1.47, Аноним (47), 07:44, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– |
1.
> Уязвимость проявляется при разборе содержимого файла конфигурации grub.cfg, который обычно размещается в разделе ESP (EFI System Partition) и может быть отредактирован атакующим, имеющим права администратора, без нарушения целостности подписанных исполняемых файлов shim и GRUB2.
https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatur
У меня ВСЕ модули и ВСЕ настройки grub, включая grub.cfg и прочие которые он подгружает подписаны, так же как и ВСЕ ядра и инитрд. Не подписанный файл или с плохой цифровой подписью grub незагрузит и может прервать загрузку системы: set check_signatures=enforce .
Если grub.cfg изменить, то уязвимость не проявится, grub проверит цифровую подпись, увидеть что файл плохой и не будет его подгружать. Цепочку доверия и верификации между secure boot и IMA/EVM GRUB не нарушит.
Значит "уважаемая" RedHat опять что-то мутит...
PS:
У grub2 всеже есть баг или фичя:
1. Обнаружив плохую подпись или ее отсутствие grub не остановит загрузку, просто не будет загружать данный файл, и если возможно продолжит загрузку. Например в grub.cfg можно с помощью configfile включать другие конфигурационные файлы (https://www.gnu.org/software/grub/manual/grub/grub.html#Embedded-configuration) и если изменить их то grub.cfg отработает нормально но без загрузки измененного файла.
2. Если загрузка таки невозможна grub2 вываливается в рутовую "рескуэ" консоль где можно вводить ЛЮБЫЕ команды, включая: set check_signatures=no и дальше грузить все что захочешь!!! Я лично не раз этим пользовался чтобы прервать доверительную сертифицированный цепочку между secure boot и IMA/EVM. Баг это или фичя такая? В любом случае надо или отдельно от стандартного пароля grub (в core.img) защищать вываливание в консоль граба паролем или иметь опцию на подобие set rescue_console=off и устанавливать ее в переменные окружения как и check_signatures в grub core.img который верифицируется secure boot.
2.
> В большинстве Linux-дистрибутивов для верифицированной загрузки используется небольшая прослойка shim, заверенная цифровой подписью Microsoft.
С secure boot ВСЕ чужие публичные ключи должны удалятся. Это незыблемое требование Integrity. Вы сами, лично, должны создать свой ключ для secure boot и подписывать им grub core.img в котором находятся установленные переменные и публичный ключ для проверки подписей модулей grub, его настроек, а также ядер и инитрд. Наличие любого чужого публичного ключа, даже, такой уважаемой фирмы как M$, в secure boot неприемлимо!
| |
|
2.49, Аноним (49), 08:09, 30/07/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Значит "уважаемая" RedHat опять что-то мутит...
100% хотят дрянь типа systemd в grub засунуть под предлогом исправления из пальца высосанной, практично не реализуемой проблемы.
| |
|
3.81, Аноним (81), 09:36, 30/07/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Проблема решается только обновлением в системе списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux. Некоторые производители оборудования уже включили в свои прошивки обновлённый список отозванных сертификатов, на таких системах в режиме UEFI Secure Boot можно будет загрузить только обновлённые сборки дистрибутивов Linux.
А может дрянь не в сам grub совать будут, а в "обновлённые сборки дистрибутивов Linux" уже засунули... А чтобы со старых, чистых образов не грузились и не ставили чистую систему отозвали в UEFI старые ключи!
RedHat с systemd любимого Потеринга начало жесткое наступление.
| |
3.98, anonymous (??), 10:39, 30/07/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Обсуждаю с коллегами варианты защиты, и ребята говорят, что надо внедрять systemd bootloader :)
| |
|
|
|
6.219, Аноним (219), 11:17, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Форкнуть хотели сказать?
Описанная уязвимость boothole практично нереализуема! У меня ее нет!
Рассмотривалм варианты:
1. с шифрованым /boot
2. с шифрованым /boot на загрузочной флешке
3. с шифрованым заглавием LUCS на загрузочной флешке.
Заметь, мало того, что grub проверит все подписи, так еще шифрование /boot не даст ничего в нем поменять.
| |
|
7.238, anonymous (??), 14:39, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> шифрование /boot
А ключ для шифрования откуда берётся? Вручную вводится? Или из TPM?
А проблема реализуется очень просто на машинах, где запрещено шифрование данных из-за проблем с performance: просто грузишься по сети с побитым grub.cfg (который обычно не измеряется, ибо слишком динамичный) и получаешь полный контроль над системой с правильными значениями в TPM :)
| |
|
|
|
|
|
2.50, Аноним (49), 08:15, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
s/сертифицированный цепочку/вериытцированну цепочку/
Вражеский спелчекер херит смысл.
| |
2.102, Аноним (102), 11:36, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> У меня ВСЕ модули и ВСЕ настройки grub, включая grub.cfg и прочие которые он подгружает подписаны
А можно поподробнее, каким образом он подписывается?
И как после этого обновлять ядро? Конфиг же перегенерируется, значит, его надо снова подписать, а для этого в системе должен быть приватный ключ. Но тогда вся секурность идёт лесом.
| |
|
3.207, Аноним (207), 08:47, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatur
Скрипт для подписи другой, подписываю все файлы в каталоге /boot, можете начать из того что в документации.
Подписывать надо только если меняете ядро, инитрд, grub или его конфиги.
Обновление и настройка организованы так чтобы в рабочей системе приватных ключей не было.
Если ключ граб изменился то измененный надо добавить в core.img, grub-install это делает. И потом подписать ключом UEFI.
| |
|
2.157, олооло (?), 16:20, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Какой дистр? Что мешает на компе прописать зловредные ключи при наличии физ доступа?
| |
|
3.216, Аноним (219), 10:46, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Какой дистр?
Сам себе дистростроитель. Свой дистр свои правила.
Сегодня нет популярных дистров с полностью включенной Integrity.
Спросите Мишу пусть нам расскажет почему в ALT Linux политика IMA проверяет только модули ядра и прочие критические элементы, а не всю систему: /bin /sbin /lib /etc /usr ?
> Что мешает на компе прописать зловредные ключи при наличии физ доступа?
В каком месте собираешься подставить зловредный ключ:
https://www.opennet.dev/openforum/vsluhforumID3/121426.html#62
Этот зловредный ключ должен иметь подпись ключа с предыдущего этапа загрузки.
Есть такое понятие "верифицированная цепочка загрузки".
| |
|
2.218, Аноним (219), 11:08, 31/07/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Документированная фичя https www gnu org software grub manual grub grub html ... большой текст свёрнут, показать | |
|
3.257, Аноним (258), 08:03, 01/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
Наверно все же лучшим решением будет перенос пароля с grub.cfg в grub core.img. И всегда при переходе в rescue консоль запрашивать этот пароль.
Здесь "уязвимость"/фичя того же порядка как shell busybox в initrd или режим single user mode в Linux.
Если диски /boot и / шифрованы, то никто чужой этими фичами воспользовался не сможет.
| |
|
|
|
|
3.30, Аноним (30), 05:35, 30/07/2020 [^] [^^] [^^^] [ответить]
| +6 +/– |
> а вот если бы писали на расте - то было бы бедно.
А раст что, телепатить умеет? Там ошибка в том что все должно было вырубиться после ошибки, а оно ругнулось сообщением и как ни в чем не бывало продолжило пахать дальше. Раст сам по себе от такого не поможет.
И вообще, секурбут очень забавная штука. Ну вот например с ним бывает так:
https://www.securityweek.com/microsoft-pulls-uefi-related-windows-update-after
...так что даже если вы и пропатчите grub, это еще не значит что хаксор не загрузит трэшак с касперского буткита. Более того - попытка это заткнуть привела к unbootable системам у хомячков и мс быренько убрал апдейт, видимо не жаждя отвечать за "кирпичи" :D
| |
|
4.46, asdasd (?), 07:41, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Не говоря уже о том, что низкоуровневые вещи один черт в unsafe будут, а мантра "небезопасные блоки локализированы и будет проще найти" в жизни не сработает. У C/C++ одних только санитайзеров у компилятора тьма.
| |
|
5.57, Аноним (57), 08:47, 30/07/2020 [^] [^^] [^^^] [ответить] | +3 +/– | Да просто на самом деле правда жизни такова что GRUB жирная и фичастая скотина, ... большой текст свёрнут, показать | |
5.60, Аноним (60), 08:55, 30/07/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Эти санитайзеры ругаются на функции glibc. Приходится заменять на аналоги, на которые не ругается, специально, чтобы удовлетворить санитайзеры.
| |
|
6.67, Аноним (-), 09:07, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Эти санитайзеры ругаются на функции glibc. Приходится заменять на аналоги, на которые
> не ругается, специально, чтобы удовлетворить санитайзеры.
Они много на что ругаются. И довольно часто - имея на это некий пойнт.
| |
|
|
4.89, Аноним (89), 10:16, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | Там ошибка в том, что присутствует киллерфича переполнение буфера, которое може... большой текст свёрнут, показать | |
|
5.272, Forth (ok), 14:57, 01/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
Валезание за пределы буфера заканчивается panic, который приводит к остановке программы.
Да, принципиальная возможность перехватить панику есть, задумана для модульных тестов, проверять паникуют ли, когда надо.
Использование такого в обычной программе порицается :)
| |
|
|
|
|
|
2.127, Аноним (127), 14:12, 30/07/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
> так это фича!
Согласен, однако, значит ли это, что на упоротые ноутбуки с нетключаемым секуребутом, на которые нельзя было поставить линуксы, теперь можно поставить, и если да, то где можно почитать как эксплуатировать эту уязвимость?!
| |
|
|
|
3.31, Аноним (31), 05:40, 30/07/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
> и вообще всю ефи тоже на раст переписать.
Так перепишите, кули. А то все вы такие умные с вашими серебряными пулями. Покажите себя в деле, не?
| |
3.94, Аноним (94), 10:27, 30/07/2020 [^] [^^] [^^^] [ответить]
| +6 +/– |
EFI лучше выуинуть к чертям собачьим. Производитьелям материнок никто не запрещает пользоваться Coreboot.
| |
|
|
1.5, Антон (??), 00:46, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Локальный злоумышленник с административными привилегиями (или с физическим доступом к системе) может использовать эту проблему
| |
|
2.6, Аноним (6), 01:14, 30/07/2020 [^] [^^] [^^^] [ответить]
| +25 +/– |
если у атакующего есть физический доступ к системе - дырка в грубом это меньшее о чем стоит беспокоиться
| |
|
3.25, sysrise (ok), 04:15, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
"если у атакующего есть физический доступ к системе...." То перед ним открываются просто безграничные возможности, если конечное он профессиональный IT специалист, а не секретарь руководителя с белыми волосами...
| |
|
4.92, lleeree_ (ok), 10:24, 30/07/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это может быть обезьяна с подготовленной флешкой, обученная нажать несколько кнопок.
| |
|
3.45, хотел спросить (?), 06:58, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну и какие у него шансы с Epyc, где есть TSME и FDE?
Скажем так не очень большие... несанкционированную перезагрузку скрыть нельзя.
Вмешательство в корпус тоже сложно не заметить.
В таком случае физический доступ дает лишь физическое уничтожение или кражу оборудования.
Все пишут как это легко и просто, но это ничерта непросто.
Может быть возможно, но точно не просто.
Или вы мне расскажете много нового?
| |
|
|
|
6.256, Аноним (-), 07:55, 01/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
> если факт несанкцированной перезагрузки установлен, то всё - система скомпрометирована
> - можно восстанавливать бутовый раздел
Вы серьезно на каждый проскок питания или что там у вас это делаете? А не проще тогда сделать напрочь readonly образ или грузить сие по сети, etc? Так что образ каждый раз будет правильным? Если уж такой радикализм?
| |
|
|
4.61, Аноним (57), 08:56, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | Оптимизм это конечно круто, да Еше скажи что ты полностью понимаешь как все это... большой текст свёрнут, показать | |
|
|
6.247, Аноним (247), 18:40, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | Однако ж CVE были и в PSP и в ME И что характерно, хаксорский код потом вообще ... большой текст свёрнут, показать | |
|
|
|
|
|
1.7, Аноним (7), 01:14, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ну а что мешает ровно таким же образом вместо grub.cfg подменить ядро/инитрамфс на бэкдорнутое?
| |
|
2.8, Аноним (8), 01:19, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Для самых внимательных в статье прям картинка есть - подпись ядра проверяется при загрузке
| |
|
3.58, Аноним (81), 08:49, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Кем должно проверяется ядро если в процессе загрузки используется grub?
Внимательно смотри на картинку!
| |
|
4.206, Аноним (206), 08:41, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Кем должно проверяется ядро если в процессе загрузки используется grub?
Grub, разумеется.
| |
|
|
2.11, AnonPlus (?), 01:36, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну как бы SecureBoot именно против такой подмены и существует. Ты загоняешь в прошивку свои ключи вместо Microsoft-овских, подписываешь загрузчик, подписываешь ядро и всё - при подмене загрузчика или ядра на неподписанное (у злоумышленника твоей подписи же нет), будет облом.
| |
|
3.32, Аноним (31), 05:43, 30/07/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Ну как бы SecureBoot именно против такой подмены и существует. Ты загоняешь
> в прошивку свои ключи вместо Microsoft-овских, подписываешь загрузчик, подписываешь ядро
> и всё - при подмене загрузчика или ядра на неподписанное (у
> злоумышленника твоей подписи же нет), будет облом.
Вот та часть "вместо" может и не получиться. Потому что они предустановлены и не факт что удастся вытряхнуть. А "вместе" с мсовскими - ну вон там блэкхэты какой-то буткит касперского подписаный мсом вон освоили для этого дела. И попытки это зарубить сделали юзерам кирпичи, так что ms отпедалил взад.
| |
|
4.35, Аноним (35), 05:54, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Это только если биос кривой, ну или еще если это ноут по акции с Microsoft куплен Windows only. Secureboot тут непричем.
| |
|
5.64, Аноним (-), 09:00, 30/07/2020 [^] [^^] [^^^] [ответить] | –1 +/– | Ну, блин, биос по жизни так или иначе кривой Другим он просто не бывает Уж доп... большой текст свёрнут, показать | |
5.194, AnonPlus (?), 02:12, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Просто не покупай Surface и подобные железки, где ключи нельзя вытряхнуть.
Во всех виденных мною десктопных материнках, можно удалить предустановленные ключи. Особые параноики могут также раздербанить прошивку и физически вычистить эти предустановленные ключи, благо утилит для работы с UEFI-прошивками в достатке.
| |
|
6.204, Аноним (206), 08:36, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Просто не покупай Surface и подобные железки, где ключи нельзя вытряхнуть.
На железке заранее не написано - можно там или нельзя.
> Во всех виденных мною десктопных материнках, можно удалить предустановленные ключи. Особые
> параноики могут также раздербанить прошивку и физически вычистить эти предустановленные
> ключи, благо утилит для работы с UEFI-прошивками в достатке.
Увы, это не особые параноики а мамкины кулхаксоры из уютной виндочки с довольно так себе понятиями о информационной безопасности. И как максимум все это голимые полумеры. Даже если все это сделать с всеми этими тантрами, у меня останутся несколько мегов мутных блобов без сорца делающих фиг знает что. И это фиг знает что - совсем никто не аудитил, по большому счету.
| |
|
|
|
3.62, Аноним (81), 08:58, 30/07/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Ну как бы SecureBoot именно против такой подмены и существует. Ты загоняешь в прошивку свои ключи вместо Microsoft-овских, подписываешь загрузчик, подписываешь ядро и всё - при подмене загрузчика или ядра...
Кто проверяет подписи:
1. Самого UEFI перед его загрузкой и испоьнением?
2. Ядро grub с необходимыми модулями крыптографии для расшифровки /boot, публичными ключами grub, модулями grub для проверки подписей и переменными окружения grub?
3. Подгружаемые по требованию модули, настройки grub?
4. Ядра и инитрд OS?
5. Процесс #1 init и все остальные исполняемые в системе файлы, библиотеки, настройки и данные доступные только для чтения?
Что такое доверительную сертифицированная цепочка загрузки OS?
| |
|
4.66, Аноним (-), 09:05, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | На интеле потенциально бутгад может Проблема в том что это подписывается ну воо... большой текст свёрнут, показать | |
|
5.77, Аноним (81), 09:29, 30/07/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Зависит от производителя В идеале процессором аппаратно есть возможность шифров... большой текст свёрнут, показать | |
|
6.126, Аноним (126), 14:10, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | С точки зрения покупателя - лотерея Без возможности оверрайда, если не угадал ... большой текст свёрнут, показать | |
|
7.214, Аноним (219), 10:37, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | Читать документацию перед покупкой системы На сколько я понял вхардкорен куда-т... большой текст свёрнут, показать | |
|
8.250, Аноним (-), 19:36, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | Честно сказать юзеру что его держат за лоха Это не очень популярно Вхардкоже... большой текст свёрнут, показать | |
|
9.262, Аноним (258), 08:58, 01/08/2020 [^] [^^] [^^^] [ответить] | +/– | Я подробностей реальной технической реализации не знаю Читал популярные, а не т... большой текст свёрнут, показать | |
|
|
|
|
|
4.195, AnonPlus (?), 02:15, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
1. Никто, но есть такая прекрасная штука как TPM-модуль. Задействуй его в процессе шифрования накопителя (у TPM один из регистров отвечает за контрольную сумму прошивки). В этом случае, если хоть байт в прошивке изменится, регистры TPM выдадут иное значение и накопитель не расшифруется.
А дальше уже по цепочке: UEFI проверяет подпись загрузчка, загрузчик - подпись ядра.
| |
|
5.196, AnonPlus (?), 02:17, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Уточнение, есть еще BootGuard, вот он может проверять подпись прошивки. Но он лишает тебя возможности самому модифицировать прошивку. Поэтому я предпочитаю связку "шифрование системного раздела + TPM", что обеспечивает защиту от незаметного изменения прошивки.
| |
|
|
|
|
3.71, Аноним (70), 09:14, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Зачем же ее придумали в TedHat?
Однако демьян апдейты grub все же выкатил. А то что она не эксплуатируемая в большинстве конфиг - отлично, но баги чинить все же надо.
| |
|
|
|
|
3.33, Аноним (31), 05:45, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Переполнение буфера в grub, читаем внимательно, да?
Там соль не в этом, а в том что он продолжил как ни в чем ни бывало пахать после явно фатально ошибки. Всего-то выкинув сообщение и продолжив. То что за таким поведением проги следует - в общем то undefined.
| |
|
|
5.129, Аноним (129), 14:22, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Фатальная ошибка в загрузчике = кирпич.
Вы только подумайте, секурбут в лучшем для вас случае ничего не делает. В случае срабатывания он делает вам именно кирпич.
Это некий tradeoff: вы просаживаете reliabilty в пользу security - потому что измененный код делающий нечто непредсказуемое как минимум теоретически будет зарублен.
У самого по себе линукскернела есть более мягкая и менее саботерская реализация, кста: оно при несовпадении подписи модуля может пометить себя как tainted но продолжить работу. Однако при этом стоит понимать что особо наглый и прошареный ("хакерский") модуль может в принципе tainted состояние в памяти и почистить если ему сильно надо софт наесть.
| |
|
6.151, kmeaw (?), 15:43, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Поэтому в Linux есть режим lockdown, в котором хакерские модули грузить нельзя.
| |
|
7.252, Аноним (-), 19:51, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Поэтому в Linux есть режим lockdown, в котором хакерские модули грузить нельзя.
А прикольно о нем рассказать тому кто его как раз у себя и включил?
| |
|
|
|
|
|
|
1.13, qbr (?), 01:42, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
Был же старый добрый MBR, работал и есть не просил. Нет, обязательно надо выпендриться и придумать какую-то неведомую хрень, вместо развития уже работающей технологии. В большенстве случаев MBR продолжает работать и сейчас, но в некоторых недо-дистрибах его уже не поддерживают. Уроды!
| |
|
2.14, kmeaw (?), 02:05, 30/07/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Как реализовать сценарий secure boot с MBR? Где будет лежать подпись? Напомню, что размер IPL — всего 440 байт.
| |
|
3.19, Аноним 80_уровня (ok), 02:33, 30/07/2020 [^] [^^] [^^^] [ответить]
| +16 +/– |
Ваш комментарий подразумевает, что реализация сценария secure boot - это что-то нужное, если не необходимое.
| |
|
4.20, DerRoteBaron (ok), 02:43, 30/07/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это что-то в некоторых случаях небесполезное, т.к. усложняет эксплуатацию физического доступа к оборудованию
| |
|
5.23, Аноним (21), 03:12, 30/07/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
> эксплуатацию физического доступа
закрой свой комп в тумбочку, ключ раствори в кислоте... профит! Некоторые нерадивые рабовладельцы так и делают.
| |
5.109, RADV (?), 11:53, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Это защита от руткитов, которые подменяют ядро на свое собственное. Это не защита от физического доступа.
| |
5.114, Аноним (114), 12:08, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
А нельзя было просто в биосе прописать, что без ввода пароля от биоса запретить загружаться со всяких флешек и СД ?
| |
|
6.117, kmeaw (?), 12:21, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Можно снять крышку, вытащить диск, переписать на нём загрузчик и поставить обратно.
Можно найти баг в загрузчике или ОС, получить рута и переписать загрузчик.
Secure Boot в таких случаях защитит пользователя, так как откажется грузиться в скомпрометированную систему.
Тут конечно остаётся вопрос, раз злоумышленник смог проникнуть в систему, то он и повторить это сможет. Но это должно решаться обновлениями безопасности.
Vendor-lock это хорошо, если каждый без особых усилий может стать vendor'ом — выпускать свои подписанные загрузчики и ядра. А спецификация Secure Boot требует наличия возможности загрузить пользовательские ключи, против которых проверяется загрузчик ОС.
| |
|
7.120, kkk (??), 12:37, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если каждый легко может стать vendor-ом, то смысл в vendor lock пропадает и этой защиты неизвестно от кого тоже нет. Если у меня есть физический доступ к компьютеру и возможность снять крышку, вытащить диск и что-то на нём переписать, почему у меня не будет возможности ещё и заменить ключи на свои и подписать ими то, что я переписал?
Кому вообще нужна эта защита на десктопах и рабочих станциях?
| |
7.130, Аноним (129), 14:27, 30/07/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Можно получить рута на компе, прописать хлам в загрузочный раздел сектор и д... большой текст свёрнут, показать | |
|
8.148, kmeaw (?), 15:24, 30/07/2020 [^] [^^] [^^^] [ответить] | +1 +/– | А если диск зашифрован Злоумышленнику очень бы хотелось заменить загрузчик на т... большой текст свёрнут, показать | |
|
7.198, Аноним (-), 06:25, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
А что помешает злоумышленнику добавить свой ключ в список доверенных SB? Если же возможности добавить свои ключи нет, то это уже совсем плохо, это получается ты не можешь на своем железе запустить свое ядро.
| |
|
|
|
|
3.34, Аноним (31), 05:50, 30/07/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Сделать IPL и первую статию загрузчика наглухо readonly А вот дальше в них чека... большой текст свёрнут, показать | |
|
4.115, kmeaw (?), 12:15, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
А как обновлять этот IPL тогда?
И в 440 байт сложно уместить алгоритм проверки подписи.
Смысл всех этих BIOS Guard, Secure Boot, Trusted Boot, TPM, Measured Boot в том, что система не жёстко фиксируется на readonly-носителе, а может обновляться, но не злоумышленником.
| |
|
5.132, Аноним (132), 14:40, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | 1 А что если никак Зачем вам обновлять мелкий прелоадер Вы же не обновляете ... большой текст свёрнут, показать | |
|
6.147, kmeaw (?), 15:20, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | Вы уверены, что сможете с первого раза написать идеальный прелоадер без ошибок ... большой текст свёрнут, показать | |
|
7.217, Аноним (-), 11:02, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | Ну, во первых, с 1 раза и не надо - зачем вам устраивать локаут себе на тестово ... большой текст свёрнут, показать | |
|
|
|
|
3.113, kkk (??), 12:07, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
А зачем вообще нужен secure boot, кроме как для vendor lock?
| |
|
4.116, kmeaw (?), 12:16, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Чтобы злодей, кратковременно получивший физический доступ к оборудованию или через ошибку в ОС получивший возможность писать на диск не смог закрепиться в системе.
| |
|
5.178, kkk (??), 20:31, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Нет, чтобы ты не дай бог, не поставил себе чего-то несертифицированного.
| |
|
4.202, Павел (??), 07:34, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Злодей, имеющий физ доступ, может прописать свои ключи в биос. Поэтому secureboot не защитит от такого злодея
| |
|
|
2.18, Annoynymous (ok), 02:26, 30/07/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
Я прямо в предвкушении был этого комментария, открывая текст новости.
Образцовый невежда.
| |
|
|
4.43, Адекват (ok), 06:43, 30/07/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
В этом все линуксоиды, взять и извратить до абсурда мысль собеседника!
-Я не хочу обновляться, потому что после обновлений что-то бывает ломается.
-А ну быстро откатился на ядро 2.4 и КДЕ2 !
| |
|
|
2.55, Аноним (81), 08:44, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
У меня MBR работает до сих пор, главное, чтобы размер свободного места в начале диска, был больше размера ядра grub, которое включает публичные ключи, крыптографию для их проверки и крыптографию для расшифровки /boot. Если у вас не влезет, то надо дополнительный мелкий диск для ядра grub.
| |
2.59, Аноним (59), 08:52, 30/07/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
MBR не умеет в GPT, не умеет больше 4 физических разделов, не умеет разделы > 2Тб
EFI/UEFI это хорошо, а вот SecureBoot плохо
| |
|
3.63, Аноним (60), 08:59, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
не MBR не умеет, а отвратительные недостаточно модульные биосы, сделанные с расчётом на запланированное устаревание.
| |
3.83, Аноним (81), 09:45, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ставь GPT и малюсенький раздел для BIOS GRUB, перед разделом /boot и все у тебя будет работать без ограничений.
SecureBoot это необходимая технология в цепочке верификации загрузки компьютера. Она нужна для проверки целостности и аутентичность загрузчика OS.
| |
3.84, aa (?), 09:51, 30/07/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
>MBR не умеет в GPT
добавить поддержку никто не мешает - это всего лишь прочитать пару секторов
>, не умеет больше 4 физических разделов
во-первых что такое "физический раздел"? физически на диске разделы не создаются, бывают только логические
во-вторых не умеет как раз таки досовская таблица разделов, а в первом пункте мы уже добавили поддержку гпт
>, не умеет разделы > 2Тб
см п.2
| |
3.101, kkk (??), 11:35, 30/07/2020 [^] [^^] [^^^] [ответить] | –1 +/– | 1 GPT - это раздутая и искуственно усложнённая система разделения диска 2 Бол... большой текст свёрнут, показать | |
|
4.119, kmeaw (?), 12:35, 30/07/2020 [^] [^^] [^^^] [ответить] | +1 +/– | GPT хорош наличием GUID у диска и раздела Это позволяет однозначно идентифициро... большой текст свёрнут, показать | |
|
5.125, kkk (??), 13:25, 30/07/2020 [^] [^^] [^^^] [ответить] | –1 +/– | Что ты понимаешь под однозначно идентифицировать разделы В MBR ты знаешь всё,... большой текст свёрнут, показать | |
|
6.149, kmeaw (?), 15:36, 30/07/2020 [^] [^^] [^^^] [ответить] | +1 +/– | После того, как система запустилась, ей может быть нужно найти раздел на диске ... большой текст свёрнут, показать | |
|
7.159, kkk (??), 16:29, 30/07/2020 [^] [^^] [^^^] [ответить] | –1 +/– | Разве Linux до сих пор не умеет находить dev sda4 Как он вообще работал всё эт... большой текст свёрнут, показать | |
|
8.169, пох. (?), 17:30, 30/07/2020 [^] [^^] [^^^] [ответить] | +1 +/– | дедушка, вы таблетку от склероза забыли принять Если сожрали вместо нее эклер -... большой текст свёрнут, показать | |
|
9.179, kkk (??), 20:43, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | Типичный напыщенный хам Это ты таблетку забыл принять Ты глуп и невежественен ... большой текст свёрнут, показать | |
|
|
|
12.249, kkk (??), 19:22, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | Да, именно так А никак не на специальные секторах диска Именно поэтому IO SYS ... текст свёрнут, показать | |
12.265, пох. (?), 10:25, 01/08/2020 [^] [^^] [^^^] [ответить] | +/– | да ничего он не искал , в нем за вычетом bpb места еще меньше чем в mbr, и того... большой текст свёрнут, показать | |
|
13.273, kkk (??), 17:54, 01/08/2020 [^] [^^] [^^^] [ответить] | +/– | Дурачок, когда же ты хотя бы просто посмотришь дамп бутсектора FAT Я уже не гов... текст свёрнут, показать | |
|
14.278, пох. (?), 16:28, 02/08/2020 [^] [^^] [^^^] [ответить] | +/– | ты свой ник не в то поле вписал дамп бутсектора лолшта - FAT Отлично, просто... большой текст свёрнут, показать | |
|
15.286, kkk (??), 09:27, 03/08/2020 [^] [^^] [^^^] [ответить] | +/– | Первый сектор файловой системы Посмотри что написано в первом секторе, дурачок ... большой текст свёрнут, показать | |
|
|
|
|
11.248, kkk (??), 19:18, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | Это ты DOS никогда не видел и даже не потрудился проверить то, что тебе говорят ... текст свёрнут, показать | |
|
|
9.274, kkk (??), 19:44, 01/08/2020 [^] [^^] [^^^] [ответить] | +/– | Специально для тебя https www youtube com watch v V5tMCTOcg8k Будь мужиком, п... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
15.266, пох. (?), 10:39, 01/08/2020 [^] [^^] [^^^] [ответить] | –1 +/– | ну могу тебе показать машину, где именно при каждой, угадай где у нас сегодня ди... текст свёрнут, показать | |
|
|
|
|
19.292, пох. (?), 03:11, 04/08/2020 [^] [^^] [^^^] [ответить] | +/– | не, сам запутался - -L это именно оно, partition label в отличие от LABEL , кот... текст свёрнут, показать | |
|
21.297, пох. (?), 00:17, 05/08/2020 [^] [^^] [^^^] [ответить] | +/– | в partition table, вестимо Если она, конечно, GPT Собственно, это одна из прич... текст свёрнут, показать | |
23.305, пох. (?), 18:49, 06/08/2020 [^] [^^] [^^^] [ответить] | +/– | повторяю в той _единственной_ реальной ситуации, когда на самом деле могут возн... большой текст свёрнут, показать | |
23.303, пох. (?), 13:38, 06/08/2020 [^] [^^] [^^^] [ответить] | +/– | о, научились Но, похоже, это фича ядер после 4 какой-то, мое так не умеет и так... текст свёрнут, показать | |
25.306, пох. (?), 18:55, 06/08/2020 [^] [^^] [^^^] [ответить] | –1 +/– | ты мне лучше найди куда вставить создание этих меток Причем - динамическое При... текст свёрнут, показать | |
|
|
|
17.293, пох. (?), 03:18, 04/08/2020 [^] [^^] [^^^] [ответить] | –1 +/– | то что в fstab вместо них автоматически записывается неведомая вредная херня ме... большой текст свёрнут, показать | |
|
|
19.298, пох. (?), 00:23, 05/08/2020 [^] [^^] [^^^] [ответить] | –1 +/– | лэйблы помогут - тем что ты это увидишь и сможешь понять, где какой - если я сей... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
|
9.251, kkk (??), 19:50, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | При наличии одного SATA контроллера с несколькими портами Ты уверен Кроме того... текст свёрнут, показать | |
|
|
|
|
5.133, Аноним (-), 14:51, 30/07/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
> GPT хорош наличием GUID у диска и раздела. Это позволяет однозначно идентифицировать
...всяких бакланов, подпихивая им небольшое персональное клеймо? :)
| |
|
6.183, пох. (?), 20:55, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> GPT хорош наличием GUID у диска и раздела. Это позволяет однозначно идентифицировать
> ...всяких бакланов, подпихивая им небольшое персональное клеймо? :)
не будь лохом, скопируй uuid у другого баклана!
(правда, потом будет немного обидно присесть за его cp)
| |
|
7.222, Аноним (221), 11:39, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> не будь лохом, скопируй uuid у другого баклана!
Ну, давай сюды свой :)
> (правда, потом будет немного обидно присесть за его cp)
Так зачем же CP копировать, толко гуид :)
| |
|
8.299, пох. (?), 00:30, 05/08/2020 [^] [^^] [^^^] [ответить] | +/– | держи e139ce78-9841-40fe-8823-96a304a09859 дык cp найдет товарищмайор, и решит ... текст свёрнут, показать | |
|
|
|
|
|
3.105, Аноним (102), 11:50, 30/07/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
> MBR не умеет в GPT
Да блин, что за каша в головах у людей? Если имеете в виду grub-pc, то так и пишите. MBR — это просто область на диске, она не может "работать" или "во что-то уметь".
P. S. Да, к сведению: на машине, с которой я пишу, grub-pc и GPT. Всё работает.
| |
|
|
|
2.36, Аноним (36), 05:56, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Когда трудности нет, то что тогда преодолевать?
Возьми шмот и айда в горы, узнаешь :)
| |
|
3.54, Аноним (81), 08:37, 30/07/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Куда ты его посылаеш? Там сдохнуть вполне реально! Прочти статистику по РФ: в год ~1000 пропавших без вести в лесах...
| |
|
4.72, Аноним (70), 09:19, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Куда ты его посылаеш? Там сдохнуть вполне реально!
К преодолению трудностей. К тому же по своему прикольному. Вообще, так по жизни - сдохнуть вполне реально. Гарантия 100%. Поэтому щелкать клювом вообще не рекомендуется.
> Прочти статистику по РФ: в год ~1000 пропавших без вести в лесах...
А теперь посмотрим статистику ДТП, почувствуем разницу. Но да, безбашенно такие вещи делать не рекомендуется.
| |
|
|
|
3.175, Alexey (??), 19:03, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Даже если был бы не родной, то как показать где должно быть разделение и как читать то, что написал автор? По произношению между "то" и "что" нет препинания. В данной теме описывается загрузчик, а не правила написания. Всё-равно присутствует загрузочная область с прошитым указателем, который начинает загрузку. Способ загрузки не сильно влияет на безопасность, с моей точки зрения :) Придумывать разные способы для одного и того же действия, это хорошо, для тех, кто так зарабатывает.
| |
|
4.188, Sgt. Gram (?), 21:35, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Да какое препинание? Союзы научись употреблять. Либо s/когда/если/, либо s/то\(гда\)?//g.
| |
|
5.213, Alexey (??), 10:14, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Про союзы на regteston@mail.ru аж интересно стало, научи будь добр в данном конкретном примере.
| |
|
|
7.254, Alexey (??), 20:56, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
А почему нельзя? Или он не Великий и могучий.. пиши разъяснения на почту с примерами и пунктами правил не забудь указать применение кем в литературе, а то складывается впечатление, что я Тебя не понял.
| |
|
|
|
|
|
|
|
|
3.44, Адекват (ok), 06:47, 30/07/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
А еще негуманоидным синтаксисом, реально нужно иметь степени по клинописи, криптографии, латыни, изотереке, чтобы понять что там к чему.
Вот в grub 0.97 был гуманоидный синтаксис:
# ((1) Arch Linux
title Arch Linux Fallback
root (hd0,0)
kernel /boot/vmlinuz26 root=/dev/disk/by-uuid/131aa439-f2c0-41e3-b239-c778fcf572a5 rootfstype=xfs ro
initrd /boot/kernel26-fallback.img
просто запомнить можно было, а по примеру интуитивно понять что к чему, попробуйте без интернетов и манов понять что в конфиге груб2.
Нет, реально же просто три строчки, ну 4, 4ая титл, но для загрузки - три блин строчки нужно всего !!
| |
|
4.80, пох. (?), 09:36, 30/07/2020 [^] [^^] [^^^] [ответить]
| +7 +/– |
> Вот в grub 0.97 был гуманоидный синтаксис:
но к сожалению, альтернативно-одаренным его было никак не понять.
Поэтому он объявлен нимодна-нималадежна, разработка запрещена под страхом отлучения от святого гна, и вместо него запилена невменяемая блоатварь, синтаксис которой предназначен вовсе не для гуманоидов, а для косоруких скриптов.
СКРИПТОВ, блжад, в initial loader, который когда-то в 440 байт помещался.
Зато, вот, с нескучным insecure boot (поздравляем со скомпроментированным ключом глупой microsoft - а нехрен было подписывать гнутый трешак) и кучей других интересных свойств - например, возможностью после (ненужного!) автообновления попасть в "rescue mode" и обнаружить что прочитать диск нам нечем - модуль не подгрузился, необходимый для загрузки модуля.
| |
|
5.135, Аноним (-), 14:55, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | Так он и теперь помещается Просто он запускает более жирный лоадер, тот догружа... большой текст свёрнут, показать | |
|
6.158, пох. (?), 16:23, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | или не запускает, и ты сосешь лапу и бежишь за rescue диском а потом разгадывае... большой текст свёрнут, показать | |
|
7.223, Аноним (-), 12:02, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | Я видел много странной фигни, но вот именно такого ни разу не встречал За десят... большой текст свёрнут, показать | |
|
8.300, пох. (?), 00:59, 05/08/2020 [^] [^^] [^^^] [ответить] | +/– | зато https bugzilla redhat com show_bug cgi id 1861977 встретили это у lilo ... большой текст свёрнут, показать | |
|
|
|
|
4.152, kmeaw (?), 15:45, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
grub2:
menuentry 'Arch Linux Fallback' {
set root='hd1,msdos1'
linux /boot/vmlinuz26 root=/dev/disk/by-uuid/131aa439-f2c0-41e3-b239-c778fcf572a5 rootfstype=xfs ro
initrd /boot/kernel26-fallback.img
}
Разве сложно? Строк почти столько же.
| |
|
5.163, пох. (?), 16:45, 30/07/2020 [^] [^^] [^^^] [ответить] | +2 +/– | если бы еще и работал - то цены бы ему не было Только он у тебя не сработает - ... большой текст свёрнут, показать | |
|
6.168, kmeaw (?), 17:25, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | Ровно так у меня и работает Только сверху есть ещё кусок if loadfont EFI boot... большой текст свёрнут, показать | |
|
7.185, пох. (?), 21:04, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Ровно так у меня и работает. Только сверху есть ещё кусок:
> if loadfont /EFI/boot/unicode.pf2 ; then
ох, да, как это - да чтоб в загрузчик (сцуко - в ЗАГРУЗЧИК, Карл!) да не подгрузить нескучных шрифтецов!
> Из которого тоже есть, что повыкидывать, если не нужен графический режим.
я бы его весь выкинул, с большим удовольствием.
> Аналогично работает, если собрать бинарник самому с помощью:
знаешь, даже lilo как-то попроще был.
И главное - в эпоху uefi это все нужно прямо как телеге гусеница от трактора.
| |
|
8.190, kmeaw (?), 21:56, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | Так не подгружай Он всё равно будет работать Разве это плохо, когда фича есть,... большой текст свёрнут, показать | |
|
9.208, пох. (?), 08:52, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | расскажи это вот теперь счастливеньким де6иллиано-убунтоюзерам У которых ночью ... большой текст свёрнут, показать | |
|
|
|
6.259, Аноним (259), 08:42, 01/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
> что это, блжад, нахера оно, кто придумал весь этот п-ц
Это для интеграции с пакетниками, апдейтами ядер и всем таким. Теперь пакетник поставив ядро запускает генератор конфигов и тот .. быренько делает зашибись. Перегенерив конфиг и добавив туда все ядра которые есть. Ну а заодно он систему в run time видит и знает какие там uuid всего этого и проч.
В демьяне допустим на эту тему есть /etc/default/grub описывающий как его такой генерить. А в этом твоем grub 0.97 - ахто будет новый кернель в меню добавлять? И как в меню поиметь все кернелы имеющиеся в системе, допустим? Ну, дабы в случае невзлета нового кернела, допустим, был фалбак на более старые из менюхи бута? Не, можно как тот арчевод при этом - "ухтыб%#?!", но есть мнение что это малость непрактично :)
| |
|
7.270, пох. (?), 13:15, 01/08/2020 [^] [^^] [^^^] [ответить] | +/– | вы забыли добавить - написанными вчерародившимися, ниасиляторами sed Вот вам су... большой текст свёрнут, показать | |
|
|
5.200, Адекват (ok), 06:39, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | Нет, то что я показал - это реальный пример тех веремен, когда grub 0 97 был, а ... большой текст свёрнут, показать | |
|
6.209, пох. (?), 09:02, 31/07/2020 [^] [^^] [^^^] [ответить] | +3 +/– | ну в первых же строчках все интуитивно-понятно - мы написали прекрасный конфиг ... большой текст свёрнут, показать | |
|
7.261, Аноним (-), 08:48, 01/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
> ну в первых же строчках все интуитивно-понятно - "мы написали прекрасный конфиг
> - для РОБОТОВ. А людям тут делать нечего.
Абсолютно!!! Если что-то надо - айда менять ШАБЛОН. А этот список динамический, он меняется каждый раз когда пакетник кернель ставит/сносит, например.
И это по своему логично. Не надо самому прописывать новый кернель и можно при факапе выбрать более старый кернель в меню бутлоадера, если новый вдруг почему-то не прокатил.
| |
|
8.271, пох. (?), 13:24, 01/08/2020 [^] [^^] [^^^] [ответить] | +1 +/– | да, щас, щас, еще один нескучный язычок вызубрю только к0к0к0й ужос Ведь sed-т... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
1.26, Аноним (26), 04:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Какой смысл вообще использовать Secure Boot с GRUB? Изначально понятно, что так будет. В UEFI есть свой менеджер загрузки, туда можно добавить любое приложение для UEFI типа ядра Linux.
| |
|
|
3.38, Аноним (38), 05:59, 30/07/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
UEFI давно уже выяснено ломается и из системы получается доступ к изменению настроек. Поэтому люди развивают coreboot. А данная новость славна тем, что позволяет ставить Gentoo/Void с самосборным ядром даже на радикально огороженные устройства. И вот если убрать лаг загрузки биоса и использовать runit система внезапно грузится за несколько секунд даже с жесткого диска. Все эти ключи и подписи для болванов, которые верят, что им собрали ядро или всю систему без дыр. Мелкомягкие этим особр грешат. Впрочем занды есть и в коммерческих линуксах о чем давно рассказал Столлман.
| |
|
2.29, Аноним (-), 05:22, 30/07/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
> туда можно добавить любое приложение для UEFI типа ядра Linux.
Ога, только ни рамдиск не положишь, ни командлайн не поменяешь небось. Поэтому фича больше для галочки - на самый крайний случай, конечно, линух и так позволяет, но это явно не есть удобное и функциональное использование ОС.
| |
|
3.160, пох. (?), 16:32, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> туда можно добавить любое приложение для UEFI типа ядра Linux.
> Ога, только ни рамдиск не положишь, ни командлайн не поменяешь небось. Поэтому
ну вот этим должен был заниматься как раз grub или какая-нибудь его замена. В идеале - встроенная в само ведро, потому что неясно, зачем нужна еще отдельная прокладка.
Но нет. Это было бы слишком уж просто.
Поэтому он делает кучу невменяемой ненужной хни ВМЕСТО того.
Даже убогий systemd-boot (вопреки названию вообще ничего не умеющий загружать) выглядит меньшим г-ном.
| |
3.170, kmeaw (?), 17:31, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | Если прописывать ядро в nvram, то без проблем и командлайн, и initrd туда же мо... большой текст свёрнут, показать | |
|
2.40, Аноним (35), 06:03, 30/07/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Согласен. GRUB ненужен как и другие загрузчики. У меня ядро напрямую грузится из EFI
| |
|
3.51, ryoken (ok), 08:20, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
У вас, простите, 1 ядро необновляемое? В том же Дебе сразу после установки системы и установки всех обнов будет минимум 2-3. Это если не апгрейдиться до testing/sid. Вам доставляет удовольствие всю эту толпу прописывать?
| |
|
4.90, Аноним (90), 10:18, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Во всяких рачах ядро называется просто как-нибудь вроде vmlinuz-linux и раскатывается поверх старого
| |
|
5.138, Аноним (-), 14:58, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Во всяких рачах ядро называется просто как-нибудь вроде vmlinuz-linux и раскатывается поверх старого
А если вдруг система с новым ядром не запустилась - мы произносим удивленное "ухтыб$%?!" :D :D :D
...в то время как юзерь grub и какого там дебиана или убунт просто выбирает прошлый кернель и уже более предметно разбирается WTF. Или там кернелу командлайн меняет, типа nomodeset. А упомянутый подход катит для какого-нибудь киоска, но вот для компа относительно продвинутого юзера уже как-то не то.
| |
|
6.161, пох. (?), 16:34, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> А если вдруг система с новым ядром не запустилась - мы произносим
> удивленное "ухтыб$%?!" :D :D :D
это рач, они даже не удивляются.
> ...в то время как юзерь grub и какого там дебиана или убунт
не может загрузиться даже со старым ведром - ведь у него (в связи с вот этой новооткрытой увизгвимостью, например) grub обновился, и теперь не может прочитать свою собственную жопу и вываливается в бесполезный rescue mode.
| |
|
|
|
9.233, пох. (?), 14:18, 31/07/2020 [^] [^^] [^^^] [ответить] | +1 +/– | сабжа - реально все по моему сценарию и слуцилась этой же ночью - - и у убунтои... текст свёрнут, показать | |
|
|
11.294, пох. (?), 14:50, 04/08/2020 [^] [^^] [^^^] [ответить] | +/– | угу, и нифига так и не понятно - ни что это было, ни где запатчено в очередной р... текст свёрнут, показать | |
|
|
|
|
7.224, Аноним (-), 12:07, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> это рач, они даже не удивляются.
Ну так тем более - мне казалось, лезть каждый раз за загрузочной флехой должно бы и подзадолбать? Не? :)
> не может загрузиться даже со старым ведром - ведь у него (в
> связи с вот этой новооткрытой увизгвимостью, например) grub обновился, и теперь
> не может прочитать свою собственную жопу и вываливается в бесполезный rescue mode.
Ну вот если grub обломался - тогда уже упс, придется за флехой все же слазить и таки переставить старый.
| |
|
8.236, пох. (?), 14:21, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | да куда лезть, она ж у них напостой в разъем воткнута, только диск выбрать ой, ... текст свёрнут, показать | |
|
|
|
|
|
|
2.137, Аноним (102), 14:56, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Какой смысл вообще использовать Secure Boot?
Вот так достаточно.
| |
|
1.28, Аноним (-), 05:20, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
> но и других операционных систем, включая Windows.
Дык там один из довереных ключей ms утек, так что не похрен ли? Кто этого хотел - и так сто лет это могли. Блочить ключ не стали - загрузка, видите ли, сломается :)
| |
|
2.153, kmeaw (?), 15:47, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Что мешает пользователю самостоятельно положить этот ключ в dbx?
| |
2.173, Аноним (173), 18:58, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Дык там один из довереных ключей ms утек, так что не похрен ли?
А можно ссылочку на ключ или сам ключ?
| |
|
3.226, Аноним (-), 12:12, 31/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Дык там один из довереных ключей ms утек, так что не похрен ли?
> А можно ссылочку на ключ или сам ключ?
Я такое не коллекционирую, но на форониксе новость была про малварь подписанную таким. И еще по ссылям в сабже можно найти рассказ про буткит касперыча с какого-то его rescue диска, чтоли, которым блэкхэты научились что попало грузить, аннулировав всю схему к хренам опять же. MS попробовал это зарубить - и быро отпедалил взад под вой окирпиченых юзерей. Поэтому оно так вроде и осталось работающим по сей день. Выбирая между просером своей репутации и вашей безопасностью MS выбрал понятно чего.
| |
|
|
1.42, Fracta1L (ok), 06:41, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
> Уязвимость вызвана переполнением буфера
Хахаха, как обычно.
Жду от мамкиных экспертов визгов про кривые руки программистов и вот это всё.
| |
|
2.52, Аноним (49), 08:27, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Уязвимость вызвана переполнением буфера
> Хахаха, как обычно.
1. Тебе надо прочесть учебник о защите памяти в OS:
Можно на C написать OS которая даст гарантию невозможности эксплуатации уязвимости переполнения буфера как в самом ядре OS, так и во всех программах, написанных на C и запускаемых на этом ядре OS!
2. GRUB, пренебрегает безопасностью в угоду минималмстичности и простоты. Но одного Integrity, которое в GRUB есть, хватит чтобы сделать практическое использование уязвимости переполнения буфера нереальным - Integrity в grub верифицируется все, как исполняемые программы, так и данные.
| |
|
|
4.75, Аноним (75), 09:23, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Вот и начались мантры))
Ну так покажи нам, ракам, как чай в варежках пить? Не, не покажешь? Потому что полный ламер в делах системных небось. И кернель у тебя небось не редокс нихрена. А круто ты придумал - юзать софт от других людей и гадить им на бошку, да? :)
| |
|
|
6.143, Аноним (-), 15:04, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Ну так покажи хоть одну используемую программу на Сишке без дыр
Ну дык djbdns например. А так что совсем без дыр и нафиченые проги - блин, поимейте совесть, дыры даже в пихоногуане бывают, хоть там яп и сделан для совсем уж имбецилов из младшей коррекционной группы детсада. Но отдельные тела все-равно умудряются прострелить себе пятки. Иногда достаточно остроумно, типа eval() на входных данных. Может эти веьмакаки в глубине души мечтали бутлоадер накодить, но стеснялись себе признаться в этом, мало ли :D
| |
|
|
4.212, Аноним (219), 09:50, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Двоечник, марш за учебниками! И чтобы до 1 сентября вот здесь: https://www.opennet.dev/tips/sml/#5 была твоя статья на тему "Как на C написать OS которая даст гарантию невозможности эксплуатации уязвимости переполнения буфера как в самом ядре OS, так и во всех программах, написанных на C и запускаемых на этом ядре OS"! Приведешь в статье примеры современных ядер OS которые дают гарантию невозможности эксплуатации уязвимости переполнения буфера.
| |
|
|
Часть нити удалена модератором |
|
|
|
|
2.73, Аноним (75), 09:22, 30/07/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Уязвимость вызвана переполнением буфера
Она для начала вызвана игнором ошибки парсера, а это уже следствие обшего undefined behavior. Если прога игнорит фатальную ошибку - может быть все что угодно, это UB на вообще совсем любом ЯП.
И кстати если ты не заметил - мегадыра в практических конфигах еще и неэксплуатируемая к тому же. Но исследователю про это указывать не с руки - а как же тогда быть с вот таким вот пиаром? Неспортивно! :)))
| |
2.111, Аноним (102), 11:57, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Жду от мамкиных экспертов визгов
Товарищ папкин эксперт, покажи-ка свой код. Интересно, писал ли ты вообще на чём-то кроме КУМира.
| |
|
1.53, Аноним (53), 08:31, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ха-ха-ха мы закинем в ваш раздел efi свою уязвимость что бы искать другие уязвимости
| |
1.74, Онаним (?), 09:23, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Ужас-ужас!
А по сути - ничего собственно не произошло.
Как был весь этот секуребут бессмысленным баззом, так и остаётся.
Надеятся, что он реально обеспечит какие-то гарантии - ну так себе.
| |
1.78, svsd_val (ok), 09:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хм, это за частую даже удобно, можно спокойно заливать любые системы на эту бесполезную хрень под названием уёфи... от неё толку мало только больше геморроя ...
| |
1.79, Hellraiser (??), 09:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> даёт возможность обойти механизм UEFI Secure Boot
так это ж не уязвимость, а True-функционал;
дурачок Мэтью Гаррет в ногах у микрософта валялся, чтобы "серьёзные дяденьки" подписали его прокладку для загрузки в uefi; а оказывается grub2 из коробки может обходиться без этого извращения :D
| |
|
2.82, пох. (?), 09:43, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Мальчик, ты дурачок. В том и дело что НЕ может. И вот те серьезные дядечки - ХРЕН теперь другим дурачкам что подпишут, сколько ни умоляй, поскольку по факту поделка скомпроментировала их ключ.
Ищите по помойкам уникальные платы, позволяющие вручную запихивать в них ключи, или вон - венду грузите, она загрузится.
P.S. а яббл, получается, что-то знал, когда с именно этим ключом не захотел иметь дело, при том что ключи от десяточки (ms тоже о чем-то догадывалась и использовала для нее отдельную пару) принимал.
| |
|
3.85, Hellraiser (??), 09:58, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
девочка, не надо обзываться, это невежливо; лучше расскажи нам сказку, что только на уникальных платах с помоек можно загрузиться без ключа от мелгомягких
| |
|
4.282, Michael Shigorin (ok), 08:15, 03/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
Из коробки -- только с ним, увы. По факту. Отключение -- действие, которое далеко не каждый пользователь осилит (начиная с собственно "зайти в менюшки", что также постарались сделать более сложным и менее очевидным, плюс порой требующим реакции, а порой и вовсе загрузки винды -- возможно, с принятием EULA -- и уже оттуда перезагрузкой в фирмварь, чтобы тут же отключить FastBoot).
Но вроде бы как по спецификации на x86 секирбут должен быть отключаемым, а ключи -- заменяемыми пользователем.
PS: когда копал это всё дело -- вот что написал: http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
PPS: как же хорошо на эльбрусах без вот этого всего...
| |
|
5.287, пох. (?), 13:59, 03/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
> начиная с собственно "зайти в менюшки"
Менюшек может просто не быть - вообще.
> Но вроде бы как по спецификации на x86 секирбут должен быть отключаемым, а ключи -- заменяемыми
> пользователем.
ну да - зайдите в менюшку _своей_операционной_системы_ - и, если вам позволено политикой - отключите. Угадай о какой операционной системе тут речь, и почему.
А вот заменять ключи та система не умеет - ей-то без надобности, она каким надо ключом подписана.
| |
|
|
|
|
1.86, Укуренный (?), 10:01, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Именно благодаря этой "уязвимости" у меня получилось установить линукс на hp pavilion вместо виндуса10, теперь после обновления линукс перестанет запускаться и я снова перейду на виндус10 или выкину ноут на помойку, спасибо.
| |
|
2.87, Hellraiser (??), 10:05, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
вобщем-то ничто не мешает сделать так, чтобы после обновления остался "уязвимый" загрузчик
| |
|
1.97, mikevmk (??), 10:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
А может мне кто-нибудь доходчиво объяснить, зачем в реальном мире нужен SecureBoot? Каков РЕАЛЬНЫЙ кейс использования?
Где ты предполагаешь физический доступ проходимцев, но чтоб загрузить не смогли свое?
| |
|
|
3.100, mikevmk (??), 11:22, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну это ж никакой критики не выдерживает
Т.е. получается, что вендор лок как мало-мальски рациональное предположение только и остается
| |
|
2.112, Аноним (102), 12:01, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
В реальном мире на фиг не нужен. В идеальном же должна выполняться проверка подписей вообще всего испольняемого кода (включая скрипты, да).
| |
|
3.118, Аноним (21), 12:27, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> проверка подписей вообще всего испольняемого кода
к этому и ведут: облачные ОС, облачные программы, всех в сад/инет
| |
|
4.141, Аноним (102), 14:59, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> облачные ОС, облачные программы, всех в сад/инет
Ты правда думаешь, что там девляпсы что-то проверяют?
| |
|
|
4.142, Аноним (102), 15:02, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Иедальный, от слова "идея" — воображаемый, на практике недостижимый. Идеальный газ, всё такое. К моральной оценке отношения не имеет.
| |
|
|
2.122, Нанобот (ok), 12:52, 30/07/2020 [^] [^^] [^^^] [ответить]
| –4 +/– |
>зачем в реальном мире нужен SecureBoot
ну, допустим есть сервер банка и нужно защитить его от руткитов режима ядра
| |
|
3.124, mikevmk (??), 13:24, 30/07/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
Ты кейс целиком расскажи. А то это получается как турникеты в школах против террористов. Террорист придет таой, увидет турникет и уйдет не солоно хлебавши
Вот ты, допустим, злоумышленник. Злоумышляешь против банка и умеет в руткиты. Твои действия?
| |
|
4.128, Аноним (21), 14:17, 30/07/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Твои действия?
Ну как-то так:
1. прихожу в банк
2. захожу в серверную
3. вставляю флэшку с руткитом в усб
4. перезагружаю сервер с флэшки
5. используя уязвимость уефи, устанавливаю руткит.
| |
|
5.145, Аноним (-), 15:07, 30/07/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Ну как-то так:
> 1. прихожу в банк
> 2. захожу в серверную
> 3. вставляю флэшку с руткитом в усб
> 4. перезагружаю сервер с флэшки
> 5. используя уязвимость уефи, устанавливаю руткит.
А охрана банка, соответственно, спокойно на все это втыкает? А не проще было тогда просто забрать, простите, деньги из банкомата? Особо наглые в принципе вместе с банкоматом иногда забирают даже.
| |
|
6.166, пох. (?), 17:11, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> А охрана банка, соответственно, спокойно на все это втыкает? А не проще
охрана втыкает нервно - потому что из стены в серверную хлещет дерьмо, и он вообще-то сантехник, срочно вызванный заткнуть свищ.
Поэтому долго копаться в серверах ему не удастся, но один раз на пару минут отвлечь внимание - можно. secureboot как раз от таких сценариев.
| |
|
7.228, Аноним (-), 12:20, 31/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Поэтому долго копаться в серверах ему не удастся, но один раз на
> пару минут отвлечь внимание - можно. secureboot как раз от таких сценариев.
Понятно! Помогает только при съемке попсовых фильмов про хакеров, и то приходится писать UEFI аддон показывающий для дебилов большими красными буквами [ACCESS DENIED] на весь экран.
И то - через пять минут по сценарию мегахакер делает какую-то мутную фигню и надпись меняется на [ACCESS GRANTED!!1111] и банкоматы начинают дико изрыгать купюры во всех направлениях. А довольный хакер с дружбанами быстро набивают сумки и карманы, стало быть, пока о...шая от такой наглости охрана не снялась с ручника.
| |
|
8.229, пох. (?), 12:38, 31/07/2020 [^] [^^] [^^^] [ответить] | +/– | да в чем проблема-то Было бы мне надо - вполне мог бы что-то в этом роде исполн... текст свёрнут, показать | |
|
|
|
|
4.171, Нанобот (ok), 17:32, 30/07/2020 [^] [^^] [^^^] [ответить] | +/– | допустим, я уже работаю в этом банке и имею полный доступ но в один прекрасным ... большой текст свёрнут, показать | |
|
5.176, Аноним (173), 19:05, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если есть полный доступ можно и программатор принести и переписать всю уефину нахрен вместе со всеми ее секурбутами. Только не надо про раздевают и проверяют не засунул ли ты в программатор в анус, в банках таким не занимаются.
| |
5.186, пох. (?), 21:14, 30/07/2020 [^] [^^] [^^^] [ответить] | –1 +/– | это просто невозможно Код ядра безусловно подписан какой-то подписью, а вот вся... большой текст свёрнут, показать | |
|
6.234, Нанобот (ok), 14:19, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Код ядра безусловно подписан какой-то подписью, а вот вся остальная система - нет. И раз тебя там держали в принципе - значит наверняка
> в ней полно твоих собственных поделок, любая из которых может внезапно
> делать не только то, для чего якобы предназначена, причем через штатные
> конфиги писятого уровня вложенности, генерящиеся хрен знает какими скриптами.
да, 100% защиты системы оно не даёт, оно защищает только одну конкретную область - ядро ос. тем не менее, наличие защиты всё равно лучше отсутствия защиты (за исключением тех случаев, когда защита создаёт больше проблем, чем решает)
| |
|
7.237, пох. (?), 14:27, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> да, 100% защиты системы оно не даёт, оно защищает только одну конкретную область - ядро ос.
ну да, о том и речь - от другой совсем модели угроз, нежели полноправный админ с неограниченным временем, который там был описан.
Вот от мимопробегающего с флэшкой малоквалифицированного биоробота - да.
Ну так и увизгвимость вполне тому биороботу по силам (программу,разумеется, не он составит)
| |
|
|
5.199, Аноним (-), 06:29, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
> secureboot это просто - код ядра подписан цифровой подписью
чьей именно цифровой подписью?
| |
|
6.235, Нанобот (ok), 14:20, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> secureboot это просто - код ядра подписан цифровой подписью
> чьей именно цифровой подписью?
цифровой подписью разработчика операционной системы
| |
|
|
|
|
2.155, kmeaw (?), 15:53, 30/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
SecureBoot — это гибкая альтернатива перемычке read-only на загрузочном носителе. Реальный кейс использования — массовое обновление ОС рабочих станций.
От физического доступа не защищает почти ничего. Но испортить жизнь злоумышленнику, у которого есть только кратковременный физический доступ всё-таки можно.
Если загрузочный носитель не read-only, то туда можно записать буткит (например через 0day-уязвимость в ядре ОС, которая будет исправлена завтра). Если read-only, то неудобно обновлять. Если Secure Boot, то обе проблемы решены.
| |
|
1.131, RedEyedMan (ok), 14:35, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Атакующий столкнет меня с моего места и взломает граб чтобы добраться до UEFI. Уязвимость, но мне пофиг. Другие сами знают что им делать.
| |
1.134, Аноним (-), 14:51, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
GRUB, GRUB2, LILO - это всё эпоха древнего Биоса. Парни сейчас эпоха UEFI, давайте попрощаемся с этими загрузчиками!
| |
|
2.164, пох. (?), 16:58, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> GRUB, GRUB2, LILO - это всё эпоха древнего Биоса. Парни сейчас эпоха
> UEFI, давайте попрощаемся с этими загрузчиками!
угу, systemd-boot наше всь... стоп, но это не загрузчик! Он ничего без дурацкого shim загрузить-то не может.
А по факту как раз единственное с чем мы благополучно попрощались - это elilo.
Который как раз был загрузчик, и, в отличие от настоящего lilo, не был непонятным недоразумением, унаследованным от флоппидисковых систем, а действительно разумным решением для uefi.
В каком там году брошен - в 2012м, или раньше?
| |
|
1.139, vitalif (ok), 14:58, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Надоели мне эти "уязвимости". Физический доступ к девайсу должен означать полное овладевание всеми его внутренностями, несменяемые блобами прошивок и т.п.
Вреда от залочек куда больше чем пользы
| |
|
2.156, kmeaw (?), 15:55, 30/07/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Тогда нельзя будет реализовать защиту от подмены компьютера или его частей, когда он является куском какого-нибудь кластера.
Если "залочки" существуют, то можно заставить удалённую машину пройти аттестацию, и только после этого доверять ей работу с секретными данными.
Да, обычному пользователю всё это скорее всего не нужно.
Ну разве что secure boot может быть полезен, чтобы не бояться буткитов.
| |
|
3.192, AlexYeCu_not_logged (?), 00:15, 31/07/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
>Если "залочки" существуют, то можно заставить удалённую машину пройти аттестацию, и только после этого доверять ей работу с секретными данными.
Забавно, что именно те, кто на самом деле работает с секретными данными, таки предпочитают всё это новомодное и дурнопахнущее отключать.
Например:
>Исследователи из компании Positive Technologies выявили недокументированную опцию для отключения механизма Intel ME 11 (Management Engine)
>Компания Intel подтвердила, что опция была добавлена по запросу некоторых производителей оборудования, которые выполняют поставки по контракту с правительством США.
Новость с этого же сайта, если что, 2017 год.
| |
|
4.193, kmeaw (?), 01:56, 31/07/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Им проще обойтись физическими регламентами и по старинке поставить по парню с пулемётом у каждого входа. Так надёжнее. А превичную установку и настройку выполнять группами по несколько людей, чтобы шпион не смог единолично и без лишних глаз установить бэкдор.
А вот как сделать распределённое вычислительное облако на узлах, которые находятся в недоверенных руках — это уже гораздо более интересная задача. Тут без подобных технологий не обойтись.
| |
|
5.197, Аноним (21), 04:14, 31/07/2020 [^] [^^] [^^^] [ответить]
| +/– |
Облако в недоверенных руках будет тебе по пятницам 13-го выдавать 2+2=5. И не сразу заметишь. Что, забыли ошибки интела?
| |
5.280, vitalif (ok), 01:39, 03/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
> распределённое вычислительное облако на узлах, которые находятся в
> недоверенных руках — это уже гораздо более интересная задача. Тут без
> подобных технологий не обойтись.
Дурацкая задача, на руку только проприерастам
| |
|
|
|
|
1.154, Аноним (154), 15:50, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Буквально неделю назад думал себе на ноутбуке поменять GRUB 2 на Syslinux или LILO, ибо GRUB жирный и тормозной, хоть и использую его с MBR.
| |
|