セキュアブートへの対応はどうすべきか
Forensic Focusのフォーラムで出ている話題ですが、セキュアブートについて最近の状況をメモしておきたいと思います。
CD-ROMやUSBなど別媒体からOSを起動し、HDDへの書き込みを禁止した状態でディスクのイメージを取るという方法があります。例えば、WinPE(WinFEなど)をベースにした起動環境を使い、ディスクイメージを作成するツールを実行するといった事は商用製品などでも行われています。(WinPE 4 または 5 ベースならいけるようなお話をみかけますが、私は実際に可能か試していません)
しかし、Windows 8以降の環境で、かつ対象PCがSecure Bootに対応している場合には、このセキュアブート機能により起動が禁止されてしまう状況が発生します。
BIOSの設定で無効化できる場合もあるようですが、今後はSecure Bootに対応したブート用のメディアを用意しておく必要がありますね。
セキュア ブートの概要
http://technet.microsoft.com/ja-jp/library/hh824987.aspx
セキュア ブートがサポートされる Windows は、Windows 8.1、Windows Server 2012 R2、Windows RT 8.1、Windows 8、Windows Server 2012、Windows RT です。
セキュア ブートの無効化
http://technet.microsoft.com/ja-jp/library/dn481258.aspx
[Windows8]セキュアブートを解除せよ!!
http://blog.livedoor.jp/frbsd/archives/25566476.html
第9回 UEFIサポートとセキュアブート
http://www.atmarkit.co.jp/ait/articles/1403/27/news129_2.html
LinuxのCD-ROMなどから起動してディスクイメージを取得したいと考えた場合、Secure BootがONのままでは(従来のSecure BootをサポートしないLinuxの起動CD-ROMでは)起動出来ないという事になります。
関連する情報を検索してみたところ、UbuntuはSecure Bootに対応できるようで、それを組み込んだ CAINE (Computer Aided INvestigative Environment)がリリースされているようです。
ASUSノートPC X202E: EFI による「Linux + Windows8」マルチブート(3)
http://otake.knowd2.com/drupal-rotake/?q=node/168
Fedora18とUbuntu13.04にはFedoraプロジェクトで開発されたshimというパッケージが提供されている。このパッケージにはUEFIから呼び出されるshim.efiが含まれていて、これがマイクロソフト鍵で署名されているようだ。
http://www.caine-live.net/page6/page6.html#
Based on Ubuntu 12.04.3 64BIT - UEFI/SECURE BOOT Ready!
Caine 5.0 on pendrive can boot on Uefi/Uefi+secure boot/Legacy Bios/Bios.
Caine 5.0 on DVD can boot on Legacy Bios/Bios.
最初はてっきりCD/DVDで起動できるのかと思ったのですが、ZAKI さんから pendrive だけでは?と教えていただきました。USBメモリ経由での起動ならいけるようですが、今後もCD/DVDでのSecure Bootに対応した起動は仕組み的に難しいのでしょうかね?
ところで、
Win-Ufo って初めて知りました。。。UFOはUltimate Forensics Outflowの略。
個人的には DEFT がSecure Bootに対応しているか気になっていますが、そろそろ DEFT 8.1 がリリースされてくるのではないかと思いますので、リリースされたら確認してみたいと思います。
商用の複製装置も、ノートパソコンなどの対応用にCD-ROMベースで起動するパターンがあると思うのですが、そういった製品がSecure Bootに対応しているかは確認が必要かもしれませんね。
SWGDE UEFI and its Effect on Digital Forensics Imaging