BR-Linux.org

Algumas semanas atrás, pesquisadores da área de Segurança da Informação conseguiram desabilitar o Intel Management Engine, e a Google em um Open Source Summit(LinuxCon) mostrou seus planos de substituir cada trecho de código entre o sistema operacional(Linux, Windows, BSD, etc) e o "bare metal x86" (Processadores Intel, por enquanto).

Em meio ao conteúdo vazado na WikiLeaks referente ao vault7, a segurança da UEFI (Unified Extensible Firmware Interface), firmware usada na maioria dos PCs e notebooks é mais uma vez alvo de preocupações. Por ser uma firmware proprietária e de código fechado, possui uma base de código maior que o Kernel Linux, e inicializa assim que o sistema é energizado e continua a rodar após o boot do Sistema Operacional (Virtualizador de "Ring 2"). É um ótimo lugar para que exploits sejam escondidos já que nunca param de executar, e estes programas maliciosos seriam indetectáveis por quaisquer kernels ou programas.

A resposta para este problema é o NERF (Non-Extensible Reduced Firmware), uma versão open-source de firmware desenvolvida pela Google que visa substituir a UEFI por um pequeno Kernel Linux e um initramfs. O Initramfs contém um init com utilitários de linha de comando do projeto u-root, um software escrito em Go que cumpre esta função de interface.

Os slides da apresentação e o vídeo também são materiais interessantes. Tenha em mente que alguns conceitos de RING+CPU Modes e até virtualização podem ser necessários para que o material seja entendido, já que aqui falamos de uma camada que é um Sistema Operacional(Management Engine) situado em RING -3 e outro em RING -2(UEFI) que rodam em paralelo com o Sistema Operacional escolhido para "rodar no hardware".

Enquanto isto, a Purism já está desabilitando a Intel ME em seus notebooks, e pretende usar o Coreboot como substituto para a BIOS.

Maiores detalhes, no link de referência.