.
Главная ошибка считать Knox просто программой. Обычный антивирус работает внутри Android. Если вирус получает права суперпользователя (Root), он становится выше антивируса и может его выключить.А Knox работает по принципу доверенной зоны TrustZone Внутри процессора есть изолированный мир. Основная система Android даже не знает, что там происходит. Knox Vault Это физически отдельный чип с собственной памятью. Это сейф внутри вашего дома со своей автономной охраной.

4) eFusе Физическое сгорание Теперь о боли. Внутри системы есть eFuse микроскопический электронный предохранитель. Как только вы решите, что вы хакер, и захотите просто разблокировать загрузчик (Bootloader) — всё, Knox триггерит. Система подает на этот предохранитель повышенный ток Он сгорает физически. Его нельзя починить прошивкой. Статус Knox меняется с 0x0 на 0x1 навсегда. В этот момент вы можете не увидеть реальный дым из корпуса, но ваш кошелек его точно почувствует, потому что Samsung Pay (Wallet) умирает навсегда. Смартфон больше никогда не даст вам платить касанием через родной сервис. Цена на вторичке улетает вниз опытные покупатели первым делом лезут в сервисное меню проверять статус Knox.

5) . Забыли пароль? Прощайтесь с данными навсегда . Если вы создали Защищенную папку и напрочь забыли от неё пароль или графический ключ вам уже не поможет никто. Ни официальный сервис, ни хакеры. В Knox вшита защита от перебора на уровне железа. После нескольких неудачных попыток чип блокирует доступ к ключам. Ваши данные превращаются в цифровой мусор. Это не тот случай, где можно сбросить через почту. Нет пароля нет доступа. Вообще.

Итог.
Knox это круто, если вы храните в телефоне всю жизнь от рабочих документов до секретных фоток. Это дает уверенность, что даже при краже смартфона ваши данные останутся тыквой для вора.
Ссылки
1) https://docs.samsungknox.com/admin/fundamentals/whitepaper/s...
2) https://xdaforums.com/t/research-samsung-knox-warranty-void-...
3) https://www.commoncriteriaportal.org/nfs/ccpfiles/files/epfi... 4) https://www.samsung.com/uk/support/mobile-devices/what-is-th...
5) https://news.samsung.com/de/wp-content/themes/btr_newsroom/download.php?id=2wU6fdCoKc5n7JdaXhUPzHcIe2h9FIPFzKNa3EsW0Ao=

2) Спецслужбы выходят из тени
В конце 90-х в АНБ решили, что пора наводить порядок. Они взяли свои секретные наработки по защите ОС и начали внедрять их в Linux. В 2000 году они официально выложили этот код в открытый доступ. Зачем спецслужбам это было нужно? Всё просто им нужна была максимально защищенная система для своих нужд, а Linux был идеальной базой, которую могло протестировать всё мировое сообщество.

3) Контексты и уровни секретности
В 2003 году Линус Торвальдс принял SELinux в основное ядро. С этого момента появилась модель MAC (принудительный контроль доступа). Теперь системе плевать, кто ты. Она смотрит на метку (контекст) процесса. Но самое крутое это MLS (Multi-Level Security). Это те самые уровни доступа из фильмов Секретно, Совершенно секретно. SELinux умеет разделять данные так, что даже если у тебя есть права на чтение файлов, ты не увидишь документ уровнем выше, чем разрешено твоему текущему процессу. Это делает систему стерильной данные разных уровней важности никогда не пересекутся.

4) Kernel Lockdown
С недавних пор в Linux (с ядра 5.4) появилась еще одна мощная штука Lockdown. Если SELinux следит за программами, то Lockdown следит за тем, чтобы никто не залез в само сердце в ядро системы. Даже если ты суперпользователь, Lockdown может запретить тебе менять параметры ядра на ходу или выуживать из него ключи шифрования. Это полная блокировка любой самоволки ядро становится неприступным монолитом, который нельзя подправить изнутри без цифровой подписи.

5) А что у других?
Идея оказалась настолько крутой, что её растащили везде В Ubuntu, Zorin OS, Debian есть AppArmor это Младший брат SELinux. Он проще, работает не по сложным меткам, а по путям к файлам. А в Windows есть MIC (Integrity Control) Microsoft в Windows 10/11 тоже ввела уровни целостности. Твой браузер работает на уровне Low, а системные папки на уровне System. Вирус из браузера просто не может записать себя в систему, потому что у него допуска нет. А у Apple есть Apple SIP и Sandbox В macOS и iOS админ тоже ограничен. Механизм SIP не дает даже руту менять системные файлы, а Sandbox запирает каждое приложение в свою песочницу, не давая ему воровать данные соседа. Но вы думаете что у Android нету защиты ошибаетесь у него тоже есть SeLinux начиная с 10-й версии Google ввел песочницу Scoped Storage. Приложение А не видит файлы приложения Б, а для доступа к твоим фото оно должно каждый раз запрашивать мандат.

6) Почему все советуют его отключать?
Потому что людям лень разбираться. SELinux штука суровая. Если он видит, что программа делает что-то подозрительное, он её блокирует. Вместо того чтобы выписать программе разрешение люди просто сносят всю защиту одной командой. Итог SELinux, Lockdown и их аналоги это ваша страховка. Не слушайте тех, кто предлагает снести забор, потому что в калитку трудно входить.

Ссылки
1) https://www.nsa.gov/portals/75/documents/resources/everyone/...
2) https://www.phoronix.com/linux/Linux+Security/2
3) https://docs.redhat.com/en/documentation/red_hat_enterprise_...
4) http://www.sl2.hu/sexample.pdf
5) https://docs.redhat.com/en/documentation/red_hat_enterprise_...
6) https://man7.org/linux/man-pages/man7/kernel_lockdown.7.html
7) https://man.archlinux.org/man/kernel_lockdown.7.en
8) https://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/безопасность/apparmor 9) https://learn.microsoft.com/ru-ru/windows/win32/secauthz/man... 10) https://help.apple.com/pdf/security/ru_RU/apple-platform-sec...
11) https://developer.android.com/training/data-storage/use-case... 12) https://source.android.com/docs/security/features/selinux

Если загрузчик прошел проверку secure boot то он получает управление, но на этом параноя не заканчивается.Загрузчик начинает проверять цифровую подпись ядра Ос и драйвера которые загружаются проверяя их подписи.Если он замечает что-то не так то он блокирует загрузку и покажет такой экран.

3 Почему это опасно? Если вирус смог прорватся в UEFI то считай что это Game Over. Ведь тут антивирусы бесполезны так как он запускается на уже зараженной системе, и Буткит будет контролировать ядро, подменять вызовы, и тд а антивирус этого не увидит ведь для него легальный и безопасный файл.Если хакер украдет ключи производителя (как было с утечками Intel, MSI и Gigabyte) и подпишет свой вирус легально — Цепочка доверия сама пустит врага в святая святых. Он станет богом в твоем железе, а ты — гостем, которому милостиво позволяют двигать мышкой. Как же обезопасить свое устройство? 1) Обновляйте версию своего BIOS Это не просто стабильность системы. С обновлениями прилетают свежие базы dbx (черные списки). Если хакеры скомпрометировали какой-то загрузчик, только обновление BIOS заставит твой Secure Boot его заблокировать. 2) Используйте доверенные источники Никогда не качай оптимизированные сборки Windows или Linux с вырезанным Secure Boot. Чаще всего его вырезают не ради скорости, а чтобы внедрить в систему свой подарок, который Chain of Trust просто не пропустила бы. 3) включи пароль на Bios Да возможно вы скажите это тупо но это рабочий способ Без него любой, кто получит доступ к твоему ПК на 5 минут, может воткнуть флешку, сбросить ключи Secure Boot или прописать свой зловредный загрузчик в приоритет а с ним если пароль не вводился то загрузка и вход в Bios запрещается. 4) Если ты прям максимальный параноик и боишься всего то просто возьми и сотри заводские ключи и прошей свои собственные. Тогда твой ПК будет доверять только тому ядру и загрузчику, которые подписал лично ты. 5) Контролируй физический доступ Если твой комп стоит в публичном месте (офисе), помни: физический доступ — это 90% успеха для атаки на Chain of Trust через программатор или шину SPI.

Ресурсы: 1)UEFI Forum https://uefi.org/home 2) Microsoft Learn: Secure Boot Overview https://learn.microsoft.com/en-us/windows-hardware/design/de... 3) Eclypsium https://eclypsium.com/home/ 4) Binary (Supply Chain Security) https://www.binarly.io/ 5) he rEFInd Boot Manager https://www.rodsbooks.com/refind/