Linux: Firmware-Sicherheit mittels fwupd auf Basis der HSI-Spezifikation überprüfen
Für Linux-Systeme gibt es mit fwupd eine einfache Möglichkeit, die Firmware des eigenen Rechners zu aktualisieren. Voraussetzung ist, dass der jeweilige Hersteller des eigenen Rechners über LVFS die entsprechenden Firmware-Aktualisierungen bereitstellt.
Zusätzlich haben die Entwickler hinter LVFS/fwupd die sogenannte Host Security ID Specification (HSI) entwickelt. Diese Spezifikation definiert gewisse Bedingungen, die ein System bzw. die dazugehörige Firmware erfüllen muss, um einen bestimmten Grad - von HSI:0 (unsicher) bis HSI:5 (nachweislich sicher) - an Sicherheit zu gewährleisten. Um das eigene System zu überprüfen, stellt fwupd einen entsprechenden Konsolenbefehl bereit, welcher euch dann übersichtlich die Ergebnisse der Überprüfungen anzeigt und euch mitteilt, welchen Grad an Sicherheit euer System aufweist.
HSI-Grade und Bedingungen bzw. Überprüfungen
Wie bereits erwähnt gibt es aktuell fünf Grade bzw. Einstufungen von HSI:0 (unsicheres System) bis hin zu HSI:5 (nachweislich sicheres System). Für HSI:5 gibt es derzeit noch keine Bedingungen. Aktuell ist der höchste erreichbare Grad HSI:4.
Was die einzelne Grade genau bedeuten und welche Bedingungen erfüllt sein müssen, könnt ihr in der HSI-Doku nachlesen.
HSI-Grad für das eigene System ermitteln
Zum Ermitteln des HSI-Grads für das eigene System reicht folgender Befehl:
Am Beispiel meines Thinkpad X1 Carbon Gen 9 sieht das Ergbnis dann wie folgt aus:
Wie man sieht, wurde mein System als HSI:3 eingestuft. HSI:4 kann ich mit meiner Hardware/Firmware nicht erreichen, da ich keine CPU mit Unterstützung für verschlüsselten RAM habe. Bei Intel unterstützen das nach meinem Kenntnissstand nur die vPro-Modelle.
Des Weiteren wird angezeigt, dass mein System zwei HSI-Laufzeitprobleme aufweist. Das erste Problem bzgl. Kernel-Sperrung bezieht sich auf das Kernel-Lockdown-Feature. Damit hatte ich schon mal etwas rumgespielt, aber noch nicht vollends auseinandergesetzt. Steht aber auf meiner Todo-Liste. Beim zweiten Problem handelt es sich um einen Bug von fwupd (siehe GitHub-Issue). Aktuell erkennt es nicht, dass meine Swap-Partition per LVM on LUKS verschlüsselt ist.
Unter dem Punkt "Host-Sicherheitsereignisse" findet man außerdem noch eine Historie der letzten relevanten Änderungen.
Fazit
Mit fwupd und der HSI-Spezifikation gibt es eine einfache Möglichkeit, sich einen groben Überblick über die Firmware-Sicherheit des eigenen Systems zu verschaffen. Auf Basis dessen kann man sein System ggf. noch etwas optimieren, um das eigene System besser zu schützen.
Auf der Seite fwupd.org/lvfs/hsireports/devices findet ihr bei Bedarf eine Liste aller von Benutzern eingereichten HSI-Reports. Hierüber lässt sich z.B. vor dem Kauf eines neuen Notebooks nachschauen, welcher HSI-Grad mit dem potenziell neuen Notebook möglich ist.