В 806 моделях материнских плат выявлен тестовый ключ, позволяющий обойти UEFI Secure Boot

26.07.2024 12:41

Исследователи безопасности из компании Binarly выявили возможность обхода режима верифицированной загрузки UEFI Secure Boot на более чем 800 продуктах, выпущенных компаниями Acer, Dell, Fujitsu, Gigabyte, HP, Intel, Lenovo и Supermicro. Проблема получила кодовое имя PKfail и связана с использованием в прошивках не заслуживающего доверия ключа платформы (PK, Platform Key), сгенерированного компанией AMI (American Megatrends International) и поставляемого в качестве тестового примера. Наиболее старые прошивки, в которых использовался тестовый ключ, выпущены в 2012 году, а самые новые датированы июнем 2024 года. По данным исследователей проблеме подвержены более 10% всех проверенных прошивок.

В параметрах ключа указывалось, что он не заслуживает доверия и его не следует поставлять в своих продуктах. Подразумевалось, что данный тестовый ключ следует заменить на собственный, но производители не обратили внимание на предупреждение и использовали в итоговых прошивках типовой общий ключ, отправляемый всем партнёрам и клиентам компании AMI.

Закрытая часть тестового ключа AMI, необходимая для создания цифровых подписей, оказалась доступна публично после утечки информации у одного из производителей оборудования, сотрудник которого по ошибке разместил в публичном репозитории на GitHub код, содержащий данный ключ. Закрытый ключ был размещён в зашифрованном файле, при шифровании которого использовался простой 4-символьный пароль, который удалось легко подобрать методом перебора.

Ключ платформы используется в качестве корня доверия для заверения БД с ключами для Secure Boot. Получение закрытой части ключа платформы приводит к компрометации всей цепочки доверия, задействованной при проверке валидности компонентов загружаемой системы: зная ключ платформы можно обойти защиту Secure Boot и организовать подстановку при загрузке собственных компонентов через манипуляцию ключом KEK (Key Exchange Key) и базами данных "db" (Signature Database) и "dbx" (Forbidden Signature Database). KEK отвечает за создание цепочки доверия между прошивкой и операционной системой, "db" содержит сертификаты и подписи для загрузчика и сторонних компонентов UEFI, а "dbx" включает отозванные подписи известных вредоносных компонентов.

Для совершения атаки достаточно сгенерировать новые ключи и сертификаты для KEK и db, после чего использовать попавший в открытый доступ тестовый ключ платформы для загрузки в UEFI-прошивку созданного KEK-сертификата. Загрузив в прошивку KEK-сертификат, можно использовать связанный с ним закрытый ключ для загрузки в БД db нового сертификата. После загрузки сертификата db, связанный с ним закрытый ключ может применяться для заверения загружаемых EFI-компонентов.


   openssl req -newkey rsa:4096 -nodes -keyout KEK.key -new -x509 -sha256 -days 3650 -subj "/CN=BRLY KEK/" -out KEK.crt
   openssl req -newkey rsa:4096 -nodes -keyout db.key -new -x509 -sha256 -days 3650 -subj "/CN=BRLY db/" -out db.crt

   efi-updatevar -a -c KEK.crt -k PK.key KEK
   efi-updatevar -a -c db.crt -k KEK.key db
   sbsign --key db.key --cert db.crt --output rogue.efi.signed rogue.efi

Для проверки корректности ключа платформы достаточно запустить утилиту "efi-readvar -v PK" из пакета efitools и убедиться, что ключ платформы не является тестовым:


   efi-readvar -v PK

   Variable PK, length 862
   PK: List 0, type X509
       Signature 0, size 834, owner 26dc4851-195f-4ae1-9a19-fbf883bbb35e
           Subject:
               CN=DO NOT TRUST - AMI Test PK
           Issuer:
               CN=DO NOT TRUST - AMI Test PK

исправить +51 +/–

Лицензия: CC BY 3.0

Наводку на новость прислал Artem S. Tashkinov

Короткая ссылка: https://opennet.ru/61610-uefi

Ключевые слова: uefi, secureboot

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (219)

1.1, Аноним (1), 12:51, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+19 +/–
> производители не обратили внимание на предупреждение ну один не обратил внимание, ну два, но восемь сразу?

2.4, Аноним (4), 12:54, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+45 +/–
У всех time to market горит, всем не до этого.

3.164, Аноним (164), 13:43, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+8 +/–
Они хорошие и этот ключ оставили чтобы вы свой core.img от GRUB подписали.

4.233, Аноним (-), 16:06, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

> Они хорошие и этот ключ оставили чтобы вы свой core.img от GRUB подписали.

Да, и AWARD_SW вон те тоже сделали чтобы мне удобнее было в чужой BIOS заходить и менять столь вредным админам их пароль на BIOS. И ведь хрен поспоришь - удобно же!

5.253, Аноним (253), 17:58, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Upd Обновленно Да, и AWARD_SW вон те тоже сделали чтобы мне удобнее был... большой текст свёрнут, показать

2.14, iCat (ok), 13:16, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+6 +/–
>> производители не обратили внимание на предупреждение >ну один не обратил внимание, ну два, но восемь сразу? А что тут такого? Это же всё - солидные коммерческие предприятия. А у нынешних коммерсантов девиз: "Ерак, ерак, и - в продакшен!"

3.56, Аноним (56), 16:12, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–12 +/–
Этот "девиз" - у всех кто сейчас что-то полезное делает. Времена "проэктирования" где 5 лет могли переливать из пустого в порожнее прошли.

4.99, нах. (?), 19:00, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]

+9 +/–

поэтому нате вам закрытый ключ от всего - на шитхаб, с паролем 1234 (и тот в соседнем файлике записан)

спринт же ж не может ждать.

Время тяпляперов.

5.242, Аноним (253), 09:27, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
А, в добавок какой резон заморачиваться когда пароли всёравно - у другого (MS подписанта)... Более, когда на продажу же - заранее даже не пойми кому(вкл.своих скрыто врагов разнообразных, начиная с народа, любого), да и конкурентам, в т.ч.и начиная с MSже. Ну и линуксы и прочее никто не отменял же, их может и мало, %-но у пользователей, зато вони так много что, зачем им это.

5.264, tim (??), 13:52, 03/08/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ой, да ладно, как будто раздолбаи только от смузи заводятся. Если вспомнить, то капитаны волчьих стай паролем в энигме матерное слово ставили, чем бритишам облегчили расшифровку на пару порядков

4.110, penetrator (?), 20:06, 26/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+3 +/–
те кто 5 лет гнали такой порожняк, сейчас гонят таймтумаркет, т.е. для твоего контингента ничего изменилось, упорно делаете вид, что работаете, а пипл не владеющий профильными знаниями хавает это все (не все конечно) есть производители, кто всегда делал по-другому, хотя конечно конкурировать с девляперами и прочим "ширпотребом" сложнее, потому что пользователь сам же их поощряеет

4.193, YetAnotherOnanym (ok), 19:17, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Когда загремишь в больничку и протестируешь на себе сделанную сейчас полезную продукцию - отпишись о впечатлениях. Если сможешь.

5.237, Аноним (-), 00:06, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Когда загремишь в больничку и протестируешь на себе сделанную сейчас полезную продукцию > - отпишись о впечатлениях. Если сможешь. Намного лучше попасть в больничку где вот те бинт, вот те зеленка - а больше мы вообще нихрена не разработали. Какие тебе еще нафиг томографы?!

6.260, нах. (?), 09:51, 01/08/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

>> Когда загремишь в больничку и протестируешь на себе сделанную сейчас полезную продукцию
>> - отпишись о впечатлениях. Если сможешь.
> Намного лучше попасть в больничку где вот те бинт, вот те зеленка
> - а больше мы вообще нихрена не разработали. Какие тебе еще
> нафиг томографы?!

возможно с твоим насморком - это было бы сильно лучше, чем тот японский томограф, который добавил бы к нему лучевую болезнь в тяжелой форме только потому, что доктор захотел посмотреть, что у тебя в легких точно чисто.

И история с очень полезной и эффективной не имеющей побочек вакцинкой от того же насморка тоже ничему, я смотрю, не научила.

3.160, Бывалый Смузихлёб (ok), 12:40, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
Многие из производителей ноутов являются, по сути, брендами, заказывающими железо вплоть до полной разработки и изготовления плат на стороне. Обычно это одна из нескольких ОЕМ контор в ЮВА. Те, кто разрабатывал и делал лично( тот же самсунг ) в списках, по случайному совпадению, не оказался

4.203, Электрон (?), 21:40, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Для этих уже и аббревиатура своя есть: ODM. Суть: после них наклейку нанести и продать с наценкой. Часто с "тех. поддержкой" и сурьёзным маркетингом.

2.39, Аноним (-), 14:51, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]

+9 +/–

>> производители не обратили внимание на предупреждение
> ну один не обратил внимание, ну два, но восемь сразу?

А ты их BIOS'ы вообще видел? Там такая продукция раджей что они работают по принципу "как-то сбилдилось, вроде не очень глючит, идем продавать!"

Де факто вон то - жесткая индусятина. В хучшем ее виде. Таком что даже DLink на этом фоне может показаться не такой уж плохой. Достаточно посмотреть что например Linux пищет про таблицы ACPI при загрузке. Там баг на баге и багом погоняет. И если кто думал что это только в ACPI так - ага, щас. Индусский кот - так уж по всей площади.

3.243, Аноним (253), 09:46, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это скорей всего не баг и - а, сознательная вредоносность Мин вредоносный мар... большой текст свёрнут, показать

4.250, Аноним (-), 15:30, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Нагамнякать таблицу ACPI - ну даже не знаю А что оно так то дает Совместимость... большой текст свёрнут, показать

5.251, Аноним (253), 17:38, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Считаю я досточно привёл аргументов, в отличие ваших "да ну..." в качестве "аргументов". Которые к тому же разбиваются о ещё один факт - в их более ранних BIOS - всё работало, поломки - сознательные. Аппаратных изменений, чтобы на них сваливать, так мало что, как ук. - сами игроки правят, беря куски драйверов от древних(10+ лет) версий карт. Тестировать производителю, даже любой самой задрыпанной компании но, с много-сот миллионным оборотом, - не то что не сложно а, обязательно делается ибо иначе сразу сверхмассовые возвраты, и просто копейки для их бюджета. Незаметить незапуск даже всех VESA DOS игр, не говоря про альтернативных отн-но MS/Mac ОСей, можно конечно, если не желать это замечать. Т.б.уже на протяжении почти десятилетия...

6.257, Аноним (-), 22:42, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Если учесть что BIOS у сабжей стал UEFI так то - и какой-то compat с BIOS работа... большой текст свёрнут, показать

2.81, Аноним (81), 17:51, 26/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Bios кто делал? Зачем произодителю плат туда лезть?

2.112, Хрю (?), 20:16, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+16 +/–
Да никому этот UEFI Secure Boot не usralsa, вот и всё. Чтоб действительно оно как-то секурно работало, там надо проделать тонну вообще не очевидных действий. И не единожды - технология совершенно не жизне способна - маркетинговое гонево не более.

2.183, Аноним (183), 16:25, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Миллионы глаз смотрели.

2.209, Аноним (209), 22:03, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+3 +/–

Думаете, этот "secure boot" хоть сколько-нибудь нужен производителям материнских плат?
Думаете, этот самы "secure boot" зачем-то нужен пользователям этих материнских плат?

Нет, вся эта хрень нужна только копирастам.

Поэтому, разумеется, производитель материнской платы делает строгий минимум, необходимый, чтобы его материнка была помечена как "совместимая" и "поддерживающая" эту хрень.

Соответственно, отсюда - минимальный объем тестирования.

А криптография - это всегда сложно и дорого. Поэтому - если на неё можно забить, на неё - забьют.

1.2, Аноним (2), 12:52, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+19 +/–
Секурно, что ещё сказать. Не то что BIOS.

2.3, Аноним (3), 12:53, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+7 +/–
Шо то, шо это, вот это таких два...

3.26, Аноним (26), 13:46, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+6 +/–
Ах, господа, первая сущность равно как и вторая мне одинаково постылы и столь решительно безрадостны, что скорее...

2.16, ryoken (ok), 13:19, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+1 +/–
Эхх, где же OpenFirmware...

3.20, НяшМяш (ok), 13:34, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
https://support.system76.com/articles/open-firmware-systems/ Тут, например.

4.27, ryoken (ok), 13:48, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> https://support.system76.com/articles/open-firmware-systems/ > Тут, например. Батенька, вы бы сходили сами и прочли что там у них накорябано :).

2.25, Аноним (25), 13:42, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
AMI BIOS

3.40, Аноним (-), 14:53, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+3 +/–

> AMI BIOS

Давние тралициию AMI_SW же. Ну, это их ответ AWARD_SW такой был :).

Так то удобно. Если с правильной стороны монитора, конечно. Я как-то так по приколу заметил что админы пароль поставили. Ну по приколу - вырубил кеш у проца да сменил пароль, чтобы им не скучно было.

4.172, Аноним (172), 15:19, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Вот ты приколист конечно.

2.118, Аноним (118), 22:45, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
ох.. универсальный пароль AWARD Bios все помнят ?

3.143, Артём (?), 09:24, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
AWARDSW :-)

4.213, Изя (?), 05:29, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Почти угадали

2.226, Аноним (226), 12:43, 28/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
EFI без U вполне себе торт.

1.5, Аноним (5), 12:54, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Театр безопасности. Реальная защита - зашифрованный корень и проверка с livecd хешсумм grub и boot при каждой загрузке.

2.6, Аноним (6), 13:02, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+2 +/–
Хорошо бы название театра и фамилию Карабаса.

3.12, vlad1.96 (ok), 13:10, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Лично я фанат японского театра теней Букаккэ

3.19, nox. (?), 13:33, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Придумала Intel. А попыталась залочить на себя Microsoft. В последнем случае, как и все ее инициативы, один вред, а пользы нуль.

2.35, onanim (?), 14:26, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
это не реальная защита, потому что Secure Boot происходит до проверки хэшсумм grub и boot

3.43, Аноним (5), 15:00, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Перечитайте ещё раз моё сообщение. Вставляем флешку с livecd, проверяем хешсуммы. Если верные - вынимаем флешку, загружаемся в установленнуо ос. Всё, загрузка верифицирована. А в самой системе защита обеспечивается прямыми руками (не устанавливать из васянских сборок) и apparmor с selinux.

4.86, _ (??), 18:22, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Думаешь тебе в Сиэтл (или где там вы хоститесь?) командировки светят а?, вставляльщик лайвсидей? :) Так нет же - образ того лавсидя ваши девопсы точно так же на гитхаб положат :) Чтоб по сети монтировать и чекать :) Нонешнее оЙтЕ - бессмысленное и беспощадное, да :))))

5.162, Аноним (162), 13:36, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Думаешь, твои выдуманные проекции на других что-то значат в реальности?

4.205, Электрон (?), 21:48, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	–1 +/–
Перечитал еще раз ваше сообщение и понял, что вы не читали Reflections on Trusting Trust Кена Томпсона. Root of Trust идущая от железа - это именно научный подход к устранению этой проблемы (чтобы не придирались: применительно к безопасной загрузке). Простыми словами: evil maid создает зеркало с правильными/измененными файлами. Все хэши в первый раз сходятся. А при исполнении кода грузится другой сектор. Или проще. Прошитый непонятно куда вредоносный драйвер UEFI. Удачи в вычислениях.

5.222, Аноним (222), 11:53, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Root of Trust идущая от железа - это Новость перечитай теперь.

6.236, Электрон (?), 22:53, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Новость - брешь в реализации Secureboot (который в исполнении производителей ради ограничения пользователей я нисколько не оправдываю). А livecd поверх потенциально скомпрометированной системы - это by design. На первом шагу возможен дамп livecd для последующего pwnage. Первое будут исправлять, а это нет.

2.57, Аноним (56), 16:13, 26/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+4 +/–
> Театр безопасности. Реальная защита - зашифрованный корень и проверка с livecd хешсумм grub и boot при каждой загрузке. Это уже цирк безопасности.

2.101, mos87 (ok), 19:03, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
от кого защищаться собрался онон?

3.227, Аноним (226), 12:45, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Я свой худший враг. Так что все очевидно!

2.113, qwe (??), 20:45, 26/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
А еще не забывай пересчитать хэши после каждого обновления grub и boot.

2.150, Денис Попов (?), 10:18, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Это уже было 30 лет назад под DOS. Называлось ADinf

1.8, Аноним (8), 13:06, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+9 +/–
Это же все для пользователей линуха, что бы не отключать SecureBoot и подписывать что сам насобирал себе =)

2.21, nox. (?), 13:35, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Выразился бы точнее - для пользователей не-Windows.

3.66, Аноним (66), 16:40, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Нет, он всё правильно написал. Все остальные ОС на реальном железе не работают.

4.94, Аноним (94), 18:39, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
И Фантом?!

2.114, Аноним (114), 21:43, 26/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Чтобы подписывать самосбор, никакие ключи не нужны, кроме тех, которые сгенерируешь сам.

1.9, vlad1.96 (ok), 13:09, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+8 +/–
В этой новости отражена вся заинтересованность многих производителей мат. плат в качественной прошивке. Это интересует ни пользователей, ни производителей.

1.10, morphe (?), 13:09, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+2 +/–
Потому что от стандартных ключей SecureBoot никакого смысла нет, шифрование диска с tpm2 оно чаще всего не защищает, потому что зависимость PCR регистров от ядра системы и прочего делать неудобно и опасно, а со стандартными ключами никто не мешает загрузить любую другую систему. PlatformKey нужно выпускать свой, и загрузчик/ядро/прочее подписывать им, тогда и появляется реальная польза от SecureBoot.

2.115, Аноним (114), 21:47, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> а со стандартными ключами никто не мешает загрузить любую другую систему

Это не так.

При загрузке "любой другой системы" (пусть хоть другой винды c LiveCD) у тебя диск не расшифруется автоматически, и тебе понадобится какой-то запасной вариант (при условии, что владелец машины его предусмотрел, например, настроил авторасшифровку при обычной загрузке и расшифровку с паролем при "необычной" загрузке).

1.11, Аноним (11), 13:09, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+5 +/–
Отключил его сам. Какие подводные? Кто-то прошелестят ко мне в конуру и установит винду?

2.256, Анониссимус (?), 20:23, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Можно установить троянца в ESP, чтобы перехватить пароль расшифровки твоего корня. Если он, конечно, у тебя зашифрован.

1.13, Bottle (?), 13:15, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+2 +/–
Интересно, эти ключи брутфорсом подбирались или АНБ намекнуло производителям?

2.89, _ (??), 18:27, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>Интересно, эти ключи брутфорсом подбирались 4 символа бро - мои часы наверное секунд аж 30 бы подбирали пароль ... Serious Security(C)

3.100, нах. (?), 19:02, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
"если выглядишь вкусно - не гуляй вечером в парке!" отрежут же часы вместе с рукой, и сам будешь виноват.

3.263, Аноним (263), 19:35, 02/08/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Пароль "abcd". 'john --incremental:Alnum --min-length=4 --max-length=4 --format=pfx-opencl' справился за одну секунду, благо, длину пароля нам любезно сообщили авторы доклада, но даже без этого в режиме incremental он справился бы крайне быстро.

1.15, Аноним (15), 13:17, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+6 +/–
Секурбут это бэкдор для блатных - есть хоть кто-то, кто сомневался? Существует исключительно в падлостроительных целях как явно, так и подводнокаменно.

2.90, Аноним (90), 18:30, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Тут постоянно проскакивают люди из мира розовых пони которые уверены что это просто ошибки. Даже не верят что IME это зонд. Таких уже на вылечить.

3.95, Аноним (94), 18:41, 26/07/2024 Скрыто ботом-модератором [к модератору]	+/–

1.17, Ахз (?), 13:21, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
Зато теперь можно клепать болгеносы, гордо заявляя о поддержке uefi sb, даже для самого себя.

1.18, мяв (?), 13:26, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+7 +/–
100% машин идет с ключем МС, которым они подписывают все, что под руку попадет. потому, для "обхода UEFI Secure Boot" достаточно поставить пакет shim-signed, или как он в репах вашего дистрибутива называется, перенести один файлик на флешку и преспокойно грузить все, что душе угодно на любом компьютере с включеным sb. хотите безопасности - убирайте дофлтные ключи, вместе с shim'ом, ставьте свои, и настройте загрузку либо через UKI, либо efi-stub ядра. это парочка команд. только вот, при этом сценарии и никакие дефолтные ключи AMI не страшны, так что, мне совершенно не ясно, что так удивило автора новости. если кому интересно, про shim и нерабочий secure boot из каробки: https://habr.com/ru/post/446072/ гайд по настройке secure boot(на английском): https://www.rodsbooks.com/efi-bootloaders/controlling-sb.html

2.23, nox. (?), 13:38, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–2 +/–
Ну зачем такие сложности? Вынул жесткий диск. Скопировал, что надо. Вернул назад. Если запаролен, ломается на ура что в Windows, что в Linux.

3.29, мяв (?), 13:51, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
сломать условный luks легче, чем выполнить cp в терминале? ну, кому как. особенно, в случае современных систем, где 100 лет в обед, как argon2id с tpm и пароль спокойно может быть и дампом из /dev/urandom

3.46, Kuromi (ok), 15:04, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
И как вы будете ломать LUKS у которого ключи в TPM модуле, например? Разве что вас зовут Барак Байден, тогда вопросов нет.

4.78, анон (?), 17:23, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Гаечным ключем и пустырником.

5.97, Аноним (94), 18:50, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ключом. Извините ) https://youtu.be/tLsef4HaXOk

4.92, Аноним (92), 18:36, 26/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> И как вы будете ломать LUKS у которого ключи в TPM модуле, например? Терморектальный криптоанализ пока никто не отменял...

5.127, Kuromi (ok), 03:03, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]

+/–

>> И как вы будете ломать LUKS у которого ключи в TPM модуле, например?
> Терморектальный криптоанализ пока никто не отменял...

Ну до пустим вы выкрали диск (а может быть даже его образ, побайтовый) и даже нашли чела который знает пароль\PIN к TPM модулю, но самого модуля у вас нет, или он был обнулен, потому что насколько я помню нельзя так просто переставить съемный с одной материнки на другую. Что дальше? Ключ-то был в TPM.

Как ни крути оказывается что вам уже нужен весь "программно-аппаратный комплекс".

6.132, мяв (?), 06:05, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
еще большее веселье наинается когда у пользователя запоминаемая часть в голове, а незапоминаемая - в tpm. у меня так, по крайней мере

7.168, Kuromi (ok), 14:45, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> еще большее веселье наинается когда у пользователя запоминаемая часть в голове, а
> незапоминаемая - в tpm.
> у меня так, по крайней мере

А это обычная история, "я зашифровал диск по туториалу", а теперь чет нихрена не работает, плиз хелп, резервных копий нет, ключи похерены.

Смысл TPM же что вашь пароль к нему - это пароль к "аппаратной связке ключей". Вот только связка эта сама опорожняется порой.

А вообще, если у вас LUKS то можно FIDO2 попробовать, в свежих версиях это работает, хотя и не без неудобств.
А можно и в pkcs11 держать ключик, тоже работает

8.178, мяв (?), 16:18, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
я не про пин tpm а, а про кусок пароля диска полностью ему диск доверять как то... текст свёрнут, показать

9.190, Kuromi (ok), 17:45, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну если переломить пополам - сломается, а так задуман быть прочным Можно ли пот... текст свёрнут, показать

6.158, ProfessorNavigator (ok), 12:12, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> Ну до пустим вы выкрали диск Зачем мне чего-то красть?)) Если будет очень надо, я просто возьму владельца диска и вежливо спрошу, что на нём находится. Сам жёсткий диск мне для этого не нужен. Причём спрашивать сначала буду действительно вежливо - далеко не всегда нужно человека резать на куски, чтобы он рассказал всё, что знает. Обычно достаточно просто продемонстрировать, что ты можешь и готов это сделать.

7.167, Kuromi (ok), 14:42, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>> Ну до пустим вы выкрали диск > Зачем мне чего-то красть?)) Если будет очень надо, я просто возьму владельца > диска и вежливо спрошу, что на нём находится. Сам жёсткий диск > мне для этого не нужен. Причём спрашивать сначала буду действительно вежливо > - далеко не всегда нужно человека резать на куски, чтобы он > рассказал всё, что знает. Обычно достаточно просто продемонстрировать, что ты можешь > и готов это сделать. А на диске - снимки обратной стороны Луны, на которых видны вкрапления ледников (ну гипотетически) ну или что-то такое, может быть бухгалтерия Обамы. На допросе вы конечно скажете что там примерно содержится, но не карту же вы по памяти рисовать будете?

8.171, ProfessorNavigator (ok), 15:10, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
А зачем мне вся карта или вся бухгалтерия Обамы Обычно требуется нечто вполне к... большой текст свёрнут, показать

9.174, Kuromi (ok), 15:40, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
gt оверквотинг удален Ну вы уже, отчасти, придираетесь по мелочам Да в каких-... большой текст свёрнут, показать

10.177, ProfessorNavigator (ok), 16:17, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Да нет, боюсь, что это именно ваш грех Впрочем, для полной объективности тут н... большой текст свёрнут, показать

11.238, Аноним (-), 02:31, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну не, почему Иногда помогает Если некто нашел холодный диск вырубленый ноут... большой текст свёрнут, показать

12.245, ProfessorNavigator (ok), 12:48, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это и подразумевалось под случайной утечкой Если вы потеряли флэшку ноут что_уг... большой текст свёрнут, показать

5.129, мяв (?), 05:53, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
ну и сравните его с выполнением cp в терминале 1 раз

6.159, ProfessorNavigator (ok), 12:24, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ага, а потом ещё разбирать терабайты данных Часть из которых может быть зашифро... большой текст свёрнут, показать

7.180, мяв (?), 16:21, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
госпади, хотите - спросите. я лишь ткнула в то, что многие возможностями своей материнки пользуются не на полную, а некоторые вовсе живут в иллюзии, думая, что sb с ключами от мс - это гарантия защиты.

8.187, ProfessorNavigator (ok), 16:47, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Так и я в общем-то о том же Просто я вам пытаюсь донести, что гарантий вообще ... большой текст свёрнут, показать

7.182, мяв (?), 16:23, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
ну и, на последок почитайте, что такое evil maid, сильно удивитесь. ps пользователь Вам сам пароль даст, ничего не подозревая и думая, что он в безопасности, раз у него секурбут.

3.111, penetrator (?), 20:11, 26/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

откуда информация? т.е. ты сможешь расшифровать LUKS диск с KDF argon AES-XTS?

можно больше подробностей?

2.45, Аноним (5), 15:02, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+1 +/–
К сожалению, не каждый производитель позволяет устанавливать свои ключи. Часто ограничивают до ключей MS.

3.55, мяв (?), 16:10, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
эм.. кто? эти переменные, согласно спеке, нельзя помечать как ro. intel boot guard и то смотрит только в {PK,KEK,db,dbx}-Default, не трогая PK, KEK, db и dbx. если просто нет пункта в граф. интерфейсе, то, во-первых, есть keytool.efi, по-моему, он даже в одном пакете с shim в дебиане, во-вторых, возможно, плохо искали. я например первый раз делала через keytool, а потом, когда ключи запорола, узнала про комбинацию, включающую расширенный режим в uefi, где и было соответствующее меню.

3.102, нах. (?), 19:05, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

Мне что-то подсказывает, что у это...их производителей (namely apple) НЕТ того левого ключа microsoft которым та (предсумотрительно) подписала shim.

А винду корпорация-зла, не будь дура, ни разу не этим же ключом подписывает. Так что ваша дисяточка там загрузится без проблем.

4.130, мяв (?), 05:55, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
у них и возможность грузить что то кроме macos без костылей нет

5.141, нах. (?), 08:47, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> у них и возможность грузить что то кроме macos без костылей нет

интеловские - прекрасно умеют грузить вендупоганую.

6.151, мяв (?), 10:56, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
оно уже и не поддерживается эплом

7.185, нах. (?), 16:28, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

с чего это вдруг? x86ые маки не сняты с поддержки, bootcamp где лежал там и лежит.

А M1/M2 не поддерживаются..не эплом, в общем. Фиг знает за что корпорация на них так зла, что имея (почти) готовый код не хочет продать (с другой стороны - а что на нем запускать-то кроме калькулятора?)

2.48, iusearchbtw (?), 15:23, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	–1 +/–
А еще проще не полагаться на tpm модуль, который можно снять паяльным феном, и просто хранить загрузчик и необходимое на флешке, спасибо uefi, и заверять уже после загрузки системы. Флешку носим с собой и вынимаем когда заканчиваем работу. Все безопасное просто, а следить за ключами и всегда подписывать ядра на лицо оверинжинеринг и когда нибудь это выйдет боком, плюс неизвестно какие баги находят для обхода secure boot в проприетарных прошивках плат.

3.58, Аноним (56), 16:15, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
После загрузки у тебя уже загружен код который раздостно заверит тебе всё что угодно.

4.60, Аноним (-), 16:22, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Также как и с tpm модулем, только в случае с флэшкой до неё труднее добраться. А tpm модули, кстати, некоторые можно прочитать не снимая с платы, просто подобравшись специальной прищепкой.

5.64, мяв (?), 16:34, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
нет, товарищ, в случае с tpm модулем, если он зафиксирует изменение прошивки, или базы данных sb, он вас лесом пошлет. надеюсь, Вы не тролль

6.82, Аноним (82), 17:59, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	–3 +/–
Сразу видно человека, который про такие атаки только в интернете читал На хабре... большой текст свёрнут, показать

7.93, мяв (?), 18:39, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Вы б, господин "знающий людь" поменьше языком работали и давали больше фактов! :) Влибо факты давайте, либо не скатывайтесь в бросание сами знаетея, чем и "дурачков" Вы, судя по всему, мой тезис про tpm в процессорах проигнорировали. что ж, ткну еще раз - это работает(или работало? углубляться даже лень, ибо меня не касается) только с отдельными чипами. из процессора Вы, опять же, ничего не нанюхаете. ну и, да, забавно видеть "человека, который читал тотолько в интернете" и через пару слов - "посмотрите на хабре" еще более потешно, что Ваш второй комментарий скрыл модератор. Зы. почти все(если не все, но зарекаться сейчас не буду) косяки в процессорных tpm'ах фиксятся обновлением прошивки

8.98, Аноним (98), 18:54, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
По хабру кстати неплохая статья реально была, там чел не ломал секьюр бут вроде ... текст свёрнут, показать

9.131, мяв (?), 06:01, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
ну, факты будут ссылки что-то если есть - давайте, почитаю из того, что знаю... текст свёрнут, показать

3.63, мяв (?), 16:32, 26/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
раз - уже давно tpm встраивают в процессоры, так что, вероятно, замаятесь снимат... большой текст свёрнут, показать

4.76, Аноним (76), 17:01, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Переусложнённая система. Обязательно что-нибудь выйдет боком. Почитайте теории сложности и надёжности. В популярном изложении "законы Мерфи".

5.77, мяв (?), 17:07, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
в случае с флешкой - она у Вас из кормана выпадет. а "что-нибудь" и, тем более, "почитайте", пожалуйста, оставьте себе. я почему-то вместо того чтобы просто сказать "народ, учите матчасть", вам тут что-то обьяснить пытаюсь. придумаете хотя бы какой-то суенарий - тогда и напишите. а это скукота какая-то выходит и аргументация уровня кофейной гущи

6.83, Аноним (-), 18:03, 26/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Чел, что мешает мне с такими аргументами потерять ноутбук?

7.134, мяв (?), 06:24, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
сказал человек с аргументом "что-то выйдет боком", лол?

6.121, Аноним (121), 23:09, 26/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	–3 +/–
Эээ Некоторым и самые прямые аргументы будут совершенно бездоказательны и с... большой текст свёрнут, показать

7.135, мяв (?), 06:29, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
во-первых, Вам стоит на на опеннете об этом писать, а производителю с требованием возврата средств. во-вторых, я всех деталей не знаю, может вообще Вы сами себе что-то накрутили. у меня, например, послы вытаскивания батарейки с платы, и пароль, и ключи остались на месте.

8.206, Аноним (-), 21:53, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Тем не менее, железо иногда ломается И если мамка проц внезапно станут тыквой -... текст свёрнут, показать

4.128, Kuromi (ok), 03:08, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> раз - уже давно tpm встраивают в процессоры, так что, вероятно, замаятесь > снимать. два - зачем? Вы из него ключи вытаскивать собрались? если > так, то закалебетесь вытаскивать из чипа с актуальной прошивкой. Идея встроить TPM в процессор одновременно прекрасна и ужасна. С одной стороны это и правда секурно, с другой стороны выстрелить себе в ногу и потерять ключики в TPM модули оказывается невероятно легко. Обновление прошивки у некоторых производителей - сброс TPM, замена материнки - сброс TPM и так далее. Образ диска украденный через мировой эфир и правда становится бесполезен, но может стоит хранить ключики на чем-то чуть менее встроенном?

5.133, мяв (?), 06:22, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
иначе никак, собственно. бэкапы ключей из tpm делаются в пару команд и никто не мешает залить их на флешку и хранить дома. в конце концов, может и диск из строя выйти, это цена хранения данных в цифровом виде. продукцию этих самых "некоторых производителей" можно и не покупать, лол. "некоторые производители" могут Вам и устройство бракованное дать, что с того-то?

6.161, Аноним (161), 13:22, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> в конце концов, может и диск из строя выйти, это цена хранения данных в цифровом виде. Именно в силу возможности выхода из строя вторичного носителя приходится делать бекапы, что нивелирует сам смысл хранения ключей в TPM.

6.169, Kuromi (ok), 14:50, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

> иначе никак, собственно.
> бэкапы ключей из tpm делаются в пару команд и никто не мешает
> залить их на флешку и хранить дома.
> в конце концов, может и диск из строя выйти, это цена хранения
> данных в цифровом виде.
> продукцию этих самых "некоторых производителей" можно и не покупать, лол. "некоторые производители"
> могут Вам и устройство бракованное дать, что с того-то?

Вот только бекапы ключей вам надо где-то хранить, причем секурно, а "флешка с файликом" по умолчанию уже не так секурно.

С условным LUKSом могут быть варианты, там все таки разные способы анлока есть, но тогда зачем возня с TPM?

7.184, мяв (?), 16:27, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
диск с бэкапом я храню дома и пароль записан на бумажке такой, который я сама запомнить не в состоянии. для ноута такой не поставишь, ибо часто включаю/выключаю, придется бумажку с собой носить, либо полагаться на память.

8.191, Kuromi (ok), 17:46, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Вскрыть дверь, унести диск с бумажкой ... текст свёрнут, показать

8.208, Аноним (-), 22:02, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Поэтому имеет смысл юзать пароли которые запомнить все же в состоянии См пример... текст свёрнут, показать

2.145, нах. (?), 09:33, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	–1 +/–
и зачем такие сложности, если можно просто венду загрузить secure boot защищает... большой текст свёрнут, показать

3.153, мяв (?), 11:04, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

–1 +/–

>защищает не от этого

именно от этого, от подмены загрузчика со стороны ОС, что можно прекрасно сделать, блягодаря shim.
рассказы про "злой мс" и "вендорлок", если Вы об этом, оставьте себе.
>что ключи шпион-капитана касперского везде давно заблокированы

Вы статью читали? ключи майкрософта и их все устраивает. софт касперского, как работал, так и работает.

> и станет заблокировано

галлюцинировать не надо. ключи майкрософта и ими они подписывают собственные драйвера.

>фсбшным кротом

ясненько. не стоило отвечать, вероятно.

4.198, нах. (?), 20:41, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
нет Вы статью на хабре нашли, прочитали, но так и не поняли Понадобился не шим... большой текст свёрнут, показать

5.218, мяв (?), 08:42, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

>нет.

дат. кончайте троллить.
берете shim, берете shell.efi, кидаете в папку на esp, переименовываете в grubx64.efi и шим его загрузит.

>устарела

поздравляю, теперь идите учитесь смотреть на что-то, кроме циферок.
шим как умел грузить левые файла, так и умеет.

>квалификация экперта

прям с языка сняли.
МС ими драйвера сторонних разработчик подписывает.
не верите - гугл в зубы.

6.219, нах. (?), 10:24, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
дай угадаю - secure boot у тебя - выключен При попытке загрузить шимом что-то к... большой текст свёрнут, показать

7.220, Аноним (-), 11:07, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Так, для особо умных, намекаю: 1) В grub было парочку фееричных багов, позволяющих кому попало грузить что угодно, чтоб такие как ты безопасТники не скучали. 2) Ключами майкрософт подписано столько всего интересного - что даже это нафиг не надо. Достаточно посмотреть какое-нибудь изучение чем пользуется малварь. 3) А когда профакапился макйрософт они объяснили что отзывать ключ не будут, это же винда грузииться перестанет! Как можно! И хрен с ними, с вирусами...

8.223, нах. (?), 11:59, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
было ms небось все локти искусала что повелась на вопли шва60дкофанов , но они,... большой текст свёрнут, показать

....большая нить свёрнута, показать (61)

1.22, тоже Аноним (ok), 13:36, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–2 +/–
Истинно говорю вам: чем хуже, тем лучше. Ибо зло неизбежно пожрет самое себя.

2.24, nox. (?), 13:41, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Не в этом дело. Заметил первый раз, когда с Netware на Windows NT переходил. У эти ребят 30 лет делается все наоборот и вопреки здравому смыслу, но продать удалось же. Вот такой критерий - всё делать наоборот как доказательство, что продать можно всё.

3.32, kusb reg (ok), 14:07, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
А чем Netware лучше и что именно вы заметили? Это интересно...

4.33, nox. (?), 14:25, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Кто сказал, что она лучше? В ней (версия 3.12) управление пользователями и ресурсами организовано противоположно Windows NT. И представляется это менее удобным.

5.65, Аноним (65), 16:35, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> В ней (версия 3.12) управление пользователями и ресурсами организовано противоположно Windows NT простите, я нетварь не видел, но как подобные вещи вообще можно сделать по-разному?

6.224, Аноним (224), 12:15, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
В одной на ресурсы назначаются пользователи. Открываешь ресурс, и сразу видно, кто к нему имеет доступ. В иной пользователю назначаются ресурсы. Это один из интересующих примеров.

1.30, Neon (??), 13:57, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+5 +/–
Вся эта фигня, UEFI Secure Boot - один сплошной маразм, палки в колеса для альтернативных ОС в угоду M$

2.124, Аноним (124), 01:54, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Так UEFI сделали в Microsoft. Там из полезного разве что старт сразу в 64-битность. Остальное так шум для маркетинга про безопастность

1.34, Аноним (34), 14:25, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+3 +/–
Ну вы что, это же SecureBoot Вместо того чтобы при установке операционной систе... большой текст свёрнут, показать

2.41, Аноним (-), 14:56, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

> слоем NDA и IP -- для облегчения аудита. В добавок обеспечим
> передачу ключей с TPM по незащищенной шине LPC --

ТАм давно уже SPI и I2C в почете, если вы так то не заметили. И кстати шифрование шины для TPM таки сделали.

...но вообше, если злыдень вам МК на шину развешивает - у вас, таки, нефиговые проблемы в системе. И ниакой секурьут вас уже таки - не спасет.

3.54, Аноним (34), 15:49, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
На последнем железе он интегрирован прямо в процессор Но сам факт что такие дыр... большой текст свёрнут, показать

4.117, glad_valakas (-), 22:17, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

> Так весь смысл SecureBoot в защите от физических атак.

нет смысла. против физических атак только физическая защита:
охранники, СКУДы, замки + ключи, железные двери,
бумажные журналы доступа. и видеонаблюдение разумеется.

ps: есть такое суперзащищенное электронное голосование, на котором всегда выберут кого надо.
чем-то напоминает SecureBoot, не правда ли ?

4.139, мяв (?), 06:54, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>весь смысл SecureBoot в защите от физических атак та ты шо? от физ. атак защищают технологии, вроде intel boot guard. а sb сбивается перепрошивкой платы.

4.170, Аноним (-), 14:55, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Не хочу вас расстраивать - но эта проблема не имеет эффеквтивного решения Прост... большой текст свёрнут, показать

1.37, onanim (?), 14:27, 26/07/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+3 +/–

2.38, тоже Аноним (ok), 14:37, 26/07/2024 Скрыто ботом-модератором [к модератору]	+/–

3.42, Аноним (42), 15:00, 26/07/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

3.49, ryoken (ok), 15:24, 26/07/2024 Скрыто ботом-модератором [к модератору]	+/–

4.51, тоже Аноним (ok), 15:29, 26/07/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

5.52, ryoken (ok), 15:33, 26/07/2024 Скрыто ботом-модератором [к модератору]	+/–

6.70, kusb reg (ok), 16:49, 26/07/2024 Скрыто ботом-модератором [к модератору]	–1 +/–

7.85, Аноним (85), 18:22, 26/07/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

3.146, нах. (?), 09:35, 27/07/2024 Скрыто ботом-модератором [к модератору]	+/–

2.59, Аноним (56), 16:17, 26/07/2024 Скрыто ботом-модератором [к модератору]	+/–

3.123, onanim (?), 00:42, 27/07/2024 Скрыто ботом-модератором [к модератору]	+1 +/–

1.44, Kuromi (ok), 15:00, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
Ха-ха, а я всегда говорил, что Secure Boot это Тивоизация + иллюзия безопасности для интересующихся юзеров. Никакие спецслужбы он останавливать не должен, для них всегда есть отдельный вход.

2.239, Аноним (226), 04:19, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это было очевидно с самого начала. Помните, когда оно только появилось, пошли ноуты без возможности отключения сесуре бута? Все взвыли и опцию таки завезли.

3.248, Kuromi (ok), 14:27, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Это было очевидно с самого начала. Помните, когда оно только появилось, пошли > ноуты без возможности отключения сесуре бута? Все взвыли и опцию таки > завезли. Ну так не стоило Балмеру и компании так подозрительно хихикать и умиляться. Хитрый план сделать Виндовс единственной ОС которую можно запускать на ПК оказался слишком уж очевиден.

1.62, Аноним (65), 16:27, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+2 +/–
> Закрытая часть тестового ключа AMI, необходимая для создания цифровых подписей, оказалась доступна публично после утечки информации у одного из производителей оборудования, сотрудник которого по ошибке разместил в публичном репозитории на GitHub код, содержащий данный ключ. Закрытый ключ был размещён в зашифрованном файле, при шифровании которого использовался простой 4-символьный пароль, который удалось легко подобрать методом перебора. так где скачать-то? друг просил...

2.71, мяв (?), 16:54, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
можешь скачать shim-signed из реп своего дистрибутива и, блягодаря поитике подписывания загрузчиков майкрософта, грузить им, шо угодно, на любых девайсах, т.к. на 99% машин в db есть ключ МС.

2.262, Аноним (263), 19:29, 02/08/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
https archive org details aaeon-uefi-firmware-git-repos Лучше скачать через T... большой текст свёрнут, показать

1.67, Аноним (67), 16:46, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
>не обратили внимание на предупреждение Сами, или их настоятельно попросили?

2.73, мяв (?), 16:55, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
зачем просить "не замечать", когда можно попросить ключ..?

1.79, Аноним (79), 17:32, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Кучно пошло. В Phoenix бэкдор в коде, у AMI бэкдор в корнях.

2.136, мяв (?), 06:37, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Вы что-то кроме заголовка читаете?

1.80, Аноним (80), 17:37, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
https www linux org ru forum security 17682542 cid 17685158 Ещё раз напомню 3 ... большой текст свёрнут, показать

2.138, мяв (?), 06:50, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
на кой вообще в цепи гроб, в котором уязвимость, позволяющая обойти верификацию - "обычный понедельник" ? что по ima, в линуксе по дефолту запрещен ввод кастомных политик в ранатйме, следовательно, остается 2 варианта из дефолтных: верифицировать всю фс, включая временные файлы с логами или верефицировать только исполняемые файлы. так что, мне не ясно, что там автор про верификацию /etc затирает. 3й ненужен, ибо он был добавлен еще до появления sb. по поводу iBG... автор там какого чая напился? свои ключи зашить можно было в полтора устройства из "бракованных" партий. по дефолту там кореновй ключ интела в пзу.

3.144, Аноним (144), 09:30, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
1 У меня старый GRUB2 до обновлений безопасности верифицирует все при загрузк... большой текст свёрнут, показать

4.154, мяв (?), 11:19, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
1 поздравляю, завтра будет не завтра - так послезавтра, или тогдач когда Ваше ... большой текст свёрнут, показать

5.163, Аноним (164), 13:36, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
1 Или наоборот, в старом не было, а в новых появились 2 IMA включается при на... большой текст свёрнут, показать

6.189, мяв (?), 17:07, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
3. прикольно. возможно, будет попытка номер 2, но не на десктопе. ибо я как то решила, что оно мне не надо, т.к уже iBG -> sb,tpm+пароль(не пин, а кусок пароля люкса) -> luks -> tomoyo linux(с политикой на всю систему) -> LKRG.

3.147, Аноним (144), 10:09, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
1 Купив проц и мамку раздельно пользователь будет иметь возможность добавить СВ... большой текст свёрнут, показать

4.156, мяв (?), 11:25, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
1. Вы ж написали уже это 2. действительно. в памяти почему-то отложилось, что корень от интел

5.166, Аноним (-), 14:31, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> 2. действительно. в памяти почему-то отложилось, что корень от интел

Настоящий корень - ключ ME boot ROM - и правда от Intel. Он с самого начала с фабрики прописан в фьюзы, и индеец ни при каком раскладе не сможет свой, доверяемый софт в ME протолкать. И обречен жить с блобом в ME подписаным интелом.

А бутгад - это типа 9 фуфлоколец гномам, так, вторичные ключи и вспомогаловка. Можно раздать индейцам для иллюзии контроля. Ведь имея доступ в ME - остальное уже не важно! Это самый привилегированый компонент системы. Настолько что x86 вообще его кишки не видит - а вот наоборот очень даже.

6.173, Аноним (173), 15:21, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]

+/–

> Настоящий корень - ключ ME boot ROM - и правда от Intel.

Да скажем правду - секретный ключ от IntelME есть в майора с АНБ.

> А бутгад - это типа 9 фуфлоколец гномам, так, вторичные ключи и вспомогаловка.

Он ОЧЕНЬ много даёт пользователю компа:

1. Физически неизменяем, никакой Васян не сможет его изменить.

2. Проверка UEFI и Secure Boot с помощью вашего ключа становится не отключаемой. Никакой производитель не сможет сменить прошивки UEFI и добавить ключ Secure Boot от M$.

3. У нас нет выбора. В DNS за углом Эльбрусу без IntelME пока не продают.

7.194, Аноним (-), 19:44, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Как минимум он есть у богов из интеля Кому и на каких условиях они это дают -... большой текст свёрнут, показать

8.214, Аноним (214), 08:03, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Интел при производстве чипов засовывает в них целого товарища майора с АНБ, прич... большой текст свёрнут, показать

9.225, Аноним (-), 12:19, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Накаркаете Название Management Engine намекает что оно создано МЕНЕДЖИТЬ КОМП ... большой текст свёрнут, показать

6.188, мяв (?), 16:59, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
а, ну вот. в любом случае, неплохая защита. ни Вам, ни мне явно дело с анб иметь не придется. максимум - участковый дядя Гриша и условный отдел к, которым силенок и не хватит. особенно, учитывая, что интел из рф ушел, да настолько, что даже доки почитать не дает.

4.165, Аноним (-), 14:28, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Однако ему никогда не дадут прописать свой МАСТЕР ключ - который ME boot ROM исп... большой текст свёрнут, показать

5.175, Аноним (173), 15:52, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
А что делать Эльбрусу в DNS за углом пока не привезли К ARM у меня другие вопр... большой текст свёрнут, показать

6.176, Аноним (173), 15:58, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
/Позировали 5 шведов/пожидничали 5 лярдов/

6.195, Аноним (195), 20:03, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это не является валидным аргументом в безопасности компьютерных систем Да и даж... большой текст свёрнут, показать

7.215, Аноним (214), 08:24, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Правда в том что ARM память не защищает Или в Linux не реализована защита памят... большой текст свёрнут, показать

8.229, Аноним (-), 14:26, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это откуда такая правда Тот же линух ядро прекрасно маркирует свои куски no... большой текст свёрнут, показать

9.240, Аноним (240), 08:26, 29/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
В дебиане лучше бы реализовали mprotect для всей системы, ядра и приложений Вот... текст свёрнут, показать

5.192, Аноним (192), 18:33, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> Видишь ли, дорогой индеец, верховные божества зарезервировали самый крутой ключ - себе. А ты в _ИХ_ системе сможешь не более чем они тебе милостиво позволят.

Дорогой индеец здесь ты, потому что как индейцы предлагаешь сидеть и ничего не делать, под предлогом, что блоб IntelME выковырять полностью не удается.

В любом дистрибутиве GNU/Linux можно значительно повысить безопасность настроив верификацию процесса загрузки в GRUB и Linux IMA/EVM.

3.186, Аноним (186), 16:35, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> на кой вообще в цепи гроб Редхат скоро от груба избавится. Всё будет в efi-файле.

4.196, Аноним (-), 20:06, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+2 +/–
>> на кой вообще в цепи гроб > Редхат скоро от груба избавится. Всё будет в efi-файле. А потом, когда у вас очередной кернель после апдейта не загрузится, Зоркий Глаз заметит что у сарая нет не только стены - но и подпорок для крыши, так что чего-то его немного этой крышей как раз и зашибло. Вот подстава то :)

5.202, Аноним (202), 20:56, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	–4 +/–
> А потом, когда у вас очередной кернель после апдейта не загрузится... Значит загрузишься со старого. Что как маленький. :) Я надеюсь, ты сейчас с грубом так делаешь, а не бежишь ось переставлять.

4.217, Аноним (214), 08:33, 28/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

UEFI не поддерживает верификацию с шифрованного раздела как умеет GRUB.

> Всё будет в efi-файле.

Все туда совать не надо. Это шаг назад в безопасности.
Ядро и инитрд желательно держать на шифрование разделе. А в efi-файл засунуть минимум: core.img от загрузчика GRUB.

....большая нить свёрнута, показать (25)

1.103, mma (?), 19:10, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Любителям секурности. Грузитесь с внешнего ключа(flash, tpc, etc), там же и ключь к ФС. Загрузились, убрали ваш ключ куданибудь, бинго. Во времена финансовой свободы так обычно и делали те кому есть что прятать от аудиторов в погонах)

2.207, Электрон (?), 22:02, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
evil maid для uefi или Intel ME потенциально отсылают по сети что угодно. Но для бытовых случаев хватит.

1.105, Витюшка (?), 19:28, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
Какой смысл после этого (и сотни других) примера про безопасность и тратить миллионы человеко-часов на переписывание кода? Вот это - и есть настоящее современное IT.

2.107, Аноним (90), 20:01, 26/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Так никто ничего и не переписывает все только языками чешут.

1.109, Аноним (109), 20:05, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+1 +/–
> Проблема получила кодовое имя PKfail Почему же сразу "проблема"? Не проблема, а фича! )

1.120, fazi (ok), 23:09, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+/–
Последняя мама Z790 AORUS. Прилично бабок цена. Вывод как на скрине. Блин за что я деньги платил ?

2.122, penetrator (?), 00:17, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+2 +/–

ты платил за понты

а что платили владельцы HP, Intel, Supermicro - вопрос

всякое дно уровня Dell и Acer вопросов нет, но серверные мамки

2.126, Аноним (126), 02:27, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]

–1 +/–

> Блин за что я деньги платил ?

Не обижайся, просто "налог на тупость".

НЕЛЬЗЯ сейчас приобретать никакие мамки!! ЖДАТЬ. Пусть г____ноеды-мануфакчуреры едят собственное дерьмо.

Что мы хотим: мамки от $100 до $300. Полная секурность, включая полную блокировну Intel IME.

3.140, Аноним (140), 07:29, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
>Что мы хотим: мамки от $100 до $300. Полная секурность, включая полную блокировну Intel IME Да ты я смотрю большой оптимист.

2.137, мяв (?), 06:41, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
secure boot и так нигде не работает из каробки из за подписанного майкрософтом shim и того факта, что их ключ везде в db/KEK суют.

3.181, нах. (?), 16:21, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
тебе ж вон там вадик на две страницы разжевал - что shim не позволяет без твоего явного участия исполнить что-то неподписанное. Во всяком случае - обычный, а не от ФСБ/AVP.

2.142, Аноним (142), 09:11, 27/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Ты купил плату от Gigabyte и ожидал, что у нее будет беспроблемный биос? Этот производитель всегда славился наплевательским подходом в разработке bios для своих продуктов.

3.228, Аноним (228), 13:55, 28/07/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Этот производитель всегда славился наплевательским подходом в разработке bios для своих продуктов. А у какого прозводителя ненаплевательский подход?

1.125, Аноним (126), 02:25, 27/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	–1 +/–
"производители не обратили внимание" - читай "ФБР рекомендовало не обращать внимание на какой-то там тестовый ключ".

1.152, Tron is Whistling (?), 10:57, 27/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+/–
Ну вот согласен с теми, кто говорит, что оно нафиг никому не в$ралось. Инженерные ключи, shim-загрузчики чего угодно, и т.п. Не прижилось. Всем пофиг. Театр безопастности.

2.179, нах. (?), 16:19, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+2 +/–

вообще-то оно РЕЗКО, на два порядка, усложнило написание примитивных бут-вирусов, доступных раньше каждому васяну.
Причем если раньше васяны хотя бы в бутсектор не всегда попадали или не помещались, надо было хоть ассемблер знать, то сейчас, когда uefi исполнит любой PEшник... хоть на хрусте пиши, хоть на gwbasic.

И сфейлилось в общем-то не технически а на человеческом факторе - обезьянки с воплями "шва60дки лишаютъ!" добились таки от MS что та понаподписывала совсем невменяемой чертовщины.

Ну а нынешняя история - просто вишенкой на тортике.

3.197, Аноним (-), 20:10, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]

+/–

> вообще-то оно РЕЗКО, на два порядка, усложнило написание примитивных бут-вирусов, доступных
> раньше каждому васяну.

А что - Васян настолько ленивый и тупой что shim взять не может? На самом деле просто все вдарились в зарабатывание бабок и оно перешло в вымогатели-винлокеры и прочие шифровальщики еще до всех этих потуг. Ибо зачем возиться с этой гадостью если проще потребовать перевод коинов воооон туда, а нето фиг вам а не ваши данные?!

А какое-нибудь NSA с equation с этого цирка ржать будут аки кони, запатчив тебе какую-нить фирмвару накопителя, выдавать сектора с вырусом в четверг високосного года, и попробуй это отлови вообше. Жытаг адаптер ты себе уже купил? Не, менее радикально это вообще хрен заметишь, пожалуй :)

4.200, нах. (?), 20:48, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> А что - Васян настолько ленивый и тупой что shim взять не может?

shim, внезапно, написан не настолько ленивыми и т-пыми как ты - и не загрузит автоматически неподписанную васянову поделку, вот так сюрприз.

В очередной раз - "квалификация"-c.

3.211, Tron is Whistling (?), 22:33, 27/07/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
Да они и нафиг не нужны стали - юзеры ныне такие пошли, что сами сдают свои пароли и данные кредитки по первому "ваш почтовый ящик будет заблокирован, пришлите все свои деньги на счёт X".

4.212, нах. (?), 23:17, 27/07/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

ну нет, там надо уметь быть убедительным.

А бутовые вирусы писали вовсе не ради минутного заработка, а просто развлечения ради.
И вот разглядываешь очередной трупик - а там легалайз мариванна, поверх (забыл уже, что там была за дрянь) и сверху near dark (в этом был таймер и он удалял таблицу разделов, поэтому и трупик, а то можно ж было еще кого-то четвертого и пятого намотать в этот же бутерброд)
Спасибо мариванне за заботливо сохраненную таблицу в седьмом секторе.

Представь до какого п-ца оно бы щас докатилось, если бы любой BOOTX64.efi тут же бы загружался.

Ан, нет, тут попердолиться надо (отдельно интересно откуда у эсэсовца Вадика оказался тот касперский... впрочем он в целом небрезглив и внимателен - мне бы и в голову не пришло что там не самый обычный шим и grub - казалось бы, ну нафига?)

3.235, Аноним (235), 19:45, 28/07/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Секурбут для людей можно сделать одной восьминогой микросхемой и перемычкой, разрешающей писать на эту микросхему и грузиться с неё. А то, что у нас сейчас - это секурбут ОТ людей, когда на какие-то планшеты слаку поставить можно только выдрав загрузчик и ядра из убунты, а на некоторые - вообще никак.

4.261, нах. (?), 10:21, 01/08/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

останется переделать все операционные системы для загрузки с волшебной микросхемы.

> А то, что у нас сейчас - это секурбут ОТ людей, когда на какие-то планшеты слаку поставить

вот ты действительно не понимаешь что как раз _людей_ - эти твои проблемы вот совершенно не интересуют?

И если ценой небольшого усложнения жизни кр@сн0гл@зикам (cp@ка на планшете, планшете, карл! - это б-жественно же ж!) доступно большое усложнение жизни вредителям - то безусловно именно так и надо было сделать.

1.234, Аноним (235), 19:35, 28/07/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
Ну наконец-то у меня неподписанный syslinux-efi на hp elitebook g7 не будет вешать загрузку на десять минут.

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: