Спасибо за спасибо :) Перенесли в «Я пиарюсь», ну да ладно, статья на грани.
Идентификаторы сессии и токены авторизации быстро портятся. Не думаю, что их возможно использовать после инвалидации, по крайней мере я сам этого сделать не могу. Только ID устройства затёр на всякий случай.
Я правильно понимаю что при этом сертификаты MS остаются, и позволяют запустить подписанные им программы? например shim (что как я понял из статьи та еще дыра).
Сертификатов MS не будет, если их не добавлять специально. В этой статье рассматривается их добавление в db, но делать это необязательно. Насколько это безопасно — сразу сказать не могу, надо подумать.
если это так то зачем мазать лаком винт, что бы уберечься от подмены файлов, винт же будет не читаемым без пароля?
Мазать не винчестер, а крепёж на ноутбуке или системном блоке, чтобы факт вскрытия был заметен. Прочитать данные невозможно, но при физическом доступе к материнской плате можно сбросить настройки Secure Boot или банально заложить подслушивающее устройство.
> имея физ доступ секуребут вообще ни разу не проблема, даже на элементарном уровне, без реверса и хакинга: покупаем такую же железку, перетыкаем винт с модифицированным загрузчиком и всё
Пару простых советов по защите от физического доступа я описал в статье. Сможете воспроизвести все пятна, царапины и наклейки на моём ноутбуке так, чтобы я не заметил подмены?
> Ещё раз: в чём польза простому юзеру от секуребута?
Пользователю, который не шифрует свои данные, пользы от него нет. Для себя я пользу нашёл — в качестве защиты от атаки Evil Maid. Если вы считаете, что в таком качестве он непригоден, объясните. Остальное офтопик.
Я бы не назвал какое-либо из решений единственно правильным, они скорее всего оба работают. Описанное мной кажется мне проще и надёжнее. Не факт, что таким образом закроются все дыры GRUB.
У вас GRUB работает в Secure Boot с шифрованием /boot? Если initramfs находится в зашифрованном разделе, а у GRUB заблокированы консоль и загрузка конфигурации из файла, в нём нельзя изменить передаваемые ядру параметры при загрузке, то дополнительно защищать initramfs не нужно. В противном случае его можно подменить.
4. Я об этом способе и говорю, пароль не нужен. У меня Windows передаёт команду на загрузку устройства UEFI, а в нём загрузка с USB отключена, поэтому загрузка не срабатывает. Не исключено, что раньше Windows делала это как-то по-другому, или моя прошивка не имеет такой уязвимости. Из вашей же статьи о нём и узнал.
5. Откуда можно стянуть UEFI Shell? Добавил бы ссылку в статью. В гугле находятся бинарники неизвестного происхождения. В вики Ubuntu вообще написано: «Если вы ставили Ubuntu на чистый диск, а в прошивке нет встроенного UEFI shell, то его можно доставить руками. Сам бинарный файл легко находится через любой поисковик».
Если говорить об уязвимостях в прошивке и железе, оставленных из-за некомпетентности разработчиков и производителей, то здесь спасения нет нигде. Ни прошивки с открытым исходным кодом, ни железо собственного производства от них не застрахованы. Можно только полагаться на репутацию конкретного производителя и следить за новостями об атаках на данное устройство.
Если вы имеете в виду намеренно оставленные закладки, то здесь нужно учесть область применения Secure Boot и взвесить важность вашей информации против стоимости атаки на неё. Эффективно используя Secure Boot, вы ограничиваете круг противников (adversary) до тех, кто способен использовать эти закладки, значительно увеличивая стоимость атаки. Как мне кажется, для ноутбука с личными данными такой защиты достаточно. Для информации, вызывающей острый интерес иностранных служб разведки, наверное, нет.
У представленных на рынке устройств есть свой предел по обеспечению информационной безопасности. Правильное использование Secure Boot позволяет максимально приблизиться к этому пределу для конкретного устройства. Если в устройстве реализован Secure Boot, то есть смысл его использовать.
Спасибо за спасибо :) Перенесли в «Я пиарюсь», ну да ладно, статья на грани.
Идентификаторы сессии и токены авторизации быстро портятся. Не думаю, что их возможно использовать после инвалидации, по крайней мере я сам этого сделать не могу. Только ID устройства затёр на всякий случай.
Сертификатов MS не будет, если их не добавлять специально. В этой статье рассматривается их добавление в db, но делать это необязательно. Насколько это безопасно — сразу сказать не могу, надо подумать.
Мазать не винчестер, а крепёж на ноутбуке или системном блоке, чтобы факт вскрытия был заметен. Прочитать данные невозможно, но при физическом доступе к материнской плате можно сбросить настройки Secure Boot или банально заложить подслушивающее устройство.
Пару простых советов по защите от физического доступа я описал в статье. Сможете воспроизвести все пятна, царапины и наклейки на моём ноутбуке так, чтобы я не заметил подмены?
> Ещё раз: в чём польза простому юзеру от секуребута?
Пользователю, который не шифрует свои данные, пользы от него нет. Для себя я пользу нашёл — в качестве защиты от атаки Evil Maid. Если вы считаете, что в таком качестве он непригоден, объясните. Остальное офтопик.
4. Я об этом способе и говорю, пароль не нужен. У меня Windows передаёт команду на загрузку устройства UEFI, а в нём загрузка с USB отключена, поэтому загрузка не срабатывает. Не исключено, что раньше Windows делала это как-то по-другому, или моя прошивка не имеет такой уязвимости. Из вашей же статьи о нём и узнал.
5. Откуда можно стянуть UEFI Shell? Добавил бы ссылку в статью. В гугле находятся бинарники неизвестного происхождения. В вики Ubuntu вообще написано: «Если вы ставили Ubuntu на чистый диск, а в прошивке нет встроенного UEFI shell, то его можно доставить руками. Сам бинарный файл легко находится через любой поисковик».
Если вы имеете в виду намеренно оставленные закладки, то здесь нужно учесть область применения Secure Boot и взвесить важность вашей информации против стоимости атаки на неё. Эффективно используя Secure Boot, вы ограничиваете круг противников (adversary) до тех, кто способен использовать эти закладки, значительно увеличивая стоимость атаки. Как мне кажется, для ноутбука с личными данными такой защиты достаточно. Для информации, вызывающей острый интерес иностранных служб разведки, наверное, нет.
У представленных на рынке устройств есть свой предел по обеспечению информационной безопасности. Правильное использование Secure Boot позволяет максимально приблизиться к этому пределу для конкретного устройства. Если в устройстве реализован Secure Boot, то есть смысл его использовать.