Pull to refresh

Intel научилась обновлять UEFI без перезагрузки

ITSumma corporate blog Open source *System Programming *Server Administration *CPU


Компания Intel разработала новый механизм обновления UEFI под названием Intel Seamless Update, который позволяет изменять конфигурацию UEFI на лету. Это очень удобно для администраторов серверов, которые могут накатывать новые прошивки прямо на работающую систему, обеспечивая гарантированный аптайм сервера согласно SLA.

Соответствующие патчи поступили в ядро Linux.
Читать дальше →
Total votes 26: ↑25 and ↓1 +24
Views 2.5K
Comments 0

В штатную прошивку ПО UEFI сотен моделей ноутбуков Lenovo случайно попали заводские бэкдоры с именем SecureBackDoor

Information Security *Manufacture and development of electronics *Computer hardware Laptops IT-companies


По информации Bleeping Computer, в штатную прошивку ПО UEFI сотен моделей ноутбуков Lenovo попали заводские предустановки и драйвера под названием SecureBackDoor, которые вообще не должны были выйти за производственный периметр. Lenovo выпустила обновления прошивок для ноутбуков. Сейчас у пользователей на руках находятся миллионы ноутбуков, включая IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05, которые имеют штатные встроенные уязвимости.
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views 17K
Comments 8

Исследователи нашли серьёзные уязвимости в 70 моделях ноутбуков Lenovo

Information Security *Laptops

Более 70 моделей ноутбуков Lenovo подвержены серьёзным уязвимостям. Речь идёт об уязвимостях прошивки UEFI, связанных с ошибкой переполнения буфера.

Читать далее
Total votes 6: ↑4 and ↓2 +2
Views 3.6K
Comments 0

Специалисты «Лаборатории Касперского» нашли новый руткит для прошивки UEFI

Information Security *IT-companies

«Лаборатория Касперского» заявила об обнаружении нового руткит для прошивки UEFI. Он получил название CosmicStrand. Вредонос остаётся на заражённом компьютере даже после перезагрузки операционной системы (ОС) или ее переустановки. Данная особенность затрудняет обнаружение зловреда. Эксперты заявили пока только о Windows-системах, про Linux-системы и MacOS-системs ничего не сказано. 

Читать далее
Total votes 7: ↑7 and ↓0 +7
Views 3.2K
Comments 0

Обновление Windows KB5012170 вызывает сбои в работе BitLocker и проблемы с загрузкой

Development for Windows *Software

Пользователи Windows, установившие обновление безопасности KB5012170 для безопасной загрузки, столкнулись с различными проблемами, начиная от сбоя загрузки с запросами восстановления BitLocker и заканчивая проблемами с производительностью.

Читать далее
Total votes 3: ↑3 and ↓0 +3
Views 3.6K
Comments 2

Lenovo исправила уязвимости в BIOS сотни моделей ПК и ноутбуков

Information Security *Software Desktop PC's Laptops

Lenovo выпустила обновление для исправления нескольких серьёзных уязвимостей BIOS, затрагивающих сотни устройств различных моделей: Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem.

Читать далее
Total votes 3: ↑3 and ↓0 +3
Views 2.1K
Comments 3

Безопасная загрузка UEFI

Lumber room

Безопасная загрузка UEFI


Как сообщает Википедия UEFI — Unified Extensible Firmware Interface (EFI) — интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования, его основное предназначение: корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. EFI предназначен для замены BIOS — интерфейса, который традиционно используется всеми IBM PC-совместимыми персональными компьютерами

С большой вероятностью вскоре у многих появятся вопросы на эту тему:

Безопасный протокол загрузки UEFI является частью спецификации последнего релиза UEFI. Он позволяет установить один или несколько подписанных ключей в прошивку системы. После включения, “безопасной загрузки” UEFI предотвращает загрузку исполняемых файлов или драйверов, если они не подписаны одним из заранее установленных ключей. Другой набор ключей (Pkek) позволяет поддерживать связь между ОС и прошивкой. ОС вместе с набором ключей соответствия Pkek, которые организует связь с установлеными в прошивку ключами, может добавлять дополнительные ключи в так называемый “белый список” в прошивке. Естественно, помимо этого она может добавить ключи в “черный список”. Бинарники, которые отметились в черном списке ключей, естественно не будут срабатывать при загрузке.
Читать дальше →
Total votes 33: ↑32 and ↓1 +31
Views 9.8K
Comments 32

Продолжение истории с UEFI Secure Boot

Configuring Linux *
Microsoft решила ответить на возникшую вокруг проблемы шумиху

blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx

Естественно, ничего путного тут не написано, обычное MS style бла-бла-бла на тему того, как они заботятся о пользователях и единственное, что интересно, так это то, что там рассказано (по ошибке :) о ещё одном варианте загрузки, когда OS может следить за профилем своего использования.

Этот пост от Microsoft привёл к тому, что на него отреагировал Мэтью Гэррет из Red Hat, которая с августа общается с производителями оборудования на эту тему. В своём ответном посте

mjg59.dreamwidth.org/5850.html

он раскрывает кое-какие детали этого общения.
Читать дальше →
Total votes 124: ↑98 and ↓26 +72
Views 19K
Comments 346

Защитите ваше право устанавливать бесплатное программное обеспечение

*nix *
Translation
Нижеследующее является публичным заявлением, открытым для подписания. Для получения более подробной информации пожалуйста, прочитайте наше более развёрнутое описание проблемы по адресу fsf.org/campaigns/secure-boot-vs-restricted-boot.

Microsoft объявила, что если производители компьютеров хотят поставлять свою продукцию с логотипом совместимости с Windows 8, то они обязаны реализовать технологию под названием "Безопасная загрузка". Однако, в данный момент сомнительно, что эта технология будет соответствовать своему названию, т.к. скорее она заслужит имя "Ограниченная загрузка".

При правильной реализации «Безопасная загрузка» призвана защитить от вредоносных программ, путём предотвращения загрузки неподписанных двоичных данных на этапе включения компьютера. На практике это означает, что компьютеры, реализующие эту технологию, не будут загружать неподписанные операционные системы — включая те, которые были изначально подписаны, но затем изменены без повторного прохождения процедуры подписывания.

Эта технология будет соответствовать своему имени только если пользователь сможет самостоятельно подписывать программы, которые он хочет использовать, таким образом получив возможность запускать бесплатное программное обеспечение, написанное самостоятельно, или полученное от людей, которым он доверяет. Однако мы обеспокоены тем, что Microsoft и производители оборудования будут реализовывать эти ограничения загрузки так, чтобы не позволить запускать ничего, кроме Windows. В этом случае мы предпочитаем называть технологию "ограниченной загрузкой", так как такое требование накладывает катастрофические ограничение на пользователей, и в принципе не является средством обеспечения безопасности.

Пожалуйста, подпишите нижеследующее заявление, чтобы продемонстрировать производителям компьютеров, правительству и Microsoft, что вы заботитесь о своём праве выбора и готовы его отстаивать.
Читать дальше →
Total votes 174: ↑144 and ↓30 +114
Views 2.4K
Comments 171

Linux Foundation рекомендует сделать простое меню для отключения UEFI Secure Boot

Configuring Linux *UEFI *
Ведущие программисты Canonical и Red Hat составили документ с подробным анализом, как на Linux повлияет новый механизм защищённой загрузки UEFI Secure Boot, который будет в обязательном порядке ставиться на персональные компьютеры с Windows 8, то есть с первого квартала 2012 года UEFI Secure Boot станет стандартом практически для всех новых компьютеров в мире.

Документ содержит технические рекомендации для OEM-сборщиков, как реализовать поддержку UEFI, чтобы не блокировать установку на компьютер Linux и другого свободного ПО.
Читать дальше →
Total votes 79: ↑68 and ↓11 +57
Views 9.7K
Comments 161

Почему UEFI Secure boot это трудность для Linux

Configuring Linux *UEFI *
Translation
Недавняя публикация на Хабре об ограничениях UEFI вызвала широкое обсуждение, в продолжении темы, хочу поделиться переводом актуального поста из блога Matthew Garrett, одного из разработчиков RedHat.

Я писал о технических деталях поддержки Linux`ом спецификации UEFI Secure boot. Не смотря на то, что я прямо указал, что она игнорирует вопросы лицензирования и распространение ключей, тем не менее опираясь на неё люди утверждают, что поддержка Secure boot может быть добавлена в Linux с минимальными усилиями. В некотором смысле, они правы. Технические детали реализации достаточно просты. Но трудности заключены не в них.
Читать дальше →
Total votes 70: ↑57 and ↓13 +44
Views 29K
Comments 105

Как я перестал бояться и полюбил UEFI Security Boot

IT-companies UEFI *
Sandbox
Я хочу поделиться своими соображениями, связанными с тем, почему от запрета отключения Safe Boot и добавления новых ключей в Safe Boot на ARM девайсы выигрывают пользователи. Под ARM девайсами я буду подразумевать только планшеты потому, что установка Windows 8 на других ARM девайсах крайне сомнительна. Я не хочу и не буду писать про Safe Boot на PC потому, что считаю этот вопрос исчерпанным после того, как стало известно, что можно будет добавить свои ключи или, и вовсе, отключить его.
Читать дальше →
Total votes 43: ↑12 and ↓31 -19
Views 3K
Comments 31

Microsoft продавливает аналог Secure Boot на ARM-архитектуре

*nix *
Сегодня я получил письмо от Free Software Foundation, в котором рассказывается о продолжении наступления Microsoft, о котором уже рассказывали на Хабре.

Возможно, это звучит слегка драматизировано для кого-то, но этот факт, тем не менее, заслуживает внимания, т. к. речь идет о дальнейшем ущемлении прав пользователей компьютеров.
Читать дальше →
Total votes 66: ↑50 and ↓16 +34
Views 2.1K
Comments 126

NIST принимает стандарт для защиты BIOS

Group-IB corporate blog Information Security *
Национальный институт США по стандартам и технологиям (NIST) обратил внимание на безопасность системы BIOS, с целью защитить её от заражения вирусами, такими как Mebromi и Niwa!mem. Тема довольно специфическая: к настоящему времени существует несколько таких вредоносных программ, в методиках внедрения зловредов в BIOS разбираются считанные специалисты антивирусных компаний. Тем неожиданнее выглядит подобная инициатива со стороны государственной американской организации. Вероятно, эта проблема их сильно тревожит в свете угрозы тотального заражения BIOS на компьютерах, собранных в Китае.



Так или иначе, но NIST предложил новые правила безопасности для BIOS на серверах (черновик стандарта, pdf). Ранее они уже выпустили аналогичный стандарт для защиты BIOS на настольных компьютерах (pdf).

Новый документ представляет собой руководство для производителей серверного оборудования и серверных администраторов с описанием методик, которые помогут избежать попадания вредоносного кода в BIOS.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 10K
Comments 23

Уязвимость «физического присутствия» в UEFI

Information Security *

Новые стандарты UEFI предполагают, что физическое присутствие человека (оператора) позволит защититься от автоматизированных действий вредоносного ПО по модификации различного рода ключей (которыми проверяется валидность загружаемого ПО), заливки неправильных версий БИОСа и т.д.

Логика такая: разрешить эти действия (которые позволят загрузить что попало) только при физическом подтверждении с клавиатуры. Мол, ни один злобный вирус не сможет физически нажать кноку на клавиатуре для биоса.

Я сейчас даже не буду рассматривать вероятность взлома прошивок USB-устройств для отправки нужных комбинаций кнопок.

Я хочу поговорить о такой страшной вещи, как IPMI и iLO со встроенными KVM'ами. И о том, как легко обходится задача «физического присутствия» в современном серверном железе.
Читать дальше →
Total votes 50: ↑44 and ↓6 +38
Views 8K
Comments 52

Загрузка GNU/Linux без стороннего загрузчика

Configuring Linux *System administration **nix *UEFI *
Tutorial
В данной статье я приведу пример, как можно отказаться от использования стороннего загрузчика, будь то Grub или Lilo, если ваш компьютер поддерживает современный стандарт UEFI, пришедший на замену BIOS. Интересной особенностью будет то, что все работы проводим на уже установленной и рабочей системе.
По уровню сложности данная статья ориентирована на опытных пользователей Linux, т.к. некоторых моментов я касаюсь поверхностно, полагаясь на очевидность, чтобы не уходить от основной освещаемой темы.

Читать дальше →
Total votes 90: ↑85 and ↓5 +80
Views 63K
Comments 106

Как убить Lenovo G580 одним ударом

*nix *
Помните недавний баг EFI на Samsung 530U3C, который приводил к тому, что ноутбук больше не работал после единоразовой загрузки ubuntu?

Встречайте EFI на Lenovo G580!

Итак, в канун нового года и праздничных распродаж, Adiost купил Lenovo G580 с FreeDOS, снес его и установил Ubuntu. Через какое-то время захотел установить-посмотреть Windows 8. В ходе этого обнаружил, что не может зайти в настройки EFI нажатием кнопки F2: просто-напросто ничего не происходило и начинала грузиться ОС. Плюнув на это, установил Windows 8, и начал чинить.
Читать дальше →
Total votes 50: ↑46 and ↓4 +42
Views 103K
Comments 26

Подразделение Intel выпустило версию Android, оптимизированную под чипы Intel (c поддержкой UEFI)

Development for Android *


Команда разработчиков из Open Source Technology Center компании Intel представила предварительную версию Android, оптимизированную под соответствующие чипы Intel. Другими словами, появилась версия Android, которую можно запустить на десктопном ПК, ноутбуке или планшете, на которых вы обычно работаете с Windows. Кроме того, есть и инструмент, позволяющий запускать и Windows 8, и Android на одном и том же компьютере.

Читать дальше →
Total votes 42: ↑38 and ↓4 +34
Views 67K
Comments 30

Произошла утечка одного из UEFI-ключей компании AMI?

Information Security *
Cпециалист по информационной безопасности Adam Caudill опубликовал интересную запись в свой блог.



Согласно этой записи, его партнер Brandon Wilson наткнулся на тайваньский FTP-сервер одного из вендоров (по некоторым источникам вендором является компания Jetway). На данном FTP-сервере, среди различных файлов, были обнаружены в открытом доступе: внутренняя почтовая переписка, системные образы, фотографии, персональная информация, изображения печатных плат в высоком разрешении, приватные спецификации и прочее.
Читать дальше →
Total votes 60: ↑51 and ↓9 +42
Views 35K
Comments 29

Доступ к скрытым настройкам UEFI BIOS от Insyde

Assembler *Reverse engineering *
Здравствуй Хабр!

Одно из направлений моей компании — продажа технологических решений в области виртуализации. По долгу службы, приходится делать пилотные проекты или устраивать тестовые стенды. Недавно, компания Citrix выпустила новый продукт под название XenClient XT, который по сути является клиентским гипервизором первого уровня, то есть работает на чистом железе. Основной идеей клиентского гипервизора является создание виртуальных машин на собственном ноутбуке. Где и как это применимо — опустим.

Все современные процессоры Intel и AMD поддерживают технологию аппаратной виртулизации.
И так, в моем распоряжении был ноутбук с H77 чипсетом и Intel Core i7-3820QM процессором. Согласно спецификации от производителя, мой процессор поддерживал Intel Virtualization Technology (VT-x) и Intel Virtualization Technology for Directed I/O (VT-d) технологии. Если первая имеется почти на всех новых ноутбуках, то вторая технология встречается только на топовых моделях. Но она дает много преимуществ, как например прямой проброс GDU в виртуальную среду, соответственно клиентская машина получает полную поддержку 3D. Но давайте не будем углубляться в технологии, отличные от тематики данной статьи.

В моем биосе была возможность включения VT-x, но вот управление технологией VT-d не было предусмотрено изначально.
Читать дальше →
Total votes 109: ↑103 and ↓6 +97
Views 454K
Comments 82