Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot"	+/–
Сообщение от opennews (??), 03-Мрт-21, 11:42
Раскрыта информация о 8 уязвимостях в загрузчике GRUB2, позволяющих обойти механизм UEFI Secure Boot и добиться запуска неверифицированного кода, например, осуществить внедрение вредоносного ПО, работающего на уровне загрузчика или ядра... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54691
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 03-Мрт-21, 11:42	+27 +/–
Патрик как чувствовал, оставив просроченный лило.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #22, #23, #66, #89

2. Сообщение от Леголас (ok), 03-Мрт-21, 11:43	+17 +/–
в топку этот проприетарный уефи, для него токмо легаси режим
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #36, #49, #92, #206, #354

3. Сообщение от Урри (ok), 03-Мрт-21, 11:43	+20 +/–
Чтобы запустить мой (МОЙ!) компьютер я должен спрашивать разрешения у Microsoft. А не оxyeли ли они все? Впрочем, всегда остается возможность отключить секурбут в биосе. К счастью.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #9, #13, #14, #19, #196

4. Сообщение от Аноним (4), 03-Мрт-21, 11:43	–5 +/–
К слову о необходимости скуд для стоек/доступа в цод и обеспечения физ.беза в принципе, мда. Статья слишком большая, не понял - во всем опять виноват мс или в этот раз оподливились все?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #253

5. Сообщение от Fracta1L (ok), 03-Мрт-21, 11:44	–4 +/–
Дней без обнаруженных сишных дыр: 0...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74, #218

6. Сообщение от Аноним (6), 03-Мрт-21, 11:46	–26 +/–
А писали бы на C++, такого бы не произошло в принципе. Язык С давно уже нужно признать устаревшим и небезопасным.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #26, #32, #38

7. Сообщение от neAnonim (?), 03-Мрт-21, 11:46	+5 +/–
пусть мелко-мягкие забирают secure boot себе обратно взад
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (55), 03-Мрт-21, 11:47	+/–
Ну еще ты можешь подписать все самостоятельно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от Леголас (ok), 03-Мрт-21, 11:48	+/–
чувак, держи себя в руках, всегда можно мысль выразить без крепкого словца, а так ты просто работу для модераторов подкидываешь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от Аноним (10), 03-Мрт-21, 11:48	+7 +/–
Если позволяет обойти не нужно, то это даже хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #166

11. Сообщение от Леголас (ok), 03-Мрт-21, 11:49	+13 +/–
Эм, это потому что для C каждые три года не выходит новый стандарт с кучей новых "нужных" фич? Не путайте, товарищ, стандарты и то, как эти стандарты конкретные компиляторы воплощают в жизнь, ну и «пища» для них, компиляторов, в виде адекватного исходного кода есть вещь определяющая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #25

12. Сообщение от Аноним (12), 03-Мрт-21, 11:52	+/–
Время идёт, а линукс в использование TPM и trusted boot, все так же не умеет, но небезопасной всеравно считается винда
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #115, #169, #357

13. Сообщение от КО (?), 03-Мрт-21, 11:54	+1 +/–
Скоро устройства с предустановленной десяткой можно будет купить только подписав контракт свои кровью. Конечно, в целях безопасности. Не отвертитесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

14. Сообщение от пох. (?), 03-Мрт-21, 11:59	–2 +/–
К сожалению, иначе помимо тебя - его сможет запустить тот, другой васян - и не спрашивая ничьих разрешений. Впрочем, MS уже и с прошлого раза наверняка все локти сгрызла, что подарила дуракам л@п4@тьiм свой ключ, который даже отозвать невозможно, он в железо прошит. Ежу было понятно, что они его просифачат, кто бы сомневался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

15. Сообщение от Аноним (15), 03-Мрт-21, 12:07	+4 +/–
Вот как мс откроет свой загрузчик, там и будем посмотреть. Чую печенкой там дыр в деясток раз больше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #52, #118

16. Сообщение от Аноним (19), 03-Мрт-21, 12:07	+10 +/–
Складывается такое впечатление, что безопасники своими навороченными новшествами просто стреляют себе в голову... С каждой новой "фичей по безопасности" - приходит 10 новых опасностей...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #41, #126, #214, #246

17. Сообщение от pin (??), 03-Мрт-21, 12:07	+2 +/–
КТО?? использует всё это дерьмо в реальности и в полном объективном осмыслении? Выйди из своего ада на пару минут и расскажи, фейхуа тебе всё это надо???
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #76

18. Сообщение от Аноним (18), 03-Мрт-21, 12:08	+5 +/–
Так это не уязвимости, это фичи, секуребут как и уефи - ересь поганая, должна быть возможность запускать любую ОС без попрошайничества ключей у гомноконторы!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #85

19. Сообщение от Аноним (19), 03-Мрт-21, 12:09	+1 +/–
Напрягись и запасись вазелином - на новом оборудовании уже нет такой возможности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

20. Сообщение от Аноним (20), 03-Мрт-21, 12:09	+2 +/–
Там елило для уефи насколько помню. Лучше конечно просто ядро пересобрать со стюб и буллитин чтобы без грабов грузил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #140

21. Сообщение от Аноним (55), 03-Мрт-21, 12:10	+1 +/–
формально она есть - берешь и своим ключем подписываешь то, что надо запустить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #27

22. Сообщение от asdasd (?), 03-Мрт-21, 12:10	+1 +/–
Нафига на UEFI отдельный загрузчик? efistub жеж. Или refind на худой конец жеж.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #110, #144

23. Сообщение от Аноним (-), 03-Мрт-21, 12:12	+47 +/–
> позволяющие обойти UEFI Secure Boot Позволяет обойти зонд от M$ - разве это не преимущество?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #57, #81, #113

24. Сообщение от Аноним (31), 03-Мрт-21, 12:12	–2 +/–
Только вот вчера ночью ставил на локалхост себе арч и выбирал бутлоадер. Выбрал груб2 И вот на тебе.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54, #86

25. Сообщение от Аноним (25), 03-Мрт-21, 12:15	–2 +/–
> ну и «пища» для них, компиляторов А зачем пищать? Без этого не компилится?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #28, #61

26. Сообщение от Урри (ok), 03-Мрт-21, 12:16	+7 +/–
Язык Си - универсальный. Хочешь - пишешь безопасно, хочешь - пишешь небезопасно. А хочешь - вообще не пишешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #100, #355

27. Сообщение от Урри (ok), 03-Мрт-21, 12:17	+2 +/–
Ну да - ты подписываешь, а оно не грузит. Потому что в железе прошит ключ майков, а не твой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #31, #44

28. Сообщение от Леголас (ok), 03-Мрт-21, 12:17	+1 +/–
метафора? не, не слышал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #34

29. Сообщение от Аноним (31), 03-Мрт-21, 12:17	+3 +/–
>>Как и в случае с прошлогодней уязвимостью BootHole, для блокирования проблемы недостаточно обновить загрузчик, так как атакующий, независимо от используемой операционной системы, может для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью. Это легко решить массово и на корню просто отозвав микрософтный ключ.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Аноним (30), 03-Мрт-21, 12:18	+5 +/–
Ну так биосы тоже проприетарные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #42

31. Сообщение от Аноним (31), 03-Мрт-21, 12:18	–3 +/–
Формально она есть - берёшь и делаешь своё железо заливая туда свой ключ) Видимо так
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

32. Сообщение от ixrws (??), 03-Мрт-21, 12:19	+5 +/–
Давно пора признать устаревшими евровилки, uk вилки и прочие давно существующие стандарты подключения электричества. Также признать устаревшими стандарты 220, 110 и вообще синусоидный переменный ток, равно как и постоянный. Ещё необходимо признать устаревшими и опасными картофель, все зерновые и вообще всё, что мы выращиваем и пользуемся уже тысячи лет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #213, #356

33. Сообщение от Аноним (33), 03-Мрт-21, 12:21	+5 +/–
A local attacker with administrative privileges (or with physical access to the system) could use this issue... Короче расходимся
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (25), 03-Мрт-21, 12:21	–4 +/–
Сарказм? не, не слышал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #40, #254

35. Сообщение от Последний из могикан (?), 03-Мрт-21, 12:22	+2 +/–
С разморозкой вас!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

36. Сообщение от Аноним (20), 03-Мрт-21, 12:22	+1 +/–
Разве легаси режим  не через эту же прошивку работает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #43

37. Сообщение от Аноним (31), 03-Мрт-21, 12:23	–2 +/–
>При расчёте размера предполагалось, что для экранирования одинарной кавычки требуется три символа, хотя на деле необходимо четыре. Нет слов, одни междометия. Почему в языках программирования я делаю string.replace("\'", "\'\'") и не парюсь о размерах?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

38. Сообщение от Аноним (38), 03-Мрт-21, 12:25	–1 +/–
ЗАДАЧА: Прострелить себе ногу. C: Вы простреливаете себе ногу. C++: Вы случайно создаете дюжину копий объекта «вы» и всем им простреливаете ногу. Срочная медицинская помощь оказывается невозможной, так как вы не можете разобраться, где настоящие копии, а где — те, что только указывают на них и говорят: «А вот он я!»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #256, #353

39. Сообщение от iPony129412 (?), 03-Мрт-21, 12:25	–1 +/–
> позволяющие обойти UEFI Secure Boot Ну и ладно. Всё равно вещь бестолковая.
Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Леголас (ok), 03-Мрт-21, 12:26	+7 +/–
как писал анон не так давно в каком-то треде: вас тут хрен разберешь, сарказм или тупой (уж извините)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

41. Сообщение от Аноним (19), 03-Мрт-21, 12:27	+2 +/–
походу совсем не те заявленные цели они преследуют
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

42. Сообщение от Леголас (ok), 03-Мрт-21, 12:27	+2 +/–
у биосов нет секурных стартов, новость-то об уязвимости в таком
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #53, #60

43. Сообщение от Леголас (ok), 03-Мрт-21, 12:28	+/–
см. выше, #42
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #55

44. Сообщение от Аноним (55), 03-Мрт-21, 12:30	+/–
ты подписываешь, а оно грузит, потому что ты сгенерировал через openssl ключи, которыми подписал то, что нужно тебе загружать, а сам ключ через интерфейс uefi загрузил в прошивку, об этой возможности даже на ресурсах мелкомягких сказано. Например, можешь начать отсюда https://docs.microsoft.com/en-us/windows-hardware/design/dev...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #210, #225

45. Сообщение от Аноним (45), 03-Мрт-21, 12:30	+/–
> при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPI А так можно было?? (⊙_⊙)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #181

46. Сообщение от Последний из могикан (?), 03-Мрт-21, 12:32	+2 +/–
Coreboot
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #68

47. Сообщение от Аноним (55), 03-Мрт-21, 12:33	+6 +/–
не шатай скрепы, смузихлеб, так наши батьки писали, деды писали, и ты пиши
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #232

48. Сообщение от Аноним (48), 03-Мрт-21, 12:35	–1 +/–
dbx в прошивке обновиться автоматически? Нужно ли вручную заходить в uefi и что-то там настраивать?
Ответить | Правка | Наверх | Cообщить модератору

49. Сообщение от llolik (ok), 03-Мрт-21, 12:35	+1 +/–
Последнее время, что-то часто стали попадаться платы, где legacy тупо недоступен. Чем-то чую, что таких со временем будет чуть менее чем все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #67, #90, #154

51. Сообщение от Аноним (51), 03-Мрт-21, 12:37	+/–
Как будто это что-то плохое.
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от Аноним (55), 03-Мрт-21, 12:38	+1 +/–
> Вот как мс откроет свой загрузчик Зачем открывать? Или безопасность через закрытость вдруг стала работать? Если есть дыры, их и так найдут, а на что способны "тысячи глаз" в опенсорсе итак уже всем известно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #63

53. Сообщение от InuYasha (??), 03-Мрт-21, 12:39	+8 +/–
Шило, мыло, жепь, ебрило. UEFI хотя бы более открытый чем BIOSы. А по сути, секуре бут вообще никому кроме M$ не нужен. Вот, можно ещё почитать: https://github.com/pbatard/rufus/wiki/FAQ#Why_do_I_need_to_d...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #79, #105, #130, #158

54. Сообщение от Аноним (54), 03-Мрт-21, 12:45	+/–
Нахрена? Чем тебе efistub не нравится. Пысы выбор был я так понимаю из lilo и grub2?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #201

55. Сообщение от Аноним (55), 03-Мрт-21, 12:46	+1 +/–
То есть проприетарный биос лучше проприетарного уефи?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #160

56. Сообщение от nuclight (??), 03-Мрт-21, 12:56	–4 +/–
Мда, список таких детских CVE... GRUB по-прежнему pешето.
Ответить | Правка | Наверх | Cообщить модератору

57. Сообщение от Fractal cucumber (??), 03-Мрт-21, 13:00	+/–
Плюсую!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

58. Сообщение от jura12 (ok), 03-Мрт-21, 13:02	+1 +/–
давно такого не было и вот опять.
Ответить | Правка | Наверх | Cообщить модератору

60. Сообщение от Аноним (60), 03-Мрт-21, 13:05	–1 +/–
Ты понимаешь, что ты пишешь? В биосе такой функциональности ВООБЩЕ нет. Там можно трояны грузить, и мамка даже ухом не поведет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #82

61. Сообщение от некая_ычанька (?), 03-Мрт-21, 13:08	–1 +/–
Затем, что vi.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

63. Сообщение от Аноним (15), 03-Мрт-21, 13:11	+/–
таки да, безопасность через закрытость работает. Из за того, что дыры тяжелее обнаружить. Исх код то закрыт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #129

65. Сообщение от ryoken (ok), 03-Мрт-21, 13:22	–3 +/–
>> в обход верификпации Поправьте плз. По сабжу - SecureBoot в печь. Ну и вместо GRUB2 тогда rEFInd для (U)EFI системю
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #96

66. Сообщение от Синдарин (?), 03-Мрт-21, 13:26	+9 +/–
shim это workaround с плохим использованием Secure Boot. Все делается легко, куча манов. Генерите свой platform owner key, подписываете ядро (грузиться уже можно даже напрямую без grub). Все сертификаты: прошлый owner key, корневые от MS, и прочие db можете удалить, оставьте только dbx (отозванные). Всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #70, #114

67. Сообщение от ryoken (ok), 03-Мрт-21, 13:27	+/–
"Здравствуйте, я ваша тётя". Так вроде бы в прошлом году (если не раньше) Интел издавал дикие вопли на тему "всё, CSM ненужен, скоро вырбим его к хренам!!!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #72

68. Сообщение от ryoken (ok), 03-Мрт-21, 13:30	+2 +/–
Эти тоже те ещё деятели. Зачем-то откидывают поддержку железа, которое люди используют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #93, #306

69. Сообщение от Адекват (ok), 03-Мрт-21, 13:31	–1 +/–
Был же grub 0.97 и горя не знали, а теперь жду новость "после обновления grub2 у 50% пользователей линукс перестал загружаться, совсем, требуется переустановка". Не было у бабы проблемы - купила баба порося.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78

70. Сообщение от Синдарин (?), 03-Мрт-21, 13:32	+7 +/–
Под убунту для хомяков ещё проще. Убунта 20.04+ детектит включённый Secure Boot, и вставляет свой корневой Canonical сертификат, которым подписано ядро.   MS и ненужные сертификаты можно убрать. Хомяки не умеющие в SB, наивно думают что в Legacy они безопаснее (про том что биос у них как был в rw режиме, так и остался, шей им руткит не хочу, наивные)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #75, #150

72. Сообщение от llolik (ok), 03-Мрт-21, 13:36	+/–
> Интел издавал дикие вопли Ну вот, видимо, от воплей перешли к реализации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

73. Сообщение от mymedia (ok), 03-Мрт-21, 13:37	+1 +/–
Все секур бут уязвимости решаются одним переключателем в прошивке. Только полное отключение и никакой эболы с ключами. Нормальным, честным людям ограничивать свой компьютер нет необходимости. Это всё только корпоратам и нужно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #84, #94, #121, #127

74. Сообщение от Фракта1л (?), 03-Мрт-21, 13:40	+7 +/–
Мне делом заниматься лень, Но мог бы сделать я немало, Когда бы сишная дырень Ум буйный мой не занимала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #80

75. Сообщение от Синдарин (?), 03-Мрт-21, 13:40	+3 +/–
Многие bios-ui для совсем ленивых - вообще умеют тупо генерить сигнатуры скармливаемых .efi файлов и добавлять их в whitelist (db). Ни pok ни корневые даже не нужны, просто сигнатуры нужных бинарников будет вашими ручками апрувлены. Минус только при обновлении ядра придётся добавлять ручками снова. Если bios-ui куцый, то mokutil из консоли Линукса делает с SB все что надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #77

76. Сообщение от пох. (?), 03-Мрт-21, 13:41	+1 +/–
_некоторое_ понижение шансов, что попавший в руки других васянов ноут не получит каких-нибудь сюрпризов незаметно для меня. В отличие от бесполезных выпиливаний несекьюрных шифров, ломаемых всего-то за $50000 - вполне осмысленная мера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #133

77. Сообщение от Синдарин (?), 03-Мрт-21, 13:43	+1 +/–
Опять же в Ubuntu для ленивых вообще сделали $ update-secure-policy утилита в стиле "сделать все как надо, мой платформ кей, подписать модули ядра, вот это всё" в один клик
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

78. Сообщение от пох. (?), 03-Мрт-21, 13:44	+1 +/–
> Был же grub 0.97 и горя не знали Не знали, только вот он немного не умеет грузиться на компьютерах десятилетней (Карл!) давности. К сожалению, некоторые устаревшие технологии таки приходится выбрасывать, а не жить с эмуляцией давно мертвого дос-загрузчика еще триста лет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

79. Сообщение от Синдарин (?), 03-Мрт-21, 13:46	+/–
Слабоумие и отвага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #153

80. Сообщение от Синдарин (?), 03-Мрт-21, 13:49	+7 +/–
Фрактал Фракталу отвечал, и отвечали все Фракталу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

81. Сообщение от Аноним (81), 03-Мрт-21, 14:01	+/–
Почему это "зонд от MS"? Его же вполне себе можно настраивать на свое усмотрение, и свои ядра/загрузчики подписывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #99, #148

82. Сообщение от Аноним (82), 03-Мрт-21, 14:02	+2 +/–
А что мешает мне загружать в UEFI в грабе (или даже в винде) трояна (само собой пользователь будет думать что это подписанная убунту)? Подпись добавлю в UEFI как в комментах описано. Так что все просто сводится к паролю на биос\уефи и в этом плане они ничем не отличаются. Очередное мелкософтское непродуманное @#$%^&.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #119, #236

83. Сообщение от jOKer (ok), 03-Мрт-21, 14:10	–1 +/–
Ну, это даже хорошая новость если подумать. Лучше была бы новость только о том, что секуре бут дырявый на уровне архитектуры, и его использование в связи с этим прекращается, а шим, так тот вообще запихивается микрософту в... дырочку пониже талии.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #88

84. Сообщение от Аноним (54), 03-Мрт-21, 14:10	+/–
Я понимаю твою точку зрения, но ты мне не нравишься. Я считаю её ошибочной. Гораздо лучше, когда у пользователя есть контроль. Чтобы посадить пользователя в клетку подобные технологии никогда не были необходимостью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #192

85. Сообщение от Аноним (103), 03-Мрт-21, 14:13	+/–
А в чем проблема самому загенерить свой ключ, подписать им ядро и загрузить в UEFI? Никто не запрещает. А просить ключ у Microsoft надо только в том случае, если ты пилишь свой дистр, и хочешь, чтобы он грузился у всех подряд (потому что по дефолту на многих компах есть ключ от M$, но ничего не мешает его оттуда спокойно убрать)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

86. Сообщение от anonymous (??), 03-Мрт-21, 14:15	+4 +/–
Можно же EFISTUB и systemd-boot или rEFInd использовать. И PreLoader для SecureBoot. GRUB2 только если что-то уж очень сложное надо загрузить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #202

88. Сообщение от Аноним (103), 03-Мрт-21, 14:17	+1 +/–
Здесь скорее дырявое его использование в основных дистрибутивах и загрузка всего через shim и grub. Если самому подписывать ядро и свои ключи, то защита будет гораздо лучше. (Правда, остается вариант уязвимости в самой реализации UEFI, но тут они все разные на разных компьютерах, поэтому такое сложнее эксплуатировать) И, кстати, ядро спокойно умеет грузиться без посредников в виде grub'а
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #95

89. Сообщение от такаяштука (?), 03-Мрт-21, 14:19	+1 +/–
Уязвимости компрометируют секюрбут, так што при помощи груба уязвим и лило и даже шиндавс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #157

90. Сообщение от anon14 (?), 03-Мрт-21, 14:22	+/–
ничего подобного, в Asus/MSI/Gigabyte все работает например MSI A320M-A PRO/Gigabyte B450M S2H v2 (AMD) MSI B365M-PRO VH/Asus Prime H310M-R R2.0/Asus Prime Z390-P (Intel) грузит все в legacy без проблем GPT + bios boot а также работает с M2 NVME без проблем в legacy
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #120

91. Сообщение от Анон Анонов (?), 03-Мрт-21, 14:23	+1 +/–
Ну вот смотрите, 5 / 8 уязвимостей это манипуляции с памятью и буфером. Ну если так тошнит от раста, ну напишите себе прослойку, которая в compile time всё точно также проверяет. И границы, и использование.
Ответить | Правка | Наверх | Cообщить модератору

92. Сообщение от Аноним (-), 03-Мрт-21, 14:26	+4 +/–
> в топку этот проприетарный уефи, для него токмо легаси режим в топку так в топку, а толку от этого НОЛЬ, ибо: легаси биос точно такой же проприетарный лол... и там, и там интелме и прочая бинарная шляпа, которую вы не контролируете... всё строго по эскобару. что уефи, что легаси режимы, что чистые биосы и тп это всё проприетарное, закрытое. что ваш ноут с уефи, что без уефи - и там, и там те же яйца, только в профиль. если только вы не счастливый обладатель коребута/либребута. но лиц обладателей чистых перепрошитых биосов примерно вот столько: 0,000000000000000001%
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

93. Сообщение от Последний из могикан (?), 03-Мрт-21, 14:27	–2 +/–
Среднестатистический пользователь должен страдать за свою глупость,лень и эгоизм,так что все идёт как должно быть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #98, #125

94. Сообщение от Аноним (103), 03-Мрт-21, 14:27	+3 +/–
> Все секур бут уязвимости решаются одним переключателем в прошивке. Если ты его отключишь, то безопаснее от этого не станет :) Просто атакующему не надо будет прилагать усилий, чтобы загрузить недоверенную ОС. Так-то все уязвимости решаются выключением компьютера :) Компьютер выключен, и никто на нем не сможет запустить вредоносный код. Полезный код ты тоже не запустишь, но кого это волнует...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #104

95. Сообщение от ryoken (ok), 03-Мрт-21, 14:28	+1 +/–
>> ядро спокойно умеет грузиться без посредников в виде grub'а Ну, для того надо выполнить несколько условий: версия не ниже 3.13 (поправьте, если промазал), EFISTUB в конфиге включен (кстати, т.к. использую генту, там ещё пара опций есть, типа Hybrid EFISTUB кажется, которое делает возможным загрузку из 32-бит EFI 64-битного ядра). Конечно, можно вопить что все дистры сейчас по дефолту так и делают :D.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #97

96. Сообщение от n00by (ok), 03-Мрт-21, 14:32	+/–
>>> в обход верификпации > Поправьте плз. На верифакапцию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

97. Сообщение от Аноним (103), 03-Мрт-21, 14:37	+3 +/–
> Конечно, можно вопить что все дистры сейчас по дефолту так и делают :D Если используется ядро ниже 3.13 (которое уже давно устарело) или отключен EFISTUB в конфиге, то на это должны быть ОЧЕНЬ веские причины сидеть на старом вручную скомпиленном ядре. Считаю, что такие конфигурации - исключение, а большей части пользователей GNU/Linux ничто не мешает при наличии времени и желания настроить себе загрузку через efistub.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

98. Сообщение от Аноним (20), 03-Мрт-21, 14:40	+/–
Да ладно! Железо покупать каждые два года? Это как с Андроид который не обновить должно быть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #101

99. Сообщение от AlexYeCu_not_logged (?), 03-Мрт-21, 14:41	+2 +/–
>Почему это "зонд от MS"? Его же вполне себе можно настраивать на свое усмотрение, и свои ядра/загрузчики подписывать. Вот это вот >используется небольшая прослойка shim, заверенная цифровой подписью Microsoft как бы намекает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #103

100. Сообщение от Anonim (??), 03-Мрт-21, 14:43	–8 +/–
На си нет режима "безопасно". Есть только "по долбое*ски" и "по идиотски", т.к. в языке все сделано для того, чтобы программисты вырождались либо в первых, либо во вторых, и забывали, что значит программировать (совсем не описывать поведение микроконтроллера 70х как в си), как писать адекватный и понятный, компактный код. ...как итог: си код либо медленный (и со встроенным интерпретатором, как минимум командной строки..), либо ошибочный, "дырявый" и неадекватный задачам программирования и требованиям безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #163, #291

101. Сообщение от Последний из могикан (?), 03-Мрт-21, 14:46	+2 +/–
Все верно.И главное побольше нововведений(как символично)чтоб от соседа с его умной хатой не отстать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #124

103. Сообщение от Аноним (103), 03-Мрт-21, 14:47	–1 +/–
>Вот это вот >>используется небольшая прослойка shim, заверенная цифровой подписью Microsoft >как бы намекает. Никто не запрещает подписать shim своим ключом и добавить его в UEFI. Просто так делают, чтобы для установки системы не пришлось вкатывать свои ключи, поскольку ключи от M$ есть на многих компьютерах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #107

104. Сообщение от Онаним (?), 03-Мрт-21, 14:52	+3 +/–
Ну загрузит он недоверенную ОС и загрузит. Шифрованные разделы от этого не расшифруются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #106

105. Сообщение от Аноним (103), 03-Мрт-21, 14:53	+/–
> А по сути, секуре бут вообще никому кроме M$ не нужен. Как минимум одному анониму с опеннета он нужен, чтобы его подписанный загрузчик никто не мог подменить и не мог впихнуть в него вредоносный код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #159

106. Сообщение от Аноним (103), 03-Мрт-21, 14:55	–1 +/–
> Ну загрузит он недоверенную ОС и загрузит. Шифрованные разделы от этого не расшифруются. Если подменить загрузчик (он же в принципе не может быть зашифрованным), то вполне себе можно узнать пароль от шифрованных разделов. А Secure Boot при наличии прямых рук от такого и защищает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #108, #109, #164

107. Сообщение от AlexYeCu_not_logged (?), 03-Мрт-21, 15:04	–1 +/–
Вот это вот >Просто так делают, чтобы для установки системы не пришлось вкатывать свои ключи, поскольку ключи от M$ есть на многих компьютерах. как бы намекает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #112

108. Сообщение от Онаним (?), 03-Мрт-21, 15:04	+5 +/–
Secure Boot внезапно от этого не защищает вообще, потому что при наличии возможности подмены загрузчика - если это root-доступ - уже есть возможность либо читать все подключенные разделы, либо если это физический доступ - secure boot внезапно можно и отключить, и ключ ему подменить вместе с загрузчиком, и т.п.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #323

109. Сообщение от Онаним (?), 03-Мрт-21, 15:09	+2 +/–
(если проще) 1. В случае root доступа secure boot уже не важен 2. В случае физического доступа подменять резоннее не загрузчик, а клавиатуру :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #270

110. Сообщение от Анонимленьлогиниться (?), 03-Мрт-21, 15:10	+1 +/–
Но принципиально refind все равно проверяется shim'ом, и если там будут уязвимости, будет так же проблема с отзывом ключей. А тут ребята предлагают более хитрое решение, чтобы если найдут дырку, ключи не отзывать. Это и refind касается и systemd-boot и прочего. Дырки-то везде бывают. Сишечка же, переполнения буфера, ошибка при манипуляциях с указателями, целочисленные переполнения и тд и тп. Уверен что и в refind найдутся дырочки, если его реально будут использовать хотя бы 10% текущих пользователей grub2, и systemd-boot не безгрешен (даже б-жественный Поттеринг может допустить уявзимость! Или кто там его пишет). Так что идея полезная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #134, #143

111. Сообщение от Аноним (111), 03-Мрт-21, 15:13	+1 +/–
Кому нужен этот гроб, когда ядро поддерживает EFI Stub?
Ответить | Правка | Наверх | Cообщить модератору

112. Сообщение от Аноним (112), 03-Мрт-21, 15:14	–1 +/–
Это не проблема Secure Boot, а просто мледует из того факта, что на большинстве компьютеров стоит Wubdows, либо предполагается, что на него будут ставить Windows. Не думаю, что здесь есть какой-то злой умысел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #149, #215, #231, #257

113. Сообщение от YetAnotherOnanym (ok), 03-Мрт-21, 15:14	+/–
> зонд от M$ Видишь ли, в данном случае это не зонд, а просмоленный чопик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

114. Сообщение от Анонимленьлогиниться (?), 03-Мрт-21, 15:15	+1 +/–
В теории - на компьютерах предприятия - может быть. В жизни на типичных десктопах могут потребоваться, например, драйверы нвидии, которые конечно можно подписывать руками после каждого обновления, то геморройно или же автоматом, что небезопасно и тоже надо настраивать специально. А еще и на декстопах, и на серверах случаются проблемы, из-за которых очень желательно загрузиться в uefi shell. Вон, частенько биосы к серверным материнкам такие выкладывают, что кроме как через uefi shell нормально их не обновить: через IPMI ошибка какая-нибудь выскакивает, из линукса свои риски и тп. Да и вообще бывает, что вот нужен этот самый шелл как инструмент решения проблем. В самый неожиданный момент. И придется для его все равно отключать secure boot. А от чего тогда, спрашивается, защищались, если его можно отключить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #151

115. Сообщение от sage (??), 03-Мрт-21, 15:16	+1 +/–
Подвижки идут, в Clevis есть планы по добавлению TPM 2.0 Authorized Policies, но всё очень долго. Самому всё сделать, что ли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #173

117. Сообщение от village_coder (ok), 03-Мрт-21, 15:32	–1 +/–
А почему все сертификаты для загрузчиков надо заверять в Microsoft?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #122, #132, #139, #168, #189, #315

118. Сообщение от YetAnotherOnanym (ok), 03-Мрт-21, 15:37	+1 +/–
Пройдись по новостям на Опеннете, выбери новости "Mшcrosoft открыла код" и найди в этом свежеоткрытом коде дыр "в десяток раз больше".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

119. Сообщение от Аноним (119), 03-Мрт-21, 15:37	–2 +/–
отличается тем, что вирусы не смогут это сделать, для чего собственно и придуман был секуре бут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #155, #200

120. Сообщение от бедный буратино (ok), 03-Мрт-21, 15:41	+1 +/–
у меня ноут asus, купленный лет 5 назад, там только uefi. из ноутов, которые куплены позже, только в одном можно включить CSM, но после этого напрочь отрубается встроенная клавиатура :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #167, #199

121. Сообщение от Аноним (121), 03-Мрт-21, 15:43	–1 +/–
>Все секур бут уязвимости решаются одним переключателем в прошивке. А как именно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #307

122. Сообщение от YetAnotherOnanym (ok), 03-Мрт-21, 15:44	+2 +/–
Потому что в чужой монастырь со своим уставом не ходят. Дадада, материнская плата в твоём компьютере - это "не твой монастырь", причём уже давно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

123. Сообщение от Николай (??), 03-Мрт-21, 15:44	–1 +/–
Народ, почему долго может загружаться Линукс? причем разные дистрибутивы, сначала гаснет экран монитора, и через полторы минуты уже загружается, причем у меня ссд диск, на Виндовс нет такого. Пишу в этот пост, так.как подозреваю, что дело может в самом загрузчике "GRUB"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #138, #269

124. Сообщение от Аноним (20), 03-Мрт-21, 15:45	+2 +/–
Маркетолог однако.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

125. Сообщение от Аноним (45), 03-Мрт-21, 15:49	+/–
> Зачем-то откидывают поддержку железа, которое люди используют. > Среднестатистический пользователь должен страдать за свою глупость,лень и эгоизм Какая связь? В чём заключается глупость, лень или эгоизм пользователя в данном случае?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #135

126. Сообщение от трурль (?), 03-Мрт-21, 15:51	+/–
Чудище обло, огромно, озорно, стозевно и лайяй.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

127. Сообщение от Аноним (82), 03-Мрт-21, 15:51	+/–
Некоторым конечно и ограничивать нужно, но паролем, а не подписями которые любой физически может добавить и установить что хочет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

128. Сообщение от Аноним (128), 03-Мрт-21, 15:57	+/–
Плохо что-ли? Хорошо!
Ответить | Правка | Наверх | Cообщить модератору

129. Сообщение от Аноним84701 (ok), 03-Мрт-21, 16:03	+1 +/–
> таки да, безопасность через закрытость работает. > Из за того, что дыры тяжелее обнаружить. Исх код то закрыт. Пока не утечет мастерключ. https://www.opennet.ru/opennews/art.shtml?num=44950 > Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot > 11.08.2016 19:22
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #171

130. Сообщение от Kuromi (ok), 03-Мрт-21, 16:06	+1 +/–
Ну так SB  и был создан для того чтобы тупо запретить устанавливать чтоли бо кроме Виндоус на железо, ну или как минимум дать Микрософт полный контроль над тем что может быть подписано и загружено. К их огромному сожалению пока что Secure Boot все ее можно выключать, а то мы бы уже давно ощутили. Джае и не знаю, считают ли Микросы идею провалившейся и забили (все равно считается что мобильные девайсы это будущее) или продолжают выжидать пока все перейдут окончательно на UEFI, тот же Ubuntu установщик уже не хочет ставиться под Legacy BIOS, а вот тогда ловушку то и захлопнут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #162, #237

131. Сообщение от Аноним (131), 03-Мрт-21, 16:11	+1 +/–
Опять загрузчик GRUB атакуют, чтобы свои буткиты пихать! > Напомним, что в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Напомню, что согласно с основным принципом Integrity для верификации загрузки системы и ПО можно использовать только свои ключи: https://habr.com/en/post/273497 все остальные ключи, включая ключи уважаемой M$ должны быть удалены!!! Режим верификации загружаемых модулей, настроек и ядра включается: https://www.gnu.org/software/grub/manual/grub/grub.html#Usin... После загрузки верифицированного ядра верификация остального ПО проходит с помощью IMA/EVM: https://sourceforge.net/p/linux-ima/wiki/Home/
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #147

132. Сообщение от anonim234 (?), 03-Мрт-21, 16:12	+/–
Осторожная правда почему сертификаты опасны , не плохо ты понял , но не остальные и для каждого efi свое ядро надо и не сигнатурному ядру может не дать загрузится в секуре бут что лечится его отключение и удалением csv из esp раздела прекрасно основанный маиками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

133. Сообщение от Аноним (-), 03-Мрт-21, 16:13	+/–
-что-то последнее время мы или проигрываем или опаздываем.. -ну не знаю, у меня сенкьюребут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

134. Сообщение от Анон123 (?), 03-Мрт-21, 16:27	+7 +/–
Куишечка, уважаемый. Обделаться можно не только и не столько с буферами, хоть эта тема тёплая, нежная и приятная на ощупь костлявым рукам хруствиков... Тем не менее, особо глубокой премудрости в том, чтобы ошибиться в логике, дополняя чужой код не нужно. Особая премудрость иглубокий практический опыт нужен в поиске этих дефектов и они бывают похлеще ваших любимых переполнений. Касаемо secureboot, он нужен для защиты от других угроз. DRM не дремлет и вся эта круговая порука нужна для того, чтобы сделать защиту от возможности софтово модифицировать систему. iME со встроенными функциями для проверки UEFI. UEFI, который запускает только подписанный загрузчик, который запускает только подписанное ядро ОС, которое работает только с подписанными бинарниками и библиотеками. Вот он - рай проприетарщиков. Нет возможности запустить какую-либо отсебятину. Только подписанный код. А за подпись надо платить взнос, ты же девелопер? Значит делаешь деньги на юзере-ушастом, значит делись. Какой опенсорс? Тут серьёзный бизнес, а вы морочите голову всякой ерундой, идите делать уроки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

135. Сообщение от Последний из могикан (?), 03-Мрт-21, 16:33	–2 +/–
1.Глупость.Отсутствие знаний.Шаман сказал ему принести двух свиней чтоб он дождь вызвал-умный шаман. 2.Лень.Пусть за меня подумают и решат.Чем я буду вызывать дождь пусть шаман за меня его вызовет. 3.Эгоизм.Шаман,мне плевать на тебя и остальных,скорее вызви мне дождь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

136. Сообщение от Арчевод (?), 03-Мрт-21, 16:37	–7 +/–
Тут в коментариях столько "экспертов" что нужно провести разъяснительную работу, иначе так невеждами и останутся. 1. UEFI SecureBoot это скорее хорошо, чем плохо. Потому что лучшего ничего для PC не придумали пока. Вон ARM который внезапно все полюбили в последнее время, даже аналог UEFI пока не смог. Всё так же под каждую железку свой специальный образ со своими загрузчиками и прочим хламом. Спасибо, но мне подхож с UEFI больше импонирует. 2. Legacy boot никак не альтернатива UEFI, просто потому что ничего не умеет. Глупо советовать её как альтернативу, т.к. в ней в принципе нет ничего похожего на SecureBoot и никак нельзя организовать доверенную загрузку. Если не некий админ локалхоста в доверенной загрузке не нуждается, то достаточно просто отключить SecureBoot, который опционален на всех x64 железках. 3. В 2021 grub не нужен, за ислючением каких-то уж совсем маргинальных сетапов. Для простой загрузки есть efistub и/или systemd-boot. Для тех кому нужна поддержка других осей или всяких btrfs на корневом разделе есть refind. Есть ли здесь те, кто использует grub не потому, что он вместе с дистром поставился, а осознанно, для решения какой-то конкретной задачи - поделитесь (и да, я имею в виду относительно новое железо с поддержкой UEFI, более старое меня не интересует). 4. Как уже отписались некоторые разумные анонимы, SecureBoot нужно использовать только со своими ключами! Все встроенные ключи и ключи от MS удаляются сразу при настройке. Если при этом нужно грузить винду, то достаточно просто подписать её загрузчик своим ключём и всё будет работать (правда подписывать придётся после каждого крупного обновления, раз в пару месяцев; зато делается это быстро и просто, если кому-то интересно, вот мой shell скрипт для этого: https://gist.github.com/ava1ar/eb5827158aa035c3e5ca2829dd083.... 5. Ну и да, как я уже сказал, grub в 2021 не нужен. Спасибо тебе за наше счастливое детсво, но дальше мы уж сами, без тебя.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #141, #152, #156, #172, #209, #228

138. Сообщение от Последний из могикан (?), 03-Мрт-21, 16:42	–1 +/–
Причин может быть коллосальное множество так что рецепта не дадим ибо диагноз неизвестен.Может ты в ремонт сдавал комп а там тебе добрые сервисники на устанавливали всякого г.вна,пользуясь твоим незнанием.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

139. Сообщение от Арчевод (?), 03-Мрт-21, 16:42	+/–
Не надо. SecureBoot на x86 позволяет сгеренировать и использовать свои ключи для проверки подписей при загрузке, а изкоробочные ключи от MS можно удалить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

140. Сообщение от Аноним (-), 03-Мрт-21, 16:44	+1 +/–
Расслабьтесь, гуляет буткит подписаный валидным MSовским ключом. Ключ отзывать не будут, виндочка у юзеров грузиться перестанет, видите ли. Наверное его можно самому выколупать, на сильно некоторых фирмварях, но это уже сильно на любителя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #193

141. Сообщение от Последний из могикан (?), 03-Мрт-21, 16:44	+/–
Зри в корень!© Ставиш libreboot и этим рубишь гордиев узел.Не хочешь-ну затыкай сотни дыр,как волк в ну погоди.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #145

142. Сообщение от msgod (ok), 03-Мрт-21, 16:45	–1 +/–
Перипись шизиков в комментариях. Аряяяя зандыыы ну мааам ну скажи им что зонды
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #197

143. Сообщение от Арчевод (?), 03-Мрт-21, 16:45	–1 +/–
Зачем shim refind-у? Лень свои ключи что ли прописать и забыть про shim как страшный сон? И да, никто не говорит что refind идеален и 100% безопасен, но он на порядок меньше и проще grub-а.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #146, #195

144. Сообщение от Аноним (-), 03-Мрт-21, 16:47	–2 +/–
> Нафига на UEFI отдельный загрузчик? efistub жеж. Или refind на худой конец жеж. Взбрыкнет у тебя новый кернел, допустим - и дальше чего?! В grub выбрать старый и все завертится. А у тебя? :) И кстати все твои мытарства никак не помогают от того факта что атакующий возьмет GRUB2 со всем фаршем - и забутявит все что хотел. Видите ли у wintel настолько похабно сделаный секурбут что достаточно кому-то одному лопухнуться и все в ауте. Особенно вон тем, подписанным MS'овсеми ключами, а MS их OEM уже наподписывади этим всем все что угодно вплоть до буткитов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #194, #247

145. Сообщение от Арчевод (?), 03-Мрт-21, 16:48	–1 +/–
Это если железка поддерживает. А если нет (как оно бывает в большинстве случаев)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141 Ответы: #178

146. Сообщение от Аноним (-), 03-Мрт-21, 16:48	+/–
Разве что свои ключи прописать, а чужие удалить все к чертям, если всякие MSовские еще и удаляться будут, конечно. ...только если у тебя система грузиться перестанет, чужие загрузочные медиа тебе слегка не помогут тогда :). Арчеводам актуально, не? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

147. Сообщение от Аноним (169), 03-Мрт-21, 16:53	–1 +/–
https://www.gnu.org/software/grub/manual/grub/grub.html#Usin... "Note that signature checking does not prevent an attacker with (serial, physical, ...) console access from dropping manually to the GRUB console and executing: set check_signatures=no To prevent this, password-protection (see Authentication and authorisation) is essential." Вкратце, кто имеет доступ к привилегированной консоли GRUB, тот может прервать процесс верифицированной загрузки! Это не баг, а фича, нужная админам при дебаге настройек Integrity. Следовательно уязвимостей: CVE-2020-14372 CVE-2020-25632 CVE-2020-27749 CVE-2020-27779 CVE-2021-20225 CVE-2021-20233 НЕ СУЩЕСТВУЕТ!!! CVE-2020-25647 - запись за границы буфера в функции grub_usb_device_initialize(), вызываемой при инициализации USB-устройств.  Это звучит плохо, надо проверять. Если подтвердится то можно удалить модули USB с GRUB и использовать PS/2 клавиатуру. CVE-2021-3418 - изменения в shim_lock создали дополнительный вектор для эксплуатации прошлогодней уязвимости CVE-2020-15705. Не надо использовать shim. Только все подписывать своими собственными сертификатами. И обновлять этот shim_lock тоже не надо, уязвимости в прошлом году не было: https://www.opennet.ru/openforum/vsluhforumID3/121426.html#47 https://www.linux.org.ru/forum/security/15832617?cid=15833790 Учитывая все выше сказанное обновлять GRUB и тем более всю систему НЕ надо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

148. Сообщение от Аноним (-), 03-Мрт-21, 16:56	+1 +/–
>  Почему это "зонд от MS"? Его же вполне себе можно настраивать на свое > усмотрение, и свои ядра/загрузчики подписывать. 1) Настраивать можно ровно столько сколько позволит и сумеет фирмваре. 2) Это вообще не является по "стандарту" mandatory. 3) Себе MS сделал фавор и вписал свои ключи по дефолту, практически везде. 4) А чтоб не сбежали на нормальное открытое фирмваре без таких подарков нате-ка вам boot guard всякий. 5) А вот вам еще management engine и PSP в комплект, на случай если 4) все же каким-то чудом получился. И, конечно, они не будут запускать ВАШ код с опенсорснм фирмваре, где можно проверить что все честно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #161

149. Сообщение от Аноним (-), 03-Мрт-21, 16:57	+1 +/–
Ну да, еще скажи что boot guard - случайность, а ME и PSP - "забытые дебаговые фичи".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

150. Сообщение от Аноним (-), 03-Мрт-21, 17:00	+1 +/–
> Хомяки не умеющие в SB, наивно думают что в Legacy они безопаснее (про том что биос у них как > был в rw режиме, так и остался, шей им руткит не хочу, наивные) А ты типа умеешь в безопасТность? Мутный блобик тебе что-то там пообещал, не забыв втулить бутгадов с менеджмент энжинами, а ты типа безопсный, да? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

151. Сообщение от Аноним (-), 03-Мрт-21, 17:00	+/–
Юзеры нвидии должны страдать :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #303

152. Сообщение от Аноним (355), 03-Мрт-21, 17:01	+/–
А systemd-boot, тем более, не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #191

153. Сообщение от Аноним (-), 03-Мрт-21, 17:02	+6 +/–
Самокритично, чо. Доверить самое критичное секурити мутному проприетарному блобваре с бэкдорами, да еще всерьез уповать на это - это именно оно! И да, ложные ожидания в безопасности - дыра сами по себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

154. Сообщение от Аноним (154), 03-Мрт-21, 17:03	+1 +/–
"О новый дивный мир..." привет из 1984 года!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

155. Сообщение от Аноним (-), 03-Мрт-21, 17:03	+2 +/–
Именно поэтому буткиты нынче подписаны легитимным MSовским ключом, отзывать который всем обломно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

156. Сообщение от Аноним (169), 03-Мрт-21, 17:10	+/–
> 1. UEFI SecureBoot это скорее хорошо, чем плохо. Это очень хорошо и необходимо для Integrity. Меня беспокоит вопрос отсутствия в современных материнских платах аппаратной блокировки изменений в UEFI за исключением Chrome Book где есть болт блокирующий аппаратно запись в SPI flash. Ходят слухи что в SPI есть дорожка, возможно 1, и если ее заземлить то запись в SPI будет невозможна. Почему только Google использует эту возможность, а другие производители игнорируют? > Есть ли здесь те, кто использует grub не потому, что он вместе с дистром поставился, а осознанно, для решения какой-то конкретной задачи - поделитесь 1. Загрузка с ISO образов LiveCD/DVD 2. Загрузка по сети
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #170, #179, #183

157. Сообщение от Аноним (-), 03-Мрт-21, 17:10	+/–
Да там еще раньше мсовские ключи скомпрометированы были, только отзывать их никто не хочет. Почему-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

158. Сообщение от Аноним (-), 03-Мрт-21, 17:11	+/–
> UEFI хотя бы более открытый чем BIOSы. Да? И как мне вон тот баг в системном фирмваре починить? Что-то не вижу сорца на эту вендорскую муть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

159. Сообщение от InuYasha (??), 03-Мрт-21, 17:11	+1 +/–
Как бы, и "да", но в нынешнем виде это работает только на M$. А вообще, имхо, от рута (или, тем более, из нижних колец ефи/ме) можно писать что угодно куда угодно. И cat mysupertrojan > /dev/sda, грубо говоря. Так что, кроме очередного DMCA-инструмента, трудно сказать, что это нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #165

160. Сообщение от Аноним (-), 03-Мрт-21, 17:13	+/–
Да, он по крайней мере не навязывал с какой фс грузиться. Теоретически, конечно, вы можете вон те длинные тантры с подпихиванием драйвера ФС фирмвари. Практически, вы скорее сделаете из компа таким макаром кирпич. Тем более что там подписи запросто окажутся. А если не окажутся - так, стоп, а хакеру что помешает то же самое сделать? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

161. Сообщение от Аноним (112), 03-Мрт-21, 17:13	–1 +/–
> 1) Настраивать можно ровно столько сколько позволит и сумеет фирмваре. А есть железо, которое не позволяет добавлять свои ключи и удалять ключи от Microsoft? > 2) Это вообще не является по "стандарту" mandatory. В чем проблема, что его реализуют, особенно если оно отключаемо? > 3) Себе MS сделал фавор и вписал свои ключи по дефолту, практически везде. Ну если на компьютере есть Windows, то это логично. > 4) А чтоб не сбежали на нормальное открытое фирмваре без таких подарков нате-ка вам boot guard всякий. Какое отношение это имеет к Secure Boot, а особенно к уязвимостям в GRUB, с ним связанными? Boot Guard имеет отношение установке произвольного BIOS'а, а Secure Boot - к установке ОС. И здесь тебе никто не запрещает его отключить или вписать свои ключи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #288

162. Сообщение от InuYasha (??), 03-Мрт-21, 17:14	+/–
Вот, да. Подозрение такое есть. Особенно учитывая что уже есть secureboot-only-устройства (пока их мало) и ещё большую огороженность загрузчиков, например, в ARM-мире.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

163. Сообщение от Урри (ok), 03-Мрт-21, 17:14	+7 +/–
у вас в слове Python шесть ошибок. Ну или в слове Rust четыре.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

164. Сообщение от Аноним (54), 03-Мрт-21, 17:15	+2 +/–
Подменённый загрузчик ещё не означает расшифрованные разделы, его подменяют как раз с целью получить полный доступ и не сейчас а вообще, в том числе после выключения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

165. Сообщение от Аноним (112), 03-Мрт-21, 17:16	–1 +/–
> Как бы, и "да", но в нынешнем виде это работает только на M$. Почему? > А вообще, имхо, от рута (или, тем более, из нижних колец ефи/ме) можно писать что угодно куда угодно. К нижним кольцам ты не сможешь просто доступ получить при наличии Secure Boot, рут на локальной системе - это максимум (и то с Kernel Lockdown он слегка урезан)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159 Ответы: #289

166. Сообщение от Аноним (112), 03-Мрт-21, 17:17	+2 +/–
Почему бы просто не отключить Secure Boot в настройках BIOSа, раз не нужно? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #327

167. Сообщение от vasya (??), 03-Мрт-21, 17:18	+/–
dell latitude e6430 достойный ноут, ivy bridge core i5/i7, выключается
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

168. Сообщение от пох. (?), 03-Мрт-21, 17:19	–1 +/–
Потому что у тебя с твоими 1% десктопов не выйдет убедить всех производителей, включая безымянных китайцев, установить твой ключ. А у microsoft - получилось, причем ключей там не один, и самый ненужный они пожертвовали вам. Но вы и это умудрились прогадить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #316

169. Сообщение от Аноним (169), 03-Мрт-21, 17:19	+/–
У GNU/Linux Integrity уже есть более 10 лет: https://www.opennet.ru/openforum/vsluhforumID3/123444.html#131
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

170. Сообщение от Аноним (112), 03-Мрт-21, 17:21	+/–
> 1. Загрузка с ISO образов LiveCD/DVD Многие прошивки позволяют выбирать устройство для загрузки и без GRUB'а.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #175

171. Сообщение от Аноним (171), 03-Мрт-21, 17:22	–1 +/–
Нет. SecureBoot хорошая и нужная вещь. Выаидывай ключи M$ и ставь свои.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #292

172. Сообщение от BSD_Cuck_BTFO (?), 03-Мрт-21, 17:29	–2 +/–
>Есть ли здесь те, кто использует grub не потому, что он вместе с дистром поставился, а осознанно, для решения какой-то конкретной задачи - поделитесь /boot на корневом разделе, который зашифрован LUKS. Ни один загрузчик кроме grub'a не умеет расшифровывать luks разделы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #174

173. Сообщение от Аноним (171), 03-Мрт-21, 17:30	+/–
IMA/EVM имеет птдержку TPM. Пробовали IMA/EVM без TPM и с открытием/закрытым ключом, а не HMAC?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

174. Сообщение от Аноним (112), 03-Мрт-21, 17:31	+1 +/–
Такое реально сделать и с загрузкой через EFISTUB. Подписанные ядро и initramfs на EFI-разделе вполне себе могут расшифровать зашифрованный корневой раздел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172 Ответы: #180

175. Сообщение от Антним (?), 03-Мрт-21, 17:37	+/–
Мне не надо выбор загрузочного устройства. Мне надо бутнуть ISO образ LiveCD/DVD который лежит не диске! GRUB может бутнуть ISO образ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #170 Ответы: #176, #177

176. Сообщение от Антним (?), 03-Мрт-21, 17:38	+/–
GRUB2 может бутнуть ISO образ с LiveCD/DVD даже по сети!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175

177. Сообщение от Аноним (112), 03-Мрт-21, 17:41	+/–
А, понял, неправильно прочитал исходное сообщение :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175

178. Сообщение от Аноним (-), 03-Мрт-21, 17:44	+2 +/–
> А если нет (как оно бывает в большинстве случаев)? значит придёться смириться, что "где-то там" на железе крутится полноценная ось на базе миникс, которая вроде как по уверениям ничего плохо из себя не представляет... ага... всё для вашего блага... даже доступ к сети оно имеет, минуя вашу ос и всё, что уровнем выше...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145 Ответы: #187

179. Сообщение от Аноним (-), 03-Мрт-21, 17:50	+4 +/–
> Меня беспокоит вопрос отсутствия в современных материнских > платах аппаратной блокировки изменений во-во! вот что нужно обсуждать, а не столько функционал уефи и какие-то там фичи вроде ефистабов, скоростной загрузки или видео-режимом. ключевой момент в том, что аппаратная часть по сути голая и ничем не защищена. и если уефи-кит будет имплантирован, то толку от всех защит выше уровнем будет ноль. вот у меня на десктопе такая матплата, даже нет защиты от ре-флэша... я время от времени делаю дамп своего биоса и сравниваю побайтно с заводским, делая поправку на забитую секцию dmi пула. вообще биос-киты и уефи-киты сейчас не редкость. и инфы по этому вопросу в инете куча.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #190, #244

180. Сообщение от BSD_Cucks_BTFO (?), 03-Мрт-21, 17:54	+/–
Могут. А что, если сами ядро и initramfs находятся на зашифрованном разделе? Вот тут только GRUB поможет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #174 Ответы: #182, #185

181. Сообщение от Аноним (181), 03-Мрт-21, 18:00	+1 +/–
Да, вот именно так удалось прописать P-state на частоту 900MHz для AMD A8-4555M на неттопе (чтобы меньше грелся APU), производитель почему-то забыл добавить в EFI. Однако он забыл добавить и 2 boost states, вот их добавить так же уже нe получилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

182. Сообщение от Аноним (112), 03-Мрт-21, 18:00	+/–
> А что, если сами ядро и initramfs находятся на зашифрованном разделе? А зачем? Все равно что-то должно быть не зашифровано - либо GRUB, либо ядро. В чем преимущество оставлять именно GRUB незашифрованным? Если проблема в том, чтобы подписать и ядро, и initramfs, то их можно объединить в один файл и подписать вместе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180 Ответы: #184, #319

183. Сообщение от Арчевод (?), 03-Мрт-21, 18:02	–1 +/–
> Меня беспокоит вопрос отсутствия в современных материнских платах аппаратной блокировки изменений в UEFI за исключением Chrome Book где есть болт блокирующий аппаратно запись в SPI flash. Да, замечание верное. Кстати, болта в хромбуках нет уже несколько лет - используется cr50 (специальный чип), а для снятия нужен специальный SuzyQ кабель. > Загрузка с ISO образов LiveCD/DVD Согласен. Мне самому такое не было нужно уже очень давно, но было бы удобно иметь такую фичу в том же refind. > Загрузка по сети Refind умеет PXE boot.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156

184. Сообщение от BSD_Cucks_BTFO (?), 03-Мрт-21, 18:05	+/–
>А зачем? Все равно что-то должно быть не зашифровано - либо GRUB, либо ядро. В чем преимущество оставлять именно GRUB незашифрованным? Ну либо у вас только один EFI-раздел (где только один грубовский efi-executable лежит), а всё остальное зашифровано, либо у вас и ядро, и initrd, и насторойки загрузчика лежат в голом виде. Да, можно сказать "а зачем?", но, мне кажется, что если уж замороачиваться с full disk encryption и с шифрованием вообще, то хотелось бы зашифровать как можно больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #182 Ответы: #186

185. Сообщение от Арчевод (?), 03-Мрт-21, 18:16	+2 +/–
Как уже сказали выше, efi раздел всё-равно остаётся незашифрованным. Так что правильным подходом будет зашифровать всё, оставив только efi partition. Дальше, используем такую штуку как Unified Kernel Image ( https://wiki.archlinux.org/index.php/Systemd-boot#Preparing_... ), которая позволяет запаковать ядро, initramfs, splash, коммандную строку ядра в один файл, который напрямут загружается через из EFI или посредством загрузчика типа refind. Ну и ествественно этот бинарь подписывается своим ключём, который сконфигурен в SecureBoot. Собственно всё - получаем полностью зашифрованную систему + SecureBoot с только одним незашифрованным, но подписанным файлом, в котором собственно нет никаких секретов. Понятное дело, что так как он подписан, изменить или подменить его не выйдет. Создание образа и его подписка делается автоматически при обновлении ядра или вручную, после, например, изменения командной строки ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180 Ответы: #188

186. Сообщение от Аноним (112), 03-Мрт-21, 18:16	+1 +/–
В моем случае на EFI-разделе лежит всего один файл - ядро+initramfs+параметры командной строки в одном подписанном бинарнике, все остальное зашифровано. GRUB в этой цепочке просто не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #184 Ответы: #273

187. Сообщение от Арчевод (?), 03-Мрт-21, 18:18	+1 +/–
Это всё очень плохо, но я предпочитаю защищиться от реальных угроз (для чего SecureBoot очень полезен), чем от мнимых, в стиле "мы все умрём".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #178 Ответы: #317

188. Сообщение от BSD_Cucks_BTFO (?), 03-Мрт-21, 18:23	+2 +/–
Ого, круто. Про unified kernel image не знал. Спасибо за инфу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #185

189. Сообщение от Онаним (?), 03-Мрт-21, 18:25	+1 +/–
Потому что не надо. Можешь загрузить свой ключ, почти все платформы поддерживают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

190. Сообщение от Арчевод (?), 03-Мрт-21, 18:43	–1 +/–
> ключевой момент в том, что аппаратная часть по сути голая и ничем не защищена. и если уефи-кит будет имплантирован, то толку от всех защит выше уровнем будет ноль. Вообще-то на совсеменных платах для этих целей есть TPM. Проблема не в том, что нет необходимых инстументов - они есть. Проблема в том, что сертификация не обязывает производителей эти иструменты реализовывать и они этого не делают из-за этономии и пофигизма. А вот сертификация от гугла для хромбуков обязывает реализовывать всё по спеке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #179 Ответы: #243, #318

191. Сообщение от Арчевод (?), 03-Мрт-21, 18:51	–1 +/–
Только потому что у него в имени есть systemd? К сведению всех systemd-хейтеров, в нём от systemd только название (раньше он назывался gummiboot). И нет, в нём нет никаких привязок к systemd, можно использовать на системах без него.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152

192. Сообщение от Аноним (-), 03-Мрт-21, 19:05	–1 +/–
если тайная аркадия делает ружье, то оно стреляет на 359 градусов и у пользователя только контроль несложного выбора - быть или не быть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

193. Сообщение от Аноним (193), 03-Мрт-21, 19:10	+1 +/–
Выколупывается ключ MS практически на всех современных фирмварях проще некуда, и заменяется своим. SecureBoot Custom Mode это обычно называется, или как-то схоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140 Ответы: #284

194. Сообщение от Аноним (193), 03-Мрт-21, 19:20	+1 +/–
Взбрыкнет кернел - загружаемся с liveusb и чиним, это бывает раз в десять лет. Если у вас чаще, можно записать livecd себе на диск, выберете в boot menu в случае чего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #286

195. Сообщение от Stax (ok), 03-Мрт-21, 19:20	+/–
Если ключи прописывать, так и взять последний grub2 без дыр не проблема. А при традиционном использовании со стандарными ключами как вы без shim?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143 Ответы: #285

196. Сообщение от Ильф (?), 03-Мрт-21, 19:26	+/–
> Чтобы запустить мой (МОЙ!) компьютер я должен спрашивать разрешения у Microsoft. А > не оxyeли ли они все? > Впрочем, всегда остается возможность отключить секурбут в биосе. К счастью. Компьютер твой, а операционная система нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

197. Сообщение от kusb (?), 03-Мрт-21, 19:27	–4 +/–
Прости, но правда похоже на зонды. Вспомнилась история (ох не соврать бы, надеюсь я это не придумал), как Майкрософт после того, как закрыть PC не получилось лихорадочно закрывала свои собственные surface. И те же Valve, которые угрозу со стороны uefi вполне себе осознали - по твоему они тоже шизики? Конечно, можно представить как разрабатывалась эта штука UEFI и понять, что идея подписи для её исполняемых компонентов ради безопасности витает в воздухе, мало ли какая фигня будет запущена с правами прошивки, но РУКОВОДСТВУЯСЬ ЭТОЙ ИДЕЕЙ СТРАННО ЗАЩИЩАТЬ МЕНЯ ОТ ТОГО КОДА, КОТОРЫЙ Я САМ ЯВНО ЗАПУСКАЮ (ключевое). Если вы делаете компьютер, где для загрузки операционной системы в норме нужно её подписывать - что-то сильно не так с самого начала. Дома безопасная загрузка в таком виде частично не нужна, а если вам нужна, то и в старых BIOS можно было поставить пароль.Даже Linux не защищает от такого часто ( init=/bin/bash и single), хотя не знаю, насколько это запланированная и целостная фича.   Безопасная загрузка так и так не защитит от кражи данных сама по себе, можно вытащить диск. Цифровые подписи, если они что-то блокируют - это вполне себе готовый механизм для зондов, даже не важно что там подписывают, сайты, программы, операционные системы. По моему в зондированных устройствах схема должна быть похожей, я про консоли и телефоны. Сама идея, что Microsoft будет подписывать конкурирующие операционные системы - это не безумие. И эта система позволяет много злоупотреблений, например можно "забыть" реализовать возможность отключить "безопасную" загрузку, за скромную плату, конечно. Система склонная к возможности реализации таких злоупотреблений - плохая, простите, хотя подписанный общим ключём загрузчик делает её лучше. А ещё у меня 32битная винда не грузится в режиме UEFI почему-то, и именно наследованный режим самый универсальный и беспроблемный, получается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

199. Сообщение от Stax (ok), 03-Мрт-21, 19:31	+1 +/–
А зачем вам включать CSM? В режиме CSM не только секьюр бут отваливается (который и выключить-то не проблема, если хочется), а всякие другие плюшки, например на моем thinkpad - kernel dma (безопасный режим для thunderbolt, см. https://thunderspy.io/) его требует; я так понимаю, by design от интела он возможен только в чистом UEFI-режиме.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

200. Сообщение от kusb (?), 03-Мрт-21, 19:36	+/–
1 Что-то будет загружено пользователем в интерактивном режиме? Проверка подписи почти не нужна, максимум предупреждение. 2 Что-то загружено программой втихую? Лучше спросить об этом модуле при следующей загрузке. 3 Нельзя спросить из-за того, что это важный драйвер и нет возможности вывести изображение на экран или принимать ввод? Тогда пригодится подпись, да, но лучше избегать такого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

201. Сообщение от Аноним (31), 03-Мрт-21, 19:40	+1 +/–
Я выбирал по табличке из вики арча. Там у граба были везде плюсы. А stub я так понял это костыль какой-то, когда вместо загрузчика засунули ещё одно ядро линукса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #219

202. Сообщение от Аноним (31), 03-Мрт-21, 19:42	+2 +/–
Из этих слов я слышал только systemd и grub При этом про первое было куча мата, а второе вроде как давно на слуху и видимо рабочее. Потому и выбрал граб.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #233, #266

204. Сообщение от kusb (?), 03-Мрт-21, 19:47	–2 +/–
А вот ещё какой вопрос, немного не к месту, но всё-таки: Есть UEFI для BIOS, просто грузишься с этого диска, а потом у тебя UEFI среда. BIOS прослойку не зависящую от конкретной UEFI версии сделать сложнее? Просто грузишься в неё и всё.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #207

206. Сообщение от Аноним (206), 03-Мрт-21, 19:49	+/–
Не надо путать secure boot и uefi. Secure boot - это фича, которую можно не использовать. А uefi хоть как-то стандартизован, его в перспективе будет проще заменить на свободное ПО, чем биос-блобы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

207. Сообщение от пох. (?), 03-Мрт-21, 19:51	+/–
Нет никакого "uefi для bios". Это вообще понятия из разных веков. У тебя в голове - каша, полнейшая. Но вместо того, чтобы либо заниматься самообразованием, либо просто доверять людям, которые пограмотнее тебя будут (поэтому если захотят - все равно тебя поимеют, в рубашечке или без) - ты несешь полнейшую чепуху.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #204 Ответы: #211, #223, #320

208. Сообщение от Аноним (-), 03-Мрт-21, 19:53	+2 +/–
Это г..но еще и уязвимо ? не удивили
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #212

209. Сообщение от Аноним (209), 03-Мрт-21, 20:18	–4 +/–
Чувак ты не прав. 1. ГУАШ секурбут это плохо, ибо приколочем к ключам МС, которая ни разу не линукс. Обнеовлять ядра в Gentoo или любом другом линуксе заморочно, если ядро самостоятельно собрано. В уникальном ядре нет каках от мелкомягких. 2. Легаси бут это то же самое, что и поддержка в BIOS платах разделов более 2Тб. Очень нужная штука когда линукс использует GRUB. Не переустанавливать же линукс, если пришлось завести шинду на соседнем разделе. 3. GRUB нужен для загрузки на платах с BIOS ибо только тупые дятлы пользуются грабом когда им надо одну систему грузить, ведь в ГУАШе есть загрузчик. 4. Ненужно париться с ключами на  десктопе. Это приходится делать только на ноутбуках, которые какая-нибудь сволочь может снинзить. Да и то эта сволочь может иметь прищепку и она просто запишет новый ГУАШ. 5. GRUB нужен, потому что есть платы на BIOS с поддержкой больших томоч размером более 2 Тб.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #222

210. Сообщение от Урри (ok), 03-Мрт-21, 20:23	+/–
Буду знать, спасибо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

211. Сообщение от kusb (?), 03-Мрт-21, 20:42	–2 +/–
Я поумнее тебя буду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #207 Ответы: #221

212. Сообщение от пох. (?), 03-Мрт-21, 20:55	–1 +/–
> Это г..но еще и уязвимо ? не удивили это ты про grub? Ну да, ничего удивительного. Как им таким ms доверила свои ключи - совершеннейшая загадка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #208 Ответы: #250

213. Сообщение от Аноним (213), 03-Мрт-21, 21:01	+2 +/–
Вчера втыкал евровилку себе в ногу, чуть не отстелил. Славо богу я съел недозревший картофель и умер до того как боль почувствовал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #258

214. Сообщение от Аноним (213), 03-Мрт-21, 21:03	+1 +/–
В этой ветке не хватает анонима из оупеннета, который напишет как положено. А потребуется ему только Си, граненый стакан и пепельница.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

215. Сообщение от AlexYeCu_not_logged (?), 03-Мрт-21, 21:04	+1 +/–
>Не думаю, что здесь есть какой-то злой умысел. Прикинь, именно так «злые умыслы» и выглядят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

216. Сообщение от Аноним (216), 03-Мрт-21, 21:25	+/–
/me до сих пор не понимает, какие преимущества для просто пользователя дает этот UEFI
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #226

217. Сообщение от Аноним (218), 03-Мрт-21, 21:38	+/–
Это фича.
Ответить | Правка | Наверх | Cообщить модератору

218. Сообщение от Аноним (218), 03-Мрт-21, 21:40	+1 +/–
> Дней без обнаруженных сишных дыр: 0... Ты просто туповат для этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

219. Сообщение от Аноним (112), 03-Мрт-21, 21:51	+/–
> stub я так понял это костыль какой-то, когда вместо загрузчика засунули ещё одно ядро линукса. Не еще одно, а ровно то, которое надо загрузить. Просто так оно грузится напрямую, безо всяких посредников в виде grub'а.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #201

220. Сообщение от kusb (?), 03-Мрт-21, 21:52	+/–
Почему?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #240

221. Сообщение от kusb (?), 03-Мрт-21, 21:56	+/–
Кто у нас самозванец? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #211

222. Сообщение от Аноним (112), 03-Мрт-21, 21:58	+/–
> ибо приколочем к ключам МС, которая ни разу не линукс. Каким образом? > Да и то эта сволочь может иметь прищепку и она просто запишет новый ГУАШ. Без уязвимостей в прошивке такое сделать довольно проблематично. Остальные пункты не вполне понял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #209

223. Сообщение от kusb (?), 03-Мрт-21, 22:01	–1 +/–
>У тебя в голове - каша, полнейшая. Не спорю. >самообразованием В чём? А вообще - конечно обидно. Uefi для биос это DUET. И я скорее не про нижнюю часть прошивки, а что-то типа Wine, что могло бы позволить программам знающим только BIOS обычного компьютера использовать привычные прерывания и создавать привычную для них среду. Всё равно на уровне UEFI "драйверы как в BIOS" тоже стандартизированы, я думаю. И получается она не должна выгружаться никогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #207 Ответы: #224

224. Сообщение от пох. (?), 03-Мрт-21, 22:39	+/–
> В чём? хотя бы почитать, что такое uefi, как устроен, и что такое биос. > Uefi для биос это DUET uefi к "basic input output system" имени ibm образца 1984го года просто не имеет ни малейшего отношения. > а что-то типа Wine, что могло бы позволить программам знающим только BIOS обычного компьютера > использовать привычные прерывания и создавать привычную для них среду. скорее dosbox. Да, это называется в терминах uefi - CSM, compatibility support. То есть это ни разу не "настоящий тру биос" о котором тут мечтают фанатики, а именно слой эмуляции, правда, двоякий - он не только позволяет древним программам думать что они запущены в real mode и пользоваться биос прерываниями, но и древнему firmware позволяет кое-как запуститься и проинитить железо. Причем наличие такого модуля необязательно и по факту на первую систему без csm в принципе я наткнулся еще в 2014м (такой себе обычный офисный системник от хепе). > И получается она не должна выгружаться никогда. а она и не выгружается никогда, просто управление не получает после загрузки. Там даже был в ранних спецификациях предусмотрен режим, когда часть модуля остается работоспособна после передачи управления операционной системе и может быть вызвана из нее (правда, сомневаюсь что хоть где-то используется, позиционировалось как замена acpi, и что-то не взлетело)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #223 Ответы: #230

225. Сообщение от Аноним (246), 03-Мрт-21, 22:54	+/–
Так это тоже скоро выпилят Для вашей безопасности :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #305

226. Сообщение от пох. (?), 03-Мрт-21, 22:56	+1 +/–
> /me до сих пор не понимает, какие преимущества для просто пользователя дает > этот UEFI простому пользователю не нужен никакой uefi. Кнопку нажимаешь, немножко ждешь, глядя на веселые картинки, и опа - винда. uefi - он для разработчиков материнок, а не для пользователей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #216

227. Сообщение от Аноним (227), 03-Мрт-21, 23:14	–2 +/–
опять сишные дырени. ну сколько можно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #329

228. Сообщение от Аноним (309), 04-Мрт-21, 00:05	+/–
> 1. UEFI SecureBoot это скорее хорошо, чем плохо. Хорошо для чего? Или от чего? От какой угрозы она должна меня защитить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #240

229. Сообщение от Аноним (309), 04-Мрт-21, 00:16	–1 +/–
Что за паника и ересь на ровном месте? > в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Данная прослойка верифицирует GRUB2 собственным сертификатом Баг в grub-е. Значит, даже если мы хотим поменять сертификат грубу, обновить надо только shim. Никаких прошивок UEFI обновлять не надо. Shim для этого и изобрели, вообще-то — чтобы не лезть в UEFI после каждой смены ключа. На самом деле даже shim обновлять не надо, просто обновить grub и подписать. > Проблема решается только обновлением списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux. Что? Зачем? Нафига лезть в прошивку UEFI? А shim для чего? И ничего нигде не будет потеряно, у "старых установочных носителей c Linux" вообще свой shim. Кто-то здесь тупит, и, по-моему, это не я. 🙂
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #238

230. Сообщение от RM (ok), 04-Мрт-21, 01:18	+/–
пох, оппонент косноязычен но ключевое слово назвал. Читать здесь http://www.rodsbooks.com/bios2uefi/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #224 Ответы: #234, #252

231. Сообщение от ананим.orig (?), 04-Мрт-21, 01:20	+/–
> Это не проблема Secure Boot, а просто мледует из того факта, что на большинстве компьютеров стоит Wubdows, либо предполагается, что на него будут ставить Windows. хайли лайкли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

232. Сообщение от Последний из могикан. (?), 04-Мрт-21, 01:23	+/–
Аминь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

233. Сообщение от Последний из могикан. (?), 04-Мрт-21, 01:26	+2 +/–
Не советую брать за ориентир мнение среднестатистического опеннетовца)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #202

234. Сообщение от RM (ok), 04-Мрт-21, 01:30	+/–
и еще https://wiki.archlinux.org/index.php/Clover
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #230

235. Сообщение от fuggy (ok), 04-Мрт-21, 02:24	–2 +/–
Безопасный Secure Boot говорили они… Как говорится на Microsoft надейся, а сам не плошай.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #265

236. Сообщение от Анонимный Алкоголик (??), 04-Мрт-21, 02:33	+1 +/–
> А что мешает мне загружать в UEFI в грабе (или даже в > винде) трояна (само собой пользователь будет думать что это подписанная убунту)? > Подпись добавлю в UEFI как в комментах описано. Что за бред? Какой пользователь? И какая разница что будет думать какой-то пользователь? А конкретно вам должно помешать что-то загрузить в чужой компъютер Secure Boot. К которому у вас нет ключа. Подпись вы тоже добавить не сможете, если SecureBoot должным образом включён (и система, которую оно разрешает загружать, должным образом защищена -- например не предоставляет права Администратора без должной аутентификации и пароля...). И Администратор и Пользователь -- очень разные персоны, отныне знайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

237. Сообщение от Анонимный Алкоголик (??), 04-Мрт-21, 03:29	+/–
> Ну так SB  и был создан для того чтобы тупо запретить > устанавливать чтоли бо кроме Виндоус на железо, ну или как минимум > дать Микрософт полный контроль над тем что может быть подписано и > загружено. Это конечно же не так. Потребность в системе защиты имеет быть весьма широко востребованной. И если "вашим" компъютером фактически владеет MS, то пора искать виновных... >:-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

238. Сообщение от kusb (?), 04-Мрт-21, 03:49	+/–
'Хакеры" могут использовать старые shim и grub, наверное, они же подписаны?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #229 Ответы: #239

239. Сообщение от Аноним (309), 04-Мрт-21, 05:01	+/–
> 'Хакеры" могут использовать старые shim и grub, наверное, они же подписаны? Использовать для чего? "Хакеры" могут и свой ключ в UEFI прописать, как тут в комментах советуют. Могут и без груба достать жёсткий диск и подключить к ноутбуку. Или с флешки загрузится, используя какой-нибудь другой загрузчик. Даже если на диске вообще никакой ОС нет. Внезапно, именно так ОС на ноутбуках и устанавливают. 🙂 Но причём тут вообще хакерство? В grub-е нашли и исправили мелкий баг. Причём тут вообще uefi, secure boot и shim? Это же не первый апдейт grub-а в истории. Раньше его как-то обновляли, и uefi пачтить не приходилось. Почему сейчас столько волнений?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #238 Ответы: #242, #251

240. Сообщение от Арчевод (?), 04-Мрт-21, 05:18	+/–
https://en.wikipedia.org/wiki/Evil_maid_attack
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #228 Ответы: #241, #220

241. Сообщение от Аноним (309), 04-Мрт-21, 05:35	+1 +/–
> https://en.wikipedia.org/wiki/Evil_maid_attack А конкретнее? Например, под это описание подходит аппаратный кейлоггер, записывающий все логины и пароли (гуглить USB keylogger). Или перезаписанный биос, который даёт удалённый доступ к компу по сети (гуглить intel amt, amd dash, hp ilo... — обязательная фича для серверов). Даже просто камера, установленная возле компа, подходит под это описание. Ну и как SecureBoot от этого защитит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #240 Ответы: #248, #249, #268

242. Сообщение от Аноним (243), 04-Мрт-21, 07:04	–1 +/–
Ты ничего не понял. Новые версии системы протроянили. Задача заставить пользователя обновится так, чтобы он не мог потом откатился назад на старые, чистые, версии загрузившись со старого LiveCD/DVD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #239

243. Сообщение от Аноним (243), 04-Мрт-21, 07:17	+/–
> сертификация не обязывает производителей эти иструменты реализовывать и они этого не делают из-за этономии и пофигизма Чего экономии? Надо всего отвести однy дорожку от контакта 1 SPI flash, другую дорожку от заземление и поставить между ними Джаспер или болт. Если джампера/болта нет в SPI flash писать можно, а если есть то ты туда не запишишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #190

244. Сообщение от Аноним (243), 04-Мрт-21, 07:29	+1 +/–
> аппаратная часть по сути голая и ничем не защищена На чипсетах Intel, UEFI и его ключи защищены "Корневым ключом платформы" который должен создаваться пользователем при первом включении материнской платы после покупки. Integrity - верифицируемая цепочка загрузки OS! 0. Расшифровка «аппаратным ключом платформы» уникального для каждого компа «корневого ключа платформы». 1. Проверка публичным «корневым ключом платыормы» UEFI перед его загрузкой и исполнением, а также всех ключей с UEFI. 2. Проверка ВАШИМ публичным ключом с UEFI ядра grub core.img которое включает: необходимые модули крыптографии для расшифровки /boot, публичный ключ grub, модули grub для проверки подписей и переменные окружения grub, модули файловой системы. 3. Верификация публичным ключом grub всех подгружаемых по требованию модулей, настроек grub. 4. Верификация публичным ключом grub ядра OS с публичными ключами IMA/EVM и инитрд. 5. Верификация ядром публичными ключами IMA/EVM процесса #1 init и ВСЕХ остальных исполняемых в системе файлов, библиотек, настроек и неизменяемых данных. Система Integrity дает гарантию аутентичности и целостности всей системы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #179 Ответы: #271

245. Сообщение от олдфаг (?), 04-Мрт-21, 09:09	+2 +/–
груб был успехом. с удовольствием свитчились с лило. синтаксис, красота конфига, возможности. Груб2 был провален в той же степени. с тем же перечнем фейлов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #255, #351

246. Сообщение от Аноним (246), 04-Мрт-21, 09:34	+/–
Оно ради вендорлок пилилось, пусть и не полного. Безопасность так, как повод.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #261

247. Сообщение от saasd (?), 04-Мрт-21, 09:37	+/–
А у меня livecd / liveusb и устанвливается старое ядро. Или если уж так не хочется иметь этот live, лепим в скрипт установки копирование старого ядра в <>.old и в том-же refind делаем строчку загрузки алля fallback.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #287

248. Сообщение от Аноним (248), 04-Мрт-21, 09:40	+/–
Причем здесь кейлогер? Integrity это верификация аутентичности и целостности загружаемой системы. Верификация проходит с помощью криптографии на основе открытого и закрытого ключа. Любые кейлогеры, против установленного и настроенного Integrity ничего не сделают. Кейлогер только способен перехватить пароль секретного ключа используемого для Integrity! Создавайте ключи на отдельном компе.. Секретный ключ и его пароль для установки и настройки Integrity в общем не нужны, а в рабочей системе категорически запрещены. Верификация в Integrity идет по публичному ключу, без всяких паролей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #241 Ответы: #272

249. Сообщение от Аноним (248), 04-Мрт-21, 09:45	+/–
https://www.opennet.ru/openforum/vsluhforumID3/123444.html#244 Где в этом процессе есть работа для любого кейлогера?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #241

250. Сообщение от Аноним (-), 04-Мрт-21, 09:47	+/–
grub2. хотя откуда школьнику знать о grub
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #212

251. Сообщение от пох. (?), 04-Мрт-21, 09:58	+/–
> "Хакеры" могут и свой ключ в UEFI прописать, только если ты полный лох и оставил его доступным для записи. При включенном tpm это удастся сделать только после загрузки, изнутри единственно-верной операционной системы. > Могут и без груба достать жёсткий диск и подключить к ноутбуку. а там подписанный (то есть недоступный для васянской модификации, сливающей данные) загрузчик и зашифрованный основной раздел с операционной системой. Опять ты лох. > Или с флешки загрузится, используя какой-нибудь другой загрузчик. Ну загрузился (что необязательно в принципе разрешать), можешь со своей флэшки запускать gta5, диск как был зашифрован, так и остался. Зачем вот ты такой лох? > В grub-е нашли и исправили мелкий баг. сводящий всю эту безопасность к х-ю. Потому что всего-то надо подпихнуть тебе непрошенный модуль - и ты сам все свои пароли честно введешь, поскольку для тебя загрузка будет выглядеть как легальная, а зашифрованный раздел нам при этом трогать не понадобится. Причем то что ты его обновил - ничему не поможет, ты обновил, я "обновлю" еще разок на старую багнутую версию, и ты ничего не заметишь - она ж подписана. Вся идея подписанных бинарников была в том, что левый бинарник незаметно для тебя подсунуть бы не получилось, а подписанные типа предполагалось что проверены на отсутствие мин и способны загружать только то что положено. Наивные дурачки из microsoft...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #239 Ответы: #263, #274, #279

252. Сообщение от пох. (?), 04-Мрт-21, 10:09	+/–
> пох, оппонент косноязычен но ключевое слово назвал. оппонент, похоже, слышал звон, но не понял, что он - об эмуляторе uefi прошлого века, когда-то кем-то использованном для отладки и потом еще (недолго) позволявшим загружать краденую макось на хакинтошах. Сейчас совершенно ненужном и бесполезном. И краденая макось не заведется - она на таком древнем железе уже неработоспособна. > Читать здесь лучше было не тратить время. Originally written: 6/24/2011 - вот в том году уже такие компьютеры были изрядно устаревшими. А сейчас это просто бесполезные пылесборники. Все, проехали, все что вам кажется "bios" - давно уже csm модуль, под управлением efi. Десять лет уже как.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #230 Ответы: #264

253. Сообщение от Michael Shigorin (ok), 04-Мрт-21, 10:09	+1 +/–
> Статья слишком большая, не понял - во всем опять виноват мс > или в этот раз оподливились все? Тут, думаю, скорее не вина даже -- а совершенно безумная надежда на то, что запредельной сложности агрегаты будут ещё и надёжными (ну, повезёт за границами человекопостижимости). Что-то я с запозданием начинаю понимать Алана Кокса, занявшегося опять восьмибитными машинками после отхода от дел в ядре... С другой стороны -- радует, что уже по факту начинаю забывать про все эти UEFI и x86 потихоньку (да и aarch64 не занимался особо).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #259, #290

254. Сообщение от Michael Shigorin (ok), 04-Мрт-21, 10:10	+/–
> Сарказм? не, не слышал Это не сарказм, это неумение читать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

255. Сообщение от пох. (?), 04-Мрт-21, 10:11	+3 +/–
grub2 придуман неосиляторами sed и человекочитаемых конфигов, что ты от них хотел? Скрипты и какие-то еще "модули" в initial boot loader, который должен быть прост как палка. Ну вот и получите. А автор grub1, к сожалению, сделался вечноживой, и на современном железе от него нет толку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #245 Ответы: #262

256. Сообщение от Аноним (256), 04-Мрт-21, 10:31	+/–
+
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

257. Сообщение от Аноним (257), 04-Мрт-21, 10:44	+/–
Очень наивно полагать, что нет злого умысла. Любая большая корпорация работает с единственной целью — власть и нажива. Выше человек уже подробно расписал, куда идёт вся эта secure-boot-движуха: полный вендорлок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

258. Сообщение от jfdbngh (?), 04-Мрт-21, 10:57	+/–
2 чая уже можно не подавать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #213

259. Сообщение от Аноним (259), 04-Мрт-21, 11:18	–1 +/–
Старость...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #253

261. Сообщение от Аноним (259), 04-Мрт-21, 11:24	+/–
Вендорлок полный не дали сделать антимонопольные органы в США и Европе. Но думаю оно все же пилилось ради распила за примии эффективным менеджерам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #246 Ответы: #293

262. Сообщение от n00by (ok), 04-Мрт-21, 12:29	+/–
gummiboot хватит для всех :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #255

263. Сообщение от kusb (?), 04-Мрт-21, 13:48	+/–
Опять пофантазирую: Тогда лучше все сторонние и тоже потенциально опасные ключи удалить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #251

264. Сообщение от kusb (?), 04-Мрт-21, 17:21	+/–
Я про эмулятор UEFI и говорил, я же там задавал вопрос про обратный эмулятор, то есть bios для uefi, только не встроенный в прошивку, а такой, с которого можно загрузиться, для компьютеров без csm режима. А то, что это уже работает через UEFI - я слышал, но в принципе разницы для меня, как для конечного пользователя мало, пока компьютер работает с ОС для старых bios, даже добавляет уверенности, что внешний csm модуль можно сделать. Ну и благодаря csm 32-битная винда хотя-бы корректно грузиться и у меня предрассудки относительно csm режима, как наиболее стабильного несмотря на свою навороченность. А по поводу бесполезности тех компьютеров - у меня есть такой и он очень многое может, опыт пользования скорее полноценный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #252 Ответы: #321

265. Сообщение от kusb (?), 04-Мрт-21, 17:26	+/–
Да, безопасность превращается в тыкву если один из подписанных загрузчиков можно уговорить грузить всё, что ты хочешь... Это было понятно с самого начала, но уязвимость в самом GRUB.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #235

266. Сообщение от edo (ok), 04-Мрт-21, 18:14	+1 +/–
> При этом про первое было куча мата systemd-boot совсем не равно systemd
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #202

267. Сообщение от Ананоним (?), 04-Мрт-21, 22:13	+/–
Как это мне удержаться и не заржать так сильно, что аж вселенная могла бы треснуть? :)
Ответить | Правка | Наверх | Cообщить модератору

268. Сообщение от Арчевод (?), 04-Мрт-21, 22:36	+/–
Задача SecureBoot это защита от подмены/встраивания вредоносного кода в процесс загрузки ОС (те самые руткиты). SecureBoot не позволит подменить загрузчик или встроить туда дополнительные модули. Для защиты от кейлоггеров придумали многофакторную аутентификацию. Лично я для этого использую LUKS, который шифруется ключём, который генерируется Yubikey (https://github.com/agherzan/yubikey-full-disk-encryption). Т.е. если даже пароль для шифрования который я ввожу при загрузке утечёт, то без самого Yubikey он не сможет расшифровать диск. Т.е. придётся ещё и украсть yubikey, что уже сложнее. А теперь поясню причём тут SecureBoot и как он помогает в этом сетапе. Если у меня система с включённым SecureBoot, в котором прописаны мои собственные ключи, то когда я получаю запрос на расшифровку диска LUKS, я уверен, что подписанный моим ключём загрузчик загрузил подписанное моим ключём ядро и пароль можно вводить. Если же secureboot нет, то загрузчик/образ ядра/что-у-вас-там-незашифрованное, можно легко модифицировать, внедрив туда руткит, который будет работать в фоне, собирать и сохранять то, что ему нужно во время загрузки и работы системы и отправит при случае куда нужно, когда Вы к интернету подключитесь. И об этом никак не узнать. Ещё раз повторю, SecureBoot не идеален, но без него на x86 невозможно добится защиты от злоумышленника, имеющего доступ к выключенному компьютеру. Если такой вектор атаки Вас не интересует, то SecureBoot Вам не нужен, отключайте его и не парьтесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #241 Ответы: #276, #282

269. Сообщение от Аноним (31), 04-Мрт-21, 22:39	+/–
Попробуйте утилиту systemd-analysis. Она может показать что долго запускается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

270. Сообщение от Арчевод (?), 04-Мрт-21, 22:43	+/–
У людей заботящихся о своей безопасности одного пароля для расшифровки диска мало - многофакторную аутентификацию не вчера придумали. Тот же yubikey при загрузке помогает не боятся кейлоггеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #334, #335

271. Сообщение от Аноним (309), 04-Мрт-21, 22:43	+/–
> 2. Проверка ВАШИМ публичным ключом с UEFI ядра grub core.img которое включает: > необходимые модули крыптографии для расшифровки /boot, публичный ключ grub, модули grub > для проверки подписей и переменные окружения grub, модули файловой системы. "Вашим"? То есть я могу добавить туда свой ключ. Но тогда и злоумышленник может. Потом он отредактирует мой /boot и подпишет СВОИМ ключом, только что добавленным в UEFI. Или ещё проще: на компе можно грузиться с live-диска убунты? Тогда пишем в /boot загрузчик убунты, конфиг заполняем на своё усмотрение. > Система Integrity дает гарантию аутентичности и целостности всей системы. Если злоумышленник может прописать свой ключ в UEFI, то не даёт. 🙂 А если злоумышленник не может, то и я не могу. Чем я, имеющий физический доступ, отличаюсь от злоумышленника, имеющего физический доступ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #244 Ответы: #302

272. Сообщение от Аноним (309), 04-Мрт-21, 22:43	+/–
> Причем здесь кейлогер? Был вопрос "От какой угрозы она должна меня защитить?" Кинули ссылку. По ссылке абстрактное описание. Кейлоггер подходит под это описание. > Integrity это верификация аутентичности и целостности загружаемой системы. Подожди. Ты говоришь о том, как это сделано. Я ещё не спрашиваю "как", я спрашиваю "зачем". Верификация с какой целью? С целью безопасности? Безопасности от какой угрозы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #248

273. Сообщение от Аноним (31), 04-Мрт-21, 22:47	+/–
Так а при каждом обновлении ядра переподписывать выходит надо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #186 Ответы: #275

274. Сообщение от Аноним (309), 04-Мрт-21, 22:57	+/–
> только если ты полный лох и оставил его доступным для записи. При включенном tpm это удастся сделать только после загрузки, изнутри единственно-верной операционной системы. А если система сломалась и не грузится, то всё, приехали? Загрузиться с live-диска убунты и переустановить нельзя, потому что флешка подписана другим ключом. И поменять ключ нельзя, потому что он меняется только из "единственно-верной операционной системы", которая не грузится? Ну прямо супер-перспектива! >> Или с флешки загрузится, используя какой-нибудь другой загрузчик. > Ну загрузился (что необязательно в принципе разрешать), можешь со своей флэшки запускать > gta5, диск как был зашифрован, так и остался. Я могу загрузиться с флешки, на которой МОЙ загрузчик? Тогда я могу подменить системный загрузчик этим своим загрузчиком с флешки. А в него встроить всё что угодно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #251 Ответы: #277

275. Сообщение от Аноним (309), 04-Мрт-21, 22:58	+/–
> Так а при каждом обновлении ядра переподписывать выходит надо? И при каждой смене параметров! А если обновился, и новое ядро не грузится, то хрен ты переключишься на старое ядро. Удобно-же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #273

276. Сообщение от Аноним (309), 04-Мрт-21, 23:07	+/–
> SecureBoot не позволит подменить загрузчик или встроить туда дополнительные модули. Позволит, конечно! Иначе было бы невозможно переустановить ОС, ведь загрузчик при этом меняется. > Для защиты от кейлоггеров придумали многофакторную аутентификацию. > [LUKS, Yubikey и т.д.] Ну да. И всё это работает без SecureBoot. Об этом и речь — SecureBoot от кейлоггеров не защищает. > А теперь поясню причём тут SecureBoot и как он помогает в этом > сетапе. Если у меня система с включённым SecureBoot, в котором прописаны > мои собственные ключи, то когда я получаю запрос на расшифровку диска > LUKS, я уверен, что подписанный моим ключём загрузчик загрузил подписанное моим > ключём ядро и пароль можно вводить. А где гарантия, что кто-то не подменил ключи в SecureBoot-е своими, а потом не подписал этими ключами изменённый загрузчик?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #268 Ответы: #280

277. Сообщение от пох. (?), 04-Мрт-21, 23:09	+/–
> А если система сломалась и не грузится, то всё, приехали? С TPM - да, конечно. Иначе кто-то левый тебе "с диска с убунточкой" загрузится. С просто secure boot - нет, это только совсем от васянов защита. Убунта на том диске тоже тем же shim грузится, а его добрый глупый MS вам всем подписал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #274 Ответы: #278

278. Сообщение от Аноним (309), 05-Мрт-21, 00:10	+/–
>> А если система сломалась и не грузится, то всё, приехали? > С TPM - да, конечно. Иначе кто-то левый тебе "с диска с убунточкой" загрузится. > С просто secure boot - нет, это только совсем от васянов защита. Ну да. Есть аппаратное шифрование диска. Оно гарантирует целостность. И работает без всяких SecureBoot-ов. Но тогда опять получается, что SecureBoot не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #277 Ответы: #297

279. Сообщение от Аноним (309), 05-Мрт-21, 00:36	+/–
>> В grub-е нашли и исправили мелкий баг. > сводящий всю эту безопасность к х-ю. Да я не о том. Я имею ввиду откуда вообще столько беспокойств? Ну нашли баг в грубе, ну обновить и переподписать. Обычный апдейт загрузчика. Зачем делать что-то ещё? > Причем то что ты его обновил - ничему не поможет, ты обновил, > я "обновлю" еще разок на старую багнутую версию, и ты ничего > не заметишь - она ж подписана. Это как? Ты пришёл ко мне месяц назад, украл у меня старую версию моего груба. А через месяц вернулся, чтобы поставить мне старую версию моего груба обратно? Хакер-даунгрейдер! 🙂
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #251 Ответы: #296

280. Сообщение от Арчевод (?), 05-Мрт-21, 00:43	+/–
>> Позволит, конечно! Иначе было бы невозможно переустановить ОС, ведь загрузчик при этом меняется. Нет. Её и невозможно переустановить без отключение SecureBoot - ничего просто не загрузится. Если удалить ключи от MS, то перестанет грузится всё, что не подписано Вашим собственным ключём, включая Windows и любые дистрибутивы линукс с shim. А что бы отключить SecureBoot, нужно попасть в UEFI. >> Ну да. И всё это работает без SecureBoot. Об этом и речь — SecureBoot от кейлоггеров не защищает. Защищает, если например попытаться keyloagger вшить в изменённый загрузочный образ. SecureBoot это про доверенную загрузку. Но без него LUKS ничего не гарантирует, потому что там может быть руткит, а Вы этого не заметите. >> А где гарантия, что кто-то не подменил ключи в SecureBoot-е своими, а потом не подписал этими ключами изменённый загрузчик? Для этого нужно попасть в EFI, удалить старые ключи, установить новые. А он естественно запаролен. И нет, вытаскивание батарейки не снимает пароль на современных платах. Но вообще в этом случае правильным способом будет задействовать TPM, который проверяет целостность NVRAM и прочих вещей и любые изменения в PCR регистрах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #276 Ответы: #281

281. Сообщение от Аноним (309), 05-Мрт-21, 00:58	+/–
> Если удалить ключи от MS, то перестанет грузится всё, что не подписано > Вашим собственным ключём, включая Windows и любые дистрибутивы линукс > с shim. Опасная затея. В случае проблем (например: после апдейта система не грузится) исправить ситуацию становится очень сложно... Имеет ли смысл так рисковать? Всё-таки проблемы после апдейта куда более вероятны, чем троян в загрузчике. > Для этого нужно попасть в EFI, удалить старые ключи, установить новые. А > он естественно запаролен. И нет, вытаскивание батарейки не снимает пароль на > современных платах. Не батарейкой, так джампером. Вряд ли есть материнки, на которых нельзя сбросить пароль. Иначе сервисным центрам пришлось бы тяжело.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #280

282. Сообщение от Аноним (309), 05-Мрт-21, 02:10	+1 +/–
> SecureBoot не позволит подменить загрузчик или встроить туда дополнительные модули. > Для защиты от кейлоггеров придумали многофакторную аутентификацию. > Лично я для этого использую LUKS, который шифруется ключём, который генерируется > Yubikey (https://github.com/agherzan/yubikey-full-disk-encryption). Т.е. если даже > пароль для шифрования который я ввожу при загрузке утечёт, то без > самого Yubikey он не сможет расшифровать диск. Можно проще. Без Yubikey-я и SecureBoot-а. Просто шифруем ВЕСЬ диск LUKS-ом. А загрузчик кладём на любую флешку (такой себе дешёвый заменитель Yubikey). Это даст ещё более высокую безопасность ­— никто никогда не сможет изменить загрузчик на диске, потому что его там нет. И никаких проблем с восстановлением, загрузкой с флешки, перепрошивкой ключей и так далее. Опять SecureBoot не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #268 Ответы: #294

283. Сообщение от Аноним (283), 05-Мрт-21, 02:13	+/–
> при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPI дяденька Red Hat, а это точно уязвимость?
Ответить | Правка | Наверх | Cообщить модератору

284. Сообщение от Аноним (-), 05-Мрт-21, 05:35	+1 +/–
Это как бы не регламентировано никакими стандартами и это может сделать полтора юзера, да и потом придется на честное слово верить проприентарному многометровому блобу со всеми Management Engine и прочими Boot Guard'ами что и правда типа-безопасТно. А какая по факту безопасность с адским проприетарным блобом? Там и крыжик отключки ME бывает. Только это фикция. Проприетарное блобваре кидает команду другому блобваре в интерфейс, а что там реально за этим следует - поди еще проверь. Особо упертые конечно проверяют но это валидно только для конкретных ревизий железок и биосов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #193

285. Сообщение от Аноним (-), 05-Мрт-21, 05:37	+/–
Понимаешь ли, хакер всегда может взять старый GRUB подписаный вон тем правильным ключом и через него загрузить все что хотел - потому что система схавает сие за валидный загрузчик. И какая при этом разница что изначально у тебя груб новый был, м? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #195 Ответы: #350

286. Сообщение от Аноним (-), 05-Мрт-21, 05:39	+/–
Ага, при этом мы обнаруживаем что ключи мудасофта уже выпилили :) :) а свой собственный лив - с своими ключами - сколько вообще народа делает? :) В общем забавная безопасТность. Лучше всего - стреляет в пятку юзеру. Не так так эдак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #194

287. Сообщение от Аноним (-), 05-Мрт-21, 05:40	+/–
Попробуй удалить ключи майкрософта как тут некоторые советуют, как раз и узнаешь в чем прикол :) Только лучше бы тебе научиться заранее самому делать подписанные тобой ливки. Иначе хрен его знает как ты потом это вообще раскирпичивать будешь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #247 Ответы: #298

288. Сообщение от Аноним (288), 05-Мрт-21, 05:50	+1 +/–
> А есть железо, которое не позволяет добавлять свои ключи и удалять ключи от Microsoft? Есть даже ноуты которые позволяют на выбор грузить только рхел и восьмерку. Или ноуты которые при попытке переставить ОС превращаются в кирпич. >> 2) Это вообще не является по "стандарту" mandatory. > В чем проблема, что его реализуют, особенно если оно отключаемо? Проблема? 1) в том что во первых это отключаемо не везде. 2) в том что предлагается доверять мутному блобу. 3) в том что этот блоб заменить на открытый код нельзя - на большинстве интелских железок прописан бутгад. 4) и таки настоящий владелец платформы - тот кто прописал руткей бутгада, вот это настоящий мастерключ, ну то-есть oem. А декоративные болванчики с фиговыми ключами - наглядно иллюстрируют байку про кольца. Когда сколько там фуфлоколец каким там еще гномам, но самое крутое то - у мутного хрена в башне. > Ну если на компьютере есть Windows, то это логично. А на платах в ларьке виндовса нет, зато ключи - в наличии. А вот что там позволяет их фирмваре весьма отдельный вопрос. В документации не описаный. И сначала дескать купи, а там посмотрим можно ли это удалить. Крутой подход... > Какое отношение это имеет к Secure Boot, Самое прямое - зарубает доверяемую опенсорсную реализацию на корню. Предлагая на честное слово верить какому-то блобу, подписанному хрен знает кем вообще (руткей бутгада вообще у oem-а например). > а особенно к уязвимостям в GRUB, с ним связанными? Boot Guard имеет отношение > установке произвольного BIOS'а Да, и предлагается в вопросе безопасности поверить на честное слово мутному биосблобу без сорца, да еще когда установку открытых вариантов целенаправленно зарубили. А у кого вот этот самый крутой мастерключ поди там еще разберись. Руткей платформы на самом деле - вот оно. А фуфел уровнем выше - пойдет лесом если обладатель главного кольца так решит. > а Secure Boot - к установке ОС. И здесь тебе никто > не запрещает его отключить или вписать свои ключи. Проблема в том что это фуфельные кольца для глупых гномов развесивших уши. А самое крутое кольцо как раз никто и близко в лапы давать не собирался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

289. Сообщение от Аноним (288), 05-Мрт-21, 05:52	+/–
> К нижним кольцам ты не сможешь просто доступ получить при наличии Secure Boot, > рут на локальной системе - это максимум (и то с Kernel Lockdown он слегка урезан) Ну, вообще-то, все зависит от того у кого ключи от замка... И таки lockdown не очень слегка урезан уже. А нормально так. Правда у меня ключ есть, так что себе то я модуль всяко подпишу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165

290. Сообщение от Аноним (288), 05-Мрт-21, 05:55	+/–
Сменив на нечто, где даже система команд не документированная и компилер проприетарный. Вот уж из огня в полымя. Поха к себе наймите, саботажить - так уж по полной. Он наверняка придумает чего еще бессмысленно и беспощадно зажлобить можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #253

291. Сообщение от Аноним (288), 05-Мрт-21, 05:56	+/–
> На си нет режима "безопасно". Есть, но может задолбать не меньше чем ада адовиков-затейников безопасно уронивших ариан 5.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

292. Сообщение от Аноним (288), 05-Мрт-21, 05:58	+/–
> Нет. SecureBoot хорошая и нужная вещь. Выаидывай ключи M$ и ставь свои. Только когда мастерключ можно самому прописать, заверив им опенсорсную реализацию где хоть какой-то аудит сорца был. Бутгад намекает что главное кольцо таки не у вас...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171 Ответы: #304

293. Сообщение от Аноним (288), 05-Мрт-21, 05:59	+/–
> Вендорлок полный не дали сделать антимонопольные органы в США и Европе. Но > думаю оно все же пилилось ради распила за примии эффективным менеджерам. Ради DRM'а и копирасии, вообще-то. В идеале сделать из винды второй ифон, с установкой только через аппстор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #261

294. Сообщение от Арчевод (?), 05-Мрт-21, 06:15	+/–
> А загрузчик кладём на любую флешку (такой себе дешёвый заменитель Yubikey). Флешка плохая замена Yubikey, потому что Yubikey нельзя скопировать, его можно только украсть. А это заметно. Вашу же мегафлешку скопировать проблемы не составит ни разу. Она не замеряет Yubikey и не может служить вторым фактором ("something you have"), потому что легко клонируется. Ну а дальше все по тому же сценарию - сделать другую флешку, в которой Ваш загрузчик + руткит. В общем описываевым Вами способом можно получить суррогат с иллюзией защиты, но никакой доверенной загрузки не будет и вы никогда не будете знать, то загружаете именно то, что сделали сами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #282 Ответы: #299

295. Сообщение от Аноним (295), 05-Мрт-21, 07:15	+/–
У кого-нибудь были сомнения что СерураБУТ - и есть дыра в безопастности ? Чем проще система тем лучше во всех отношениях !
Ответить | Правка | Наверх | Cообщить модератору

296. Сообщение от пох. (?), 05-Мрт-21, 08:11	+/–
> Ну нашли баг в грубе, ну обновить и переподписать. Тебе что непонятно в системе с trusted keys? Переподписать можно - но с тем же успехом можно уже вообще ничего не подписывать. Подпись гарантировала что получившее после этого grub'а управление не содержало чего-то лишнего, непредусмотренного владельцем. > Это как? Ты пришёл ко мне месяц назад, украл у меня старую версию моего груба. зачем она мне? У меня она и так есть, и подписана ключиком ms. На твоем компьютере загрузится. Вместо твоей. Только в ней есть одна полезная мне фича - она не только твое ведро загружает (которое тоже подписано), но и мой левый код. Отзывать ключи - тоже так себе процедура, даже если бы она была в принципе возможна (скажем, через системы обновлений всех ос включая винду) - превратились бы в тыкву все старые загрузочные диски и флэшки дистрибутивов и, наверное, не только, ms еще много чего им, вероятно, подписала, типа вендорских автособиралок статуса железок и т д. Ну макос может себе это позволить, наверное. У них и tpm постоянно включен, и тем ключом не подписано ничего полезного (дистрибутив винды, к счастью, не им, этот - отдельный). Правда, л@п4@.е будут потом выть на болотах, что их ущемляют...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #279 Ответы: #300

297. Сообщение от пох. (?), 05-Мрт-21, 08:18	+/–
> Ну да. Есть аппаратное шифрование диска. Оно гарантирует целостность. И работает без вообще-то хер его знает, чего оно там гарантирует. Пару раз уже оказывались такие шифрования ксором. Плюс теперь ты даже мать в своем ноуте по гарантии не поменяешь без превращения диска в тыкву. При однократном взломе твоей системы онлайн - опять же можно оставить после себя троянца, и ты ничего не заметишь - внешне все тот же grub. С парой интересных лишних деталек, стартующих до загрузки ОС. > Но тогда опять получается, что SecureBoot не нужен. Ну узбагойся уже - он уже не нужен, доподписывались л@п-го мусора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #278 Ответы: #301

298. Сообщение от Аноньимъ (ok), 05-Мрт-21, 15:34	+/–
В биосе разве секурбут не отключается?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #287 Ответы: #311

299. Сообщение от Аноним (309), 05-Мрт-21, 16:10	+/–
>> А загрузчик кладём на любую флешку (такой себе дешёвый заменитель Yubikey). > Флешка плохая замена Yubikey, потому что Yubikey нельзя скопировать, его можно только > украсть. А это заметно. Вашу же мегафлешку скопировать проблемы не составит Можно не копировать. На ней просто стандартный загрузчик, как на live-диске убунты. Диск зашифрован обычным LUKS-ом. Для него любой загрузчик подойдёт, надо только пароль знать. А пароля на флешке нет, его надо всё равно руками вводить. > Она не замеряет Yubikey и не может служить вторым фактором ("something you have"), потому что легко клонируется. Это не "второй фактор", это просто надёжная защита от того, что кто-то поменяет мой загрузчик, пока меня нет. Надёжнее, чем SecureBoot.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #294 Ответы: #310

300. Сообщение от Аноним (309), 05-Мрт-21, 16:15	+/–
>> Это как? Ты пришёл ко мне месяц назад, украл у меня старую версию моего груба. > зачем она мне? У меня она и так есть, и подписана ключиком ms. > На твоем компьютере загрузится. Вместо твоей. Только в ней есть одна полезная > мне фича - она не только твое ведро загружает (которое тоже > подписано), но и мой левый код. А зачем тебе для этого старая версия груба? Откуда вообще беспокойства по поводу версии? Ну возьми новую версию, подписанную новым ключом. На любом live-диске убунты такая есть. И тоже загрузит какой-угодно код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #296

301. Сообщение от Аноним (309), 05-Мрт-21, 16:24	+/–
>> Ну да. Есть аппаратное шифрование диска. Оно гарантирует целостность. И работает без > вообще-то хер его знает, чего оно там гарантирует. Пару раз уже оказывались > такие шифрования ксором. Смотря на что ксорить. Шифрование — это довольно часто ксор. Например, в AES тоже ксор, разве это делает его ненадёжным? > Плюс теперь ты даже мать в своем ноуте по гарантии не поменяешь без превращения диска в тыкву. Я имею ввиду, например, https://wiki.archlinux.org/index.php/Self-encrypting_drives Диск можно переставить на любой комп и он там будет работать. Можно разблокировать с любого livecd. Конечно, если знаешь пароль. Всяко лучше, чем SecureBoot. > При однократном взломе твоей системы онлайн - опять же можно оставить после > себя троянца, и ты ничего не заметишь - внешне все тот > же grub. С парой интересных лишних деталек, стартующих до загрузки ОС. При взломе онлайн троянца в системе можно оставить всегда. SecureBoot от этого и не защищает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #297

302. Сообщение от пох. (?), 05-Мрт-21, 17:52	+/–
> "Вашим"? То есть я могу добавить туда свой ключ. Но тогда и > злоумышленник может. уже нет, если ты свой добавил правильно. > Или ещё проще: на компе можно грузиться с live-диска убунты? Тогда пишем уже нет, если только ты не соберешь себе свой уникальный live, подписанный именно этим же ключом. > А если злоумышленник не может, то и я не могу. Чем я, > имеющий физический доступ, отличаюсь от злоумышленника, имеющего физический доступ? тем что у тебя, возможно, где-то сныкан _закрытый_ ключ. Если он сныкан ненадежно или наоборот ты его уже просохатил - то сам виноват. Но это все крайне неудобно и ненадежно для среднего васяна, поэтому никем не применялось. А теперь вот придется, потому что вариантов ровно два - либо уже не защищает, либо вот так. Скажи спасибо глупой ms, сдуру подписавшей впопенсосного троянца своим ключом. Корпорация, блин, зла не хватает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #271 Ответы: #308

303. Сообщение от Анонимленьлогиниться (?), 05-Мрт-21, 18:57	+/–
> Юзеры нвидии должны страдать :) Гм. А не странная у вас логика? Тогда уже "пользователи линукса должны страдать". Ведь под виндой у пользователей нвидии нет ни одной проблемы с secure boot, это чисто результат палок в колеса, искуственно вставленных GPL-фанатиками и особенностями лицензирования ядра линукс :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #312

304. Сообщение от kmeaw (?), 05-Мрт-21, 20:21	+/–
Boot Guard и Secure Boot решают разные задачи, да и на десктопных платах часто можно прошить собственные настройки Boot Guard. А главное кольцо находится в руках производителя железа с тех пор, как в домашних условиях стало невозможно валидировать процессор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #292 Ответы: #313

305. Сообщение от kmeaw (?), 05-Мрт-21, 20:25	+/–
Secure Boot нужен в первую очередь крупным организациям. Они просто не купят железо, если возможность загружать свои ключи выпилят, так что вряд ли это произойдёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #225 Ответы: #309, #328, #358

306. Сообщение от kmeaw (?), 05-Мрт-21, 20:26	+/–
Кто-то запретил использовать те версии, в которых ещё есть поддержка этого железа?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

307. Сообщение от kmeaw (?), 05-Мрт-21, 20:29	+/–
Переключателем read-only, который запрещает софтверно обновлять все важные компоненты (прошивку, бутсектор, загрузчик, ядро, initramfs и так далее). Вот только Secure Boot был сделан как раз для того, чтобы админ крупной организации не ходил пешком до тысячи машин, чтобы пощёлкать этим переключателем при накатке планового обновления.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #314

308. Сообщение от Аноним (309), 05-Мрт-21, 20:58	+/–
> уже нет, если ты свой добавил правильно. А правильно — это как? > тем что у тебя, возможно, где-то сныкан _закрытый_ ключ. Как это сныкан? Он ещё не добавлен же. Почему я могу свой ключ добавить "правильно", а злоумышленник не может? > Скажи спасибо глупой ms, сдуру подписавшей впопенсосного троянца своим ключом. Корпорация, > блин, зла не хватает. Это ещё ничего. Она, как известно, даже свой приватный ключ выложила: https://arstechnica.com/information-technology/2016/08/micro.../ Тот, которым всё по-дефолту подписано. И, в ретроспективе, это было ожидаемо. Если вся безопасность держится на одном единственном ключе, то, ясное дело, рано или поздно он утечёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #302

309. Сообщение от Аноним (309), 05-Мрт-21, 21:00	+/–
> Secure Boot нужен в первую очередь крупным организациям. Для чего? Организациям нужно шифрование диска. Чтобы если кто-то ночью вломится и украдёт компьютер главного бухгалтера, он не смог достать с него бухгалтерию предприятия. А Secure Boot-то им зачем? Из-за слова "Secure" в названии?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #305 Ответы: #322

310. Сообщение от Арчевод (?), 06-Мрт-21, 02:18	+/–
>> Можно не копировать. На ней просто стандартный загрузчик, как на live-диске убунты. Ну, не копировать, а подменить на затрояненный с кейлоггером. И нет, это не надёжнее чем SecureBoot, это просто суррогат. Ещё раз повторю в чём смысл SecureBoot - он гарантирует что Вы грузите именно СВОЙ загразчик, свой рамдиск и т.п., а не тот, который должен быть Ваш, но вы в этом не можете быть уверены (потому что только криптографические методы могут гарантировать уверенность, а не факт, что флешка у Вас в кармане.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #299 Ответы: #325

311. Сообщение от Аноним (-), 06-Мрт-21, 03:13	+/–
> В биосе разве секурбут не отключается? Смотря где. На маздайных планшетках может и не отключаться. Ну, и вот как раз и придется его отключать, иначе это вообще совсем кирпич получится, если ты заранее ливфлеху с своими подписями себе не запилил. А сколько народа до этого 1) доперло 2) умеет так вообще? И да, кто эти волшебники? Тут хоть 1 такой есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #298

312. Сообщение от Аноним (-), 06-Мрт-21, 03:18	+/–
> Гм. А не странная у вас логика? Тогда уже "пользователи линукса должны > страдать". Ведь под виндой у пользователей нвидии нет ни одной проблемы > с secure boot, это чисто результат палок в колеса, искуственно вставленных > GPL-фанатиками и особенностями лицензирования ядра линукс :) Логика простая - никто никому ничего не должен. Если кому-то что-то не нравится, никто не заставляет юзать Linux или что там еще. И как по мне, лучше бы фаны блоботы валили в свою винду где им самое место, им там и другие чудные DRMно-апсторные загородки запилят, и не то чтобы мне их будет жалко. Ведь у них был выбор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #303

313. Сообщение от Аноним (-), 06-Мрт-21, 03:30	+/–
> Boot Guard и Secure Boot решают разные задачи, да и на десктопных > платах часто можно прошить собственные настройки Boot Guard. Это как? Насколько я помню, мастерключ однократно шьется в фузы. И кто первый встал, того и тапки. Ну да, в лучшем случае он не прописан - и теоретически конечно можно свой тогда вписать. Но 1) А софт для этого есть? 2) Это всего 1 выстрел. И если он мимо, тогда наступает вообще совсем упс. Фузы вроде как однократные. 3) Есть еще всякие прелести типа ME, у которых тоже есть свой мастерключ. И таки вот он точно прописан - и таки он интеловский. Поэтому интел всегда может включить режим бога и подписать процыку умеющему DMA все что сочтет нужно. А при этом ваши потуги в безопасности уже как-то и не решают особо. Конечно есть полунедоспособы типа-шатдауна гаденыша, но я например даже просто дампа его бутрома не встречал, не говоря про анализ оного. 4) Ну и в целом доверять платформе с вот именно такой структурой как-то очень так себе. С одной стороны себе буты делать криво и стремно, с другой - удобно каким-то мутным левым козлам, половина которых вообще вписывает более мощные чем ваши ключи и никого не спрашивает можно ли им. > А главное кольцо находится в руках производителя железа с тех пор, как в домашних > условиях стало невозможно валидировать процессор. А вот это совершенно не обязательно. 1) Есть куча процыков где именно мастеркей в фузах с фабы таки не прописан и в большинстве железок они именно пустые. 2) Есть методы секурбута не завязанные на ключах. Например readonly начальный загрузчик, который далее чекает остальное по цепочке. При этом root of trust переносится на 1 уровень вверх, а readonly обеспечивает его неизменность как минимум ремотными атакующими. А если кто может у меня железку спереть для физического доступа, они и много чего еще могут, от чего секурбут не очень помогает, кому надо вскрывают даже чипы для смарткарт, параноидально защищенные от все и вся, а более мягкотелые generic чипы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #304

314. Сообщение от Аноним (-), 06-Мрт-21, 03:35	+/–
> Boot был сделан как раз для того, чтобы админ крупной организации > не ходил пешком до тысячи машин, чтобы пощёлкать этим переключателем при > накатке планового обновления. Проблема в том что хакеры ничем таким принципиально от этого админа не отличаются. А современные фирмваре еще к тому же любят писать в флеху дрянь и не всегда хорошо реагируют на ошибку записи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #307

315. Сообщение от Аноним (-), 06-Мрт-21, 03:37	+/–
> А почему все сертификаты для загрузчиков надо заверять в Microsoft? Потому что быть богом и держать всю планету за вымя - круто?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

316. Сообщение от Аноним (-), 06-Мрт-21, 03:38	+/–
> Потому что у тебя с твоими 1% десктопов не выйдет убедить всех > производителей, включая безымянных китайцев, установить твой ключ. > А у microsoft - получилось, причем ключей там не один, и самый > ненужный они пожертвовали вам. Но вы и это умудрились прогадить. Да они и без нас прогадили, вон даже линк на новость нашли. Отзывать не будут, винды у юзеров помрут. И хрен с ней с безопасТностью. Так что нет, буткиты с собой grub обламываются таскать, зачем, если есть прогаженый ключ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168

317. Сообщение от Аноним (-), 06-Мрт-21, 03:41	+/–
> Это всё очень плохо, но я предпочитаю защищиться от реальных угроз (для > чего SecureBoot очень полезен), чем от мнимых, в стиле "мы все умрём". Как говорится, безопасность бывает только 2 уровней - high и нехай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #187

318. Сообщение от Аноним (-), 06-Мрт-21, 03:42	+/–
> Вообще-то на совсеменных платах для этих целей есть TPM. При том это еще один проц с мутной блобварью. Которому предлагается доверять все критичные проверки безопасности. Мне кажется, или в такой формулировке порыта некая на-о-бка? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #190

319. Сообщение от Аноним (-), 06-Мрт-21, 03:44	+/–
> А зачем? Все равно что-то должно быть не зашифровано - либо GRUB, При кооперативном boot loader в SPI флехе может быть в принципе шифровано вообще все. Ну, вот, кроме spi-флехи, конечно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #182

320. Сообщение от Аноним (-), 06-Мрт-21, 03:52	+/–
> Нет никакого "uefi для bios". Это вообще понятия из разных веков. Вообще-то есть. Минимальные затычки времени бутлоадера, предоставляющие "EFI services" даже на BIOS-based системе. Вроде свежий GRUB так даже умеет. После чего несмотря на то что на самом деле оно взлетело с BIOS, ядро уверено что это UEFI был. И даже может юзать те полторы фичи из суррогатного EFI. А, собственно, чему это противоречит? Обычное гейтование того что хотелось в то что есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #207

321. Сообщение от Аноним (-), 06-Мрт-21, 04:42	+/–
> обратный эмулятор, то есть bios для uefi, только не встроенный в > прошивку, а такой, с которого можно загрузиться, для компьютеров без csm режима. Не факт что такое есть. Но наверное при сильном желании можно что-то напоминающее это сделать взяв за основу какой-нибудь payload bios из коребута, который ессно придется перепилить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #264

322. Сообщение от Алкоганон (?), 06-Мрт-21, 05:57	+/–
> Чтобы если кто-то ночью вломится :-) Как грубо... > А Secure Boot-то им зачем? Из-за слова "Secure" в названии? А вот бывает прямо среди дня... Какой-то неприметный сотрудник аккуратно и бережно загружает что-то... систему... в компъютер бухгалтера... потом приходит бухгалтер с ключами от дисков... и не видит ничего необычного >:-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #309 Ответы: #324

323. Сообщение от Алкоганон (?), 06-Мрт-21, 06:31	+/–
> Secure Boot внезапно от этого не защищает вообще, потому что при наличии > возможности подмены загрузчика - если это root-доступ - уже есть возможность > либо читать все подключенные разделы Что значит root-доступ? Кто-то писал. что не видит проблем с загрузкой "недоверенной ОС". Которая может быть и ДОС... Кто-то писал что зашифрованные разделы не расшифруются, а тут уже "читать все"...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #326

324. Сообщение от Аноним (309), 06-Мрт-21, 08:30	+1 +/–
>> А Secure Boot-то им зачем? Из-за слова "Secure" в названии? > А вот бывает прямо среди дня... Какой-то неприметный сотрудник аккуратно и бережно > загружает что-то... систему... в компъютер бухгалтера... потом приходит бухгалтер с ключами > от дисков... и не видит ничего необычного >:-) Вообще не понял, о чём это. Средь бела дня троян в систему ставится методом запуска экзешника с флешки. Причём тут Secure Boot и организации?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #322 Ответы: #336

325. Сообщение от Аноним (309), 06-Мрт-21, 08:46	+/–
> Ещё раз повторю в чём смысл SecureBoot - он гарантирует что Вы > грузите именно СВОЙ загразчик Нет, он "гарантирует" лишь то, что загрузчик подписан ключами из UEFI. Но там могут быть уже не мои ключи. >> Можно не копировать. На ней просто стандартный загрузчик, как на live-диске убунты. > И нет, это не надёжнее чем SecureBoot, это просто суррогат. Суррогат, да. Но даже он надёжнее секуребута. Флешку я ношу с собой, её сохранность зависит только от меня. А комп с SecureBoot я оставил без присмотра, и сохранность ключей в UEFI от меня не зависит. Поэтому доверия к ним на порядок меньше, разве нет? > потому что только криптографические методы могут гарантировать уверенность, а не факт, что флешка у Вас в кармане. Если я зашифрую диск паролем 12345, то даже самый надёжный криптографический метод меня не спасёт. Одних методов мало. Их надо правильно применять. SecureBoot — пример плохого применения. Мне иногда кажется, что SecureBoot — это попытка вендор-лок-ина от майкрософт, чтобы не давать юзерам ставить другие ОС. А сказки про "безопасность" были лишь оправданием. Разве с самого начала не было очевидно, что "one key to rule them all" — плохая идея? Или что если я могу прошить свои ключи в биос, то и кто-то другой сможет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #310

326. Сообщение от Онаним (?), 06-Мрт-21, 09:57	+/–
Это значит, что никакой secure boot уже не важен и не интересен, поскольку сторонний кусок кода в системе и так имеет доступ ко всему, к чему захочет. В т.ч. к зашифрованным разделам, которые подключены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #323 Ответы: #330

327. Сообщение от Аноним (327), 06-Мрт-21, 13:58	+/–
Читай выше по треду, не везде такая опция есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166

328. Сообщение от Аноним (327), 06-Мрт-21, 14:03	+/–
Очень крутые организации договорятся, а для крестьян выпилят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #305

329. Сообщение от Аноним (327), 06-Мрт-21, 14:14	+/–
А что такого?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #227

330. Сообщение от Алкоганон (?), 06-Мрт-21, 16:24	+/–
> Это значит, что никакой secure boot уже не важен и не интересен, > поскольку сторонний кусок кода в системе и так имеет доступ ко > всему, к чему захочет. В т.ч. к зашифрованным разделам, которые подключены. Это без SecureBoot оно (DOS) имеет доступ, поскольку загрузилось (своим загрузчиком). С SecureBoot оно не загрузится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #326 Ответы: #331

331. Сообщение от Онаним (?), 06-Мрт-21, 16:33	+/–
Оно никуда не загружалось, оно туда в результате юзера, кликнувшего на "поступивший счёт.exe" попало...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #330 Ответы: #332

332. Сообщение от Алкоганон (?), 06-Мрт-21, 17:32	+/–
> Оно никуда не загружалось, оно туда в результате юзера, кликнувшего на "поступивший > счёт.exe" попало... Говорилось о загрузке недоверенной ОС. Теперь уже "поступивший счёт.exe"? :-) Ну так ничего не запустилось в результате... Потому что вообще почтовый агент не должен "запускать" письма. Дальше какие фигуры танца (ужика на сковородке) исполните?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #331 Ответы: #333, #337

333. Сообщение от Онаним (?), 06-Мрт-21, 17:46	+/–
Ты то ли читать не умеешь, то ли осмысливать, уж извини. Говорилось о том, что если у тебя права в ОС такие, что ты можешь загрузчик подменить - секуребуту уже поздно что-то пытаться не дать загрузить. А если это физический доступ - можно и клавиатуру подменить, и USB-контроллеры, и много чего ещё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #332 Ответы: #338

334. Сообщение от Онаним (?), 06-Мрт-21, 17:48	+/–
Как насчёт модулей DRAM, на которых есть немножечко логики и флеша, и которые подсунут свой код уже после загрузки ОС? :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #270

335. Сообщение от Онаним (?), 06-Мрт-21, 17:49	+/–
(никогда не думали, что физический доступ открывает безграничные возможности?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #270

336. Сообщение от Алкоганон (?), 06-Мрт-21, 17:51	+/–
> Средь бела дня троян в систему ставится методом запуска экзешника с флешки. А если не ставится? Потому что система не разрешает запустить. Да ещё сначала надо войти аутентифицировавшись и назвавшись системе. После чего оно ещё и в лог запишет про попытку запуска с флешки таким-то сотрудником... Вот с перезагрузкой без Secure Boot уже по-другому...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #324 Ответы: #347

337. Сообщение от Онаним (?), 06-Мрт-21, 17:53	+/–
(если проще, secure boot - это иллюзия мнимой безопасности. нет смысла менять загрузчик - да и сложно это, надо целый блин руткит под конкретное окружение писать. проще либо юзера заставить недоверенный код запустить, либо сопоставимо сложный с загрузчиком путь - внедрить этот код через физический доступ)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #332 Ответы: #340, #346

338. Сообщение от Алкоганон (?), 06-Мрт-21, 18:16	+/–
> Говорилось о том, что если у тебя права в ОС такие, что > ты можешь загрузчик подменить - секуребуту уже поздно что-то пытаться не > дать загрузить. Так права такие потому что ОС такая загружена, недоверенная, потому что Secure Boot вообще отсутствует. Это говорилось. > А если это физический доступ - можно и клавиатуру подменить, и USB-контроллеры, > и много чего ещё. А если нельзя? Кабель клавиатуры уходит куда-то внутрь закрытого корпуса... Корпус просто так не открыть... Да и оно ещё дополнительно имеет крепления... А пилить нельзя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #333 Ответы: #339

339. Сообщение от Онаним (?), 06-Мрт-21, 18:45	+/–
И замок висит. Амбарный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #338 Ответы: #341

340. Сообщение от Алкоганон (?), 06-Мрт-21, 18:46	+/–
> проще либо юзера заставить недоверенный код запустить Ага... Началось... Продолжение. ("а может просто сразу в морду?") А если не проще? Ибо юзер (ведь вы с речью о юзере, пользователе) сам ограничен в правах в данной системе и не может запускать "недоверенный код"? > сопоставимо сложный с загрузчиком путь - внедрить этот код через физический > доступ Ага... Сопоставимо сложный... При том что загрузчик что-то не подменяется... >:-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #337 Ответы: #342

341. Сообщение от Алкоганон (?), 06-Мрт-21, 18:49	+/–
> И замок висит. > Амбарный. Ага... И секуритати туда сюда прогуливаются.... Такие. С восточными чертами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #339 Ответы: #343

342. Сообщение от Онаним (?), 06-Мрт-21, 18:52	+/–
Как ты собрался подменять загрузчик без доступа к системе? А если у тебя есть доступ к системе, достаточный для подмены загрузчика - необходимость в подмене загрузчика резко отпадает. Ну если ты не энтузиаст-экспериментатор, конечно :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #340 Ответы: #344

343. Сообщение от Алкоганон (?), 06-Мрт-21, 18:52	+/–
...ну или Папу следует самое позднее к завтраку ждать >:-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #341

344. Сообщение от Алкоганон (?), 06-Мрт-21, 19:04	+/–
> необходимость в подмене загрузчика резко отпадает. А ведь делали вид что зашифрованные разделы что-то особенного для вас ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #342 Ответы: #345

345. Сообщение от Онаним (?), 06-Мрт-21, 19:54	+/–
Ты серьёзно читать не умеешь? Ну реально. Ещё раз по буквам: 1) Если есть достаточные права для замены загрузчика - шифрованные разделы уже и так доступны 2) Если есть физический доступ - для получения ключей со временем подмена загрузчика - слишком муторное занятие. Если всё просто - хватит подменённой клавиатуры Единственное, что выпадает из (1) и (2) - это аппаратные ключи и необходимость долгосрочного контроля над системой. Это уже немножко другая тема, но замена загрузчика и тут будет самым палевным методом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #344

346. Сообщение от Аноним (309), 06-Мрт-21, 23:42	+/–
> либо сопоставимо сложный с загрузчиком путь - внедрить этот код через физический доступ Вообще-то, через физический доступ намного проще. Троян для загрузчика ещё написать надо, под конкретное окружение, да. А USB Keylogger можно купить на ебее за несколько долларов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #337

347. Сообщение от Аноним (309), 07-Мрт-21, 00:01	+/–
>> Средь бела дня троян в систему ставится методом запуска экзешника с флешки. > А если не ставится? Потому что система не разрешает запустить. Что значит "а если"? Вы подгоняете условие под ответ. Я тоже так могу: а если система не разрешает загрузку с других носителей? Без всяких secureboot-ов. Поэтому опишите полностью угрозу — ситуацию, в которой без SecureBoot-а удалось бы достигнуть цели, а с secureboot-ом — нет. Заодно уточните, какова финальная цель? И, нет, подмена загрузчика — это не цель. Цель — это, например, узнать пароль на зашифрованный диск, а потом устроить рейд, украсть весь компьютер целиком и слить с него все данные. (Самый дешёвый способ это сделать — заснять пароль на камеру, и ничего подменять не надо.) Когда вы выпишите конкретную угрозу и _конкретную_ цель, то окажется, что либо SecureBoot не защищает от достижения этой цели, либо защититься можно и без SecureBoot-а.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #336

348. Сообщение от Аноним (348), 07-Мрт-21, 17:56	+/–
ох*ительная безопасность которую можно обойти загрузившись со старой версией загрузчика. зато цве аж 8 штук выср*ли. а не пойти бы майкрософту лесом вместе с о своим юефи очень быстро и решительно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #349

349. Сообщение от Аноним (309), 08-Мрт-21, 00:34	+/–
> ох*ительная безопасность которую можно обойти загрузившись со старой версией загрузчика. Можно и с новой подписанной версии загрузиться. Не понимаю, откуда вся эта паника по поводу версий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #348

350. Сообщение от Stax (ok), 08-Мрт-21, 13:16	+/–
> Понимаешь ли, хакер всегда может взять старый GRUB подписаный вон тем правильным > ключом и через него загрузить все что хотел - потому что > система схавает сие за валидный загрузчик. И какая при этом разница > что изначально у тебя груб новый был, м? :) Не может. Потому что если это изначально мой ключ и только он присутствует в биосе, то где же хакер  возьмет мой приватный ключ, чтобы подписать свой grub / refind / что угодно? Нигде. А если я просерил свой приватный ключ, ну так ССЗБ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #285

351. Сообщение от Аноним (351), 08-Мрт-21, 15:18	+1 +/–
> груб был успехом. Именно, вот тебе и двойка в названии  - а г..нище редкостное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #245 Ответы: #352

352. Сообщение от олдфаг (?), 09-Мрт-21, 09:29	+/–
>> груб был успехом. > Именно, вот тебе и двойка в названии  - а г..нище редкостное. Именно. Эффект второй системы в чистейшем и незамутнённом The second-system effect proposes that, when an architect designs a second system, it is the most dangerous system they will ever design, because they will tend to incorporate all of the additions they originally did not add to the first system due to inherent time constraints я вообще олдфаг, но не знал, что кто-то ещё постит под этим ником. но тоже вроде норм посты, одобря.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #351

353. Сообщение от Аноним (-), 11-Мрт-21, 11:57	+1 +/–
Начитаться о вреде С и пойти почитать про хруст, ничего не понять но считать что ты выбрал правильный путь обучения (нет). Не написать ничего стоящего, попробовать переписать базовую утилиту, понять что месяц ушеднший на то что делается за пять минут - уже не вернуть. Подумать о том чтоб застрелиться - но это больно, попробовать застрелиться на 20% и стрельнуть себе в ногу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

354. Сообщение от Kuromi (ok), 02-Апр-21, 23:27	+/–
На некоторых новых (и даже не очень, пару лет назад выпущенных) материнских платах уже нет CSM (Легси) режима в UEFI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

355. Сообщение от Аноним (355), 09-Июн-21, 11:41	+/–
А Rust ещё универсальнее. Пишешь, пишешь - и всё напрасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

356. Сообщение от Аноним (355), 09-Июн-21, 11:43	+/–
10 кВ тебе прямо в квартиру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

357. Сообщение от Аноним (355), 09-Июн-21, 11:51	+/–
>но небезопасной всеравно считается винда А чего тут удивительного? Пусть Винда умеет все эти ваши TPM и trusted boot. А затем, успешно через них продравшись (загрузившись), радостно открывет наружу бекдор для кого нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

358. Сообщение от Аноним (355), 09-Июн-21, 11:58	+/–
>Они просто не купят железо, если возможность загружать свои ключи выпилят, так что вряд ли это произойдёт. "А не будут покупать, отключим газ!" Пусть походят по рынку в поисках оборудования с возможностью заливки своих ключей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #305

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема