De uefi is de ideale plek voor een rootkit. Software daar overleeft eenvoudig een herinstallatie van Windows, het kan het platform onklaar maken en eenvoudig vanuit de uefi de rest van je besturingssysteem overnemen. Hetzelfde geldt voor fysieke aanvallen via usb. Naast softwaremaatregelen die je kunt nemen, is het ook een goed idee om eens te kijken naar hardwarematige bescherming van je poorten.

Een stap om je uefi beter te beschermen tegen aanvallen van buitenaf is door de uefi te beveiligen met een wachtwoord. Op die manier kan een aanvaller in ieder geval niet zomaar de uefi in en op die manier nieuwe firmware flashen. Bij sommige uefi’s kun je dan zelfs Windows niet starten zonder het uefi-wachtwoord in te voeren, wat verdere bescherming biedt tegen andere soorten aanvallen.

Soms zijn er nog andere beveiligingsinstellingen beschikbaar, zoals een wachtwoord per harde schijf, een wachtwoord bij herstarten en meer. Kijk zelf even rond in je uefi en kies de geschikte beveiligingsinstellingen.

Intel AMT en Secure Boot

Er is meer om door te nemen in je uefi. Zorg ervoor dat Intel AMT uit staat. Dat is een groot beveiligingslek waarmee op afstand je pc overgenomen kan worden voor technische ondersteuning. Intel AMT is onderdeel van Intel vPro. Je controleert via https://ark.intel.com eenvoudig met je processor-sku of jouw processor vPro heeft.

Controleer je opstartapparaten in je uefi. Nadat je Windows compleet hebt geïnstalleerd, schakel je, indien mogelijk, alle opstartapparaten uit behalve de schijf waarop Windows staat. Schakel ook de optie uit om je uefi via Windows te updaten, indien beschikbaar. Dat is een beveiligingsrisico, omdat malware zo vanuit Windows vervalste firmware zou kunnen flashen.

Zorg er ook voor dat Secure Boot in je uefi aan staat. Om in Windows te controleren of alles goed is ingesteld, open je PowerShell met administratorrechten en voer je het commando Confirm-SecureBootUEFI. Als je dan True ziet, dan is alles in orde. Zie je False, dan staat het niet aan. Als je een melding krijgt dat de cmdlet niet ondersteund wordt op dit systeem, heeft je pc geen Secure Boot.

In je laptop heb je in de uefi vaak de optie om de microfoon en camera uit te schakelen. Doe dat zodat je niet bespioneerd kan worden en plak dan alsnog een stukje tape over de camera.

Schijfwachtwoord instellen

We hadden het net al even over wachtwoorden in je uefi. Als je een supervisor-wachtwoord instelt, bescherm je daarmee je uefi-instellingen. Soms kun je ook een schijfwachtwoord instellen. Als je dat doet, wordt je schijf transparant versleuteld. Dat heeft echter alleen zin als je een sed, oftewel Self-Encrypting Drive hebt, én als je moederbord het ondersteunt, dus als je überhaupt de optie ziet om een schijfwachtwoord in te stellen (zoek naar ATA Password).

Houd er rekening mee dat een sed je alleen beschermt als de pc of laptop uit staat, niet in slaapstand. Als de schijf door het moederbord ontgrendeld is, zou een aanvaller vanaf een Linux-usb kunnen starten en alsnog toegang kunnen krijgen tot je data.

Stel een usb-firewall in

Een belangrijke dreiging zijn usb-apparaten. Nu kun je dat softwarematig al sterk inperken, door je pc in de leesmodus te zetten of usb-apparaten in zijn geheel niet te mounten. Een andere, hardwarematige oplossing komt in de vorm van een usb-firewall genaamd usg. Gemaakt door beveiligingsonderzoekers isoleert deze usb-firewall niet-vertrouwde usb-apparaten.

De usb-firewall werkt door alleen een beperkt aantal usb-commando’s toe te staan. Hiermee worden bijvoorbeeld usb-driverexploits geblokkeerd. Bovendien staat de usg maar een apparaat tegelijk toe waardoor een usb-stick zich niet als meerdere apparaten voor kan doen, en mag het zijn type tijdens gebruik niet wijzigen waardoor een usb-stick niet opeens kwaadaardige acties uit kan voeren. De usb-firewall werkt met alle besturingssystemen en kost ongeveer 56 euro, maar is matig verkrijgbaar.

Fysieke aanvallen

Om andere fysieke aanvallen te voorkomen, kun je je poorten fysiek onbruikbaar maken. Daar bestaan meerdere opties voor. Een van die oplossingen is een usb-poortslot van bijvoorbeeld Kensington. Daarmee kun je een poort blokkeren met een dopje. Dat dopje plaats je op de betreffende poorten die je wilt beschermen en kun je dan alleen met de meegeleverde sleutel weer verwijderen. Op die manier kan er dus niet zomaar iets aangesloten worden door derden zonder je medeweten.

Om te voorkomen dat iemand zomaar toegang krijgt tot je laptop of pc, heb je niet zo veel opties. Voor je pc hebben sommige moederborden de beschikking over chassis intrustion detection. Daarmee kun je detecteren of er iemand een onderdeel op je moederbord heeft gewijzigd of heeft toegevoegd. Je schakelt de functie in je uefi in, check even de handleiding hoe precies. Een andere optie is gewoon je kast met een zegel beschermen met bijvoorbeeld een sticker of met speciale tape die bedoeld is om knoeien tegen te gaan. Hetzelfde kun je doen met je laptop.

Side-channel-analysis

Je denkt misschien dat je veilig bent met het blokkeren van poorten en de genoemde bescherming tegen indringers. Helaas zelfs dan ben je nog aan te vallen, maar dan komen we wel in het extreme. Met side-channel-analysis, oftewel nevenkanaalsanalyse, wordt fysieke informatie van de computer gebruikt om een aanval uit te voeren. Die fysieke informatie zijn bijvoorbeeld em-golven of de warmte die een pc afgeeft.

Die warmte veroorzaakt mechanische vervorming, waardoor geluid wordt afgegeven waarmee informatie kan worden verkregen over waar de pc mee bezig is. Met de verkregen fysieke data wordt naar een patroon gezocht dat wordt vergeleken met de patronen van bekende algoritmen, zoals bijvoorbeeld aes, waarbij je eenvoudig de patronen van de tien stappen van dat algoritme kunt herkennen en zo de privésleutel kunt afleiden.