The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot

03.03.2021 11:23

Раскрыта информация о 8 уязвимостях в загрузчике GRUB2, позволяющих обойти механизм UEFI Secure Boot и добиться запуска неверифицированного кода, например, осуществить внедрение вредоносного ПО, работающего на уровне загрузчика или ядра.

Напомним, что в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Данная прослойка верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимости в GRUB2 позволяют добиться выполнения своего кода на этапе после успешной верификации shim, но до загрузки операционной системы, вклинившись в цепочку доверия при активном режиме Secure Boot и получив полный контроль за дальнейшим процессом загрузки, в том числе для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.

Как и в случае с прошлогодней уязвимостью BootHole, для блокирования проблемы недостаточно обновить загрузчик, так как атакующий, независимо от используемой операционной системы, может для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью. Проблема решается только обновлением списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux.

На системах с прошивками, в которых обновлён список отозванных сертификатов, в режиме UEFI Secure Boot можно будет загрузить только обновлённые сборки дистрибутивов Linux. Дистрибутивам же потребуется обновить инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку, сгенерировав для них новые цифровые подписи. Пользователи должны будут обновить установочные образы и иные загрузочные носители, а также загрузить список отозванных сертификатов (dbx) в прошивку UEFI. До обновления dbx в UEFI система остаётся уязвимой независимо от установки обновлений в ОС. Статус устранения уязвимостей можно оценить на данных страницах: Ubuntu, SUSE, RHEL, Debian.

Для решения проблем, возникающих при распространении отозванных сертификатов, в будущем планируется задействовать механизм SBAT (UEFI Secure Boot Advanced Targeting), поддержка которого реализована для GRUB2, shim и fwupd, и начиная со следующих обновлений будет использоваться вместо функциональности, предоставляемой пакетом dbxtool. SBAT разработан совместно с Microsoft и подразумевает добавление в исполняемые файлы компонентов UEFI новых метаданных, которые включают информацию о производителе, продукте, компоненте и версии. Указанные метаданные заверяются цифровой подписью и могут дополнительно включаться в списки разрешённых или запрещённых компонентов для UEFI Secure Boot. Таким образом, SBAT позволит при отзыве манипулировать номерами версий компонентов без необходимости перегенерации ключей для Secure Boot и без формирования новых подписей для ядра, shim, grub2 и fwupd.

Выявленные уязвимости:

  • CVE-2020-14372 - при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPI, разместив SSDT (Secondary System Description Table) в каталоге /boot/efi и изменив настройки в grub.cfg. Несмотря на активность режима Secure Boot, предложенный SSDT будет выполнен ядром и может использоваться для отключения защиты LockDown, блокирующей пути обхода UEFI Secure Boot. В итоге атакующий может добиться загрузки своего модуля ядра или запуска кода через механизм kexec, без проверки цифровой подписи.
  • CVE-2020-25632 - обращение к уже освобождённой области памяти (use-after-free) в реализации команды rmmod, проявляющееся при попытке выгрузить любой модуль без учёта связанных с ним зависимостей. Уязвимость не исключает создание эксплоита, который может привести к выполнению кода в обход верификации Secure Boot.
  • CVE-2020-25647 - запись за границы буфера в функции grub_usb_device_initialize(), вызываемой при инициализации USB-устройств. Проблема может быть эксплуатирована через подключение специально подготовленного USB-устройства, выдающего параметры, размер которых не соответствует размеру буфера, выделенного для структур USB. Атакующий может добиться выполнения кода, не верифицированного в Secure Boot, через манипуляции с USB-устройствами.
  • CVE-2020-27749 - переполнение буфера в функции grub_parser_split_cmdline(), которое может быть вызвано указанием в командной строке GRUB2 переменных, размером более 1 КБ. Уязвимость позволяет добиться выполнения кода в обход Secure Boot.
  • CVE-2020-27779 - команда cutmem даёт возможность атакующему удалить диапазон адресов из памяти для обхода Secure Boot.
  • CVE-2021-3418 - изменения в shim_lock создали дополнительный вектор для эксплуатации прошлогодней уязвимости CVE-2020-15705. При установке в dbx сертификата, используемого для подписи GRUB2, GRUB2 позволял загрузить любое ядро напрямую без проверки подписи.
  • CVE-2021-20225 - возможность записи данных за пределы буфера при запуске команд с очень большим числом опций.
  • CVE-2021-20233 - возможность записи данных за границу буфера из-за неверного расчёта размера буфера при использовании кавычек. При расчёте размера предполагалось, что для экранирования одинарной кавычки требуется три символа, хотя на деле необходимо четыре.


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Критическая уязвимость в загрузчике GRUB2, позволяющая обойти UEFI Secure Boot
  3. OpenNews: В обновлении GRUB2 выявлена проблема, приводящая к невозможности загрузки
  4. OpenNews: Дистрибутивы устранили проблемы с обновлением GRUB2
  5. OpenNews: Релиз менеджера загрузки GNU GRUB 2.04
  6. OpenNews: Методы отключения защиты Lockdown в Ubuntu для удалённого обхода UEFI Secure Boot
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54691-grub
Ключевые слова: grub, secureboot, uefi
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (345) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:42, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +27 +/
    Патрик как чувствовал, оставив просроченный лило.
     
     
  • 2.20, Аноним (20), 12:09, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там елило для уефи насколько помню. Лучше конечно просто ядро пересобрать со стюб и буллитин чтобы без грабов грузил.
     
     
  • 3.140, Аноним (-), 16:44, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Расслабьтесь, гуляет буткит подписаный валидным MSовским ключом. Ключ отзывать не будут, виндочка у юзеров грузиться перестанет, видите ли. Наверное его можно самому выколупать, на сильно некоторых фирмварях, но это уже сильно на любителя.
     
     
  • 4.193, Аноним (193), 19:10, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Выколупывается ключ MS практически на всех современных фирмварях проще некуда, и заменяется своим. SecureBoot Custom Mode это обычно называется, или как-то схоже.
     
     
  • 5.284, Аноним (-), 05:35, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это как бы не регламентировано никакими стандартами и это может сделать полтора юзера, да и потом придется на честное слово верить проприентарному многометровому блобу со всеми Management Engine и прочими Boot Guard'ами что и правда типа-безопасТно.

    А какая по факту безопасность с адским проприетарным блобом? Там и крыжик отключки ME бывает. Только это фикция. Проприетарное блобваре кидает команду другому блобваре в интерфейс, а что там реально за этим следует - поди еще проверь. Особо упертые конечно проверяют но это валидно только для конкретных ревизий железок и биосов.

     
  • 2.22, asdasd (?), 12:10, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нафига на UEFI отдельный загрузчик? efistub жеж. Или refind на худой конец жеж.
     
     
  • 3.110, Анонимленьлогиниться (?), 15:10, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но принципиально refind все равно проверяется shim'ом, и если там будут уязвимости, будет так же проблема с отзывом ключей. А тут ребята предлагают более хитрое решение, чтобы если найдут дырку, ключи не отзывать. Это и refind касается и systemd-boot и прочего. Дырки-то везде бывают. Сишечка же, переполнения буфера, ошибка при манипуляциях с указателями, целочисленные переполнения и тд и тп.

    Уверен что и в refind найдутся дырочки, если его реально будут использовать хотя бы 10% текущих пользователей grub2, и systemd-boot не безгрешен (даже б-жественный Поттеринг может допустить уявзимость! Или кто там его пишет). Так что идея полезная.

     
     
  • 4.134, Анон123 (?), 16:27, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Куишечка, уважаемый. Обделаться можно не только и не столько с буферами, хоть эта тема тёплая, нежная и приятная на ощупь костлявым рукам хруствиков... Тем не менее, особо глубокой премудрости в том, чтобы ошибиться в логике, дополняя чужой код не нужно. Особая премудрость иглубокий практический опыт нужен в поиске этих дефектов и они бывают похлеще ваших любимых переполнений.

    Касаемо secureboot, он нужен для защиты от других угроз. DRM не дремлет и вся эта круговая порука нужна для того, чтобы сделать защиту от возможности софтово модифицировать систему. iME со встроенными функциями для проверки UEFI. UEFI, который запускает только подписанный загрузчик, который запускает только подписанное ядро ОС, которое работает только с подписанными бинарниками и библиотеками. Вот он - рай проприетарщиков. Нет возможности запустить какую-либо отсебятину. Только подписанный код. А за подпись надо платить взнос, ты же девелопер? Значит делаешь деньги на юзере-ушастом, значит делись. Какой опенсорс? Тут серьёзный бизнес, а вы морочите голову всякой ерундой, идите делать уроки.

     
  • 4.143, Арчевод (?), 16:45, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем shim refind-у? Лень свои ключи что ли прописать и забыть про shim как страшный сон?
    И да, никто не говорит что refind идеален и 100% безопасен, но он на порядок меньше и проще grub-а.
     
     
  • 5.146, Аноним (-), 16:48, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Разве что свои ключи прописать, а чужие удалить все к чертям, если всякие MSовские еще и удаляться будут, конечно.

    ...только если у тебя система грузиться перестанет, чужие загрузочные медиа тебе слегка не помогут тогда :). Арчеводам актуально, не? :)

     
  • 5.195, Stax (ok), 19:20, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если ключи прописывать, так и взять последний grub2 без дыр не проблема.

    А при традиционном использовании со стандарными ключами как вы без shim?

     
     
  • 6.285, Аноним (-), 05:37, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Понимаешь ли, хакер всегда может взять старый GRUB подписаный вон тем правильным ключом и через него загрузить все что хотел - потому что система схавает сие за валидный загрузчик. И какая при этом разница что изначально у тебя груб новый был, м? :)
     
     
  • 7.350, Stax (ok), 13:16, 08/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Понимаешь ли, хакер всегда может взять старый GRUB подписаный вон тем правильным
    > ключом и через него загрузить все что хотел - потому что
    > система схавает сие за валидный загрузчик. И какая при этом разница
    > что изначально у тебя груб новый был, м? :)

    Не может. Потому что если это изначально мой ключ и только он присутствует в биосе, то где же хакер  возьмет мой приватный ключ, чтобы подписать свой grub / refind / что угодно? Нигде.

    А если я просерил свой приватный ключ, ну так ССЗБ...

     
  • 3.144, Аноним (-), 16:47, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Нафига на UEFI отдельный загрузчик? efistub жеж. Или refind на худой конец жеж.

    Взбрыкнет у тебя новый кернел, допустим - и дальше чего?! В grub выбрать старый и все завертится. А у тебя? :)

    И кстати все твои мытарства никак не помогают от того факта что атакующий возьмет GRUB2 со всем фаршем - и забутявит все что хотел. Видите ли у wintel настолько похабно сделаный секурбут что достаточно кому-то одному лопухнуться и все в ауте. Особенно вон тем, подписанным MS'овсеми ключами, а MS их OEM уже наподписывади этим всем все что угодно вплоть до буткитов.

     
     
  • 4.194, Аноним (193), 19:20, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Взбрыкнет кернел - загружаемся с liveusb и чиним, это бывает раз в десять лет. Если у вас чаще, можно записать livecd себе на диск, выберете в boot menu в случае чего.
     
     
  • 5.286, Аноним (-), 05:39, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, при этом мы обнаруживаем что ключи мудасофта уже выпилили :) :) а свой собственный лив - с своими ключами - сколько вообще народа делает? :)

    В общем забавная безопасТность. Лучше всего - стреляет в пятку юзеру. Не так так эдак.

     
  • 4.247, saasd (?), 09:37, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А у меня livecd / liveusb и устанвливается старое ядро.
    Или если уж так не хочется иметь этот live, лепим в скрипт установки копирование старого ядра в <>.old и в том-же refind делаем строчку загрузки алля fallback.
     
     
  • 5.287, Аноним (-), 05:40, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуй удалить ключи майкрософта как тут некоторые советуют, как раз и узнаешь в чем прикол :)

    Только лучше бы тебе научиться заранее самому делать подписанные тобой ливки. Иначе хрен его знает как ты потом это вообще раскирпичивать будешь...

     
     
  • 6.298, Аноньимъ (ok), 15:34, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В биосе разве секурбут не отключается?
     
     
  • 7.311, Аноним (-), 03:13, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > В биосе разве секурбут не отключается?

    Смотря где. На маздайных планшетках может и не отключаться. Ну, и вот как раз и придется его отключать, иначе это вообще совсем кирпич получится, если ты заранее ливфлеху с своими подписями себе не запилил. А сколько народа до этого 1) доперло 2) умеет так вообще? И да, кто эти волшебники? Тут хоть 1 такой есть?

     
  • 2.23, Аноним (-), 12:12, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +47 +/
    > позволяющие обойти UEFI Secure Boot

    Позволяет обойти зонд от M$ - разве это не преимущество?

     
     
  • 3.57, Fractal cucumber (??), 13:00, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Плюсую!
     
  • 3.81, Аноним (81), 14:01, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему это "зонд от MS"? Его же вполне себе можно настраивать на свое усмотрение, и свои ядра/загрузчики подписывать.
     
     
  • 4.99, AlexYeCu_not_logged (?), 14:41, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Почему это "зонд от MS"? Его же вполне себе можно настраивать на свое усмотрение, и свои ядра/загрузчики подписывать.

    Вот это вот

    >используется небольшая прослойка shim, заверенная цифровой подписью Microsoft

    как бы намекает.

     
     
  • 5.103, Аноним (103), 14:47, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Вот это вот
    >>используется небольшая прослойка shim, заверенная цифровой подписью Microsoft
    >как бы намекает.

    Никто не запрещает подписать shim своим ключом и добавить его в UEFI. Просто так делают, чтобы для установки системы не пришлось вкатывать свои ключи, поскольку ключи от M$ есть на многих компьютерах.

     
     
  • 6.107, AlexYeCu_not_logged (?), 15:04, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот это вот

    >Просто так делают, чтобы для установки системы не пришлось вкатывать свои ключи, поскольку ключи от M$ есть на многих компьютерах.

    как бы намекает.

     
     
  • 7.112, Аноним (112), 15:14, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это не проблема Secure Boot, а просто мледует из того факта, что на большинстве компьютеров стоит Wubdows, либо предполагается, что на него будут ставить Windows. Не думаю, что здесь есть какой-то злой умысел.
     
     
  • 8.149, Аноним (-), 16:57, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да, еще скажи что boot guard - случайность, а ME и PSP - забытые дебаговые ф... текст свёрнут, показать
     
  • 8.215, AlexYeCu_not_logged (?), 21:04, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прикинь, именно так 171 злые умыслы 187 и выглядят ... текст свёрнут, показать
     
  • 8.231, ананим.orig (?), 01:20, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    хайли лайкли ... текст свёрнут, показать
     
  • 8.257, Аноним (257), 10:44, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Очень наивно полагать, что нет злого умысла Любая большая корпорация работает с... текст свёрнут, показать
     
  • 4.148, Аноним (-), 16:56, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Почему это "зонд от MS"? Его же вполне себе можно настраивать на свое
    > усмотрение, и свои ядра/загрузчики подписывать.

    1) Настраивать можно ровно столько сколько позволит и сумеет фирмваре.
    2) Это вообще не является по "стандарту" mandatory.
    3) Себе MS сделал фавор и вписал свои ключи по дефолту, практически везде.
    4) А чтоб не сбежали на нормальное открытое фирмваре без таких подарков нате-ка вам boot guard всякий.
    5) А вот вам еще management engine и PSP в комплект, на случай если 4) все же каким-то чудом получился. И, конечно, они не будут запускать ВАШ код с опенсорснм фирмваре, где можно проверить что все честно.

     
     
  • 5.161, Аноним (112), 17:13, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > 1) Настраивать можно ровно столько сколько позволит и сумеет фирмваре.

    А есть железо, которое не позволяет добавлять свои ключи и удалять ключи от Microsoft?

    > 2) Это вообще не является по "стандарту" mandatory.

    В чем проблема, что его реализуют, особенно если оно отключаемо?

    > 3) Себе MS сделал фавор и вписал свои ключи по дефолту, практически везде.

    Ну если на компьютере есть Windows, то это логично.

    > 4) А чтоб не сбежали на нормальное открытое фирмваре без таких подарков нате-ка вам boot guard всякий.

    Какое отношение это имеет к Secure Boot, а особенно к уязвимостям в GRUB, с ним связанными? Boot Guard имеет отношение установке произвольного BIOS'а, а Secure Boot - к установке ОС. И здесь тебе никто не запрещает его отключить или вписать свои ключи.

     
     
  • 6.288, Аноним (288), 05:50, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть даже ноуты которые позволяют на выбор грузить только рхел и восьмерку Или ... большой текст свёрнут, показать
     
  • 3.113, YetAnotherOnanym (ok), 15:14, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > зонд от M$

    Видишь ли, в данном случае это не зонд, а просмоленный чопик.

     
  • 2.66, Синдарин (?), 13:26, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    shim это workaround с плохим использованием Secure Boot.


    Все делается легко, куча манов.
    Генерите свой platform owner key, подписываете ядро (грузиться уже можно даже напрямую без grub).

    Все сертификаты: прошлый owner key, корневые от MS, и прочие db можете удалить, оставьте только dbx (отозванные).

    Всё.

     
     
  • 3.70, Синдарин (?), 13:32, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Под убунту для хомяков ещё проще.

    Убунта 20.04+ детектит включённый Secure Boot, и вставляет свой корневой Canonical сертификат, которым подписано ядро.  

    MS и ненужные сертификаты можно убрать.

    Хомяки не умеющие в SB, наивно думают что в Legacy они безопаснее (про том что биос у них как был в rw режиме, так и остался, шей им руткит не хочу, наивные)

     
     
  • 4.75, Синдарин (?), 13:40, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Многие bios-ui для совсем ленивых - вообще умеют тупо генерить сигнатуры скармливаемых .efi файлов и добавлять их в whitelist (db). Ни pok ни корневые даже не нужны, просто сигнатуры нужных бинарников будет вашими ручками апрувлены.

    Минус только при обновлении ядра придётся добавлять ручками снова.

    Если bios-ui куцый, то mokutil из консоли Линукса делает с SB все что надо.

     
     
  • 5.77, Синдарин (?), 13:43, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Опять же в Ubuntu для ленивых вообще сделали
    $ update-secure-policy

    утилита в стиле "сделать все как надо, мой платформ кей, подписать модули ядра, вот это всё" в один клик

     
  • 4.150, Аноним (-), 17:00, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хомяки не умеющие в SB, наивно думают что в Legacy они безопаснее (про том что биос у них как
    > был в rw режиме, так и остался, шей им руткит не хочу, наивные)

    А ты типа умеешь в безопасТность? Мутный блобик тебе что-то там пообещал, не забыв втулить бутгадов с менеджмент энжинами, а ты типа безопсный, да? :)

     
  • 3.114, Анонимленьлогиниться (?), 15:15, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В теории - на компьютерах предприятия - может быть В жизни на типичных десктопа... большой текст свёрнут, показать
     
     
  • 4.151, Аноним (-), 17:00, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Юзеры нвидии должны страдать :)
     
     
  • 5.303, Анонимленьлогиниться (?), 18:57, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Юзеры нвидии должны страдать :)

    Гм. А не странная у вас логика? Тогда уже "пользователи линукса должны страдать". Ведь под виндой у пользователей нвидии нет ни одной проблемы с secure boot, это чисто результат палок в колеса, искуственно вставленных GPL-фанатиками и особенностями лицензирования ядра линукс :)

     
     
  • 6.312, Аноним (-), 03:18, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Гм. А не странная у вас логика? Тогда уже "пользователи линукса должны
    > страдать". Ведь под виндой у пользователей нвидии нет ни одной проблемы
    > с secure boot, это чисто результат палок в колеса, искуственно вставленных
    > GPL-фанатиками и особенностями лицензирования ядра линукс :)

    Логика простая - никто никому ничего не должен. Если кому-то что-то не нравится, никто не заставляет юзать Linux или что там еще. И как по мне, лучше бы фаны блоботы валили в свою винду где им самое место, им там и другие чудные DRMно-апсторные загородки запилят, и не то чтобы мне их будет жалко. Ведь у них был выбор.

     
  • 2.89, такаяштука (?), 14:19, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уязвимости компрометируют секюрбут, так што при помощи груба уязвим и лило и даже шиндавс.
     
     
  • 3.157, Аноним (-), 17:10, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да там еще раньше мсовские ключи скомпрометированы были, только отзывать их никто не хочет. Почему-то.
     

     ....большая нить свёрнута, показать (45)

  • 1.2, Леголас (ok), 11:43, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    в топку этот проприетарный уефи, для него токмо легаси режим
     
     
  • 2.30, Аноним (30), 12:18, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну так биосы тоже проприетарные.
     
     
  • 3.42, Леголас (ok), 12:27, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    у биосов нет секурных стартов, новость-то об уязвимости в таком
     
     
  • 4.53, InuYasha (??), 12:39, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Шило, мыло, жепь, ебрило.
    UEFI хотя бы более открытый чем BIOSы. А по сути, секуре бут вообще никому кроме M$ не нужен.
    Вот, можно ещё почитать: https://github.com/pbatard/rufus/wiki/FAQ#Why_do_I_need_to_disable_Secure_Boot
     
     
  • 5.79, Синдарин (?), 13:46, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Слабоумие и отвага.
     
     
  • 6.153, Аноним (-), 17:02, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Самокритично, чо. Доверить самое критичное секурити мутному проприетарному блобваре с бэкдорами, да еще всерьез уповать на это - это именно оно! И да, ложные ожидания в безопасности - дыра сами по себе.
     
  • 5.105, Аноним (103), 14:53, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А по сути, секуре бут вообще никому кроме M$ не нужен.

    Как минимум одному анониму с опеннета он нужен, чтобы его подписанный загрузчик никто не мог подменить и не мог впихнуть в него вредоносный код.

     
     
  • 6.159, InuYasha (??), 17:11, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как бы, и "да", но в нынешнем виде это работает только на M$. А вообще, имхо, от рута (или, тем более, из нижних колец ефи/ме) можно писать что угодно куда угодно. И cat mysupertrojan > /dev/sda, грубо говоря. Так что, кроме очередного DMCA-инструмента, трудно сказать, что это нужно.
     
     
  • 7.165, Аноним (112), 17:16, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как бы, и "да", но в нынешнем виде это работает только на M$.

    Почему?

    > А вообще, имхо, от рута (или, тем более, из нижних колец ефи/ме) можно писать что угодно куда угодно.

    К нижним кольцам ты не сможешь просто доступ получить при наличии Secure Boot, рут на локальной системе - это максимум (и то с Kernel Lockdown он слегка урезан)

     
     
  • 8.289, Аноним (288), 05:52, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, вообще-то, все зависит от того у кого ключи от замка И таки lockdown не о... текст свёрнут, показать
     
  • 5.130, Kuromi (ok), 16:06, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так SB  и был создан для того чтобы тупо запретить устанавливать чтоли бо кроме Виндоус на железо, ну или как минимум дать Микрософт полный контроль над тем что может быть подписано и загружено.
    К их огромному сожалению пока что Secure Boot все ее можно выключать, а то мы бы уже давно ощутили.
    Джае и не знаю, считают ли Микросы идею провалившейся и забили (все равно считается что мобильные девайсы это будущее) или продолжают выжидать пока все перейдут окончательно на UEFI, тот же Ubuntu установщик уже не хочет ставиться под Legacy BIOS, а вот тогда ловушку то и захлопнут.
     
     
  • 6.162, InuYasha (??), 17:14, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот, да. Подозрение такое есть. Особенно учитывая что уже есть secureboot-only-устройства (пока их мало) и ещё большую огороженность загрузчиков, например, в ARM-мире.
     
  • 6.237, Анонимный Алкоголик (??), 03:29, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну так SB  и был создан для того чтобы тупо запретить
    > устанавливать чтоли бо кроме Виндоус на железо, ну или как минимум
    > дать Микрософт полный контроль над тем что может быть подписано и
    > загружено.

    Это конечно же не так.
    Потребность в системе защиты имеет быть весьма широко востребованной.
    И если "вашим" компъютером фактически владеет MS, то пора искать виновных... >:-)

     
  • 5.158, Аноним (-), 17:11, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > UEFI хотя бы более открытый чем BIOSы.

    Да? И как мне вон тот баг в системном фирмваре починить? Что-то не вижу сорца на эту вендорскую муть.

     
  • 4.60, Аноним (60), 13:05, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты понимаешь, что ты пишешь? В биосе такой функциональности ВООБЩЕ нет. Там можно трояны грузить, и мамка даже ухом не поведет
     
     
  • 5.82, Аноним (82), 14:02, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что мешает мне загружать в UEFI в грабе (или даже в винде) трояна (само собой пользователь будет думать что это подписанная убунту)? Подпись добавлю в UEFI как в комментах описано.
    Так что все просто сводится к паролю на биос\уефи и в этом плане они ничем не отличаются.
    Очередное мелкософтское непродуманное @#$%^&.
     
     
  • 6.119, Аноним (119), 15:37, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    отличается тем, что вирусы не смогут это сделать, для чего собственно и придуман был секуре бут.
     
     
  • 7.155, Аноним (-), 17:03, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Именно поэтому буткиты нынче подписаны легитимным MSовским ключом, отзывать который всем обломно :)
     
  • 7.200, kusb (?), 19:36, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    1 Что-то будет загружено пользователем в интерактивном режиме? Проверка подписи почти не нужна, максимум предупреждение.
    2 Что-то загружено программой втихую? Лучше спросить об этом модуле при следующей загрузке.
    3 Нельзя спросить из-за того, что это важный драйвер и нет возможности вывести изображение на экран или принимать ввод? Тогда пригодится подпись, да, но лучше избегать такого.

     
  • 6.236, Анонимный Алкоголик (??), 02:33, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А что мешает мне загружать в UEFI в грабе (или даже в
    > винде) трояна (само собой пользователь будет думать что это подписанная убунту)?
    > Подпись добавлю в UEFI как в комментах описано.

    Что за бред? Какой пользователь? И какая разница что будет думать какой-то пользователь?

    А конкретно вам должно помешать что-то загрузить в чужой компъютер Secure Boot. К которому у вас нет ключа. Подпись вы тоже добавить не сможете, если SecureBoot должным образом включён (и система, которую оно разрешает загружать, должным образом защищена -- например не предоставляет права Администратора без должной аутентификации и пароля...).
    И Администратор и Пользователь -- очень разные персоны, отныне знайте.

     
  • 2.36, Аноним (20), 12:22, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разве легаси режим  не через эту же прошивку работает?
     
     
  • 3.43, Леголас (ok), 12:28, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    см. выше, #42
     
     
  • 4.55, Аноним (55), 12:46, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То есть проприетарный биос лучше проприетарного уефи?
     
     
  • 5.160, Аноним (-), 17:13, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, он по крайней мере не навязывал с какой фс грузиться. Теоретически, конечно, вы можете вон те длинные тантры с подпихиванием драйвера ФС фирмвари. Практически, вы скорее сделаете из компа таким макаром кирпич. Тем более что там подписи запросто окажутся. А если не окажутся - так, стоп, а хакеру что помешает то же самое сделать? :)
     
  • 2.49, llolik (ok), 12:35, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Последнее время, что-то часто стали попадаться платы, где legacy тупо недоступен. Чем-то чую, что таких со временем будет чуть менее чем все.
     
     
  • 3.67, ryoken (ok), 13:27, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "Здравствуйте, я ваша тётя". Так вроде бы в прошлом году (если не раньше) Интел издавал дикие вопли на тему "всё, CSM ненужен, скоро вырбим его к хренам!!!"
     
     
  • 4.72, llolik (ok), 13:36, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Интел издавал дикие вопли

    Ну вот, видимо, от воплей перешли к реализации.

     
  • 3.90, anon14 (?), 14:22, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ничего подобного, в Asus/MSI/Gigabyte все работает
    например MSI A320M-A PRO/Gigabyte B450M S2H v2 (AMD)
    MSI B365M-PRO VH/Asus Prime H310M-R R2.0/Asus Prime Z390-P (Intel)

    грузит все в legacy без проблем GPT + bios boot
    а также работает с M2 NVME без проблем в legacy

     
     
  • 4.120, бедный буратино (ok), 15:41, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у меня ноут asus, купленный лет 5 назад, там только uefi. из ноутов, которые куплены позже, только в одном можно включить CSM, но после этого напрочь отрубается встроенная клавиатура :)
     
     
  • 5.167, vasya (??), 17:18, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    dell latitude e6430
    достойный ноут, ivy bridge core i5/i7, выключается
     
  • 5.199, Stax (ok), 19:31, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем вам включать CSM?

    В режиме CSM не только секьюр бут отваливается (который и выключить-то не проблема, если хочется), а всякие другие плюшки, например на моем thinkpad - kernel dma (безопасный режим для thunderbolt, см. https://thunderspy.io/) его требует; я так понимаю, by design от интела он возможен только в чистом UEFI-режиме.

     
  • 3.154, Аноним (154), 17:03, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "О новый дивный мир..." привет из 1984 года!
     
  • 2.92, Аноним (-), 14:26, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > в топку этот проприетарный уефи, для него токмо легаси режим

    в топку так в топку, а толку от этого НОЛЬ, ибо:
    легаси биос точно такой же проприетарный лол...
    и там, и там интелме и прочая бинарная шляпа, которую вы не контролируете... всё строго по эскобару. что уефи, что легаси режимы, что чистые биосы и тп это всё проприетарное, закрытое. что ваш ноут с уефи, что без уефи - и там, и там те же яйца, только в профиль.

    если только вы не счастливый обладатель коребута/либребута.
    но лиц обладателей чистых перепрошитых биосов примерно вот столько: 0,000000000000000001%

     
  • 2.206, Аноним (206), 19:49, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо путать secure boot и uefi.
    Secure boot - это фича, которую можно не использовать. А uefi хоть как-то стандартизован, его в перспективе будет проще заменить на свободное ПО, чем биос-блобы.
     
  • 2.354, Kuromi (ok), 23:27, 02/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На некоторых новых (и даже не очень, пару лет назад выпущенных) материнских платах уже нет CSM (Легси) режима в UEFI.
     

     ....большая нить свёрнута, показать (34)

  • 1.3, Урри (ok), 11:43, 03/03/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +20 +/
     

     ....ответы скрыты (6)

  • 1.4, Аноним (4), 11:43, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    К слову о необходимости скуд для стоек/доступа в цод и обеспечения физ.беза в принципе, мда.

    Статья слишком большая, не понял - во всем опять виноват мс или в этот раз оподливились все?

     
     
  • 2.253, Michael Shigorin (ok), 10:09, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Статья слишком большая, не понял - во всем опять виноват мс
    > или в этот раз оподливились все?

    Тут, думаю, скорее не вина даже -- а совершенно безумная надежда на то, что запредельной сложности агрегаты будут ещё и надёжными (ну, повезёт за границами человекопостижимости).

    Что-то я с запозданием начинаю понимать Алана Кокса, занявшегося опять восьмибитными машинками после отхода от дел в ядре...

    С другой стороны -- радует, что уже по факту начинаю забывать про все эти UEFI и x86 потихоньку (да и aarch64 не занимался особо).

     
     
  • 3.259, Аноним (259), 11:18, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Старость...
     
  • 3.290, Аноним (288), 05:55, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сменив на нечто, где даже система команд не документированная и компилер проприетарный. Вот уж из огня в полымя. Поха к себе наймите, саботажить - так уж по полной. Он наверняка придумает чего еще бессмысленно и беспощадно зажлобить можно.
     

  • 1.5, Fracta1L (ok), 11:44, 03/03/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –4 +/
     

     ....ответы скрыты (3)

  • 1.6, Аноним (6), 11:46, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –26 +/
    А писали бы на C++, такого бы не произошло в принципе. Язык С давно уже нужно признать устаревшим и небезопасным.
     
     
  • 2.11, Леголас (ok), 11:49, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Эм, это потому что для C каждые три года не выходит новый стандарт с кучей новых "нужных" фич? Не путайте, товарищ, стандарты и то, как эти стандарты конкретные компиляторы воплощают в жизнь, ну и «пища» для них, компиляторов, в виде адекватного исходного кода есть вещь определяющая.
     
     
  • 3.25, Аноним (25), 12:15, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > ну и «пища» для них, компиляторов

    А зачем пищать? Без этого не компилится?

     
     
  • 4.28, Леголас (ok), 12:17, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    метафора? не, не слышал
     
     
  • 5.34, Аноним (25), 12:21, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Сарказм? не, не слышал
     
     
  • 6.40, Леголас (ok), 12:26, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    как писал анон не так давно в каком-то треде: вас тут хрен разберешь, сарказм или тупой (уж извините)
     
  • 6.254, Michael Shigorin (ok), 10:10, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Сарказм? не, не слышал

    Это не сарказм, это неумение читать.

     
  • 4.61, некая_ычанька (?), 13:08, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Затем, что vi.
     
  • 2.26, Урри (ok), 12:16, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Язык Си - универсальный. Хочешь - пишешь безопасно, хочешь - пишешь небезопасно. А хочешь - вообще не пишешь.

     
     
  • 3.100, Anonim (??), 14:43, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –8 +/
    На си нет режима "безопасно". Есть только "по долбое*ски" и "по идиотски", т.к. в языке все сделано для того, чтобы программисты вырождались либо в первых, либо во вторых, и забывали, что значит программировать (совсем не описывать поведение микроконтроллера 70х как в си), как писать адекватный и понятный, компактный код. ...как итог: си код либо медленный (и со встроенным интерпретатором, как минимум командной строки..), либо ошибочный, "дырявый" и неадекватный задачам программирования и требованиям безопасности.
     
     
  • 4.163, Урри (ok), 17:14, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    у вас в слове Python шесть ошибок. Ну или в слове Rust четыре.
     
  • 4.291, Аноним (288), 05:56, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > На си нет режима "безопасно".

    Есть, но может задолбать не меньше чем ада адовиков-затейников безопасно уронивших ариан 5.

     
  • 3.355, Аноним (355), 11:41, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А Rust ещё универсальнее. Пишешь, пишешь - и всё напрасно.
     
  • 2.32, ixrws (??), 12:19, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Давно пора признать устаревшими евровилки, uk вилки и прочие давно существующие стандарты подключения электричества. Также признать устаревшими стандарты 220, 110 и вообще синусоидный переменный ток, равно как и постоянный. Ещё необходимо признать устаревшими и опасными картофель, все зерновые и вообще всё, что мы выращиваем и пользуемся уже тысячи лет.
     
     
  • 3.213, Аноним (213), 21:01, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вчера втыкал евровилку себе в ногу, чуть не отстелил. Славо богу я съел недозревший картофель и умер до того как боль почувствовал.
     
     
  • 4.258, jfdbngh (?), 10:57, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    2 чая уже можно не подавать?
     
  • 3.356, Аноним (355), 11:43, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    10 кВ тебе прямо в квартиру.
     
  • 2.38, Аноним (38), 12:25, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ЗАДАЧА: Прострелить себе ногу.

    C: Вы простреливаете себе ногу.
    C++: Вы случайно создаете дюжину копий объекта «вы» и всем им простреливаете ногу. Срочная медицинская помощь оказывается невозможной, так как вы не можете разобраться, где настоящие копии, а где — те, что только указывают на них и говорят: «А вот он я!»

     
     
  • 3.256, Аноним (256), 10:31, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    +
     
  • 3.353, Аноним (-), 11:57, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Начитаться о вреде С и пойти почитать про хруст, ничего не понять но считать что ты выбрал правильный путь обучения (нет). Не написать ничего стоящего, попробовать переписать базовую утилиту, понять что месяц ушеднший на то что делается за пять минут - уже не вернуть. Подумать о том чтоб застрелиться - но это больно, попробовать застрелиться на 20% и стрельнуть себе в ногу.
     

  • 1.7, neAnonim (?), 11:46, 03/03/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +5 +/
     
  • 1.10, Аноним (10), 11:48, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Если позволяет обойти не нужно, то это даже хорошо.
     
     
  • 2.166, Аноним (112), 17:17, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почему бы просто не отключить Secure Boot в настройках BIOSа, раз не нужно? :)
     
     
  • 3.327, Аноним (327), 13:58, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Читай выше по треду, не везде такая опция есть.
     

  • 1.12, Аноним (12), 11:52, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Время идёт, а линукс в использование TPM и trusted boot, все так же не умеет, но небезопасной всеравно считается винда
     
     
  • 2.15, Аноним (15), 12:07, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вот как мс откроет свой загрузчик, там и будем посмотреть. Чую печенкой там дыр в деясток раз больше
     
     
  • 3.52, Аноним (55), 12:38, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот как мс откроет свой загрузчик

    Зачем открывать? Или безопасность через закрытость вдруг стала работать? Если есть дыры, их и так найдут, а на что способны "тысячи глаз" в опенсорсе итак уже всем известно

     
     
  • 4.63, Аноним (15), 13:11, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    таки да, безопасность через закрытость работает.

    Из за того, что дыры тяжелее обнаружить. Исх код то закрыт.

     
     
  • 5.129, Аноним84701 (ok), 16:03, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > таки да, безопасность через закрытость работает.
    > Из за того, что дыры тяжелее обнаружить. Исх код то закрыт.

    Пока не утечет мастерключ.
    https://www.opennet.ru/opennews/art.shtml?num=44950
    > Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
    > 11.08.2016 19:22

     
     
  • 6.171, Аноним (171), 17:22, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет. SecureBoot хорошая и нужная вещь. Выаидывай ключи M$ и ставь свои.
     
     
  • 7.292, Аноним (288), 05:58, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет. SecureBoot хорошая и нужная вещь. Выаидывай ключи M$ и ставь свои.

    Только когда мастерключ можно самому прописать, заверив им опенсорсную реализацию где хоть какой-то аудит сорца был. Бутгад намекает что главное кольцо таки не у вас...

     
     
  • 8.304, kmeaw (?), 20:21, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Boot Guard и Secure Boot решают разные задачи, да и на десктопных платах часто м... текст свёрнут, показать
     
     
  • 9.313, Аноним (-), 03:30, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это как Насколько я помню, мастерключ однократно шьется в фузы И кто первый вс... большой текст свёрнут, показать
     
  • 3.118, YetAnotherOnanym (ok), 15:37, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пройдись по новостям на Опеннете, выбери новости "Mшcrosoft открыла код" и найди в этом свежеоткрытом коде дыр "в десяток раз больше".
     
  • 2.115, sage (??), 15:16, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подвижки идут, в Clevis есть планы по добавлению TPM 2.0 Authorized Policies, но всё очень долго. Самому всё сделать, что ли.
     
     
  • 3.173, Аноним (171), 17:30, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    IMA/EVM имеет птдержку TPM.

    Пробовали IMA/EVM без TPM и с открытием/закрытым ключом, а не HMAC?

     
  • 2.169, Аноним (169), 17:19, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У GNU/Linux Integrity уже есть более 10 лет: https://www.opennet.ru/openforum/vsluhforumID3/123444.html#131
     
  • 2.357, Аноним (355), 11:51, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >но небезопасной всеравно считается винда

    А чего тут удивительного? Пусть Винда умеет все эти ваши TPM и trusted boot. А затем, успешно через них продравшись (загрузившись), радостно открывет наружу бекдор для кого нужно.

     

  • 1.16, Аноним (19), 12:07, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Складывается такое впечатление, что безопасники своими навороченными новшествами просто стреляют себе в голову...
    С каждой новой "фичей по безопасности" - приходит 10 новых опасностей...
     
     
  • 2.35, Последний из могикан (?), 12:22, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С разморозкой вас!
     
  • 2.41, Аноним (19), 12:27, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    походу совсем не те заявленные цели они преследуют
     
  • 2.126, трурль (?), 15:51, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чудище обло, огромно, озорно, стозевно и лайяй.
     
  • 2.214, Аноним (213), 21:03, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В этой ветке не хватает анонима из оупеннета, который напишет как положено. А потребуется ему только Си, граненый стакан и пепельница.
     
  • 2.246, Аноним (246), 09:34, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Оно ради вендорлок пилилось, пусть и не полного.
    Безопасность так, как повод.
     
     
  • 3.261, Аноним (259), 11:24, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вендорлок полный не дали сделать антимонопольные органы в США и Европе. Но думаю оно все же пилилось ради распила за примии эффективным менеджерам.
     
     
  • 4.293, Аноним (288), 05:59, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вендорлок полный не дали сделать антимонопольные органы в США и Европе. Но
    > думаю оно все же пилилось ради распила за примии эффективным менеджерам.

    Ради DRM'а и копирасии, вообще-то. В идеале сделать из винды второй ифон, с установкой только через аппстор.

     

  • 1.17, pin (??), 12:07, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    КТО?? использует всё это дерьмо в реальности и в полном объективном осмыслении? Выйди из своего ада на пару минут и расскажи, фейхуа тебе всё это надо???
     
     
  • 2.76, пох. (?), 13:41, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    _некоторое_ понижение шансов, что попавший в руки других васянов ноут не получит каких-нибудь сюрпризов незаметно для меня.

    В отличие от бесполезных выпиливаний несекьюрных шифров, ломаемых всего-то за $50000 - вполне осмысленная мера.

     
     
  • 3.133, Аноним (-), 16:13, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    -что-то последнее время мы или проигрываем или опаздываем..
    -ну не знаю, у меня сенкьюребут
     

  • 1.18, Аноним (18), 12:08, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Так это не уязвимости, это фичи, секуребут как и уефи - ересь поганая, должна быть возможность запускать любую ОС без попрошайничества ключей у гомноконторы!
     
     
  • 2.21, Аноним (55), 12:10, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    формально она есть - берешь и своим ключем подписываешь то, что надо запустить
     
     
  • 3.27, Урри (ok), 12:17, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну да - ты подписываешь, а оно не грузит. Потому что в железе прошит ключ майков, а не твой.
     
     
  • 4.31, Аноним (31), 12:18, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Формально она есть - берёшь и делаешь своё железо заливая туда свой ключ) Видимо так
     
  • 4.44, Аноним (55), 12:30, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ты подписываешь, а оно грузит, потому что ты сгенерировал через openssl ключи, которыми подписал то, что нужно тебе загружать, а сам ключ через интерфейс uefi загрузил в прошивку, об этой возможности даже на ресурсах мелкомягких сказано. Например, можешь начать отсюда

    https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oe

     
     
  • 5.210, Урри (ok), 20:23, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Буду знать, спасибо.
     
  • 5.225, Аноним (246), 22:54, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так это тоже скоро выпилят
    Для вашей безопасности :)
     
     
  • 6.305, kmeaw (?), 20:25, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Secure Boot нужен в первую очередь крупным организациям. Они просто не купят железо, если возможность загружать свои ключи выпилят, так что вряд ли это произойдёт.
     
     
  • 7.309, Аноним (309), 21:00, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Secure Boot нужен в первую очередь крупным организациям.

    Для чего?

    Организациям нужно шифрование диска. Чтобы если кто-то ночью вломится и украдёт компьютер главного бухгалтера, он не смог достать с него бухгалтерию предприятия.

    А Secure Boot-то им зачем? Из-за слова "Secure" в названии?

     
     
  • 8.322, Алкоганон (?), 05:57, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    - Как грубо А вот бывает прямо среди дня Какой-то неприметный сотрудник ... текст свёрнут, показать
     
     
  • 9.324, Аноним (309), 08:30, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще не понял, о чём это Средь бела дня троян в систему ставится методом запу... текст свёрнут, показать
     
     
  • 10.336, Алкоганон (?), 17:51, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А если не ставится Потому что система не разрешает запустить Да ещё сначала на... текст свёрнут, показать
     
     
  • 11.347, Аноним (309), 00:01, 07/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что значит а если Вы подгоняете условие под ответ Я тоже так могу а если си... большой текст свёрнут, показать
     
  • 7.328, Аноним (327), 14:03, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Очень крутые организации договорятся, а для крестьян выпилят.
     
  • 7.358, Аноним (355), 11:58, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Они просто не купят железо, если возможность загружать свои ключи выпилят, так что вряд ли это произойдёт.

    "А не будут покупать, отключим газ!" Пусть походят по рынку в поисках оборудования с возможностью заливки своих ключей.

     
  • 2.85, Аноним (103), 14:13, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А в чем проблема самому загенерить свой ключ, подписать им ядро и загрузить в UEFI? Никто не запрещает.

    А просить ключ у Microsoft надо только в том случае, если ты пилишь свой дистр, и хочешь, чтобы он грузился у всех подряд (потому что по дефолту на многих компах есть ключ от M$, но ничего не мешает его оттуда спокойно убрать)

     

  • 1.24, Аноним (31), 12:12, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Только вот вчера ночью ставил на локалхост себе арч и выбирал бутлоадер. Выбрал груб2 И вот на тебе.
     
     
  • 2.54, Аноним (54), 12:45, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нахрена? Чем тебе efistub не нравится. Пысы выбор был я так понимаю из lilo и grub2?
     
     
  • 3.201, Аноним (31), 19:40, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я выбирал по табличке из вики арча. Там у граба были везде плюсы. А stub я так понял это костыль какой-то, когда вместо загрузчика засунули ещё одно ядро линукса.
     
     
  • 4.219, Аноним (112), 21:51, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > stub я так понял это костыль какой-то, когда вместо загрузчика засунули ещё одно ядро линукса.

    Не еще одно, а ровно то, которое надо загрузить. Просто так оно грузится напрямую, безо всяких посредников в виде grub'а.

     
  • 2.86, anonymous (??), 14:15, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Можно же EFISTUB и systemd-boot или rEFInd использовать. И PreLoader для SecureBoot. GRUB2 только если что-то уж очень сложное надо загрузить.
     
     
  • 3.202, Аноним (31), 19:42, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Из этих слов я слышал только systemd и grub При этом про первое было куча мата, а второе вроде как давно на слуху и видимо рабочее. Потому и выбрал граб.
     
     
  • 4.233, Последний из могикан. (?), 01:26, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не советую брать за ориентир мнение среднестатистического опеннетовца)
     
  • 4.266, edo (ok), 18:14, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > При этом про первое было куча мата

    systemd-boot совсем не равно systemd

     

  • 1.29, Аноним (31), 12:17, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >>Как и в случае с прошлогодней уязвимостью BootHole, для блокирования проблемы недостаточно обновить загрузчик, так как атакующий, независимо от используемой операционной системы, может для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью.

    Это легко решить массово и на корню просто отозвав микрософтный ключ.

     
  • 1.33, Аноним (33), 12:21, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    A local attacker with administrative privileges (or with physical access to the system) could use this issue...

    Короче расходимся

     
  • 1.37, Аноним (31), 12:23, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >При расчёте размера предполагалось, что для экранирования одинарной кавычки требуется три символа, хотя на деле необходимо четыре.

    Нет слов, одни междометия. Почему в языках программирования я делаю string.replace("\'", "\'\'") и не парюсь о размерах?

     
     
  • 2.47, Аноним (55), 12:33, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    не шатай скрепы, смузихлеб, так наши батьки писали, деды писали, и ты пиши
     
     
  • 3.232, Последний из могикан. (?), 01:23, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Аминь!
     

  • 1.39, iPony129412 (?), 12:25, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > позволяющие обойти UEFI Secure Boot

    Ну и ладно. Всё равно вещь бестолковая.

     
  • 1.45, Аноним (45), 12:30, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPI

    А так можно было?? (⊙_⊙)

     
     
  • 2.181, Аноним (181), 18:00, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, вот именно так удалось прописать P-state на частоту 900MHz для AMD A8-4555M на неттопе (чтобы меньше грелся APU), производитель почему-то забыл добавить в EFI. Однако он забыл добавить и 2 boost states, вот их добавить так же уже нe получилось.
     

  • 1.46, Последний из могикан (?), 12:32, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Coreboot
     
     
  • 2.68, ryoken (ok), 13:30, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Эти тоже те ещё деятели. Зачем-то откидывают поддержку железа, которое люди используют.
     
     
  • 3.93, Последний из могикан (?), 14:27, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Среднестатистический пользователь должен страдать за свою глупость,лень и эгоизм,так что все идёт как должно быть.
     
     
  • 4.98, Аноним (20), 14:40, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно! Железо покупать каждые два года? Это как с Андроид который не обновить должно быть?
     
     
  • 5.101, Последний из могикан (?), 14:46, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Все верно.И главное побольше нововведений(как символично)чтоб от соседа с его умной хатой не отстать.
     
     
  • 6.124, Аноним (20), 15:45, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Маркетолог однако.)
     
  • 4.125, Аноним (45), 15:49, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем-то откидывают поддержку железа, которое люди используют.
    > Среднестатистический пользователь должен страдать за свою глупость,лень и эгоизм

    Какая связь? В чём заключается глупость, лень или эгоизм пользователя в данном случае?

     
     
  • 5.135, Последний из могикан (?), 16:33, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    1.Глупость.Отсутствие знаний.Шаман сказал ему принести двух свиней чтоб он дождь вызвал-умный шаман.
    2.Лень.Пусть за меня подумают и решат.Чем я буду вызывать дождь пусть шаман за меня его вызовет.
    3.Эгоизм.Шаман,мне плевать на тебя и остальных,скорее вызви мне дождь!
     
  • 3.306, kmeaw (?), 20:26, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-то запретил использовать те версии, в которых ещё есть поддержка этого железа?
     

  • 1.48, Аноним (48), 12:35, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    dbx в прошивке обновиться автоматически? Нужно ли вручную заходить в uefi и что-то там настраивать?
     
  • 1.51, Аноним (51), 12:37, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как будто это что-то плохое.
     
  • 1.56, nuclight (??), 12:56, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Мда, список таких детских CVE... GRUB по-прежнему pешето.
     
  • 1.58, jura12 (ok), 13:02, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    давно такого не было и вот опять.
     
  • 1.65, ryoken (ok), 13:22, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >> в обход верификпации

    Поправьте плз.

    По сабжу - SecureBoot в печь. Ну и вместо GRUB2 тогда rEFInd для (U)EFI системю

     
     
  • 2.96, n00by (ok), 14:32, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >>> в обход верификпации
    > Поправьте плз.

    На верифакапцию.

     

  • 1.69, Адекват (ok), 13:31, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Был же grub 0.97 и горя не знали, а теперь жду новость "после обновления grub2 у 50% пользователей линукс перестал загружаться, совсем, требуется переустановка".
    Не было у бабы проблемы - купила баба порося.
     
     
  • 2.78, пох. (?), 13:44, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Был же grub 0.97 и горя не знали

    Не знали, только вот он немного не умеет грузиться на компьютерах десятилетней (Карл!) давности.

    К сожалению, некоторые устаревшие технологии таки приходится выбрасывать, а не жить с эмуляцией давно мертвого дос-загрузчика еще триста лет.

     

  • 1.73, mymedia (ok), 13:37, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Все секур бут уязвимости решаются одним переключателем в прошивке. Только полное отключение и никакой эболы с ключами. Нормальным, честным людям ограничивать свой компьютер нет необходимости. Это всё только корпоратам и нужно.
     
     
  • 2.84, Аноним (54), 14:10, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я понимаю твою точку зрения, но ты мне не нравишься. Я считаю её ошибочной. Гораздо лучше, когда у пользователя есть контроль. Чтобы посадить пользователя в клетку подобные технологии никогда не были необходимостью.
     
     
  • 3.192, Аноним (-), 19:05, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    если тайная аркадия делает ружье, то оно стреляет на 359 градусов и у пользователя только контроль несложного выбора - быть или не быть.
     
  • 2.94, Аноним (103), 14:27, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Все секур бут уязвимости решаются одним переключателем в прошивке.

    Если ты его отключишь, то безопаснее от этого не станет :) Просто атакующему не надо будет прилагать усилий, чтобы загрузить недоверенную ОС.

    Так-то все уязвимости решаются выключением компьютера :) Компьютер выключен, и никто на нем не сможет запустить вредоносный код. Полезный код ты тоже не запустишь, но кого это волнует...

     
     
  • 3.104, Онаним (?), 14:52, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну загрузит он недоверенную ОС и загрузит. Шифрованные разделы от этого не расшифруются.
     
     
  • 4.106, Аноним (103), 14:55, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну загрузит он недоверенную ОС и загрузит. Шифрованные разделы от этого не расшифруются.

    Если подменить загрузчик (он же в принципе не может быть зашифрованным), то вполне себе можно узнать пароль от шифрованных разделов. А Secure Boot при наличии прямых рук от такого и защищает.

     
     
  • 5.108, Онаним (?), 15:04, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Secure Boot внезапно от этого не защищает вообще, потому что при наличии возможности подмены загрузчика - если это root-доступ - уже есть возможность либо читать все подключенные разделы, либо если это физический доступ - secure boot внезапно можно и отключить, и ключ ему подменить вместе с загрузчиком, и т.п.
     
     
  • 6.323, Алкоганон (?), 06:31, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Secure Boot внезапно от этого не защищает вообще, потому что при наличии
    > возможности подмены загрузчика - если это root-доступ - уже есть возможность
    > либо читать все подключенные разделы

    Что значит root-доступ? Кто-то писал. что не видит проблем с загрузкой "недоверенной ОС". Которая может быть и ДОС...
    Кто-то писал что зашифрованные разделы не расшифруются, а тут уже "читать все"...

     
     
  • 7.326, Онаним (?), 09:57, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это значит, что никакой secure boot уже не важен и не интересен, поскольку сторонний кусок кода в системе и так имеет доступ ко всему, к чему захочет. В т.ч. к зашифрованным разделам, которые подключены.
     
     
  • 8.330, Алкоганон (?), 16:24, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это без SecureBoot оно DOS имеет доступ, поскольку загрузилось своим загрузчи... текст свёрнут, показать
     
     
  • 9.331, Онаним (?), 16:33, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Оно никуда не загружалось, оно туда в результате юзера, кликнувшего на поступив... текст свёрнут, показать
     
     
  • 10.332, Алкоганон (?), 17:32, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Говорилось о загрузке недоверенной ОС Теперь уже поступивший счёт exe - Ну... текст свёрнут, показать
     
     
  • 11.333, Онаним (?), 17:46, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты то ли читать не умеешь, то ли осмысливать, уж извини Говорилось о том, что е... текст свёрнут, показать
     
     
  • 12.338, Алкоганон (?), 18:16, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так права такие потому что ОС такая загружена, недоверенная, потому что Secure B... текст свёрнут, показать
     
     
  • 13.339, Онаним (?), 18:45, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И замок висит Амбарный ... текст свёрнут, показать
     
     
  • 14.341, Алкоганон (?), 18:49, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага И секуритати туда сюда прогуливаются Такие С восточными чертами ... текст свёрнут, показать
     
     
  • 15.343, Алкоганон (?), 18:52, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну или Папу следует самое позднее к завтраку ждать - ... текст свёрнут, показать
     
  • 11.337, Онаним (?), 17:53, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    если проще, secure boot - это иллюзия мнимой безопасности нет смысла менять за... текст свёрнут, показать
     
     
  • 12.340, Алкоганон (?), 18:46, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага Началось Продолжение а может просто сразу в морду А если не прощ... текст свёрнут, показать
     
     
  • 13.342, Онаним (?), 18:52, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как ты собрался подменять загрузчик без доступа к системе А если у тебя есть до... текст свёрнут, показать
     
     
  • 14.344, Алкоганон (?), 19:04, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А ведь делали вид что зашифрованные разделы что-то особенного для вас ... текст свёрнут, показать
     
     
  • 15.345, Онаним (?), 19:54, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты серьёзно читать не умеешь Ну реально Ещё раз по буквам 1 Если есть достат... текст свёрнут, показать
     
  • 12.346, Аноним (309), 23:42, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то, через физический доступ намного проще Троян для загрузчика ещё напис... текст свёрнут, показать
     
  • 5.109, Онаним (?), 15:09, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    (если проще)
    1. В случае root доступа secure boot уже не важен
    2. В случае физического доступа подменять резоннее не загрузчик, а клавиатуру :)
     
     
  • 6.270, Арчевод (?), 22:43, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У людей заботящихся о своей безопасности одного пароля для расшифровки диска мало - многофакторную аутентификацию не вчера придумали. Тот же yubikey при загрузке помогает не боятся кейлоггеров.
     
     
  • 7.334, Онаним (?), 17:48, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как насчёт модулей DRAM, на которых есть немножечко логики и флеша, и которые подсунут свой код уже после загрузки ОС? :D
     
  • 7.335, Онаним (?), 17:49, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    (никогда не думали, что физический доступ открывает безграничные возможности?)
     
  • 5.164, Аноним (54), 17:15, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Подменённый загрузчик ещё не означает расшифрованные разделы, его подменяют как раз с целью получить полный доступ и не сейчас а вообще, в том числе после выключения.
     
  • 2.121, Аноним (121), 15:43, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Все секур бут уязвимости решаются одним переключателем в прошивке.

    А как именно?

     
     
  • 3.307, kmeaw (?), 20:29, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Переключателем read-only, который запрещает софтверно обновлять все важные компоненты (прошивку, бутсектор, загрузчик, ядро, initramfs и так далее). Вот только Secure Boot был сделан как раз для того, чтобы админ крупной организации не ходил пешком до тысячи машин, чтобы пощёлкать этим переключателем при накатке планового обновления.
     
     
  • 4.314, Аноним (-), 03:35, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Boot был сделан как раз для того, чтобы админ крупной организации
    > не ходил пешком до тысячи машин, чтобы пощёлкать этим переключателем при
    > накатке планового обновления.

    Проблема в том что хакеры ничем таким принципиально от этого админа не отличаются. А современные фирмваре еще к тому же любят писать в флеху дрянь и не всегда хорошо реагируют на ошибку записи.

     
  • 2.127, Аноним (82), 15:51, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Некоторым конечно и ограничивать нужно, но паролем, а не подписями которые любой физически может добавить и установить что хочет.
     

     ....большая нить свёрнута, показать (31)

  • 1.83, jOKer (ok), 14:10, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну, это даже хорошая новость если подумать.

    Лучше была бы новость только о том, что секуре бут дырявый на уровне архитектуры, и его использование в связи с этим прекращается, а шим, так тот вообще запихивается микрософту в... дырочку пониже талии.

     
     
  • 2.88, Аноним (103), 14:17, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Здесь скорее дырявое его использование в основных дистрибутивах и загрузка всего через shim и grub. Если самому подписывать ядро и свои ключи, то защита будет гораздо лучше. (Правда, остается вариант уязвимости в самой реализации UEFI, но тут они все разные на разных компьютерах, поэтому такое сложнее эксплуатировать)

    И, кстати, ядро спокойно умеет грузиться без посредников в виде grub'а

     
     
  • 3.95, ryoken (ok), 14:28, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> ядро спокойно умеет грузиться без посредников в виде grub'а

    Ну, для того надо выполнить несколько условий: версия не ниже 3.13 (поправьте, если промазал), EFISTUB в конфиге включен (кстати, т.к. использую генту, там ещё пара опций есть, типа Hybrid EFISTUB кажется, которое делает возможным загрузку из 32-бит EFI 64-битного ядра). Конечно, можно вопить что все дистры сейчас по дефолту так и делают :D.

     
     
  • 4.97, Аноним (103), 14:37, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Конечно, можно вопить что все дистры сейчас по дефолту так и делают :D

    Если используется ядро ниже 3.13 (которое уже давно устарело) или отключен EFISTUB в конфиге, то на это должны быть ОЧЕНЬ веские причины сидеть на старом вручную скомпиленном ядре. Считаю, что такие конфигурации - исключение, а большей части пользователей GNU/Linux ничто не мешает при наличии времени и желания настроить себе загрузку через efistub.

     

  • 1.91, Анон Анонов (?), 14:23, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну вот смотрите, 5 / 8 уязвимостей это манипуляции с памятью и буфером. Ну если так тошнит от раста, ну напишите себе прослойку, которая в compile time всё точно также проверяет. И границы, и использование.
     
  • 1.111, Аноним (111), 15:13, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кому нужен этот гроб, когда ядро поддерживает EFI Stub?
     
  • 1.117, village_coder (ok), 15:32, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А почему все сертификаты для загрузчиков надо заверять в Microsoft?
     
     
  • 2.122, YetAnotherOnanym (ok), 15:44, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что в чужой монастырь со своим уставом не ходят. Дадада, материнская плата в твоём компьютере - это "не твой монастырь", причём уже давно.
     
  • 2.132, anonim234 (?), 16:12, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Осторожная правда почему сертификаты опасны , не плохо ты понял , но не остальные и для каждого efi свое ядро надо и не сигнатурному ядру может не дать загрузится в секуре бут что лечится его отключение и удалением csv из esp раздела прекрасно основанный маиками.
     
  • 2.139, Арчевод (?), 16:42, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо. SecureBoot на x86 позволяет сгеренировать и использовать свои ключи для проверки подписей при загрузке, а изкоробочные ключи от MS можно удалить.
     
  • 2.168, пох. (?), 17:19, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что у тебя с твоими 1% десктопов не выйдет убедить всех производителей, включая безымянных китайцев, установить твой ключ.
    А у microsoft - получилось, причем ключей там не один, и самый ненужный они пожертвовали вам. Но вы и это умудрились прогадить.

     
     
  • 3.316, Аноним (-), 03:38, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что у тебя с твоими 1% десктопов не выйдет убедить всех
    > производителей, включая безымянных китайцев, установить твой ключ.
    > А у microsoft - получилось, причем ключей там не один, и самый
    > ненужный они пожертвовали вам. Но вы и это умудрились прогадить.

    Да они и без нас прогадили, вон даже линк на новость нашли. Отзывать не будут, винды у юзеров помрут. И хрен с ней с безопасТностью. Так что нет, буткиты с собой grub обламываются таскать, зачем, если есть прогаженый ключ?

     
  • 2.189, Онаним (?), 18:25, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что не надо. Можешь загрузить свой ключ, почти все платформы поддерживают.
     
  • 2.315, Аноним (-), 03:37, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему все сертификаты для загрузчиков надо заверять в Microsoft?

    Потому что быть богом и держать всю планету за вымя - круто?

     

  • 1.123, Николай (??), 15:44, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Народ, почему долго может загружаться Линукс? причем разные дистрибутивы, сначала гаснет экран монитора, и через полторы минуты уже загружается, причем у меня ссд диск, на Виндовс нет такого.
    Пишу в этот пост, так.как подозреваю, что дело может в самом загрузчике "GRUB"
     
     
  • 2.138, Последний из могикан (?), 16:42, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Причин может быть коллосальное множество так что рецепта не дадим ибо диагноз неизвестен.Может ты в ремонт сдавал комп а там тебе добрые сервисники на устанавливали всякого г.вна,пользуясь твоим незнанием.
     
  • 2.269, Аноним (31), 22:39, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте утилиту systemd-analysis. Она может показать что долго запускается.
     

  • 1.128, Аноним (128), 15:57, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Плохо что-ли? Хорошо!
     
  • 1.131, Аноним (131), 16:11, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Опять загрузчик GRUB атакуют, чтобы свои буткиты пихать!

    > Напомним, что в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft.

    Напомню, что согласно с основным принципом Integrity для верификации загрузки системы и ПО можно использовать только свои ключи: https://habr.com/en/post/273497 все остальные ключи, включая ключи уважаемой M$ должны быть удалены!!!

    Режим верификации загружаемых модулей, настроек и ядра включается:
    https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatur

    После загрузки верифицированного ядра верификация остального ПО проходит с помощью IMA/EVM:
    https://sourceforge.net/p/linux-ima/wiki/Home/

     
     
  • 2.147, Аноним (169), 16:53, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https www gnu org software grub manual grub grub html Using-digital-signatures... большой текст свёрнут, показать
     

  • 1.136, Арчевод (?), 16:37, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Тут в коментариях столько экспертов что нужно провести разъяснительную работу,... большой текст свёрнут, показать
     
     
  • 2.141, Последний из могикан (?), 16:44, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зри в корень!©
    Ставиш libreboot и этим рубишь гордиев узел.Не хочешь-ну затыкай сотни дыр,как волк в ну погоди.
     
     
  • 3.145, Арчевод (?), 16:48, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это если железка поддерживает. А если нет (как оно бывает в большинстве случаев)?
     
     
  • 4.178, Аноним (-), 17:44, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А если нет (как оно бывает в большинстве случаев)?

    значит придёться смириться, что "где-то там" на железе крутится полноценная ось на базе миникс, которая вроде как по уверениям ничего плохо из себя не представляет... ага... всё для вашего блага... даже доступ к сети оно имеет, минуя вашу ос и всё, что уровнем выше...

     
     
  • 5.187, Арчевод (?), 18:18, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это всё очень плохо, но я предпочитаю защищиться от реальных угроз (для чего SecureBoot очень полезен), чем от мнимых, в стиле "мы все умрём".
     
     
  • 6.317, Аноним (-), 03:41, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это всё очень плохо, но я предпочитаю защищиться от реальных угроз (для
    > чего SecureBoot очень полезен), чем от мнимых, в стиле "мы все умрём".

    Как говорится, безопасность бывает только 2 уровней - high и нехай.

     
  • 2.152, Аноним (355), 17:01, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А systemd-boot, тем более, не нужен.
     
     
  • 3.191, Арчевод (?), 18:51, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только потому что у него в имени есть systemd? К сведению всех systemd-хейтеров, в нём от systemd только название (раньше он назывался gummiboot). И нет, в нём нет никаких привязок к systemd, можно использовать на системах без него.
     
  • 2.156, Аноним (169), 17:10, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. UEFI SecureBoot это скорее хорошо, чем плохо.

    Это очень хорошо и необходимо для Integrity.

    Меня беспокоит вопрос отсутствия в современных материнских платах аппаратной блокировки изменений в UEFI за исключением Chrome Book где есть болт блокирующий аппаратно запись в SPI flash.

    Ходят слухи что в SPI есть дорожка, возможно 1, и если ее заземлить то запись в SPI будет невозможна. Почему только Google использует эту возможность, а другие производители игнорируют?

    > Есть ли здесь те, кто использует grub не потому, что он вместе с дистром поставился, а осознанно, для решения какой-то конкретной задачи - поделитесь

    1. Загрузка с ISO образов LiveCD/DVD

    2. Загрузка по сети

     
     
  • 3.170, Аноним (112), 17:21, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. Загрузка с ISO образов LiveCD/DVD

    Многие прошивки позволяют выбирать устройство для загрузки и без GRUB'а.

     
     
  • 4.175, Антним (?), 17:37, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мне не надо выбор загрузочного устройства.

    Мне надо бутнуть ISO образ LiveCD/DVD который лежит не диске!

    GRUB может бутнуть ISO образ.

     
     
  • 5.176, Антним (?), 17:38, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    GRUB2 может бутнуть ISO образ с LiveCD/DVD даже по сети!
     
  • 5.177, Аноним (112), 17:41, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А, понял, неправильно прочитал исходное сообщение :)
     
  • 3.179, Аноним (-), 17:50, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Меня беспокоит вопрос отсутствия в современных материнских
    > платах аппаратной блокировки изменений

    во-во! вот что нужно обсуждать, а не столько функционал уефи и какие-то там фичи вроде ефистабов, скоростной загрузки или видео-режимом.

    ключевой момент в том, что аппаратная часть по сути голая и ничем не защищена. и если уефи-кит будет имплантирован, то толку от всех защит выше уровнем будет ноль.

    вот у меня на десктопе такая матплата, даже нет защиты от ре-флэша... я время от времени делаю дамп своего биоса и сравниваю побайтно с заводским, делая поправку на забитую секцию dmi пула.

    вообще биос-киты и уефи-киты сейчас не редкость. и инфы по этому вопросу в инете куча.

     
     
  • 4.190, Арчевод (?), 18:43, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ключевой момент в том, что аппаратная часть по сути голая и ничем не защищена. и если уефи-кит будет имплантирован, то толку от всех защит выше уровнем будет ноль.

    Вообще-то на совсеменных платах для этих целей есть TPM. Проблема не в том, что нет необходимых инстументов - они есть. Проблема в том, что сертификация не обязывает производителей эти иструменты реализовывать и они этого не делают из-за этономии и пофигизма. А вот сертификация от гугла для хромбуков обязывает реализовывать всё по спеке.

     
     
  • 5.243, Аноним (243), 07:17, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > сертификация не обязывает производителей эти иструменты реализовывать и они этого не делают из-за этономии и пофигизма

    Чего экономии? Надо всего отвести однy дорожку от контакта 1 SPI flash, другую дорожку от заземление и поставить между ними Джаспер или болт. Если джампера/болта нет в SPI flash писать можно, а если есть то ты туда не запишишь.

     
  • 5.318, Аноним (-), 03:42, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то на совсеменных платах для этих целей есть TPM.

    При том это еще один проц с мутной блобварью. Которому предлагается доверять все критичные проверки безопасности. Мне кажется, или в такой формулировке порыта некая на-о-бка? :)

     
  • 4.244, Аноним (243), 07:29, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На чипсетах Intel, UEFI и его ключи защищены Корневым ключом платформы который... большой текст свёрнут, показать
     
     
  • 5.271, Аноним (309), 22:43, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вашим То есть я могу добавить туда свой ключ Но тогда и злоумышленник может ... большой текст свёрнут, показать
     
     
  • 6.302, пох. (?), 17:52, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    уже нет, если ты свой добавил правильно уже нет, если только ты не соберешь себ... большой текст свёрнут, показать
     
     
  • 7.308, Аноним (309), 20:58, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > уже нет, если ты свой добавил правильно.

    А правильно — это как?

    > тем что у тебя, возможно, где-то сныкан _закрытый_ ключ.

    Как это сныкан? Он ещё не добавлен же.
    Почему я могу свой ключ добавить "правильно", а злоумышленник не может?

    > Скажи спасибо глупой ms, сдуру подписавшей впопенсосного троянца своим ключом. Корпорация,
    > блин, зла не хватает.

    Это ещё ничего. Она, как известно, даже свой приватный ключ выложила:
    https://arstechnica.com/information-technology/2016/08/microsoft-secure-boot-f

    Тот, которым всё по-дефолту подписано.

    И, в ретроспективе, это было ожидаемо. Если вся безопасность держится на одном единственном ключе, то, ясное дело, рано или поздно он утечёт.

     
  • 3.183, Арчевод (?), 18:02, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Меня беспокоит вопрос отсутствия в современных материнских платах аппаратной блокировки изменений в UEFI за исключением Chrome Book где есть болт блокирующий аппаратно запись в SPI flash.

    Да, замечание верное. Кстати, болта в хромбуках нет уже несколько лет - используется cr50 (специальный чип), а для снятия нужен специальный SuzyQ кабель.

    > Загрузка с ISO образов LiveCD/DVD

    Согласен. Мне самому такое не было нужно уже очень давно, но было бы удобно иметь такую фичу в том же refind.

    > Загрузка по сети

    Refind умеет PXE boot.

     
  • 2.172, BSD_Cuck_BTFO (?), 17:29, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Есть ли здесь те, кто использует grub не потому, что он вместе с дистром поставился, а осознанно, для решения какой-то конкретной задачи - поделитесь

    /boot на корневом разделе, который зашифрован LUKS. Ни один загрузчик кроме grub'a не умеет расшифровывать luks разделы.

     
     
  • 3.174, Аноним (112), 17:31, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Такое реально сделать и с загрузкой через EFISTUB. Подписанные ядро и initramfs на EFI-разделе вполне себе могут расшифровать зашифрованный корневой раздел.
     
     
  • 4.180, BSD_Cucks_BTFO (?), 17:54, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Могут. А что, если сами ядро и initramfs находятся на зашифрованном разделе? Вот тут только GRUB поможет.
     
     
  • 5.182, Аноним (112), 18:00, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А что, если сами ядро и initramfs находятся на зашифрованном разделе?

    А зачем? Все равно что-то должно быть не зашифровано - либо GRUB, либо ядро. В чем преимущество оставлять именно GRUB незашифрованным?

    Если проблема в том, чтобы подписать и ядро, и initramfs, то их можно объединить в один файл и подписать вместе.

     
     
  • 6.184, BSD_Cucks_BTFO (?), 18:05, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >А зачем? Все равно что-то должно быть не зашифровано - либо GRUB, либо ядро. В чем преимущество оставлять именно GRUB незашифрованным?

    Ну либо у вас только один EFI-раздел (где только один грубовский efi-executable лежит), а всё остальное зашифровано, либо у вас и ядро, и initrd, и насторойки загрузчика лежат в голом виде. Да, можно сказать "а зачем?", но, мне кажется, что если уж замороачиваться с full disk encryption и с шифрованием вообще, то хотелось бы зашифровать как можно больше.

     
     
  • 7.186, Аноним (112), 18:16, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В моем случае на EFI-разделе лежит всего один файл - ядро+initramfs+параметры командной строки в одном подписанном бинарнике, все остальное зашифровано. GRUB в этой цепочке просто не нужен.
     
     
  • 8.273, Аноним (31), 22:47, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так а при каждом обновлении ядра переподписывать выходит надо ... текст свёрнут, показать
     
     
  • 9.275, Аноним (309), 22:58, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И при каждой смене параметров А если обновился, и новое ядро не грузится, то хр... текст свёрнут, показать
     
  • 6.319, Аноним (-), 03:44, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем? Все равно что-то должно быть не зашифровано - либо GRUB,

    При кооперативном boot loader в SPI флехе может быть в принципе шифровано вообще все. Ну, вот, кроме spi-флехи, конечно.

     
  • 5.185, Арчевод (?), 18:16, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как уже сказали выше, efi раздел всё-равно остаётся незашифрованным Так что пра... большой текст свёрнут, показать
     
     
  • 6.188, BSD_Cucks_BTFO (?), 18:23, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ого, круто. Про unified kernel image не знал. Спасибо за инфу.
     
  • 2.209, Аноним (209), 20:18, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Чувак ты не прав 1 ГУАШ секурбут это плохо, ибо приколочем к ключам МС, котора... большой текст свёрнут, показать
     
     
  • 3.222, Аноним (112), 21:58, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ибо приколочем к ключам МС, которая ни разу не линукс.

    Каким образом?

    > Да и то эта сволочь может иметь прищепку и она просто запишет новый ГУАШ.

    Без уязвимостей в прошивке такое сделать довольно проблематично.

    Остальные пункты не вполне понял.

     
  • 2.228, Аноним (309), 00:05, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. UEFI SecureBoot это скорее хорошо, чем плохо.

    Хорошо для чего? Или от чего? От какой угрозы она должна меня защитить?

     
     
  • 3.240, Арчевод (?), 05:18, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://en.wikipedia.org/wiki/Evil_maid_attack
     
     
  • 4.241, Аноним (309), 05:35, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > https://en.wikipedia.org/wiki/Evil_maid_attack

    А конкретнее?

    Например, под это описание подходит аппаратный кейлоггер, записывающий все логины и пароли (гуглить USB keylogger). Или перезаписанный биос, который даёт удалённый доступ к компу по сети (гуглить intel amt, amd dash, hp ilo... — обязательная фича для серверов). Даже просто камера, установленная возле компа, подходит под это описание.

    Ну и как SecureBoot от этого защитит?

     
     
  • 5.248, Аноним (248), 09:40, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Причем здесь кейлогер?

    Integrity это верификация аутентичности и целостности загружаемой системы. Верификация проходит с помощью криптографии на основе открытого и закрытого ключа. Любые кейлогеры, против установленного и настроенного Integrity ничего не сделают.

    Кейлогер только способен перехватить пароль секретного ключа используемого для Integrity! Создавайте ключи на отдельном компе.. Секретный ключ и его пароль для установки и настройки Integrity в общем не нужны, а в рабочей системе категорически запрещены. Верификация в Integrity идет по публичному ключу, без всяких паролей.

     
     
  • 6.272, Аноним (309), 22:43, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Причем здесь кейлогер?

    Был вопрос "От какой угрозы она должна меня защитить?" Кинули ссылку. По ссылке абстрактное описание. Кейлоггер подходит под это описание.

    > Integrity это верификация аутентичности и целостности загружаемой системы.

    Подожди. Ты говоришь о том, как это сделано. Я ещё не спрашиваю "как", я спрашиваю "зачем".

    Верификация с какой целью? С целью безопасности? Безопасности от какой угрозы?

     
  • 5.249, Аноним (248), 09:45, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID3/123444.html#244

    Где в этом процессе есть работа для любого кейлогера?

     
  • 5.268, Арчевод (?), 22:36, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Задача SecureBoot это защита от подмены встраивания вредоносного кода в процесс ... большой текст свёрнут, показать
     
     
  • 6.276, Аноним (309), 23:07, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Позволит, конечно Иначе было бы невозможно переустановить ОС, ведь загрузчик пр... большой текст свёрнут, показать
     
     
  • 7.280, Арчевод (?), 00:43, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Её и невозможно переустановить без отключение SecureBoot - ничего просто не... большой текст свёрнут, показать
     
     
  • 8.281, Аноним (309), 00:58, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Опасная затея В случае проблем например после апдейта система не грузится ис... текст свёрнут, показать
     
  • 6.282, Аноним (309), 02:10, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно проще Без Yubikey-я и SecureBoot-а Просто шифруем ВЕСЬ диск LUKS-ом А з... большой текст свёрнут, показать
     
     
  • 7.294, Арчевод (?), 06:15, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А загрузчик кладём на любую флешку (такой себе дешёвый заменитель Yubikey).

    Флешка плохая замена Yubikey, потому что Yubikey нельзя скопировать, его можно только украсть. А это заметно. Вашу же мегафлешку скопировать проблемы не составит ни разу. Она не замеряет Yubikey и не может служить вторым фактором ("something you have"), потому что легко клонируется.

    Ну а дальше все по тому же сценарию - сделать другую флешку, в которой Ваш загрузчик + руткит. В общем описываевым Вами способом можно получить суррогат с иллюзией защиты, но никакой доверенной загрузки не будет и вы никогда не будете знать, то загружаете именно то, что сделали сами.

     
     
  • 8.299, Аноним (309), 16:10, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно не копировать На ней просто стандартный загрузчик, как на live-диске убун... текст свёрнут, показать
     
     
  • 9.310, Арчевод (?), 02:18, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, не копировать, а подменить на затрояненный с кейлоггером И нет, это не надё... текст свёрнут, показать
     
     
  • 10.325, Аноним (309), 08:46, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, он гарантирует лишь то, что загрузчик подписан ключами из UEFI Но там мо... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (49)

  • 1.142, msgod (ok), 16:45, 03/03/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –1 +/
     
     
  • 2.197, kusb (?), 19:27, 03/03/2021 Скрыто ботом-модератором     [к модератору]
  • –4 +/
     
     
     
    Часть нити удалена модератором

  • 4.220, kusb (?), 21:52, 03/03/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (2)

  • 1.204, kusb (?), 19:47, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А вот ещё какой вопрос, немного не к месту, но всё-таки:
    Есть UEFI для BIOS, просто грузишься с этого диска, а потом у тебя UEFI среда. BIOS прослойку не зависящую от конкретной UEFI версии сделать сложнее? Просто грузишься в неё и всё.
     
     
  • 2.207, пох. (?), 19:51, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет никакого "uefi для bios". Это вообще понятия из разных веков.
    У тебя в голове - каша, полнейшая. Но вместо того, чтобы либо заниматься самообразованием, либо просто доверять людям, которые пограмотнее тебя будут (поэтому если захотят - все равно тебя поимеют, в рубашечке или без) - ты несешь полнейшую чепуху.

     
     
  • 3.211, kusb (?), 20:42, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я поумнее тебя буду.
     
     
  • 4.221, kusb (?), 21:56, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кто у нас самозванец? :)
     
  • 3.223, kusb (?), 22:01, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >У тебя в голове - каша, полнейшая.

    Не спорю.
    >самообразованием

    В чём?
    А вообще - конечно обидно.

    Uefi для биос это DUET. И я скорее не про нижнюю часть прошивки, а что-то типа Wine, что могло бы позволить программам знающим только BIOS обычного компьютера использовать привычные прерывания и создавать привычную для них среду. Всё равно на уровне UEFI "драйверы как в BIOS" тоже стандартизированы, я думаю. И получается она не должна выгружаться никогда.

     
     
  • 4.224, пох. (?), 22:39, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    хотя бы почитать, что такое uefi, как устроен, и что такое биос uefi к basic i... большой текст свёрнут, показать
     
     
  • 5.230, RM (ok), 01:18, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    пох, оппонент косноязычен но ключевое слово назвал.
    Читать здесь http://www.rodsbooks.com/bios2uefi/
     
     
  • 6.234, RM (ok), 01:30, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    и еще https://wiki.archlinux.org/index.php/Clover
     
  • 6.252, пох. (?), 10:09, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > пох, оппонент косноязычен но ключевое слово назвал.

    оппонент, похоже, слышал звон, но не понял, что он - об эмуляторе uefi прошлого века, когда-то кем-то использованном для отладки и потом еще (недолго) позволявшим загружать краденую макось на хакинтошах. Сейчас совершенно ненужном и бесполезном. И краденая макось не заведется - она на таком древнем железе уже неработоспособна.

    > Читать здесь

    лучше было не тратить время.
    Originally written: 6/24/2011 - вот в том году уже такие компьютеры были изрядно устаревшими. А сейчас это просто бесполезные пылесборники.

    Все, проехали, все что вам кажется "bios" - давно уже csm модуль, под управлением efi.
    Десять лет уже как.

     
     
  • 7.264, kusb (?), 17:21, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я про эмулятор UEFI и говорил, я же там задавал вопрос про обратный эмулятор, то есть bios для uefi, только не встроенный в прошивку, а такой, с которого можно загрузиться, для компьютеров без csm режима.
    А то, что это уже работает через UEFI - я слышал, но в принципе разницы для меня, как для конечного пользователя мало, пока компьютер работает с ОС для старых bios, даже добавляет уверенности, что внешний csm модуль можно сделать.
    Ну и благодаря csm 32-битная винда хотя-бы корректно грузиться и у меня предрассудки относительно csm режима, как наиболее стабильного несмотря на свою навороченность.

    А по поводу бесполезности тех компьютеров - у меня есть такой и он очень многое может, опыт пользования скорее полноценный.

     
     
  • 8.321, Аноним (-), 04:42, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не факт что такое есть Но наверное при сильном желании можно что-то напоминающе... текст свёрнут, показать
     
  • 3.320, Аноним (-), 03:52, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет никакого "uefi для bios". Это вообще понятия из разных веков.

    Вообще-то есть. Минимальные затычки времени бутлоадера, предоставляющие "EFI services" даже на BIOS-based системе. Вроде свежий GRUB так даже умеет. После чего несмотря на то что на самом деле оно взлетело с BIOS, ядро уверено что это UEFI был. И даже может юзать те полторы фичи из суррогатного EFI. А, собственно, чему это противоречит? Обычное гейтование того что хотелось в то что есть.

     

  • 1.208, Аноним (-), 19:53, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Это г..но еще и уязвимо ? не удивили
     
     
  • 2.212, пох. (?), 20:55, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это г..но еще и уязвимо ? не удивили

    это ты про grub? Ну да, ничего удивительного. Как им таким ms доверила свои ключи - совершеннейшая загадка.

     
     
  • 3.250, Аноним (-), 09:47, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    grub2. хотя откуда школьнику знать о grub
     

  • 1.216, Аноним (216), 21:25, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    /me до сих пор не понимает, какие преимущества для просто пользователя дает этот UEFI
     
     
  • 2.226, пох. (?), 22:56, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > /me до сих пор не понимает, какие преимущества для просто пользователя дает
    > этот UEFI

    простому пользователю не нужен никакой uefi. Кнопку нажимаешь, немножко ждешь, глядя на веселые картинки, и опа - винда.

    uefi - он для разработчиков материнок, а не для пользователей.

     

  • 1.217, Аноним (218), 21:38, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это фича.
     
  • 1.227, Аноним (227), 23:14, 03/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    опять сишные дырени. ну сколько можно?
     
     
  • 2.329, Аноним (327), 14:14, 06/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А что такого?
     

  • 1.229, Аноним (309), 00:16, 04/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что за паника и ересь на ровном месте Баг в grub-е Значит, даже если мы хотим ... большой текст свёрнут, показать
     
     
  • 2.238, kusb (?), 03:49, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    'Хакеры" могут использовать старые shim и grub, наверное, они же подписаны?
     
     
  • 3.239, Аноним (309), 05:01, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > 'Хакеры" могут использовать старые shim и grub, наверное, они же подписаны?

    Использовать для чего?

    "Хакеры" могут и свой ключ в UEFI прописать, как тут в комментах советуют.

    Могут и без груба достать жёсткий диск и подключить к ноутбуку.

    Или с флешки загрузится, используя какой-нибудь другой загрузчик. Даже если на диске вообще никакой ОС нет. Внезапно, именно так ОС на ноутбуках и устанавливают. 🙂

    Но причём тут вообще хакерство?

    В grub-е нашли и исправили мелкий баг. Причём тут вообще uefi, secure boot и shim? Это же не первый апдейт grub-а в истории. Раньше его как-то обновляли, и uefi пачтить не приходилось. Почему сейчас столько волнений?

     
     
  • 4.242, Аноним (243), 07:04, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты ничего не понял. Новые версии системы протроянили. Задача заставить пользователя обновится так, чтобы он не мог потом откатился назад на старые, чистые, версии загрузившись со старого LiveCD/DVD.
     
  • 4.251, пох. (?), 09:58, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    только если ты полный лох и оставил его доступным для записи При включенном tpm... большой текст свёрнут, показать
     
     
  • 5.263, kusb (?), 13:48, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Опять пофантазирую: Тогда лучше все сторонние и тоже потенциально опасные ключи удалить.
     
  • 5.274, Аноним (309), 22:57, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А если система сломалась и не грузится, то всё, приехали Загрузиться с live-дис... большой текст свёрнут, показать
     
     
  • 6.277, пох. (?), 23:09, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А если система сломалась и не грузится, то всё, приехали?

    С TPM - да, конечно. Иначе кто-то левый тебе "с диска с убунточкой" загрузится.

    С просто secure boot - нет, это только совсем от васянов защита. Убунта на том диске тоже тем же shim грузится, а его добрый глупый MS вам всем подписал.

     
     
  • 7.278, Аноним (309), 00:10, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> А если система сломалась и не грузится, то всё, приехали?
    > С TPM - да, конечно. Иначе кто-то левый тебе "с диска с убунточкой" загрузится.
    > С просто secure boot - нет, это только совсем от васянов защита.

    Ну да. Есть аппаратное шифрование диска. Оно гарантирует целостность. И работает без всяких SecureBoot-ов.

    Но тогда опять получается, что SecureBoot не нужен.

     
     
  • 8.297, пох. (?), 08:18, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вообще-то хер его знает, чего оно там гарантирует Пару раз уже оказывались таки... текст свёрнут, показать
     
     
  • 9.301, Аноним (309), 16:24, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря на что ксорить Шифрование 8212 это довольно часто ксор Например, в A... большой текст свёрнут, показать
     
  • 5.279, Аноним (309), 00:36, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> В grub-е нашли и исправили мелкий баг.
    > сводящий всю эту безопасность к х-ю.

    Да я не о том. Я имею ввиду откуда вообще столько беспокойств?
    Ну нашли баг в грубе, ну обновить и переподписать.

    Обычный апдейт загрузчика. Зачем делать что-то ещё?

    > Причем то что ты его обновил - ничему не поможет, ты обновил,
    > я "обновлю" еще разок на старую багнутую версию, и ты ничего
    > не заметишь - она ж подписана.

    Это как? Ты пришёл ко мне месяц назад, украл у меня старую версию моего груба. А через месяц вернулся, чтобы поставить мне старую версию моего груба обратно?

    Хакер-даунгрейдер! 🙂

     
     
  • 6.296, пох. (?), 08:11, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну нашли баг в грубе, ну обновить и переподписать.

    Тебе что непонятно в системе с trusted keys? Переподписать можно - но с тем же успехом можно уже вообще ничего не подписывать. Подпись гарантировала что получившее после этого grub'а управление не содержало чего-то лишнего, непредусмотренного владельцем.

    > Это как? Ты пришёл ко мне месяц назад, украл у меня старую версию моего груба.

    зачем она мне? У меня она и так есть, и подписана ключиком ms.
    На твоем компьютере загрузится. Вместо твоей. Только в ней есть одна полезная мне фича - она не только твое ведро загружает (которое тоже подписано), но и мой левый код.

    Отзывать ключи - тоже так себе процедура, даже если бы она была в принципе возможна (скажем, через системы обновлений всех ос включая винду) - превратились бы в тыкву все старые загрузочные диски и флэшки дистрибутивов и, наверное, не только, ms еще много чего им, вероятно, подписала, типа вендорских автособиралок статуса железок и т д.

    Ну макос может себе это позволить, наверное. У них и tpm постоянно включен, и тем ключом не подписано ничего полезного (дистрибутив винды, к счастью, не им, этот - отдельный). Правда, л@п4@.е будут потом выть на болотах, что их ущемляют...

     
     
  • 7.300, Аноним (309), 16:15, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это как? Ты пришёл ко мне месяц назад, украл у меня старую версию моего груба.
    > зачем она мне? У меня она и так есть, и подписана ключиком ms.
    > На твоем компьютере загрузится. Вместо твоей. Только в ней есть одна полезная
    > мне фича - она не только твое ведро загружает (которое тоже
    > подписано), но и мой левый код.

    А зачем тебе для этого старая версия груба? Откуда вообще беспокойства по поводу версии? Ну возьми новую версию, подписанную новым ключом. На любом live-диске убунты такая есть. И тоже загрузит какой-угодно код.

     

  • 1.235, fuggy (ok), 02:24, 04/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Безопасный Secure Boot говорили они…
    Как говорится на Microsoft надейся, а сам не плошай.
     
     
  • 2.265, kusb (?), 17:26, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, безопасность превращается в тыкву если один из подписанных загрузчиков можно уговорить грузить всё, что ты хочешь... Это было понятно с самого начала, но уязвимость в самом GRUB.
     

  • 1.245, олдфаг (?), 09:09, 04/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    груб был успехом. с удовольствием свитчились с лило. синтаксис, красота конфига, возможности. Груб2 был провален в той же степени. с тем же перечнем фейлов.
     
     
  • 2.255, пох. (?), 10:11, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    grub2 придуман неосиляторами sed и человекочитаемых конфигов, что ты от них хотел?

    Скрипты и какие-то еще "модули" в initial boot loader, который должен быть прост как палка. Ну вот и получите.

    А автор grub1, к сожалению, сделался вечноживой, и на современном железе от него нет толку.

     
     
  • 3.262, n00by (ok), 12:29, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    gummiboot хватит для всех :)
     
  • 2.351, Аноним (351), 15:18, 08/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > груб был успехом.

    Именно, вот тебе и двойка в названии  - а г..нище редкостное.

     
     
  • 3.352, олдфаг (?), 09:29, 09/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> груб был успехом.
    > Именно, вот тебе и двойка в названии  - а г..нище редкостное.

    Именно. Эффект второй системы в чистейшем и незамутнённом
    The second-system effect proposes that, when an architect designs a second system, it is the most dangerous system they will ever design, because they will tend to incorporate all of the additions they originally did not add to the first system due to inherent time constraints

    я вообще олдфаг, но не знал, что кто-то ещё постит под этим ником. но тоже вроде норм посты, одобря.

     

  • 1.267, Ананоним (?), 22:13, 04/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как это мне удержаться и не заржать так сильно, что аж вселенная могла бы треснуть? :)
     
  • 1.283, Аноним (283), 02:13, 05/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPI

    дяденька Red Hat, а это точно уязвимость?

     
  • 1.295, Аноним (295), 07:15, 05/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У кого-нибудь были сомнения что СерураБУТ - и есть дыра в безопастности ?

    Чем проще система тем лучше во всех отношениях !

     
  • 1.348, Аноним (348), 17:56, 07/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ох*ительная безопасность которую можно обойти загрузившись со старой версией загрузчика. зато цве аж 8 штук выср*ли. а не пойти бы майкрософту лесом вместе с о своим юефи очень быстро и решительно?
     
     
  • 2.349, Аноним (309), 00:34, 08/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ох*ительная безопасность которую можно обойти загрузившись со старой версией загрузчика.

    Можно и с новой подписанной версии загрузиться.

    Не понимаю, откуда вся эта паника по поводу версий.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру