Pull to refresh
  • by relevance
  • by date
  • by rating

Intel научилась обновлять UEFI без перезагрузки

ITSumma corporate blog Open source *System Programming *Server Administration *CPU


Компания Intel разработала новый механизм обновления UEFI под названием Intel Seamless Update, который позволяет изменять конфигурацию UEFI на лету. Это очень удобно для администраторов серверов, которые могут накатывать новые прошивки прямо на работающую систему, обеспечивая гарантированный аптайм сервера согласно SLA.

Соответствующие патчи поступили в ядро Linux.
Читать дальше →
Total votes 26: ↑25 and ↓1 +24
Views 1.3K
Comments 0

BIOS прекратят использовать в течение трёх лет

Computer hardware UEFI *
Translation
По словам MSI, в скором времени BIOS, с незапамятных времён являющийся одной из важнейших компонент для ПК, может выйти из употребления. MSI утверждают, что сейчас они переносят фокус на дружественный к пользователю интерфейс с подержкой мыши (UEFI), и планируют запустить его в использование к концу этого года.


Читать дальше →
Total votes 171: ↑148 and ↓23 +125
Views 5.7K
Comments 197

Безопасная загрузка UEFI

Lumber room

Безопасная загрузка UEFI


Как сообщает Википедия UEFI — Unified Extensible Firmware Interface (EFI) — интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования, его основное предназначение: корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. EFI предназначен для замены BIOS — интерфейса, который традиционно используется всеми IBM PC-совместимыми персональными компьютерами

С большой вероятностью вскоре у многих появятся вопросы на эту тему:

Безопасный протокол загрузки UEFI является частью спецификации последнего релиза UEFI. Он позволяет установить один или несколько подписанных ключей в прошивку системы. После включения, “безопасной загрузки” UEFI предотвращает загрузку исполняемых файлов или драйверов, если они не подписаны одним из заранее установленных ключей. Другой набор ключей (Pkek) позволяет поддерживать связь между ОС и прошивкой. ОС вместе с набором ключей соответствия Pkek, которые организует связь с установлеными в прошивку ключами, может добавлять дополнительные ключи в так называемый “белый список” в прошивке. Естественно, помимо этого она может добавить ключи в “черный список”. Бинарники, которые отметились в черном списке ключей, естественно не будут срабатывать при загрузке.
Читать дальше →
Total votes 33: ↑32 and ↓1 +31
Views 9.4K
Comments 32

Продолжение истории с UEFI Secure Boot

Configuring Linux *
Microsoft решила ответить на возникшую вокруг проблемы шумиху

blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx

Естественно, ничего путного тут не написано, обычное MS style бла-бла-бла на тему того, как они заботятся о пользователях и единственное, что интересно, так это то, что там рассказано (по ошибке :) о ещё одном варианте загрузки, когда OS может следить за профилем своего использования.

Этот пост от Microsoft привёл к тому, что на него отреагировал Мэтью Гэррет из Red Hat, которая с августа общается с производителями оборудования на эту тему. В своём ответном посте

mjg59.dreamwidth.org/5850.html

он раскрывает кое-какие детали этого общения.
Читать дальше →
Total votes 124: ↑98 and ↓26 +72
Views 19K
Comments 346

Защитите ваше право устанавливать бесплатное программное обеспечение

*nix *
Translation
Нижеследующее является публичным заявлением, открытым для подписания. Для получения более подробной информации пожалуйста, прочитайте наше более развёрнутое описание проблемы по адресу fsf.org/campaigns/secure-boot-vs-restricted-boot.

Microsoft объявила, что если производители компьютеров хотят поставлять свою продукцию с логотипом совместимости с Windows 8, то они обязаны реализовать технологию под названием "Безопасная загрузка". Однако, в данный момент сомнительно, что эта технология будет соответствовать своему названию, т.к. скорее она заслужит имя "Ограниченная загрузка".

При правильной реализации «Безопасная загрузка» призвана защитить от вредоносных программ, путём предотвращения загрузки неподписанных двоичных данных на этапе включения компьютера. На практике это означает, что компьютеры, реализующие эту технологию, не будут загружать неподписанные операционные системы — включая те, которые были изначально подписаны, но затем изменены без повторного прохождения процедуры подписывания.

Эта технология будет соответствовать своему имени только если пользователь сможет самостоятельно подписывать программы, которые он хочет использовать, таким образом получив возможность запускать бесплатное программное обеспечение, написанное самостоятельно, или полученное от людей, которым он доверяет. Однако мы обеспокоены тем, что Microsoft и производители оборудования будут реализовывать эти ограничения загрузки так, чтобы не позволить запускать ничего, кроме Windows. В этом случае мы предпочитаем называть технологию "ограниченной загрузкой", так как такое требование накладывает катастрофические ограничение на пользователей, и в принципе не является средством обеспечения безопасности.

Пожалуйста, подпишите нижеследующее заявление, чтобы продемонстрировать производителям компьютеров, правительству и Microsoft, что вы заботитесь о своём праве выбора и готовы его отстаивать.
Читать дальше →
Total votes 174: ↑144 and ↓30 +114
Views 2.3K
Comments 171

Linux Foundation рекомендует сделать простое меню для отключения UEFI Secure Boot

Configuring Linux *UEFI *
Ведущие программисты Canonical и Red Hat составили документ с подробным анализом, как на Linux повлияет новый механизм защищённой загрузки UEFI Secure Boot, который будет в обязательном порядке ставиться на персональные компьютеры с Windows 8, то есть с первого квартала 2012 года UEFI Secure Boot станет стандартом практически для всех новых компьютеров в мире.

Документ содержит технические рекомендации для OEM-сборщиков, как реализовать поддержку UEFI, чтобы не блокировать установку на компьютер Linux и другого свободного ПО.
Читать дальше →
Total votes 79: ↑68 and ↓11 +57
Views 9.6K
Comments 161

Почему UEFI Secure boot это трудность для Linux

Configuring Linux *UEFI *
Translation
Недавняя публикация на Хабре об ограничениях UEFI вызвала широкое обсуждение, в продолжении темы, хочу поделиться переводом актуального поста из блога Matthew Garrett, одного из разработчиков RedHat.

Я писал о технических деталях поддержки Linux`ом спецификации UEFI Secure boot. Не смотря на то, что я прямо указал, что она игнорирует вопросы лицензирования и распространение ключей, тем не менее опираясь на неё люди утверждают, что поддержка Secure boot может быть добавлена в Linux с минимальными усилиями. В некотором смысле, они правы. Технические детали реализации достаточно просты. Но трудности заключены не в них.
Читать дальше →
Total votes 70: ↑57 and ↓13 +44
Views 28K
Comments 105

Как я перестал бояться и полюбил UEFI Security Boot

IT-companies UEFI *
Sandbox
Я хочу поделиться своими соображениями, связанными с тем, почему от запрета отключения Safe Boot и добавления новых ключей в Safe Boot на ARM девайсы выигрывают пользователи. Под ARM девайсами я буду подразумевать только планшеты потому, что установка Windows 8 на других ARM девайсах крайне сомнительна. Я не хочу и не буду писать про Safe Boot на PC потому, что считаю этот вопрос исчерпанным после того, как стало известно, что можно будет добавить свои ключи или, и вовсе, отключить его.
Читать дальше →
Total votes 43: ↑12 and ↓31 -19
Views 3K
Comments 31

Microsoft продавливает аналог Secure Boot на ARM-архитектуре

*nix *
Сегодня я получил письмо от Free Software Foundation, в котором рассказывается о продолжении наступления Microsoft, о котором уже рассказывали на Хабре.

Возможно, это звучит слегка драматизировано для кого-то, но этот факт, тем не менее, заслуживает внимания, т. к. речь идет о дальнейшем ущемлении прав пользователей компьютеров.
Читать дальше →
Total votes 66: ↑50 and ↓16 +34
Views 2K
Comments 126

NIST принимает стандарт для защиты BIOS

Group-IB corporate blog Information Security *
Национальный институт США по стандартам и технологиям (NIST) обратил внимание на безопасность системы BIOS, с целью защитить её от заражения вирусами, такими как Mebromi и Niwa!mem. Тема довольно специфическая: к настоящему времени существует несколько таких вредоносных программ, в методиках внедрения зловредов в BIOS разбираются считанные специалисты антивирусных компаний. Тем неожиданнее выглядит подобная инициатива со стороны государственной американской организации. Вероятно, эта проблема их сильно тревожит в свете угрозы тотального заражения BIOS на компьютерах, собранных в Китае.



Так или иначе, но NIST предложил новые правила безопасности для BIOS на серверах (черновик стандарта, pdf). Ранее они уже выпустили аналогичный стандарт для защиты BIOS на настольных компьютерах (pdf).

Новый документ представляет собой руководство для производителей серверного оборудования и серверных администраторов с описанием методик, которые помогут избежать попадания вредоносного кода в BIOS.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 10K
Comments 23

Уязвимость «физического присутствия» в UEFI

Information Security *

Новые стандарты UEFI предполагают, что физическое присутствие человека (оператора) позволит защититься от автоматизированных действий вредоносного ПО по модификации различного рода ключей (которыми проверяется валидность загружаемого ПО), заливки неправильных версий БИОСа и т.д.

Логика такая: разрешить эти действия (которые позволят загрузить что попало) только при физическом подтверждении с клавиатуры. Мол, ни один злобный вирус не сможет физически нажать кноку на клавиатуре для биоса.

Я сейчас даже не буду рассматривать вероятность взлома прошивок USB-устройств для отправки нужных комбинаций кнопок.

Я хочу поговорить о такой страшной вещи, как IPMI и iLO со встроенными KVM'ами. И о том, как легко обходится задача «физического присутствия» в современном серверном железе.
Читать дальше →
Total votes 50: ↑44 and ↓6 +38
Views 7.8K
Comments 52

Загрузка GNU/Linux без стороннего загрузчика

Configuring Linux *System administration **nix *UEFI *
Tutorial
В данной статье я приведу пример, как можно отказаться от использования стороннего загрузчика, будь то Grub или Lilo, если ваш компьютер поддерживает современный стандарт UEFI, пришедший на замену BIOS. Интересной особенностью будет то, что все работы проводим на уже установленной и рабочей системе.
По уровню сложности данная статья ориентирована на опытных пользователей Linux, т.к. некоторых моментов я касаюсь поверхностно, полагаясь на очевидность, чтобы не уходить от основной освещаемой темы.

Читать дальше →
Total votes 90: ↑85 and ↓5 +80
Views 61K
Comments 106

Как убить Lenovo G580 одним ударом

*nix *
Помните недавний баг EFI на Samsung 530U3C, который приводил к тому, что ноутбук больше не работал после единоразовой загрузки ubuntu?

Встречайте EFI на Lenovo G580!

Итак, в канун нового года и праздничных распродаж, Adiost купил Lenovo G580 с FreeDOS, снес его и установил Ubuntu. Через какое-то время захотел установить-посмотреть Windows 8. В ходе этого обнаружил, что не может зайти в настройки EFI нажатием кнопки F2: просто-напросто ничего не происходило и начинала грузиться ОС. Плюнув на это, установил Windows 8, и начал чинить.
Читать дальше →
Total votes 50: ↑46 and ↓4 +42
Views 102K
Comments 26

Подразделение Intel выпустило версию Android, оптимизированную под чипы Intel (c поддержкой UEFI)

Development for Android *


Команда разработчиков из Open Source Technology Center компании Intel представила предварительную версию Android, оптимизированную под соответствующие чипы Intel. Другими словами, появилась версия Android, которую можно запустить на десктопном ПК, ноутбуке или планшете, на которых вы обычно работаете с Windows. Кроме того, есть и инструмент, позволяющий запускать и Windows 8, и Android на одном и том же компьютере.

Читать дальше →
Total votes 42: ↑38 and ↓4 +34
Views 66K
Comments 30

Произошла утечка одного из UEFI-ключей компании AMI?

Information Security *
Cпециалист по информационной безопасности Adam Caudill опубликовал интересную запись в свой блог.



Согласно этой записи, его партнер Brandon Wilson наткнулся на тайваньский FTP-сервер одного из вендоров (по некоторым источникам вендором является компания Jetway). На данном FTP-сервере, среди различных файлов, были обнаружены в открытом доступе: внутренняя почтовая переписка, системные образы, фотографии, персональная информация, изображения печатных плат в высоком разрешении, приватные спецификации и прочее.
Читать дальше →
Total votes 60: ↑51 and ↓9 +42
Views 35K
Comments 29

Доступ к скрытым настройкам UEFI BIOS от Insyde

Assembler *Reverse engineering *
Здравствуй Хабр!

Одно из направлений моей компании — продажа технологических решений в области виртуализации. По долгу службы, приходится делать пилотные проекты или устраивать тестовые стенды. Недавно, компания Citrix выпустила новый продукт под название XenClient XT, который по сути является клиентским гипервизором первого уровня, то есть работает на чистом железе. Основной идеей клиентского гипервизора является создание виртуальных машин на собственном ноутбуке. Где и как это применимо — опустим.

Все современные процессоры Intel и AMD поддерживают технологию аппаратной виртулизации.
И так, в моем распоряжении был ноутбук с H77 чипсетом и Intel Core i7-3820QM процессором. Согласно спецификации от производителя, мой процессор поддерживал Intel Virtualization Technology (VT-x) и Intel Virtualization Technology for Directed I/O (VT-d) технологии. Если первая имеется почти на всех новых ноутбуках, то вторая технология встречается только на топовых моделях. Но она дает много преимуществ, как например прямой проброс GDU в виртуальную среду, соответственно клиентская машина получает полную поддержку 3D. Но давайте не будем углубляться в технологии, отличные от тематики данной статьи.

В моем биосе была возможность включения VT-x, но вот управление технологией VT-d не было предусмотрено изначально.
Читать дальше →
Total votes 109: ↑103 and ↓6 +97
Views 428K
Comments 82

Немного про UEFI и Secure Boot

Information Security *UEFI *

UEFI


UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.
Читать дальше →
Total votes 122: ↑113 and ↓9 +104
Views 788K
Comments 144

Устройство файла UEFI BIOS, часть первая: UEFI Capsule и Intel Flash Image

System Programming *UEFI *
Tutorial
Выпуск материнских плат на чипсетах Intel шестой серии (P67 и его братьях) принес на массовый рынок ПК новый вариант BIOS — UEFI. В этой статье мы поговорим об устройстве файлов UEFI Capsule и Intel Flash Image.
Структура EFI Firmware Volume и полезные в хозяйстве патчи будут описаны во второй части.
Читать первую часть
Total votes 75: ↑74 and ↓1 +73
Views 170K
Comments 16

Разблокировка AES-NI на Lenovo U310

System Programming *
Пост практически продолжение темы UEFI.

История покупки


Началась вся история с того для работы был приобретен ультрабук Lenovo U310 (с Windows 8). Выбирался ультрабук по таким параметрам как:
  • Тонкий
  • Долго держит заряд
  • Не сильно дорогой
  • Наличие аппаратного AES


Шифрование само по себе было важно из-за постоянной работы с конфиденциальными данными + исходные коды рабочих программ.
Поэтому всё это занимало целый раздел на HDD, который был зашифрован через TrueCrypt.

Так как объем данных был довольно большой, то программной реализации шифрования уже не хватало бы. Вернее хватало бы, но поиск по ним был бы довольно долгий + длительная компиляция.

Именно поэтому и хотелось взять ультрабук с поддержкой аппаратного шифрования AES.
Выбор пал на U310 с процессором Intel i5-3317u. Посмотрев описание процессора, точно удостоверился в том, что там присутствует аппаратный AES (реализованный через набор инструкций AES-NI).

Читать дальше →
Total votes 70: ↑69 and ↓1 +68
Views 39K
Comments 31

Устройство файла UEFI BIOS, часть полуторная: UEFI Platform Initialization

System Programming *UEFI *
Tutorial
В первой части этой статьи мы познакомились с форматом UEFI Capsule и Intel Flash Image. Осталось рассмотреть структуру и содержимое EFI Firmware Volume, но для понимания различий между модулями PEI и драйверами DXE начнем с процесса загрузки UEFI, а структуру EFI Firmware Volume отставим на вторую часть.
Читать полуторную часть
Total votes 39: ↑37 and ↓2 +35
Views 77K
Comments 11