Раскрыта информация о 8 уязвимостях в загрузчике GRUB2, позволяющих обойти механизм UEFI Secure Boot и добиться запуска неверифицированного кода, например, осуществить внедрение вредоносного ПО, работающего на уровне загрузчика или ядра...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54691
Патрик как чувствовал, оставив просроченный лило.
Там елило для уефи насколько помню. Лучше конечно просто ядро пересобрать со стюб и буллитин чтобы без грабов грузил.
Расслабьтесь, гуляет буткит подписаный валидным MSовским ключом. Ключ отзывать не будут, виндочка у юзеров грузиться перестанет, видите ли. Наверное его можно самому выколупать, на сильно некоторых фирмварях, но это уже сильно на любителя.
Выколупывается ключ MS практически на всех современных фирмварях проще некуда, и заменяется своим. SecureBoot Custom Mode это обычно называется, или как-то схоже.
Это как бы не регламентировано никакими стандартами и это может сделать полтора юзера, да и потом придется на честное слово верить проприентарному многометровому блобу со всеми Management Engine и прочими Boot Guard'ами что и правда типа-безопасТно.А какая по факту безопасность с адским проприетарным блобом? Там и крыжик отключки ME бывает. Только это фикция. Проприетарное блобваре кидает команду другому блобваре в интерфейс, а что там реально за этим следует - поди еще проверь. Особо упертые конечно проверяют но это валидно только для конкретных ревизий железок и биосов.
Нафига на UEFI отдельный загрузчик? efistub жеж. Или refind на худой конец жеж.
Но принципиально refind все равно проверяется shim'ом, и если там будут уязвимости, будет так же проблема с отзывом ключей. А тут ребята предлагают более хитрое решение, чтобы если найдут дырку, ключи не отзывать. Это и refind касается и systemd-boot и прочего. Дырки-то везде бывают. Сишечка же, переполнения буфера, ошибка при манипуляциях с указателями, целочисленные переполнения и тд и тп.Уверен что и в refind найдутся дырочки, если его реально будут использовать хотя бы 10% текущих пользователей grub2, и systemd-boot не безгрешен (даже б-жественный Поттеринг может допустить уявзимость! Или кто там его пишет). Так что идея полезная.
Куишечка, уважаемый. Обделаться можно не только и не столько с буферами, хоть эта тема тёплая, нежная и приятная на ощупь костлявым рукам хруствиков... Тем не менее, особо глубокой премудрости в том, чтобы ошибиться в логике, дополняя чужой код не нужно. Особая премудрость иглубокий практический опыт нужен в поиске этих дефектов и они бывают похлеще ваших любимых переполнений.Касаемо secureboot, он нужен для защиты от других угроз. DRM не дремлет и вся эта круговая порука нужна для того, чтобы сделать защиту от возможности софтово модифицировать систему. iME со встроенными функциями для проверки UEFI. UEFI, который запускает только подписанный загрузчик, который запускает только подписанное ядро ОС, которое работает только с подписанными бинарниками и библиотеками. Вот он - рай проприетарщиков. Нет возможности запустить какую-либо отсебятину. Только подписанный код. А за подпись надо платить взнос, ты же девелопер? Значит делаешь деньги на юзере-ушастом, значит делись. Какой опенсорс? Тут серьёзный бизнес, а вы морочите голову всякой ерундой, идите делать уроки.
Зачем shim refind-у? Лень свои ключи что ли прописать и забыть про shim как страшный сон?
И да, никто не говорит что refind идеален и 100% безопасен, но он на порядок меньше и проще grub-а.
Разве что свои ключи прописать, а чужие удалить все к чертям, если всякие MSовские еще и удаляться будут, конечно....только если у тебя система грузиться перестанет, чужие загрузочные медиа тебе слегка не помогут тогда :). Арчеводам актуально, не? :)
Если ключи прописывать, так и взять последний grub2 без дыр не проблема.А при традиционном использовании со стандарными ключами как вы без shim?
Понимаешь ли, хакер всегда может взять старый GRUB подписаный вон тем правильным ключом и через него загрузить все что хотел - потому что система схавает сие за валидный загрузчик. И какая при этом разница что изначально у тебя груб новый был, м? :)
> Понимаешь ли, хакер всегда может взять старый GRUB подписаный вон тем правильным
> ключом и через него загрузить все что хотел - потому что
> система схавает сие за валидный загрузчик. И какая при этом разница
> что изначально у тебя груб новый был, м? :)Не может. Потому что если это изначально мой ключ и только он присутствует в биосе, то где же хакер возьмет мой приватный ключ, чтобы подписать свой grub / refind / что угодно? Нигде.
А если я просерил свой приватный ключ, ну так ССЗБ...
> Нафига на UEFI отдельный загрузчик? efistub жеж. Или refind на худой конец жеж.Взбрыкнет у тебя новый кернел, допустим - и дальше чего?! В grub выбрать старый и все завертится. А у тебя? :)
И кстати все твои мытарства никак не помогают от того факта что атакующий возьмет GRUB2 со всем фаршем - и забутявит все что хотел. Видите ли у wintel настолько похабно сделаный секурбут что достаточно кому-то одному лопухнуться и все в ауте. Особенно вон тем, подписанным MS'овсеми ключами, а MS их OEM уже наподписывади этим всем все что угодно вплоть до буткитов.
Взбрыкнет кернел - загружаемся с liveusb и чиним, это бывает раз в десять лет. Если у вас чаще, можно записать livecd себе на диск, выберете в boot menu в случае чего.
Ага, при этом мы обнаруживаем что ключи мудасофта уже выпилили :) :) а свой собственный лив - с своими ключами - сколько вообще народа делает? :)В общем забавная безопасТность. Лучше всего - стреляет в пятку юзеру. Не так так эдак.
А у меня livecd / liveusb и устанвливается старое ядро.
Или если уж так не хочется иметь этот live, лепим в скрипт установки копирование старого ядра в <>.old и в том-же refind делаем строчку загрузки алля fallback.
Попробуй удалить ключи майкрософта как тут некоторые советуют, как раз и узнаешь в чем прикол :)Только лучше бы тебе научиться заранее самому делать подписанные тобой ливки. Иначе хрен его знает как ты потом это вообще раскирпичивать будешь...
В биосе разве секурбут не отключается?
> В биосе разве секурбут не отключается?Смотря где. На маздайных планшетках может и не отключаться. Ну, и вот как раз и придется его отключать, иначе это вообще совсем кирпич получится, если ты заранее ливфлеху с своими подписями себе не запилил. А сколько народа до этого 1) доперло 2) умеет так вообще? И да, кто эти волшебники? Тут хоть 1 такой есть?
> позволяющие обойти UEFI Secure BootПозволяет обойти зонд от M$ - разве это не преимущество?
Плюсую!
Почему это "зонд от MS"? Его же вполне себе можно настраивать на свое усмотрение, и свои ядра/загрузчики подписывать.
>Почему это "зонд от MS"? Его же вполне себе можно настраивать на свое усмотрение, и свои ядра/загрузчики подписывать.Вот это вот
>используется небольшая прослойка shim, заверенная цифровой подписью Microsoft
как бы намекает.
>Вот это вот
>>используется небольшая прослойка shim, заверенная цифровой подписью Microsoft
>как бы намекает.Никто не запрещает подписать shim своим ключом и добавить его в UEFI. Просто так делают, чтобы для установки системы не пришлось вкатывать свои ключи, поскольку ключи от M$ есть на многих компьютерах.
Вот это вот>Просто так делают, чтобы для установки системы не пришлось вкатывать свои ключи, поскольку ключи от M$ есть на многих компьютерах.
как бы намекает.
Это не проблема Secure Boot, а просто мледует из того факта, что на большинстве компьютеров стоит Wubdows, либо предполагается, что на него будут ставить Windows. Не думаю, что здесь есть какой-то злой умысел.
Ну да, еще скажи что boot guard - случайность, а ME и PSP - "забытые дебаговые фичи".
>Не думаю, что здесь есть какой-то злой умысел.Прикинь, именно так «злые умыслы» и выглядят.
> Это не проблема Secure Boot, а просто мледует из того факта, что на большинстве компьютеров стоит Wubdows, либо предполагается, что на него будут ставить Windows.хайли лайкли?
Очень наивно полагать, что нет злого умысла. Любая большая корпорация работает с единственной целью — власть и нажива. Выше человек уже подробно расписал, куда идёт вся эта secure-boot-движуха: полный вендорлок.
> Почему это "зонд от MS"? Его же вполне себе можно настраивать на свое
> усмотрение, и свои ядра/загрузчики подписывать.1) Настраивать можно ровно столько сколько позволит и сумеет фирмваре.
2) Это вообще не является по "стандарту" mandatory.
3) Себе MS сделал фавор и вписал свои ключи по дефолту, практически везде.
4) А чтоб не сбежали на нормальное открытое фирмваре без таких подарков нате-ка вам boot guard всякий.
5) А вот вам еще management engine и PSP в комплект, на случай если 4) все же каким-то чудом получился. И, конечно, они не будут запускать ВАШ код с опенсорснм фирмваре, где можно проверить что все честно.
> 1) Настраивать можно ровно столько сколько позволит и сумеет фирмваре.А есть железо, которое не позволяет добавлять свои ключи и удалять ключи от Microsoft?
> 2) Это вообще не является по "стандарту" mandatory.
В чем проблема, что его реализуют, особенно если оно отключаемо?
> 3) Себе MS сделал фавор и вписал свои ключи по дефолту, практически везде.
Ну если на компьютере есть Windows, то это логично.
> 4) А чтоб не сбежали на нормальное открытое фирмваре без таких подарков нате-ка вам boot guard всякий.
Какое отношение это имеет к Secure Boot, а особенно к уязвимостям в GRUB, с ним связанными? Boot Guard имеет отношение установке произвольного BIOS'а, а Secure Boot - к установке ОС. И здесь тебе никто не запрещает его отключить или вписать свои ключи.
> А есть железо, которое не позволяет добавлять свои ключи и удалять ключи от Microsoft?Есть даже ноуты которые позволяют на выбор грузить только рхел и восьмерку. Или ноуты которые при попытке переставить ОС превращаются в кирпич.
>> 2) Это вообще не является по "стандарту" mandatory.
> В чем проблема, что его реализуют, особенно если оно отключаемо?Проблема?
1) в том что во первых это отключаемо не везде.
2) в том что предлагается доверять мутному блобу.
3) в том что этот блоб заменить на открытый код нельзя - на большинстве интелских железок прописан бутгад.
4) и таки настоящий владелец платформы - тот кто прописал руткей бутгада, вот это настоящий мастерключ, ну то-есть oem.А декоративные болванчики с фиговыми ключами - наглядно иллюстрируют байку про кольца. Когда сколько там фуфлоколец каким там еще гномам, но самое крутое то - у мутного хрена в башне.
> Ну если на компьютере есть Windows, то это логично.
А на платах в ларьке виндовса нет, зато ключи - в наличии. А вот что там позволяет их фирмваре весьма отдельный вопрос. В документации не описаный. И сначала дескать купи, а там посмотрим можно ли это удалить. Крутой подход...
> Какое отношение это имеет к Secure Boot,
Самое прямое - зарубает доверяемую опенсорсную реализацию на корню. Предлагая на честное слово верить какому-то блобу, подписанному хрен знает кем вообще (руткей бутгада вообще у oem-а например).
> а особенно к уязвимостям в GRUB, с ним связанными? Boot Guard имеет отношение
> установке произвольного BIOS'аДа, и предлагается в вопросе безопасности поверить на честное слово мутному биосблобу без сорца, да еще когда установку открытых вариантов целенаправленно зарубили. А у кого вот этот самый крутой мастерключ поди там еще разберись. Руткей платформы на самом деле - вот оно. А фуфел уровнем выше - пойдет лесом если обладатель главного кольца так решит.
> а Secure Boot - к установке ОС. И здесь тебе никто
> не запрещает его отключить или вписать свои ключи.Проблема в том что это фуфельные кольца для глупых гномов развесивших уши. А самое крутое кольцо как раз никто и близко в лапы давать не собирался.
> зонд от M$Видишь ли, в данном случае это не зонд, а просмоленный чопик.
shim это workaround с плохим использованием Secure Boot.
Все делается легко, куча манов.
Генерите свой platform owner key, подписываете ядро (грузиться уже можно даже напрямую без grub).Все сертификаты: прошлый owner key, корневые от MS, и прочие db можете удалить, оставьте только dbx (отозванные).
Всё.
Под убунту для хомяков ещё проще.Убунта 20.04+ детектит включённый Secure Boot, и вставляет свой корневой Canonical сертификат, которым подписано ядро.
MS и ненужные сертификаты можно убрать.
Хомяки не умеющие в SB, наивно думают что в Legacy они безопаснее (про том что биос у них как был в rw режиме, так и остался, шей им руткит не хочу, наивные)
Многие bios-ui для совсем ленивых - вообще умеют тупо генерить сигнатуры скармливаемых .efi файлов и добавлять их в whitelist (db). Ни pok ни корневые даже не нужны, просто сигнатуры нужных бинарников будет вашими ручками апрувлены.Минус только при обновлении ядра придётся добавлять ручками снова.
Если bios-ui куцый, то mokutil из консоли Линукса делает с SB все что надо.
Опять же в Ubuntu для ленивых вообще сделали
$ update-secure-policyутилита в стиле "сделать все как надо, мой платформ кей, подписать модули ядра, вот это всё" в один клик
> Хомяки не умеющие в SB, наивно думают что в Legacy они безопаснее (про том что биос у них как
> был в rw режиме, так и остался, шей им руткит не хочу, наивные)А ты типа умеешь в безопасТность? Мутный блобик тебе что-то там пообещал, не забыв втулить бутгадов с менеджмент энжинами, а ты типа безопсный, да? :)
В теории - на компьютерах предприятия - может быть.В жизни на типичных десктопах могут потребоваться, например, драйверы нвидии, которые конечно можно подписывать руками после каждого обновления, то геморройно или же автоматом, что небезопасно и тоже надо настраивать специально.
А еще и на декстопах, и на серверах случаются проблемы, из-за которых очень желательно загрузиться в uefi shell. Вон, частенько биосы к серверным материнкам такие выкладывают, что кроме как через uefi shell нормально их не обновить: через IPMI ошибка какая-нибудь выскакивает, из линукса свои риски и тп. Да и вообще бывает, что вот нужен этот самый шелл как инструмент решения проблем. В самый неожиданный момент. И придется для его все равно отключать secure boot. А от чего тогда, спрашивается, защищались, если его можно отключить?
Юзеры нвидии должны страдать :)
> Юзеры нвидии должны страдать :)Гм. А не странная у вас логика? Тогда уже "пользователи линукса должны страдать". Ведь под виндой у пользователей нвидии нет ни одной проблемы с secure boot, это чисто результат палок в колеса, искуственно вставленных GPL-фанатиками и особенностями лицензирования ядра линукс :)
> Гм. А не странная у вас логика? Тогда уже "пользователи линукса должны
> страдать". Ведь под виндой у пользователей нвидии нет ни одной проблемы
> с secure boot, это чисто результат палок в колеса, искуственно вставленных
> GPL-фанатиками и особенностями лицензирования ядра линукс :)Логика простая - никто никому ничего не должен. Если кому-то что-то не нравится, никто не заставляет юзать Linux или что там еще. И как по мне, лучше бы фаны блоботы валили в свою винду где им самое место, им там и другие чудные DRMно-апсторные загородки запилят, и не то чтобы мне их будет жалко. Ведь у них был выбор.
Уязвимости компрометируют секюрбут, так што при помощи груба уязвим и лило и даже шиндавс.
Да там еще раньше мсовские ключи скомпрометированы были, только отзывать их никто не хочет. Почему-то.
в топку этот проприетарный уефи, для него токмо легаси режим
Ну так биосы тоже проприетарные.
у биосов нет секурных стартов, новость-то об уязвимости в таком
Шило, мыло, жепь, ебрило.
UEFI хотя бы более открытый чем BIOSы. А по сути, секуре бут вообще никому кроме M$ не нужен.
Вот, можно ещё почитать: https://github.com/pbatard/rufus/wiki/FAQ#Why_do_I_need_to_d...
Слабоумие и отвага.
Самокритично, чо. Доверить самое критичное секурити мутному проприетарному блобваре с бэкдорами, да еще всерьез уповать на это - это именно оно! И да, ложные ожидания в безопасности - дыра сами по себе.
> А по сути, секуре бут вообще никому кроме M$ не нужен.Как минимум одному анониму с опеннета он нужен, чтобы его подписанный загрузчик никто не мог подменить и не мог впихнуть в него вредоносный код.
Как бы, и "да", но в нынешнем виде это работает только на M$. А вообще, имхо, от рута (или, тем более, из нижних колец ефи/ме) можно писать что угодно куда угодно. И cat mysupertrojan > /dev/sda, грубо говоря. Так что, кроме очередного DMCA-инструмента, трудно сказать, что это нужно.
> Как бы, и "да", но в нынешнем виде это работает только на M$.Почему?
> А вообще, имхо, от рута (или, тем более, из нижних колец ефи/ме) можно писать что угодно куда угодно.
К нижним кольцам ты не сможешь просто доступ получить при наличии Secure Boot, рут на локальной системе - это максимум (и то с Kernel Lockdown он слегка урезан)
> К нижним кольцам ты не сможешь просто доступ получить при наличии Secure Boot,
> рут на локальной системе - это максимум (и то с Kernel Lockdown он слегка урезан)Ну, вообще-то, все зависит от того у кого ключи от замка...
И таки lockdown не очень слегка урезан уже. А нормально так. Правда у меня ключ есть, так что себе то я модуль всяко подпишу.
Ну так SB и был создан для того чтобы тупо запретить устанавливать чтоли бо кроме Виндоус на железо, ну или как минимум дать Микрософт полный контроль над тем что может быть подписано и загружено.
К их огромному сожалению пока что Secure Boot все ее можно выключать, а то мы бы уже давно ощутили.
Джае и не знаю, считают ли Микросы идею провалившейся и забили (все равно считается что мобильные девайсы это будущее) или продолжают выжидать пока все перейдут окончательно на UEFI, тот же Ubuntu установщик уже не хочет ставиться под Legacy BIOS, а вот тогда ловушку то и захлопнут.
Вот, да. Подозрение такое есть. Особенно учитывая что уже есть secureboot-only-устройства (пока их мало) и ещё большую огороженность загрузчиков, например, в ARM-мире.
> Ну так SB и был создан для того чтобы тупо запретить
> устанавливать чтоли бо кроме Виндоус на железо, ну или как минимум
> дать Микрософт полный контроль над тем что может быть подписано и
> загружено.Это конечно же не так.
Потребность в системе защиты имеет быть весьма широко востребованной.
И если "вашим" компъютером фактически владеет MS, то пора искать виновных... >:-)
> UEFI хотя бы более открытый чем BIOSы.Да? И как мне вон тот баг в системном фирмваре починить? Что-то не вижу сорца на эту вендорскую муть.
Ты понимаешь, что ты пишешь? В биосе такой функциональности ВООБЩЕ нет. Там можно трояны грузить, и мамка даже ухом не поведет
А что мешает мне загружать в UEFI в грабе (или даже в винде) трояна (само собой пользователь будет думать что это подписанная убунту)? Подпись добавлю в UEFI как в комментах описано.
Так что все просто сводится к паролю на биос\уефи и в этом плане они ничем не отличаются.
Очередное мелкософтское непродуманное @#$%^&.
отличается тем, что вирусы не смогут это сделать, для чего собственно и придуман был секуре бут.
Именно поэтому буткиты нынче подписаны легитимным MSовским ключом, отзывать который всем обломно :)
1 Что-то будет загружено пользователем в интерактивном режиме? Проверка подписи почти не нужна, максимум предупреждение.
2 Что-то загружено программой втихую? Лучше спросить об этом модуле при следующей загрузке.
3 Нельзя спросить из-за того, что это важный драйвер и нет возможности вывести изображение на экран или принимать ввод? Тогда пригодится подпись, да, но лучше избегать такого.
> А что мешает мне загружать в UEFI в грабе (или даже в
> винде) трояна (само собой пользователь будет думать что это подписанная убунту)?
> Подпись добавлю в UEFI как в комментах описано.Что за бред? Какой пользователь? И какая разница что будет думать какой-то пользователь?
А конкретно вам должно помешать что-то загрузить в чужой компъютер Secure Boot. К которому у вас нет ключа. Подпись вы тоже добавить не сможете, если SecureBoot должным образом включён (и система, которую оно разрешает загружать, должным образом защищена -- например не предоставляет права Администратора без должной аутентификации и пароля...).
И Администратор и Пользователь -- очень разные персоны, отныне знайте.
Разве легаси режим не через эту же прошивку работает?
см. выше, #42
То есть проприетарный биос лучше проприетарного уефи?
Да, он по крайней мере не навязывал с какой фс грузиться. Теоретически, конечно, вы можете вон те длинные тантры с подпихиванием драйвера ФС фирмвари. Практически, вы скорее сделаете из компа таким макаром кирпич. Тем более что там подписи запросто окажутся. А если не окажутся - так, стоп, а хакеру что помешает то же самое сделать? :)
Последнее время, что-то часто стали попадаться платы, где legacy тупо недоступен. Чем-то чую, что таких со временем будет чуть менее чем все.
"Здравствуйте, я ваша тётя". Так вроде бы в прошлом году (если не раньше) Интел издавал дикие вопли на тему "всё, CSM ненужен, скоро вырбим его к хренам!!!"
> Интел издавал дикие воплиНу вот, видимо, от воплей перешли к реализации.
ничего подобного, в Asus/MSI/Gigabyte все работает
например MSI A320M-A PRO/Gigabyte B450M S2H v2 (AMD)
MSI B365M-PRO VH/Asus Prime H310M-R R2.0/Asus Prime Z390-P (Intel)грузит все в legacy без проблем GPT + bios boot
а также работает с M2 NVME без проблем в legacy
у меня ноут asus, купленный лет 5 назад, там только uefi. из ноутов, которые куплены позже, только в одном можно включить CSM, но после этого напрочь отрубается встроенная клавиатура :)
dell latitude e6430
достойный ноут, ivy bridge core i5/i7, выключается
А зачем вам включать CSM?В режиме CSM не только секьюр бут отваливается (который и выключить-то не проблема, если хочется), а всякие другие плюшки, например на моем thinkpad - kernel dma (безопасный режим для thunderbolt, см. https://thunderspy.io/) его требует; я так понимаю, by design от интела он возможен только в чистом UEFI-режиме.
"О новый дивный мир..." привет из 1984 года!
> в топку этот проприетарный уефи, для него токмо легаси режимв топку так в топку, а толку от этого НОЛЬ, ибо:
легаси биос точно такой же проприетарный лол...
и там, и там интелме и прочая бинарная шляпа, которую вы не контролируете... всё строго по эскобару. что уефи, что легаси режимы, что чистые биосы и тп это всё проприетарное, закрытое. что ваш ноут с уефи, что без уефи - и там, и там те же яйца, только в профиль.если только вы не счастливый обладатель коребута/либребута.
но лиц обладателей чистых перепрошитых биосов примерно вот столько: 0,000000000000000001%
Не надо путать secure boot и uefi.
Secure boot - это фича, которую можно не использовать. А uefi хоть как-то стандартизован, его в перспективе будет проще заменить на свободное ПО, чем биос-блобы.
На некоторых новых (и даже не очень, пару лет назад выпущенных) материнских платах уже нет CSM (Легси) режима в UEFI.
Чтобы запустить мой (МОЙ!) компьютер я должен спрашивать разрешения у Microsoft. А не оxyeли ли они все?Впрочем, всегда остается возможность отключить секурбут в биосе. К счастью.
Ну еще ты можешь подписать все самостоятельно
чувак, держи себя в руках, всегда можно мысль выразить без крепкого словца, а так ты просто работу для модераторов подкидываешь
Скоро устройства с предустановленной десяткой можно будет купить только подписав контракт свои кровью. Конечно, в целях безопасности. Не отвертитесь.
К сожалению, иначе помимо тебя - его сможет запустить тот, другой васян - и не спрашивая ничьих разрешений.Впрочем, MS уже и с прошлого раза наверняка все локти сгрызла, что подарила дуракам л@п4@тьiм свой ключ, который даже отозвать невозможно, он в железо прошит.
Ежу было понятно, что они его просифачат, кто бы сомневался.
Напрягись и запасись вазелином - на новом оборудовании уже нет такой возможности.
> Чтобы запустить мой (МОЙ!) компьютер я должен спрашивать разрешения у Microsoft. А
> не оxyeли ли они все?
> Впрочем, всегда остается возможность отключить секурбут в биосе. К счастью.Компьютер твой, а операционная система нет.
К слову о необходимости скуд для стоек/доступа в цод и обеспечения физ.беза в принципе, мда.Статья слишком большая, не понял - во всем опять виноват мс или в этот раз оподливились все?
> Статья слишком большая, не понял - во всем опять виноват мс
> или в этот раз оподливились все?Тут, думаю, скорее не вина даже -- а совершенно безумная надежда на то, что запредельной сложности агрегаты будут ещё и надёжными (ну, повезёт за границами человекопостижимости).
Что-то я с запозданием начинаю понимать Алана Кокса, занявшегося опять восьмибитными машинками после отхода от дел в ядре...
С другой стороны -- радует, что уже по факту начинаю забывать про все эти UEFI и x86 потихоньку (да и aarch64 не занимался особо).
Старость...
Сменив на нечто, где даже система команд не документированная и компилер проприетарный. Вот уж из огня в полымя. Поха к себе наймите, саботажить - так уж по полной. Он наверняка придумает чего еще бессмысленно и беспощадно зажлобить можно.
Дней без обнаруженных сишных дыр: 0...
Мне делом заниматься лень,
Но мог бы сделать я немало,
Когда бы сишная дырень
Ум буйный мой не занимала.
Фрактал Фракталу отвечал,
и отвечали все Фракталу.
> Дней без обнаруженных сишных дыр: 0...Ты просто туповат для этого.
А писали бы на C++, такого бы не произошло в принципе. Язык С давно уже нужно признать устаревшим и небезопасным.
Эм, это потому что для C каждые три года не выходит новый стандарт с кучей новых "нужных" фич? Не путайте, товарищ, стандарты и то, как эти стандарты конкретные компиляторы воплощают в жизнь, ну и «пища» для них, компиляторов, в виде адекватного исходного кода есть вещь определяющая.
> ну и «пища» для них, компиляторовА зачем пищать? Без этого не компилится?
метафора? не, не слышал
Сарказм? не, не слышал
как писал анон не так давно в каком-то треде: вас тут хрен разберешь, сарказм или тупой (уж извините)
> Сарказм? не, не слышалЭто не сарказм, это неумение читать.
Затем, что vi.
Язык Си - универсальный. Хочешь - пишешь безопасно, хочешь - пишешь небезопасно. А хочешь - вообще не пишешь.
На си нет режима "безопасно". Есть только "по долбое*ски" и "по идиотски", т.к. в языке все сделано для того, чтобы программисты вырождались либо в первых, либо во вторых, и забывали, что значит программировать (совсем не описывать поведение микроконтроллера 70х как в си), как писать адекватный и понятный, компактный код. ...как итог: си код либо медленный (и со встроенным интерпретатором, как минимум командной строки..), либо ошибочный, "дырявый" и неадекватный задачам программирования и требованиям безопасности.
у вас в слове Python шесть ошибок. Ну или в слове Rust четыре.
> На си нет режима "безопасно".Есть, но может задолбать не меньше чем ада адовиков-затейников безопасно уронивших ариан 5.
А Rust ещё универсальнее. Пишешь, пишешь - и всё напрасно.
Давно пора признать устаревшими евровилки, uk вилки и прочие давно существующие стандарты подключения электричества. Также признать устаревшими стандарты 220, 110 и вообще синусоидный переменный ток, равно как и постоянный. Ещё необходимо признать устаревшими и опасными картофель, все зерновые и вообще всё, что мы выращиваем и пользуемся уже тысячи лет.
Вчера втыкал евровилку себе в ногу, чуть не отстелил. Славо богу я съел недозревший картофель и умер до того как боль почувствовал.
2 чая уже можно не подавать?
10 кВ тебе прямо в квартиру.
ЗАДАЧА: Прострелить себе ногу.C: Вы простреливаете себе ногу.
C++: Вы случайно создаете дюжину копий объекта «вы» и всем им простреливаете ногу. Срочная медицинская помощь оказывается невозможной, так как вы не можете разобраться, где настоящие копии, а где — те, что только указывают на них и говорят: «А вот он я!»
+
Начитаться о вреде С и пойти почитать про хруст, ничего не понять но считать что ты выбрал правильный путь обучения (нет). Не написать ничего стоящего, попробовать переписать базовую утилиту, понять что месяц ушеднший на то что делается за пять минут - уже не вернуть. Подумать о том чтоб застрелиться - но это больно, попробовать застрелиться на 20% и стрельнуть себе в ногу.
пусть мелко-мягкие забирают secure boot себе обратно взад
Если позволяет обойти не нужно, то это даже хорошо.
Почему бы просто не отключить Secure Boot в настройках BIOSа, раз не нужно? :)
Читай выше по треду, не везде такая опция есть.
Время идёт, а линукс в использование TPM и trusted boot, все так же не умеет, но небезопасной всеравно считается винда
Вот как мс откроет свой загрузчик, там и будем посмотреть. Чую печенкой там дыр в деясток раз больше
> Вот как мс откроет свой загрузчикЗачем открывать? Или безопасность через закрытость вдруг стала работать? Если есть дыры, их и так найдут, а на что способны "тысячи глаз" в опенсорсе итак уже всем известно
таки да, безопасность через закрытость работает.Из за того, что дыры тяжелее обнаружить. Исх код то закрыт.
> таки да, безопасность через закрытость работает.
> Из за того, что дыры тяжелее обнаружить. Исх код то закрыт.Пока не утечет мастерключ.
https://www.opennet.dev/opennews/art.shtml?num=44950
> Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
> 11.08.2016 19:22
Нет. SecureBoot хорошая и нужная вещь. Выаидывай ключи M$ и ставь свои.
> Нет. SecureBoot хорошая и нужная вещь. Выаидывай ключи M$ и ставь свои.Только когда мастерключ можно самому прописать, заверив им опенсорсную реализацию где хоть какой-то аудит сорца был. Бутгад намекает что главное кольцо таки не у вас...
Boot Guard и Secure Boot решают разные задачи, да и на десктопных платах часто можно прошить собственные настройки Boot Guard. А главное кольцо находится в руках производителя железа с тех пор, как в домашних условиях стало невозможно валидировать процессор.
> Boot Guard и Secure Boot решают разные задачи, да и на десктопных
> платах часто можно прошить собственные настройки Boot Guard.Это как? Насколько я помню, мастерключ однократно шьется в фузы. И кто первый встал, того и тапки. Ну да, в лучшем случае он не прописан - и теоретически конечно можно свой тогда вписать.
Но
1) А софт для этого есть?
2) Это всего 1 выстрел. И если он мимо, тогда наступает вообще совсем упс. Фузы вроде как однократные.
3) Есть еще всякие прелести типа ME, у которых тоже есть свой мастерключ. И таки вот он точно прописан - и таки он интеловский. Поэтому интел всегда может включить режим бога и подписать процыку умеющему DMA все что сочтет нужно. А при этом ваши потуги в безопасности уже как-то и не решают особо. Конечно есть полунедоспособы типа-шатдауна гаденыша, но я например даже просто дампа его бутрома не встречал, не говоря про анализ оного.
4) Ну и в целом доверять платформе с вот именно такой структурой как-то очень так себе. С одной стороны себе буты делать криво и стремно, с другой - удобно каким-то мутным левым козлам, половина которых вообще вписывает более мощные чем ваши ключи и никого не спрашивает можно ли им.> А главное кольцо находится в руках производителя железа с тех пор, как в домашних
> условиях стало невозможно валидировать процессор.А вот это совершенно не обязательно.
1) Есть куча процыков где именно мастеркей в фузах с фабы таки не прописан и в большинстве железок они именно пустые.
2) Есть методы секурбута не завязанные на ключах. Например readonly начальный загрузчик, который далее чекает остальное по цепочке. При этом root of trust переносится на 1 уровень вверх, а readonly обеспечивает его неизменность как минимум ремотными атакующими. А если кто может у меня железку спереть для физического доступа, они и много чего еще могут, от чего секурбут не очень помогает, кому надо вскрывают даже чипы для смарткарт, параноидально защищенные от все и вся, а более мягкотелые generic чипы...
Пройдись по новостям на Опеннете, выбери новости "Mшcrosoft открыла код" и найди в этом свежеоткрытом коде дыр "в десяток раз больше".
Подвижки идут, в Clevis есть планы по добавлению TPM 2.0 Authorized Policies, но всё очень долго. Самому всё сделать, что ли.
IMA/EVM имеет птдержку TPM.Пробовали IMA/EVM без TPM и с открытием/закрытым ключом, а не HMAC?
У GNU/Linux Integrity уже есть более 10 лет: https://www.opennet.dev/openforum/vsluhforumID3/123444.html#131
>но небезопасной всеравно считается виндаА чего тут удивительного? Пусть Винда умеет все эти ваши TPM и trusted boot. А затем, успешно через них продравшись (загрузившись), радостно открывет наружу бекдор для кого нужно.
Складывается такое впечатление, что безопасники своими навороченными новшествами просто стреляют себе в голову...
С каждой новой "фичей по безопасности" - приходит 10 новых опасностей...
С разморозкой вас!
походу совсем не те заявленные цели они преследуют
Чудище обло, огромно, озорно, стозевно и лайяй.
В этой ветке не хватает анонима из оупеннета, который напишет как положено. А потребуется ему только Си, граненый стакан и пепельница.
Оно ради вендорлок пилилось, пусть и не полного.
Безопасность так, как повод.
Вендорлок полный не дали сделать антимонопольные органы в США и Европе. Но думаю оно все же пилилось ради распила за примии эффективным менеджерам.
> Вендорлок полный не дали сделать антимонопольные органы в США и Европе. Но
> думаю оно все же пилилось ради распила за примии эффективным менеджерам.Ради DRM'а и копирасии, вообще-то. В идеале сделать из винды второй ифон, с установкой только через аппстор.
КТО?? использует всё это дерьмо в реальности и в полном объективном осмыслении? Выйди из своего ада на пару минут и расскажи, фейхуа тебе всё это надо???
_некоторое_ понижение шансов, что попавший в руки других васянов ноут не получит каких-нибудь сюрпризов незаметно для меня.В отличие от бесполезных выпиливаний несекьюрных шифров, ломаемых всего-то за $50000 - вполне осмысленная мера.
-что-то последнее время мы или проигрываем или опаздываем..
-ну не знаю, у меня сенкьюребут
Так это не уязвимости, это фичи, секуребут как и уефи - ересь поганая, должна быть возможность запускать любую ОС без попрошайничества ключей у гомноконторы!
формально она есть - берешь и своим ключем подписываешь то, что надо запустить
Ну да - ты подписываешь, а оно не грузит. Потому что в железе прошит ключ майков, а не твой.
Формально она есть - берёшь и делаешь своё железо заливая туда свой ключ) Видимо так
ты подписываешь, а оно грузит, потому что ты сгенерировал через openssl ключи, которыми подписал то, что нужно тебе загружать, а сам ключ через интерфейс uefi загрузил в прошивку, об этой возможности даже на ресурсах мелкомягких сказано. Например, можешь начать отсюдаhttps://docs.microsoft.com/en-us/windows-hardware/design/dev...
Буду знать, спасибо.
Так это тоже скоро выпилят
Для вашей безопасности :)
Secure Boot нужен в первую очередь крупным организациям. Они просто не купят железо, если возможность загружать свои ключи выпилят, так что вряд ли это произойдёт.
> Secure Boot нужен в первую очередь крупным организациям.Для чего?
Организациям нужно шифрование диска. Чтобы если кто-то ночью вломится и украдёт компьютер главного бухгалтера, он не смог достать с него бухгалтерию предприятия.
А Secure Boot-то им зачем? Из-за слова "Secure" в названии?
> Чтобы если кто-то ночью вломится:-) Как грубо...
> А Secure Boot-то им зачем? Из-за слова "Secure" в названии?
А вот бывает прямо среди дня... Какой-то неприметный сотрудник аккуратно и бережно загружает что-то... систему... в компъютер бухгалтера... потом приходит бухгалтер с ключами от дисков... и не видит ничего необычного >:-)
>> А Secure Boot-то им зачем? Из-за слова "Secure" в названии?
> А вот бывает прямо среди дня... Какой-то неприметный сотрудник аккуратно и бережно
> загружает что-то... систему... в компъютер бухгалтера... потом приходит бухгалтер с ключами
> от дисков... и не видит ничего необычного >:-)Вообще не понял, о чём это.
Средь бела дня троян в систему ставится методом запуска экзешника с флешки. Причём тут Secure Boot и организации?
> Средь бела дня троян в систему ставится методом запуска экзешника с флешки.А если не ставится? Потому что система не разрешает запустить. Да ещё сначала надо войти аутентифицировавшись и назвавшись системе. После чего оно ещё и в лог запишет про попытку запуска с флешки таким-то сотрудником...
Вот с перезагрузкой без Secure Boot уже по-другому...
>> Средь бела дня троян в систему ставится методом запуска экзешника с флешки.
> А если не ставится? Потому что система не разрешает запустить.Что значит "а если"? Вы подгоняете условие под ответ.
Я тоже так могу: а если система не разрешает загрузку с других носителей? Без всяких secureboot-ов.
Поэтому опишите полностью угрозу — ситуацию, в которой без SecureBoot-а удалось бы достигнуть цели, а с secureboot-ом — нет. Заодно уточните, какова финальная цель?
И, нет, подмена загрузчика — это не цель. Цель — это, например, узнать пароль на зашифрованный диск, а потом устроить рейд, украсть весь компьютер целиком и слить с него все данные. (Самый дешёвый способ это сделать — заснять пароль на камеру, и ничего подменять не надо.)
Когда вы выпишите конкретную угрозу и _конкретную_ цель, то окажется, что либо SecureBoot не защищает от достижения этой цели, либо защититься можно и без SecureBoot-а.
Очень крутые организации договорятся, а для крестьян выпилят.
>Они просто не купят железо, если возможность загружать свои ключи выпилят, так что вряд ли это произойдёт."А не будут покупать, отключим газ!" Пусть походят по рынку в поисках оборудования с возможностью заливки своих ключей.
А в чем проблема самому загенерить свой ключ, подписать им ядро и загрузить в UEFI? Никто не запрещает.А просить ключ у Microsoft надо только в том случае, если ты пилишь свой дистр, и хочешь, чтобы он грузился у всех подряд (потому что по дефолту на многих компах есть ключ от M$, но ничего не мешает его оттуда спокойно убрать)
Только вот вчера ночью ставил на локалхост себе арч и выбирал бутлоадер. Выбрал груб2 И вот на тебе.
Нахрена? Чем тебе efistub не нравится. Пысы выбор был я так понимаю из lilo и grub2?
Я выбирал по табличке из вики арча. Там у граба были везде плюсы. А stub я так понял это костыль какой-то, когда вместо загрузчика засунули ещё одно ядро линукса.
> stub я так понял это костыль какой-то, когда вместо загрузчика засунули ещё одно ядро линукса.Не еще одно, а ровно то, которое надо загрузить. Просто так оно грузится напрямую, безо всяких посредников в виде grub'а.
Можно же EFISTUB и systemd-boot или rEFInd использовать. И PreLoader для SecureBoot. GRUB2 только если что-то уж очень сложное надо загрузить.
Из этих слов я слышал только systemd и grub При этом про первое было куча мата, а второе вроде как давно на слуху и видимо рабочее. Потому и выбрал граб.
Не советую брать за ориентир мнение среднестатистического опеннетовца)
> При этом про первое было куча матаsystemd-boot совсем не равно systemd
>>Как и в случае с прошлогодней уязвимостью BootHole, для блокирования проблемы недостаточно обновить загрузчик, так как атакующий, независимо от используемой операционной системы, может для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью.Это легко решить массово и на корню просто отозвав микрософтный ключ.
A local attacker with administrative privileges (or with physical access to the system) could use this issue...Короче расходимся
>При расчёте размера предполагалось, что для экранирования одинарной кавычки требуется три символа, хотя на деле необходимо четыре.Нет слов, одни междометия. Почему в языках программирования я делаю string.replace("\'", "\'\'") и не парюсь о размерах?
не шатай скрепы, смузихлеб, так наши батьки писали, деды писали, и ты пиши
Аминь!
> позволяющие обойти UEFI Secure BootНу и ладно. Всё равно вещь бестолковая.
> при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPIА так можно было?? (⊙_⊙)
Да, вот именно так удалось прописать P-state на частоту 900MHz для AMD A8-4555M на неттопе (чтобы меньше грелся APU), производитель почему-то забыл добавить в EFI. Однако он забыл добавить и 2 boost states, вот их добавить так же уже нe получилось.
Coreboot
Эти тоже те ещё деятели. Зачем-то откидывают поддержку железа, которое люди используют.
Среднестатистический пользователь должен страдать за свою глупость,лень и эгоизм,так что все идёт как должно быть.
Да ладно! Железо покупать каждые два года? Это как с Андроид который не обновить должно быть?
Все верно.И главное побольше нововведений(как символично)чтоб от соседа с его умной хатой не отстать.
Маркетолог однако.)
> Зачем-то откидывают поддержку железа, которое люди используют.
> Среднестатистический пользователь должен страдать за свою глупость,лень и эгоизмКакая связь? В чём заключается глупость, лень или эгоизм пользователя в данном случае?
1.Глупость.Отсутствие знаний.Шаман сказал ему принести двух свиней чтоб он дождь вызвал-умный шаман.
2.Лень.Пусть за меня подумают и решат.Чем я буду вызывать дождь пусть шаман за меня его вызовет.
3.Эгоизм.Шаман,мне плевать на тебя и остальных,скорее вызви мне дождь!
Кто-то запретил использовать те версии, в которых ещё есть поддержка этого железа?
dbx в прошивке обновиться автоматически? Нужно ли вручную заходить в uefi и что-то там настраивать?
Как будто это что-то плохое.
Мда, список таких детских CVE... GRUB по-прежнему pешето.
давно такого не было и вот опять.
>> в обход верификпацииПоправьте плз.
По сабжу - SecureBoot в печь. Ну и вместо GRUB2 тогда rEFInd для (U)EFI системю
>>> в обход верификпации
> Поправьте плз.На верифакапцию.
Был же grub 0.97 и горя не знали, а теперь жду новость "после обновления grub2 у 50% пользователей линукс перестал загружаться, совсем, требуется переустановка".
Не было у бабы проблемы - купила баба порося.
> Был же grub 0.97 и горя не зналиНе знали, только вот он немного не умеет грузиться на компьютерах десятилетней (Карл!) давности.
К сожалению, некоторые устаревшие технологии таки приходится выбрасывать, а не жить с эмуляцией давно мертвого дос-загрузчика еще триста лет.
Все секур бут уязвимости решаются одним переключателем в прошивке. Только полное отключение и никакой эболы с ключами. Нормальным, честным людям ограничивать свой компьютер нет необходимости. Это всё только корпоратам и нужно.
Я понимаю твою точку зрения, но ты мне не нравишься. Я считаю её ошибочной. Гораздо лучше, когда у пользователя есть контроль. Чтобы посадить пользователя в клетку подобные технологии никогда не были необходимостью.
если тайная аркадия делает ружье, то оно стреляет на 359 градусов и у пользователя только контроль несложного выбора - быть или не быть.
> Все секур бут уязвимости решаются одним переключателем в прошивке.Если ты его отключишь, то безопаснее от этого не станет :) Просто атакующему не надо будет прилагать усилий, чтобы загрузить недоверенную ОС.
Так-то все уязвимости решаются выключением компьютера :) Компьютер выключен, и никто на нем не сможет запустить вредоносный код. Полезный код ты тоже не запустишь, но кого это волнует...
Ну загрузит он недоверенную ОС и загрузит. Шифрованные разделы от этого не расшифруются.
> Ну загрузит он недоверенную ОС и загрузит. Шифрованные разделы от этого не расшифруются.Если подменить загрузчик (он же в принципе не может быть зашифрованным), то вполне себе можно узнать пароль от шифрованных разделов. А Secure Boot при наличии прямых рук от такого и защищает.
Secure Boot внезапно от этого не защищает вообще, потому что при наличии возможности подмены загрузчика - если это root-доступ - уже есть возможность либо читать все подключенные разделы, либо если это физический доступ - secure boot внезапно можно и отключить, и ключ ему подменить вместе с загрузчиком, и т.п.
> Secure Boot внезапно от этого не защищает вообще, потому что при наличии
> возможности подмены загрузчика - если это root-доступ - уже есть возможность
> либо читать все подключенные разделыЧто значит root-доступ? Кто-то писал. что не видит проблем с загрузкой "недоверенной ОС". Которая может быть и ДОС...
Кто-то писал что зашифрованные разделы не расшифруются, а тут уже "читать все"...
Это значит, что никакой secure boot уже не важен и не интересен, поскольку сторонний кусок кода в системе и так имеет доступ ко всему, к чему захочет. В т.ч. к зашифрованным разделам, которые подключены.
> Это значит, что никакой secure boot уже не важен и не интересен,
> поскольку сторонний кусок кода в системе и так имеет доступ ко
> всему, к чему захочет. В т.ч. к зашифрованным разделам, которые подключены.Это без SecureBoot оно (DOS) имеет доступ, поскольку загрузилось (своим загрузчиком). С SecureBoot оно не загрузится.
Оно никуда не загружалось, оно туда в результате юзера, кликнувшего на "поступивший счёт.exe" попало...
> Оно никуда не загружалось, оно туда в результате юзера, кликнувшего на "поступивший
> счёт.exe" попало...Говорилось о загрузке недоверенной ОС.
Теперь уже "поступивший счёт.exe"? :-) Ну так ничего не запустилось в результате... Потому что вообще почтовый агент не должен "запускать" письма. Дальше какие фигуры танца (ужика на сковородке) исполните?
Ты то ли читать не умеешь, то ли осмысливать, уж извини.
Говорилось о том, что если у тебя права в ОС такие, что ты можешь загрузчик подменить - секуребуту уже поздно что-то пытаться не дать загрузить.
А если это физический доступ - можно и клавиатуру подменить, и USB-контроллеры, и много чего ещё.
> Говорилось о том, что если у тебя права в ОС такие, что
> ты можешь загрузчик подменить - секуребуту уже поздно что-то пытаться не
> дать загрузить.Так права такие потому что ОС такая загружена, недоверенная, потому что Secure Boot вообще отсутствует. Это говорилось.
> А если это физический доступ - можно и клавиатуру подменить, и USB-контроллеры,
> и много чего ещё.А если нельзя? Кабель клавиатуры уходит куда-то внутрь закрытого корпуса... Корпус просто так не открыть... Да и оно ещё дополнительно имеет крепления... А пилить нельзя.
И замок висит.
Амбарный.
> И замок висит.
> Амбарный.Ага... И секуритати туда сюда прогуливаются.... Такие. С восточными чертами.
...ну или Папу следует самое позднее к завтраку ждать >:-)
(если проще, secure boot - это иллюзия мнимой безопасности. нет смысла менять загрузчик - да и сложно это, надо целый блин руткит под конкретное окружение писать. проще либо юзера заставить недоверенный код запустить, либо сопоставимо сложный с загрузчиком путь - внедрить этот код через физический доступ)
> проще либо юзера заставить недоверенный код запуститьАга... Началось... Продолжение. ("а может просто сразу в морду?") А если не проще? Ибо юзер (ведь вы с речью о юзере, пользователе) сам ограничен в правах в данной системе и не может запускать "недоверенный код"?
> сопоставимо сложный с загрузчиком путь - внедрить этот код через физический
> доступАга... Сопоставимо сложный... При том что загрузчик что-то не подменяется... >:-)
Как ты собрался подменять загрузчик без доступа к системе?
А если у тебя есть доступ к системе, достаточный для подмены загрузчика - необходимость в подмене загрузчика резко отпадает. Ну если ты не энтузиаст-экспериментатор, конечно :D
> необходимость в подмене загрузчика резко отпадает.А ведь делали вид что зашифрованные разделы что-то особенного для вас ...
Ты серьёзно читать не умеешь? Ну реально.
Ещё раз по буквам:
1) Если есть достаточные права для замены загрузчика - шифрованные разделы уже и так доступны
2) Если есть физический доступ - для получения ключей со временем подмена загрузчика - слишком муторное занятие. Если всё просто - хватит подменённой клавиатурыЕдинственное, что выпадает из (1) и (2) - это аппаратные ключи и необходимость долгосрочного контроля над системой. Это уже немножко другая тема, но замена загрузчика и тут будет самым палевным методом.
> либо сопоставимо сложный с загрузчиком путь - внедрить этот код через физический доступВообще-то, через физический доступ намного проще.
Троян для загрузчика ещё написать надо, под конкретное окружение, да.
А USB Keylogger можно купить на ебее за несколько долларов.
(если проще)
1. В случае root доступа secure boot уже не важен
2. В случае физического доступа подменять резоннее не загрузчик, а клавиатуру :)
У людей заботящихся о своей безопасности одного пароля для расшифровки диска мало - многофакторную аутентификацию не вчера придумали. Тот же yubikey при загрузке помогает не боятся кейлоггеров.
Как насчёт модулей DRAM, на которых есть немножечко логики и флеша, и которые подсунут свой код уже после загрузки ОС? :D
(никогда не думали, что физический доступ открывает безграничные возможности?)
Подменённый загрузчик ещё не означает расшифрованные разделы, его подменяют как раз с целью получить полный доступ и не сейчас а вообще, в том числе после выключения.
>Все секур бут уязвимости решаются одним переключателем в прошивке.А как именно?
Переключателем read-only, который запрещает софтверно обновлять все важные компоненты (прошивку, бутсектор, загрузчик, ядро, initramfs и так далее). Вот только Secure Boot был сделан как раз для того, чтобы админ крупной организации не ходил пешком до тысячи машин, чтобы пощёлкать этим переключателем при накатке планового обновления.
> Boot был сделан как раз для того, чтобы админ крупной организации
> не ходил пешком до тысячи машин, чтобы пощёлкать этим переключателем при
> накатке планового обновления.Проблема в том что хакеры ничем таким принципиально от этого админа не отличаются. А современные фирмваре еще к тому же любят писать в флеху дрянь и не всегда хорошо реагируют на ошибку записи.
Некоторым конечно и ограничивать нужно, но паролем, а не подписями которые любой физически может добавить и установить что хочет.
Ну, это даже хорошая новость если подумать.Лучше была бы новость только о том, что секуре бут дырявый на уровне архитектуры, и его использование в связи с этим прекращается, а шим, так тот вообще запихивается микрософту в... дырочку пониже талии.
Здесь скорее дырявое его использование в основных дистрибутивах и загрузка всего через shim и grub. Если самому подписывать ядро и свои ключи, то защита будет гораздо лучше. (Правда, остается вариант уязвимости в самой реализации UEFI, но тут они все разные на разных компьютерах, поэтому такое сложнее эксплуатировать)И, кстати, ядро спокойно умеет грузиться без посредников в виде grub'а
>> ядро спокойно умеет грузиться без посредников в виде grub'аНу, для того надо выполнить несколько условий: версия не ниже 3.13 (поправьте, если промазал), EFISTUB в конфиге включен (кстати, т.к. использую генту, там ещё пара опций есть, типа Hybrid EFISTUB кажется, которое делает возможным загрузку из 32-бит EFI 64-битного ядра). Конечно, можно вопить что все дистры сейчас по дефолту так и делают :D.
> Конечно, можно вопить что все дистры сейчас по дефолту так и делают :DЕсли используется ядро ниже 3.13 (которое уже давно устарело) или отключен EFISTUB в конфиге, то на это должны быть ОЧЕНЬ веские причины сидеть на старом вручную скомпиленном ядре. Считаю, что такие конфигурации - исключение, а большей части пользователей GNU/Linux ничто не мешает при наличии времени и желания настроить себе загрузку через efistub.
Ну вот смотрите, 5 / 8 уязвимостей это манипуляции с памятью и буфером. Ну если так тошнит от раста, ну напишите себе прослойку, которая в compile time всё точно также проверяет. И границы, и использование.
Кому нужен этот гроб, когда ядро поддерживает EFI Stub?
А почему все сертификаты для загрузчиков надо заверять в Microsoft?
Потому что в чужой монастырь со своим уставом не ходят. Дадада, материнская плата в твоём компьютере - это "не твой монастырь", причём уже давно.
Осторожная правда почему сертификаты опасны , не плохо ты понял , но не остальные и для каждого efi свое ядро надо и не сигнатурному ядру может не дать загрузится в секуре бут что лечится его отключение и удалением csv из esp раздела прекрасно основанный маиками.
Не надо. SecureBoot на x86 позволяет сгеренировать и использовать свои ключи для проверки подписей при загрузке, а изкоробочные ключи от MS можно удалить.
Потому что у тебя с твоими 1% десктопов не выйдет убедить всех производителей, включая безымянных китайцев, установить твой ключ.
А у microsoft - получилось, причем ключей там не один, и самый ненужный они пожертвовали вам. Но вы и это умудрились прогадить.
> Потому что у тебя с твоими 1% десктопов не выйдет убедить всех
> производителей, включая безымянных китайцев, установить твой ключ.
> А у microsoft - получилось, причем ключей там не один, и самый
> ненужный они пожертвовали вам. Но вы и это умудрились прогадить.Да они и без нас прогадили, вон даже линк на новость нашли. Отзывать не будут, винды у юзеров помрут. И хрен с ней с безопасТностью. Так что нет, буткиты с собой grub обламываются таскать, зачем, если есть прогаженый ключ?
Потому что не надо. Можешь загрузить свой ключ, почти все платформы поддерживают.
> А почему все сертификаты для загрузчиков надо заверять в Microsoft?Потому что быть богом и держать всю планету за вымя - круто?
Народ, почему долго может загружаться Линукс? причем разные дистрибутивы, сначала гаснет экран монитора, и через полторы минуты уже загружается, причем у меня ссд диск, на Виндовс нет такого.
Пишу в этот пост, так.как подозреваю, что дело может в самом загрузчике "GRUB"
Причин может быть коллосальное множество так что рецепта не дадим ибо диагноз неизвестен.Может ты в ремонт сдавал комп а там тебе добрые сервисники на устанавливали всякого г.вна,пользуясь твоим незнанием.
Попробуйте утилиту systemd-analysis. Она может показать что долго запускается.
Плохо что-ли? Хорошо!
Опять загрузчик GRUB атакуют, чтобы свои буткиты пихать!> Напомним, что в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft.
Напомню, что согласно с основным принципом Integrity для верификации загрузки системы и ПО можно использовать только свои ключи: https://habr.com/en/post/273497 все остальные ключи, включая ключи уважаемой M$ должны быть удалены!!!
Режим верификации загружаемых модулей, настроек и ядра включается:
https://www.gnu.org/software/grub/manual/grub/grub.html#Usin...После загрузки верифицированного ядра верификация остального ПО проходит с помощью IMA/EVM:
https://sourceforge.net/p/linux-ima/wiki/Home/
https://www.gnu.org/software/grub/manual/grub/grub.html#Usin...
"Note that signature checking does not prevent an attacker with (serial, physical, ...) console access from dropping manually to the GRUB console and executing:set check_signatures=no
To prevent this, password-protection (see Authentication and authorisation) is essential."
Вкратце, кто имеет доступ к привилегированной консоли GRUB, тот может прервать процесс верифицированной загрузки! Это не баг, а фича, нужная админам при дебаге настройек Integrity. Следовательно уязвимостей:
CVE-2020-14372
CVE-2020-25632
CVE-2020-27749
CVE-2020-27779
CVE-2021-20225
CVE-2021-20233
НЕ СУЩЕСТВУЕТ!!!CVE-2020-25647 - запись за границы буфера в функции grub_usb_device_initialize(), вызываемой при инициализации USB-устройств. Это звучит плохо, надо проверять. Если подтвердится то можно удалить модули USB с GRUB и использовать PS/2 клавиатуру.
CVE-2021-3418 - изменения в shim_lock создали дополнительный вектор для эксплуатации прошлогодней уязвимости CVE-2020-15705. Не надо использовать shim. Только все подписывать своими собственными сертификатами. И обновлять этот shim_lock тоже не надо, уязвимости в прошлом году не было: https://www.opennet.dev/openforum/vsluhforumID3/121426.html#47
https://www.linux.org.ru/forum/security/15832617?cid=15833790
Учитывая все выше сказанное обновлять GRUB и тем более всю систему НЕ надо!
Тут в коментариях столько "экспертов" что нужно провести разъяснительную работу, иначе так невеждами и останутся.
1. UEFI SecureBoot это скорее хорошо, чем плохо. Потому что лучшего ничего для PC не придумали пока. Вон ARM который внезапно все полюбили в последнее время, даже аналог UEFI пока не смог. Всё так же под каждую железку свой специальный образ со своими загрузчиками и прочим хламом. Спасибо, но мне подхож с UEFI больше импонирует.
2. Legacy boot никак не альтернатива UEFI, просто потому что ничего не умеет. Глупо советовать её как альтернативу, т.к. в ней в принципе нет ничего похожего на SecureBoot и никак нельзя организовать доверенную загрузку. Если не некий админ локалхоста в доверенной загрузке не нуждается, то достаточно просто отключить SecureBoot, который опционален на всех x64 железках.
3. В 2021 grub не нужен, за ислючением каких-то уж совсем маргинальных сетапов. Для простой загрузки есть efistub и/или systemd-boot. Для тех кому нужна поддержка других осей или всяких btrfs на корневом разделе есть refind. Есть ли здесь те, кто использует grub не потому, что он вместе с дистром поставился, а осознанно, для решения какой-то конкретной задачи - поделитесь (и да, я имею в виду относительно новое железо с поддержкой UEFI, более старое меня не интересует).
4. Как уже отписались некоторые разумные анонимы, SecureBoot нужно использовать только со своими ключами! Все встроенные ключи и ключи от MS удаляются сразу при настройке. Если при этом нужно грузить винду, то достаточно просто подписать её загрузчик своим ключём и всё будет работать (правда подписывать придётся после каждого крупного обновления, раз в пару месяцев; зато делается это быстро и просто, если кому-то интересно, вот мой shell скрипт для этого: https://gist.github.com/ava1ar/eb5827158aa035c3e5ca2829dd083373).
5. Ну и да, как я уже сказал, grub в 2021 не нужен. Спасибо тебе за наше счастливое детсво, но дальше мы уж сами, без тебя.
Зри в корень!©
Ставиш libreboot и этим рубишь гордиев узел.Не хочешь-ну затыкай сотни дыр,как волк в ну погоди.
Это если железка поддерживает. А если нет (как оно бывает в большинстве случаев)?
> А если нет (как оно бывает в большинстве случаев)?значит придёться смириться, что "где-то там" на железе крутится полноценная ось на базе миникс, которая вроде как по уверениям ничего плохо из себя не представляет... ага... всё для вашего блага... даже доступ к сети оно имеет, минуя вашу ос и всё, что уровнем выше...
Это всё очень плохо, но я предпочитаю защищиться от реальных угроз (для чего SecureBoot очень полезен), чем от мнимых, в стиле "мы все умрём".
> Это всё очень плохо, но я предпочитаю защищиться от реальных угроз (для
> чего SecureBoot очень полезен), чем от мнимых, в стиле "мы все умрём".Как говорится, безопасность бывает только 2 уровней - high и нехай.
А systemd-boot, тем более, не нужен.
Только потому что у него в имени есть systemd? К сведению всех systemd-хейтеров, в нём от systemd только название (раньше он назывался gummiboot). И нет, в нём нет никаких привязок к systemd, можно использовать на системах без него.
> 1. UEFI SecureBoot это скорее хорошо, чем плохо.Это очень хорошо и необходимо для Integrity.
Меня беспокоит вопрос отсутствия в современных материнских платах аппаратной блокировки изменений в UEFI за исключением Chrome Book где есть болт блокирующий аппаратно запись в SPI flash.
Ходят слухи что в SPI есть дорожка, возможно 1, и если ее заземлить то запись в SPI будет невозможна. Почему только Google использует эту возможность, а другие производители игнорируют?
> Есть ли здесь те, кто использует grub не потому, что он вместе с дистром поставился, а осознанно, для решения какой-то конкретной задачи - поделитесь
1. Загрузка с ISO образов LiveCD/DVD
2. Загрузка по сети
> 1. Загрузка с ISO образов LiveCD/DVDМногие прошивки позволяют выбирать устройство для загрузки и без GRUB'а.
Мне не надо выбор загрузочного устройства.Мне надо бутнуть ISO образ LiveCD/DVD который лежит не диске!
GRUB может бутнуть ISO образ.
GRUB2 может бутнуть ISO образ с LiveCD/DVD даже по сети!
А, понял, неправильно прочитал исходное сообщение :)
> Меня беспокоит вопрос отсутствия в современных материнских
> платах аппаратной блокировки измененийво-во! вот что нужно обсуждать, а не столько функционал уефи и какие-то там фичи вроде ефистабов, скоростной загрузки или видео-режимом.
ключевой момент в том, что аппаратная часть по сути голая и ничем не защищена. и если уефи-кит будет имплантирован, то толку от всех защит выше уровнем будет ноль.
вот у меня на десктопе такая матплата, даже нет защиты от ре-флэша... я время от времени делаю дамп своего биоса и сравниваю побайтно с заводским, делая поправку на забитую секцию dmi пула.
вообще биос-киты и уефи-киты сейчас не редкость. и инфы по этому вопросу в инете куча.
> ключевой момент в том, что аппаратная часть по сути голая и ничем не защищена. и если уефи-кит будет имплантирован, то толку от всех защит выше уровнем будет ноль.Вообще-то на совсеменных платах для этих целей есть TPM. Проблема не в том, что нет необходимых инстументов - они есть. Проблема в том, что сертификация не обязывает производителей эти иструменты реализовывать и они этого не делают из-за этономии и пофигизма. А вот сертификация от гугла для хромбуков обязывает реализовывать всё по спеке.
> сертификация не обязывает производителей эти иструменты реализовывать и они этого не делают из-за этономии и пофигизмаЧего экономии? Надо всего отвести однy дорожку от контакта 1 SPI flash, другую дорожку от заземление и поставить между ними Джаспер или болт. Если джампера/болта нет в SPI flash писать можно, а если есть то ты туда не запишишь.
> Вообще-то на совсеменных платах для этих целей есть TPM.При том это еще один проц с мутной блобварью. Которому предлагается доверять все критичные проверки безопасности. Мне кажется, или в такой формулировке порыта некая на-о-бка? :)
> аппаратная часть по сути голая и ничем не защищенаНа чипсетах Intel, UEFI и его ключи защищены "Корневым ключом платформы" который должен создаваться пользователем при первом включении материнской платы после покупки.
Integrity - верифицируемая цепочка загрузки OS!
0. Расшифровка «аппаратным ключом платформы» уникального для каждого компа «корневого ключа платформы».
1. Проверка публичным «корневым ключом платыормы» UEFI перед его загрузкой и исполнением, а также всех ключей с UEFI.
2. Проверка ВАШИМ публичным ключом с UEFI ядра grub core.img которое включает: необходимые модули крыптографии для расшифровки /boot, публичный ключ grub, модули grub для проверки подписей и переменные окружения grub, модули файловой системы.
3. Верификация публичным ключом grub всех подгружаемых по требованию модулей, настроек grub.
4. Верификация публичным ключом grub ядра OS с публичными ключами IMA/EVM и инитрд.
5. Верификация ядром публичными ключами IMA/EVM процесса #1 init и ВСЕХ остальных исполняемых в системе файлов, библиотек, настроек и неизменяемых данных.
Система Integrity дает гарантию аутентичности и целостности всей системы.
> 2. Проверка ВАШИМ публичным ключом с UEFI ядра grub core.img которое включает:
> необходимые модули крыптографии для расшифровки /boot, публичный ключ grub, модули grub
> для проверки подписей и переменные окружения grub, модули файловой системы."Вашим"? То есть я могу добавить туда свой ключ. Но тогда и злоумышленник может.
Потом он отредактирует мой /boot и подпишет СВОИМ ключом, только что добавленным в UEFI.Или ещё проще: на компе можно грузиться с live-диска убунты? Тогда пишем в /boot загрузчик убунты, конфиг заполняем на своё усмотрение.
> Система Integrity дает гарантию аутентичности и целостности всей системы.
Если злоумышленник может прописать свой ключ в UEFI, то не даёт. 🙂
А если злоумышленник не может, то и я не могу. Чем я, имеющий физический доступ, отличаюсь от злоумышленника, имеющего физический доступ?
> "Вашим"? То есть я могу добавить туда свой ключ. Но тогда и
> злоумышленник может.уже нет, если ты свой добавил правильно.
> Или ещё проще: на компе можно грузиться с live-диска убунты? Тогда пишем
уже нет, если только ты не соберешь себе свой уникальный live, подписанный именно этим же ключом.
> А если злоумышленник не может, то и я не могу. Чем я,
> имеющий физический доступ, отличаюсь от злоумышленника, имеющего физический доступ?тем что у тебя, возможно, где-то сныкан _закрытый_ ключ.
Если он сныкан ненадежно или наоборот ты его уже просохатил - то сам виноват.Но это все крайне неудобно и ненадежно для среднего васяна, поэтому никем не применялось.
А теперь вот придется, потому что вариантов ровно два - либо уже не защищает, либо вот так.Скажи спасибо глупой ms, сдуру подписавшей впопенсосного троянца своим ключом. Корпорация, блин, зла не хватает.
> уже нет, если ты свой добавил правильно.А правильно — это как?
> тем что у тебя, возможно, где-то сныкан _закрытый_ ключ.
Как это сныкан? Он ещё не добавлен же.
Почему я могу свой ключ добавить "правильно", а злоумышленник не может?> Скажи спасибо глупой ms, сдуру подписавшей впопенсосного троянца своим ключом. Корпорация,
> блин, зла не хватает.Это ещё ничего. Она, как известно, даже свой приватный ключ выложила:
https://arstechnica.com/information-technology/2016/08/micro.../Тот, которым всё по-дефолту подписано.
И, в ретроспективе, это было ожидаемо. Если вся безопасность держится на одном единственном ключе, то, ясное дело, рано или поздно он утечёт.
> Меня беспокоит вопрос отсутствия в современных материнских платах аппаратной блокировки изменений в UEFI за исключением Chrome Book где есть болт блокирующий аппаратно запись в SPI flash.Да, замечание верное. Кстати, болта в хромбуках нет уже несколько лет - используется cr50 (специальный чип), а для снятия нужен специальный SuzyQ кабель.
> Загрузка с ISO образов LiveCD/DVD
Согласен. Мне самому такое не было нужно уже очень давно, но было бы удобно иметь такую фичу в том же refind.
> Загрузка по сети
Refind умеет PXE boot.
>Есть ли здесь те, кто использует grub не потому, что он вместе с дистром поставился, а осознанно, для решения какой-то конкретной задачи - поделитесь/boot на корневом разделе, который зашифрован LUKS. Ни один загрузчик кроме grub'a не умеет расшифровывать luks разделы.
Такое реально сделать и с загрузкой через EFISTUB. Подписанные ядро и initramfs на EFI-разделе вполне себе могут расшифровать зашифрованный корневой раздел.
Могут. А что, если сами ядро и initramfs находятся на зашифрованном разделе? Вот тут только GRUB поможет.
> А что, если сами ядро и initramfs находятся на зашифрованном разделе?А зачем? Все равно что-то должно быть не зашифровано - либо GRUB, либо ядро. В чем преимущество оставлять именно GRUB незашифрованным?
Если проблема в том, чтобы подписать и ядро, и initramfs, то их можно объединить в один файл и подписать вместе.
>А зачем? Все равно что-то должно быть не зашифровано - либо GRUB, либо ядро. В чем преимущество оставлять именно GRUB незашифрованным?Ну либо у вас только один EFI-раздел (где только один грубовский efi-executable лежит), а всё остальное зашифровано, либо у вас и ядро, и initrd, и насторойки загрузчика лежат в голом виде. Да, можно сказать "а зачем?", но, мне кажется, что если уж замороачиваться с full disk encryption и с шифрованием вообще, то хотелось бы зашифровать как можно больше.
В моем случае на EFI-разделе лежит всего один файл - ядро+initramfs+параметры командной строки в одном подписанном бинарнике, все остальное зашифровано. GRUB в этой цепочке просто не нужен.
Так а при каждом обновлении ядра переподписывать выходит надо?
> Так а при каждом обновлении ядра переподписывать выходит надо?И при каждой смене параметров!
А если обновился, и новое ядро не грузится, то хрен ты переключишься на старое ядро.
Удобно-же!
> А зачем? Все равно что-то должно быть не зашифровано - либо GRUB,При кооперативном boot loader в SPI флехе может быть в принципе шифровано вообще все. Ну, вот, кроме spi-флехи, конечно.
Как уже сказали выше, efi раздел всё-равно остаётся незашифрованным. Так что правильным подходом будет зашифровать всё, оставив только efi partition. Дальше, используем такую штуку как Unified Kernel Image ( https://wiki.archlinux.org/index.php/Systemd-boot#Preparing_... ), которая позволяет запаковать ядро, initramfs, splash, коммандную строку ядра в один файл, который напрямут загружается через из EFI или посредством загрузчика типа refind. Ну и ествественно этот бинарь подписывается своим ключём, который сконфигурен в SecureBoot. Собственно всё - получаем полностью зашифрованную систему + SecureBoot с только одним незашифрованным, но подписанным файлом, в котором собственно нет никаких секретов. Понятное дело, что так как он подписан, изменить или подменить его не выйдет. Создание образа и его подписка делается автоматически при обновлении ядра или вручную, после, например, изменения командной строки ядра.
Ого, круто. Про unified kernel image не знал. Спасибо за инфу.
Чувак ты не прав.
1. ГУАШ секурбут это плохо, ибо приколочем к ключам МС, которая ни разу не линукс. Обнеовлять ядра в Gentoo или любом другом линуксе заморочно, если ядро самостоятельно собрано. В уникальном ядре нет каках от мелкомягких.
2. Легаси бут это то же самое, что и поддержка в BIOS платах разделов более 2Тб. Очень нужная штука когда линукс использует GRUB. Не переустанавливать же линукс, если пришлось завести шинду на соседнем разделе.
3. GRUB нужен для загрузки на платах с BIOS ибо только тупые дятлы пользуются грабом когда им надо одну систему грузить, ведь в ГУАШе есть загрузчик.
4. Ненужно париться с ключами на десктопе. Это приходится делать только на ноутбуках, которые какая-нибудь сволочь может снинзить. Да и то эта сволочь может иметь прищепку и она просто запишет новый ГУАШ.
5. GRUB нужен, потому что есть платы на BIOS с поддержкой больших томоч размером более 2 Тб.
> ибо приколочем к ключам МС, которая ни разу не линукс.Каким образом?
> Да и то эта сволочь может иметь прищепку и она просто запишет новый ГУАШ.
Без уязвимостей в прошивке такое сделать довольно проблематично.
Остальные пункты не вполне понял.
> 1. UEFI SecureBoot это скорее хорошо, чем плохо.Хорошо для чего? Или от чего? От какой угрозы она должна меня защитить?
https://en.wikipedia.org/wiki/Evil_maid_attack
> https://en.wikipedia.org/wiki/Evil_maid_attackА конкретнее?
Например, под это описание подходит аппаратный кейлоггер, записывающий все логины и пароли (гуглить USB keylogger). Или перезаписанный биос, который даёт удалённый доступ к компу по сети (гуглить intel amt, amd dash, hp ilo... — обязательная фича для серверов). Даже просто камера, установленная возле компа, подходит под это описание.
Ну и как SecureBoot от этого защитит?
Причем здесь кейлогер?Integrity это верификация аутентичности и целостности загружаемой системы. Верификация проходит с помощью криптографии на основе открытого и закрытого ключа. Любые кейлогеры, против установленного и настроенного Integrity ничего не сделают.
Кейлогер только способен перехватить пароль секретного ключа используемого для Integrity! Создавайте ключи на отдельном компе.. Секретный ключ и его пароль для установки и настройки Integrity в общем не нужны, а в рабочей системе категорически запрещены. Верификация в Integrity идет по публичному ключу, без всяких паролей.
> Причем здесь кейлогер?Был вопрос "От какой угрозы она должна меня защитить?" Кинули ссылку. По ссылке абстрактное описание. Кейлоггер подходит под это описание.
> Integrity это верификация аутентичности и целостности загружаемой системы.
Подожди. Ты говоришь о том, как это сделано. Я ещё не спрашиваю "как", я спрашиваю "зачем".
Верификация с какой целью? С целью безопасности? Безопасности от какой угрозы?
https://www.opennet.dev/openforum/vsluhforumID3/123444.html#244Где в этом процессе есть работа для любого кейлогера?
Задача SecureBoot это защита от подмены/встраивания вредоносного кода в процесс загрузки ОС (те самые руткиты). SecureBoot не позволит подменить загрузчик или встроить туда дополнительные модули. Для защиты от кейлоггеров придумали многофакторную аутентификацию. Лично я для этого использую LUKS, который шифруется ключём, который генерируется Yubikey (https://github.com/agherzan/yubikey-full-disk-encryption). Т.е. если даже пароль для шифрования который я ввожу при загрузке утечёт, то без самого Yubikey он не сможет расшифровать диск. Т.е. придётся ещё и украсть yubikey, что уже сложнее.А теперь поясню причём тут SecureBoot и как он помогает в этом сетапе. Если у меня система с включённым SecureBoot, в котором прописаны мои собственные ключи, то когда я получаю запрос на расшифровку диска LUKS, я уверен, что подписанный моим ключём загрузчик загрузил подписанное моим ключём ядро и пароль можно вводить. Если же secureboot нет, то загрузчик/образ ядра/что-у-вас-там-незашифрованное, можно легко модифицировать, внедрив туда руткит, который будет работать в фоне, собирать и сохранять то, что ему нужно во время загрузки и работы системы и отправит при случае куда нужно, когда Вы к интернету подключитесь. И об этом никак не узнать.
Ещё раз повторю, SecureBoot не идеален, но без него на x86 невозможно добится защиты от злоумышленника, имеющего доступ к выключенному компьютеру. Если такой вектор атаки Вас не интересует, то SecureBoot Вам не нужен, отключайте его и не парьтесь.
> SecureBoot не позволит подменить загрузчик или встроить туда дополнительные модули.Позволит, конечно! Иначе было бы невозможно переустановить ОС, ведь загрузчик при этом меняется.
> Для защиты от кейлоггеров придумали многофакторную аутентификацию.
> [LUKS, Yubikey и т.д.]Ну да. И всё это работает без SecureBoot.
Об этом и речь — SecureBoot от кейлоггеров не защищает.> А теперь поясню причём тут SecureBoot и как он помогает в этом
> сетапе. Если у меня система с включённым SecureBoot, в котором прописаны
> мои собственные ключи, то когда я получаю запрос на расшифровку диска
> LUKS, я уверен, что подписанный моим ключём загрузчик загрузил подписанное моим
> ключём ядро и пароль можно вводить.А где гарантия, что кто-то не подменил ключи в SecureBoot-е своими, а потом не подписал этими ключами изменённый загрузчик?
>> Позволит, конечно! Иначе было бы невозможно переустановить ОС, ведь загрузчик при этом меняется.Нет. Её и невозможно переустановить без отключение SecureBoot - ничего просто не загрузится. Если удалить ключи от MS, то перестанет грузится всё, что не подписано Вашим собственным ключём, включая Windows и любые дистрибутивы линукс с shim. А что бы отключить SecureBoot, нужно попасть в UEFI.
>> Ну да. И всё это работает без SecureBoot. Об этом и речь — SecureBoot от кейлоггеров не защищает.
Защищает, если например попытаться keyloagger вшить в изменённый загрузочный образ. SecureBoot это про доверенную загрузку. Но без него LUKS ничего не гарантирует, потому что там может быть руткит, а Вы этого не заметите.
>> А где гарантия, что кто-то не подменил ключи в SecureBoot-е своими, а потом не подписал этими ключами изменённый загрузчик?
Для этого нужно попасть в EFI, удалить старые ключи, установить новые. А он естественно запаролен. И нет, вытаскивание батарейки не снимает пароль на современных платах. Но вообще в этом случае правильным способом будет задействовать TPM, который проверяет целостность NVRAM и прочих вещей и любые изменения в PCR регистрах.
> Если удалить ключи от MS, то перестанет грузится всё, что не подписано
> Вашим собственным ключём, включая Windows и любые дистрибутивы линукс
> с shim.Опасная затея. В случае проблем (например: после апдейта система не грузится) исправить ситуацию становится очень сложно...
Имеет ли смысл так рисковать? Всё-таки проблемы после апдейта куда более вероятны, чем троян в загрузчике.
> Для этого нужно попасть в EFI, удалить старые ключи, установить новые. А
> он естественно запаролен. И нет, вытаскивание батарейки не снимает пароль на
> современных платах.Не батарейкой, так джампером. Вряд ли есть материнки, на которых нельзя сбросить пароль. Иначе сервисным центрам пришлось бы тяжело.
> SecureBoot не позволит подменить загрузчик или встроить туда дополнительные модули.
> Для защиты от кейлоггеров придумали многофакторную аутентификацию.
> Лично я для этого использую LUKS, который шифруется ключём, который генерируется
> Yubikey (https://github.com/agherzan/yubikey-full-disk-encryption). Т.е. если даже
> пароль для шифрования который я ввожу при загрузке утечёт, то без
> самого Yubikey он не сможет расшифровать диск.Можно проще. Без Yubikey-я и SecureBoot-а.
Просто шифруем ВЕСЬ диск LUKS-ом. А загрузчик кладём на любую флешку (такой себе дешёвый заменитель Yubikey).
Это даст ещё более высокую безопасность — никто никогда не сможет изменить загрузчик на диске, потому что его там нет. И никаких проблем с восстановлением, загрузкой с флешки, перепрошивкой ключей и так далее.
Опять SecureBoot не нужен.
> А загрузчик кладём на любую флешку (такой себе дешёвый заменитель Yubikey).Флешка плохая замена Yubikey, потому что Yubikey нельзя скопировать, его можно только украсть. А это заметно. Вашу же мегафлешку скопировать проблемы не составит ни разу. Она не замеряет Yubikey и не может служить вторым фактором ("something you have"), потому что легко клонируется.
Ну а дальше все по тому же сценарию - сделать другую флешку, в которой Ваш загрузчик + руткит. В общем описываевым Вами способом можно получить суррогат с иллюзией защиты, но никакой доверенной загрузки не будет и вы никогда не будете знать, то загружаете именно то, что сделали сами.
>> А загрузчик кладём на любую флешку (такой себе дешёвый заменитель Yubikey).
> Флешка плохая замена Yubikey, потому что Yubikey нельзя скопировать, его можно только
> украсть. А это заметно. Вашу же мегафлешку скопировать проблемы не составитМожно не копировать. На ней просто стандартный загрузчик, как на live-диске убунты.
Диск зашифрован обычным LUKS-ом. Для него любой загрузчик подойдёт, надо только пароль знать.
А пароля на флешке нет, его надо всё равно руками вводить.
> Она не замеряет Yubikey и не может служить вторым фактором ("something you have"), потому что легко клонируется.
Это не "второй фактор", это просто надёжная защита от того, что кто-то поменяет мой загрузчик, пока меня нет. Надёжнее, чем SecureBoot.
>> Можно не копировать. На ней просто стандартный загрузчик, как на live-диске убунты.Ну, не копировать, а подменить на затрояненный с кейлоггером. И нет, это не надёжнее чем SecureBoot, это просто суррогат.
Ещё раз повторю в чём смысл SecureBoot - он гарантирует что Вы грузите именно СВОЙ загразчик, свой рамдиск и т.п., а не тот, который должен быть Ваш, но вы в этом не можете быть уверены (потому что только криптографические методы могут гарантировать уверенность, а не факт, что флешка у Вас в кармане.
> Ещё раз повторю в чём смысл SecureBoot - он гарантирует что Вы
> грузите именно СВОЙ загразчикНет, он "гарантирует" лишь то, что загрузчик подписан ключами из UEFI. Но там могут быть уже не мои ключи.
>> Можно не копировать. На ней просто стандартный загрузчик, как на live-диске убунты.
> И нет, это не надёжнее чем SecureBoot, это просто суррогат.Суррогат, да. Но даже он надёжнее секуребута. Флешку я ношу с собой, её сохранность зависит только от меня. А комп с SecureBoot я оставил без присмотра, и сохранность ключей в UEFI от меня не зависит. Поэтому доверия к ним на порядок меньше, разве нет?
> потому что только криптографические методы могут гарантировать уверенность, а не факт, что флешка у Вас в кармане.
Если я зашифрую диск паролем 12345, то даже самый надёжный криптографический метод меня не спасёт.
Одних методов мало. Их надо правильно применять. SecureBoot — пример плохого применения.
Мне иногда кажется, что SecureBoot — это попытка вендор-лок-ина от майкрософт, чтобы не давать юзерам ставить другие ОС. А сказки про "безопасность" были лишь оправданием. Разве с самого начала не было очевидно, что "one key to rule them all" — плохая идея? Или что если я могу прошить свои ключи в биос, то и кто-то другой сможет?
Перипись шизиков в комментариях.
Аряяяя зандыыы ну мааам ну скажи им что зонды
Прости, но правда похоже на зонды. Вспомнилась история (ох не соврать бы, надеюсь я это не придумал), как Майкрософт после того, как закрыть PC не получилось лихорадочно закрывала свои собственные surface. И те же Valve, которые угрозу со стороны uefi вполне себе осознали - по твоему они тоже шизики?Конечно, можно представить как разрабатывалась эта штука UEFI и понять, что идея подписи для её исполняемых компонентов ради безопасности витает в воздухе, мало ли какая фигня будет запущена с правами прошивки, но РУКОВОДСТВУЯСЬ ЭТОЙ ИДЕЕЙ СТРАННО ЗАЩИЩАТЬ МЕНЯ ОТ ТОГО КОДА, КОТОРЫЙ Я САМ ЯВНО ЗАПУСКАЮ (ключевое). Если вы делаете компьютер, где для загрузки операционной системы в норме нужно её подписывать - что-то сильно не так с самого начала.
Дома безопасная загрузка в таком виде частично не нужна, а если вам нужна, то и в старых BIOS можно было поставить пароль.Даже Linux не защищает от такого часто ( init=/bin/bash и single), хотя не знаю, насколько это запланированная и целостная фича. Безопасная загрузка так и так не защитит от кражи данных сама по себе, можно вытащить диск.
Цифровые подписи, если они что-то блокируют - это вполне себе готовый механизм для зондов, даже не важно что там подписывают, сайты, программы, операционные системы. По моему в зондированных устройствах схема должна быть похожей, я про консоли и телефоны.
Сама идея, что Microsoft будет подписывать конкурирующие операционные системы - это не безумие.
И эта система позволяет много злоупотреблений, например можно "забыть" реализовать возможность отключить "безопасную" загрузку, за скромную плату, конечно. Система склонная к возможности реализации таких злоупотреблений - плохая, простите, хотя подписанный общим ключём загрузчик делает её лучше.А ещё у меня 32битная винда не грузится в режиме UEFI почему-то, и именно наследованный режим самый универсальный и беспроблемный, получается.
Почему?
А вот ещё какой вопрос, немного не к месту, но всё-таки:
Есть UEFI для BIOS, просто грузишься с этого диска, а потом у тебя UEFI среда. BIOS прослойку не зависящую от конкретной UEFI версии сделать сложнее? Просто грузишься в неё и всё.
Нет никакого "uefi для bios". Это вообще понятия из разных веков.
У тебя в голове - каша, полнейшая. Но вместо того, чтобы либо заниматься самообразованием, либо просто доверять людям, которые пограмотнее тебя будут (поэтому если захотят - все равно тебя поимеют, в рубашечке или без) - ты несешь полнейшую чепуху.
Я поумнее тебя буду.
Кто у нас самозванец? :)
>У тебя в голове - каша, полнейшая.Не спорю.
>самообразованиемВ чём?
А вообще - конечно обидно.Uefi для биос это DUET. И я скорее не про нижнюю часть прошивки, а что-то типа Wine, что могло бы позволить программам знающим только BIOS обычного компьютера использовать привычные прерывания и создавать привычную для них среду. Всё равно на уровне UEFI "драйверы как в BIOS" тоже стандартизированы, я думаю. И получается она не должна выгружаться никогда.
> В чём?хотя бы почитать, что такое uefi, как устроен, и что такое биос.
> Uefi для биос это DUET
uefi к "basic input output system" имени ibm образца 1984го года просто не имеет ни малейшего отношения.
> а что-то типа Wine, что могло бы позволить программам знающим только BIOS обычного компьютера
> использовать привычные прерывания и создавать привычную для них среду.скорее dosbox. Да, это называется в терминах uefi - CSM, compatibility support. То есть это ни разу не "настоящий тру биос" о котором тут мечтают фанатики, а именно слой эмуляции, правда, двоякий - он не только позволяет древним программам думать что они запущены в real mode и пользоваться биос прерываниями, но и древнему firmware позволяет кое-как запуститься и проинитить железо. Причем наличие такого модуля необязательно и по факту на первую систему без csm в принципе я наткнулся еще в 2014м (такой себе обычный офисный системник от хепе).
> И получается она не должна выгружаться никогда.
а она и не выгружается никогда, просто управление не получает после загрузки. Там даже был в ранних спецификациях предусмотрен режим, когда часть модуля остается работоспособна после передачи управления операционной системе и может быть вызвана из нее (правда, сомневаюсь что хоть где-то используется, позиционировалось как замена acpi, и что-то не взлетело)
пох, оппонент косноязычен но ключевое слово назвал.
Читать здесь http://www.rodsbooks.com/bios2uefi/
и еще https://wiki.archlinux.org/index.php/Clover
> пох, оппонент косноязычен но ключевое слово назвал.оппонент, похоже, слышал звон, но не понял, что он - об эмуляторе uefi прошлого века, когда-то кем-то использованном для отладки и потом еще (недолго) позволявшим загружать краденую макось на хакинтошах. Сейчас совершенно ненужном и бесполезном. И краденая макось не заведется - она на таком древнем железе уже неработоспособна.
> Читать здесь
лучше было не тратить время.
Originally written: 6/24/2011 - вот в том году уже такие компьютеры были изрядно устаревшими. А сейчас это просто бесполезные пылесборники.Все, проехали, все что вам кажется "bios" - давно уже csm модуль, под управлением efi.
Десять лет уже как.
Я про эмулятор UEFI и говорил, я же там задавал вопрос про обратный эмулятор, то есть bios для uefi, только не встроенный в прошивку, а такой, с которого можно загрузиться, для компьютеров без csm режима.
А то, что это уже работает через UEFI - я слышал, но в принципе разницы для меня, как для конечного пользователя мало, пока компьютер работает с ОС для старых bios, даже добавляет уверенности, что внешний csm модуль можно сделать.
Ну и благодаря csm 32-битная винда хотя-бы корректно грузиться и у меня предрассудки относительно csm режима, как наиболее стабильного несмотря на свою навороченность.А по поводу бесполезности тех компьютеров - у меня есть такой и он очень многое может, опыт пользования скорее полноценный.
> обратный эмулятор, то есть bios для uefi, только не встроенный в
> прошивку, а такой, с которого можно загрузиться, для компьютеров без csm режима.Не факт что такое есть. Но наверное при сильном желании можно что-то напоминающее это сделать взяв за основу какой-нибудь payload bios из коребута, который ессно придется перепилить.
> Нет никакого "uefi для bios". Это вообще понятия из разных веков.Вообще-то есть. Минимальные затычки времени бутлоадера, предоставляющие "EFI services" даже на BIOS-based системе. Вроде свежий GRUB так даже умеет. После чего несмотря на то что на самом деле оно взлетело с BIOS, ядро уверено что это UEFI был. И даже может юзать те полторы фичи из суррогатного EFI. А, собственно, чему это противоречит? Обычное гейтование того что хотелось в то что есть.
Это г..но еще и уязвимо ? не удивили
> Это г..но еще и уязвимо ? не удивилиэто ты про grub? Ну да, ничего удивительного. Как им таким ms доверила свои ключи - совершеннейшая загадка.
grub2. хотя откуда школьнику знать о grub
/me до сих пор не понимает, какие преимущества для просто пользователя дает этот UEFI
> /me до сих пор не понимает, какие преимущества для просто пользователя дает
> этот UEFIпростому пользователю не нужен никакой uefi. Кнопку нажимаешь, немножко ждешь, глядя на веселые картинки, и опа - винда.
uefi - он для разработчиков материнок, а не для пользователей.
Это фича.
опять сишные дырени. ну сколько можно?
А что такого?
Что за паника и ересь на ровном месте?> в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Данная прослойка верифицирует GRUB2 собственным сертификатом
Баг в grub-е. Значит, даже если мы хотим поменять сертификат грубу, обновить надо только shim. Никаких прошивок UEFI обновлять не надо. Shim для этого и изобрели, вообще-то — чтобы не лезть в UEFI после каждой смены ключа.
На самом деле даже shim обновлять не надо, просто обновить grub и подписать.
> Проблема решается только обновлением списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux.
Что? Зачем? Нафига лезть в прошивку UEFI? А shim для чего?
И ничего нигде не будет потеряно, у "старых установочных носителей c Linux" вообще свой shim.Кто-то здесь тупит, и, по-моему, это не я. 🙂
'Хакеры" могут использовать старые shim и grub, наверное, они же подписаны?
> 'Хакеры" могут использовать старые shim и grub, наверное, они же подписаны?Использовать для чего?
"Хакеры" могут и свой ключ в UEFI прописать, как тут в комментах советуют.
Могут и без груба достать жёсткий диск и подключить к ноутбуку.
Или с флешки загрузится, используя какой-нибудь другой загрузчик. Даже если на диске вообще никакой ОС нет. Внезапно, именно так ОС на ноутбуках и устанавливают. 🙂
Но причём тут вообще хакерство?
В grub-е нашли и исправили мелкий баг. Причём тут вообще uefi, secure boot и shim? Это же не первый апдейт grub-а в истории. Раньше его как-то обновляли, и uefi пачтить не приходилось. Почему сейчас столько волнений?
Ты ничего не понял. Новые версии системы протроянили. Задача заставить пользователя обновится так, чтобы он не мог потом откатился назад на старые, чистые, версии загрузившись со старого LiveCD/DVD.
> "Хакеры" могут и свой ключ в UEFI прописать,только если ты полный лох и оставил его доступным для записи. При включенном tpm это удастся сделать только после загрузки, изнутри единственно-верной операционной системы.
> Могут и без груба достать жёсткий диск и подключить к ноутбуку.
а там подписанный (то есть недоступный для васянской модификации, сливающей данные) загрузчик и зашифрованный основной раздел с операционной системой.
Опять ты лох.
> Или с флешки загрузится, используя какой-нибудь другой загрузчик.
Ну загрузился (что необязательно в принципе разрешать), можешь со своей флэшки запускать gta5, диск как был зашифрован, так и остался.
Зачем вот ты такой лох?
> В grub-е нашли и исправили мелкий баг.
сводящий всю эту безопасность к х-ю. Потому что всего-то надо подпихнуть тебе непрошенный модуль - и ты сам все свои пароли честно введешь, поскольку для тебя загрузка будет выглядеть как легальная, а зашифрованный раздел нам при этом трогать не понадобится.
Причем то что ты его обновил - ничему не поможет, ты обновил, я "обновлю" еще разок на старую багнутую версию, и ты ничего не заметишь - она ж подписана.
Вся идея подписанных бинарников была в том, что левый бинарник незаметно для тебя подсунуть бы не получилось, а подписанные типа предполагалось что проверены на отсутствие мин и способны загружать только то что положено. Наивные дурачки из microsoft...
Опять пофантазирую: Тогда лучше все сторонние и тоже потенциально опасные ключи удалить.
> только если ты полный лох и оставил его доступным для записи. При включенном tpm это удастся сделать только после загрузки, изнутри единственно-верной операционной системы.А если система сломалась и не грузится, то всё, приехали? Загрузиться с live-диска убунты и переустановить нельзя, потому что флешка подписана другим ключом. И поменять ключ нельзя, потому что он меняется только из "единственно-верной операционной системы", которая не грузится?
Ну прямо супер-перспектива!
>> Или с флешки загрузится, используя какой-нибудь другой загрузчик.
> Ну загрузился (что необязательно в принципе разрешать), можешь со своей флэшки запускать
> gta5, диск как был зашифрован, так и остался.Я могу загрузиться с флешки, на которой МОЙ загрузчик?
Тогда я могу подменить системный загрузчик этим своим загрузчиком с флешки.
А в него встроить всё что угодно.
> А если система сломалась и не грузится, то всё, приехали?С TPM - да, конечно. Иначе кто-то левый тебе "с диска с убунточкой" загрузится.
С просто secure boot - нет, это только совсем от васянов защита. Убунта на том диске тоже тем же shim грузится, а его добрый глупый MS вам всем подписал.
>> А если система сломалась и не грузится, то всё, приехали?
> С TPM - да, конечно. Иначе кто-то левый тебе "с диска с убунточкой" загрузится.
> С просто secure boot - нет, это только совсем от васянов защита.Ну да. Есть аппаратное шифрование диска. Оно гарантирует целостность. И работает без всяких SecureBoot-ов.
Но тогда опять получается, что SecureBoot не нужен.
> Ну да. Есть аппаратное шифрование диска. Оно гарантирует целостность. И работает безвообще-то хер его знает, чего оно там гарантирует. Пару раз уже оказывались такие шифрования ксором. Плюс теперь ты даже мать в своем ноуте по гарантии не поменяешь без превращения диска в тыкву.
При однократном взломе твоей системы онлайн - опять же можно оставить после себя троянца, и ты ничего не заметишь - внешне все тот же grub. С парой интересных лишних деталек, стартующих до загрузки ОС.> Но тогда опять получается, что SecureBoot не нужен.
Ну узбагойся уже - он уже не нужен, доподписывались л@п-го мусора.
>> Ну да. Есть аппаратное шифрование диска. Оно гарантирует целостность. И работает без
> вообще-то хер его знает, чего оно там гарантирует. Пару раз уже оказывались
> такие шифрования ксором.Смотря на что ксорить. Шифрование — это довольно часто ксор. Например, в AES тоже ксор, разве это делает его ненадёжным?
> Плюс теперь ты даже мать в своем ноуте по гарантии не поменяешь без превращения диска в тыкву.
Я имею ввиду, например, https://wiki.archlinux.org/index.php/Self-encrypting_drives
Диск можно переставить на любой комп и он там будет работать. Можно разблокировать с любого livecd. Конечно, если знаешь пароль.
Всяко лучше, чем SecureBoot.
> При однократном взломе твоей системы онлайн - опять же можно оставить после
> себя троянца, и ты ничего не заметишь - внешне все тот
> же grub. С парой интересных лишних деталек, стартующих до загрузки ОС.При взломе онлайн троянца в системе можно оставить всегда. SecureBoot от этого и не защищает.
>> В grub-е нашли и исправили мелкий баг.
> сводящий всю эту безопасность к х-ю.Да я не о том. Я имею ввиду откуда вообще столько беспокойств?
Ну нашли баг в грубе, ну обновить и переподписать.Обычный апдейт загрузчика. Зачем делать что-то ещё?
> Причем то что ты его обновил - ничему не поможет, ты обновил,
> я "обновлю" еще разок на старую багнутую версию, и ты ничего
> не заметишь - она ж подписана.Это как? Ты пришёл ко мне месяц назад, украл у меня старую версию моего груба. А через месяц вернулся, чтобы поставить мне старую версию моего груба обратно?
Хакер-даунгрейдер! 🙂
> Ну нашли баг в грубе, ну обновить и переподписать.Тебе что непонятно в системе с trusted keys? Переподписать можно - но с тем же успехом можно уже вообще ничего не подписывать. Подпись гарантировала что получившее после этого grub'а управление не содержало чего-то лишнего, непредусмотренного владельцем.
> Это как? Ты пришёл ко мне месяц назад, украл у меня старую версию моего груба.
зачем она мне? У меня она и так есть, и подписана ключиком ms.
На твоем компьютере загрузится. Вместо твоей. Только в ней есть одна полезная мне фича - она не только твое ведро загружает (которое тоже подписано), но и мой левый код.Отзывать ключи - тоже так себе процедура, даже если бы она была в принципе возможна (скажем, через системы обновлений всех ос включая винду) - превратились бы в тыкву все старые загрузочные диски и флэшки дистрибутивов и, наверное, не только, ms еще много чего им, вероятно, подписала, типа вендорских автособиралок статуса железок и т д.
Ну макос может себе это позволить, наверное. У них и tpm постоянно включен, и тем ключом не подписано ничего полезного (дистрибутив винды, к счастью, не им, этот - отдельный). Правда, л@п4@.е будут потом выть на болотах, что их ущемляют...
>> Это как? Ты пришёл ко мне месяц назад, украл у меня старую версию моего груба.
> зачем она мне? У меня она и так есть, и подписана ключиком ms.
> На твоем компьютере загрузится. Вместо твоей. Только в ней есть одна полезная
> мне фича - она не только твое ведро загружает (которое тоже
> подписано), но и мой левый код.А зачем тебе для этого старая версия груба? Откуда вообще беспокойства по поводу версии? Ну возьми новую версию, подписанную новым ключом. На любом live-диске убунты такая есть. И тоже загрузит какой-угодно код.
Безопасный Secure Boot говорили они…
Как говорится на Microsoft надейся, а сам не плошай.
Да, безопасность превращается в тыкву если один из подписанных загрузчиков можно уговорить грузить всё, что ты хочешь... Это было понятно с самого начала, но уязвимость в самом GRUB.
груб был успехом. с удовольствием свитчились с лило. синтаксис, красота конфига, возможности. Груб2 был провален в той же степени. с тем же перечнем фейлов.
grub2 придуман неосиляторами sed и человекочитаемых конфигов, что ты от них хотел?Скрипты и какие-то еще "модули" в initial boot loader, который должен быть прост как палка. Ну вот и получите.
А автор grub1, к сожалению, сделался вечноживой, и на современном железе от него нет толку.
gummiboot хватит для всех :)
> груб был успехом.Именно, вот тебе и двойка в названии - а г..нище редкостное.
>> груб был успехом.
> Именно, вот тебе и двойка в названии - а г..нище редкостное.Именно. Эффект второй системы в чистейшем и незамутнённом
The second-system effect proposes that, when an architect designs a second system, it is the most dangerous system they will ever design, because they will tend to incorporate all of the additions they originally did not add to the first system due to inherent time constraintsя вообще олдфаг, но не знал, что кто-то ещё постит под этим ником. но тоже вроде норм посты, одобря.
Как это мне удержаться и не заржать так сильно, что аж вселенная могла бы треснуть? :)
> при помощи команды acpi в GRUB2 привилегированный пользователь локальной системы может загрузить модифицированные таблицы ACPIдяденька Red Hat, а это точно уязвимость?
У кого-нибудь были сомнения что СерураБУТ - и есть дыра в безопастности ?Чем проще система тем лучше во всех отношениях !
ох*ительная безопасность которую можно обойти загрузившись со старой версией загрузчика. зато цве аж 8 штук выср*ли. а не пойти бы майкрософту лесом вместе с о своим юефи очень быстро и решительно?
> ох*ительная безопасность которую можно обойти загрузившись со старой версией загрузчика.Можно и с новой подписанной версии загрузиться.
Не понимаю, откуда вся эта паника по поводу версий.