読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

セキュアブートへの対応はどうすべきか

フォレンジック

Forensic Focusのフォーラムで出ている話題ですが、セキュアブートについて最近の状況をメモしておきたいと思います。

CD-ROMやUSBなど別媒体からOSを起動し、HDDへの書き込みを禁止した状態でディスクのイメージを取るという方法があります。例えば、WinPE(WinFEなど)をベースにした起動環境を使い、ディスクイメージを作成するツールを実行するといった事は商用製品などでも行われています。(WinPE 4 または 5 ベースならいけるようなお話をみかけますが、私は実際に可能か試していません)

しかし、Windows 8以降の環境で、かつ対象PCがSecure Bootに対応している場合には、このセキュアブート機能により起動が禁止されてしまう状況が発生します。

BIOSの設定で無効化できる場合もあるようですが、今後はSecure Bootに対応したブート用のメディアを用意しておく必要がありますね。

 

セキュア ブートの概要

http://technet.microsoft.com/ja-jp/library/hh824987.aspx

セキュア ブートがサポートされる Windows は、Windows 8.1、Windows Server 2012 R2、Windows RT 8.1、Windows 8、Windows Server 2012、Windows RT です。

 

セキュア ブートの無効化

http://technet.microsoft.com/ja-jp/library/dn481258.aspx

 

[Windows8]セキュアブートを解除せよ!!

http://blog.livedoor.jp/frbsd/archives/25566476.html

 

第9回 UEFIサポートとセキュアブート 

http://www.atmarkit.co.jp/ait/articles/1403/27/news129_2.html

 

LinuxのCD-ROMなどから起動してディスクイメージを取得したいと考えた場合、Secure BootがONのままでは(従来のSecure BootをサポートしないLinuxの起動CD-ROMでは)起動出来ないという事になります。

関連する情報を検索してみたところ、UbuntuはSecure Bootに対応できるようで、それを組み込んだ CAINE (Computer Aided INvestigative Environment)がリリースされているようです。

 

ASUSノートPC X202E: EFI による「Linux + Windows8」マルチブート(3)

http://otake.knowd2.com/drupal-rotake/?q=node/168

Fedora18とUbuntu13.04にはFedoraプロジェクトで開発されたshimというパッケージが提供されている。このパッケージにはUEFIから呼び出されるshim.efiが含まれていて、これがマイクロソフト鍵で署名されているようだ。

 

http://www.caine-live.net/

http://www.caine-live.net/page6/page6.html#

Based on Ubuntu 12.04.3 64BIT - UEFI/SECURE BOOT Ready!

Caine 5.0 on pendrive can boot on Uefi/Uefi+secure boot/Legacy Bios/Bios.
Caine 5.0 on DVD can boot on Legacy Bios/Bios. 

 最初はてっきりCD/DVDで起動できるのかと思ったのですが、ZAKI さんから pendrive だけでは?と教えていただきました。USBメモリ経由での起動ならいけるようですが、今後もCD/DVDでのSecure Bootに対応した起動は仕組み的に難しいのでしょうかね?

 

ところで、 

Win-Ufo って初めて知りました。。。UFOはUltimate Forensics Outflowの略。

 

個人的には DEFT がSecure Bootに対応しているか気になっていますが、そろそろ DEFT 8.1 がリリースされてくるのではないかと思いますので、リリースされたら確認してみたいと思います。

 商用の複製装置も、ノートパソコンなどの対応用にCD-ROMベースで起動するパターンがあると思うのですが、そういった製品がSecure Bootに対応しているかは確認が必要かもしれませんね。

 

SWGDE UEFI and its Effect on Digital Forensics Imaging

https://www.swgde.org/documents/Current%20Documents/2014-02-06%20SWGDE%20UEFI%20Effect%20on%20Digital%20Imaging%20V1