CrackWatch пишет это из-за всей паники и нагнетания страха вокруг безопасности обходов на основе Hypervisor. После тщательных запросов к ИИ и поиска в интернете всех возможных рисков я пришёл к решению, которое максимально приближено к air-gap (то есть использованию двух независимых ПК).
Что вам понадобится:
1) Зашифруйте вашу «безопасную» (основную) установку с помощью Veracrypt. Это защитит её от нежелательных изменений (например, вирусов) со стороны другой скомпрометированной ОС.
2) Создайте диск восстановления Veracrypt на флешке FAT32, следуя инструкциям приложения. Это служит двум целям:
Во-первых, позволяет загружаться напрямую с флешки, обходя любой вредоносно изменённый загрузчик.
Во-вторых, даёт возможность восстановить оригинальный загрузчик после его изменения.
3) Установите «небезопасную» ОС (для игр с Hypervisor) на отдельный физический диск. НЕ на другой раздел того же диска.
Поскольку многие современные материнские платы позволяют полностью отключать конкретные накопители, деактивируя SATA или M.2 порты. Таким образом вредоносное ПО даже не сможет обнаружить существование вашей «безопасной» установки.
[Опционально, вы также можете настроить две «безопасные» установки на одном диске, поскольку Veracrypt поддерживает мультизагрузку. Например, одну зашифрованную — для интернет-банкинга и работы с конфиденциальными документами, и другую незашифрованную — для игр и обычного интернет-серфинга. Всего три (или более) установки, включая «небезопасную».]4) Создайте два отдельных профиля BIOS. Один для «безопасной» установки со всеми включёнными функциями защиты (например, Secure Boot), и один для «небезопасной» — с отключённым всем необходимым (включая диски с ценными данными и безопасную ОС).
Каждый раз при переключении на профиль «безопасных настроек» Secure Boot должен блокировать любой несанкционированный загрузчик (при условии, что ваша материнская плата не позволяет отключать отдельные накопители). В противном случае используйте диск восстановления Veracrypt для его восстановления.
Вопрос: А что насчёт вредоносного ПО, которое переписывает BIOS/прошивку и сводит на нет всё вышеперечисленное?
Ответ: Теоретически это возможно для вредоносного ПО с привилегиями уровня ядра, но на практике крайне редко и сложно из-за нескольких уровней защиты в современных материнских платах и процессорах.
Чтобы переписать BIOS, вредоносному ПО необходимо использовать уязвимости в SMM (System Management Mode) и прошивке, чтобы:
- получить доступ к SPI-контроллеру флеш-памяти
- обойти защиту записи чипсета
- обойти регистры защиты записи BIOS
- обойти Intel Boot Guard
- пересчитать подписи прошивки
- не «окирпичить» материнскую плату
Подавляющее большинство задокументированных случаев на сегодняшний день связано с хакерами, поддерживаемыми государствами, которые нацелены на ценные цели — политиков, журналистов, зарубежные компании и т. д. (например, Lojax, MoonBounce и др.). Кроме того, по своей природе этот тип вредоносного ПО не предназначен для массового распространения (например, для продажи на чёрном рынке любому желающему).
