Как стать автором
Обновить

Windows 8 UEFI 2.3.1 Secure Boot — изучайте спецификации покупаемого железа

Настройка Linux *
Microsoft и Intel затеяли пакость: www.h-online.com/security/news/item/Windows-8-to-include-secure-boot-using-UEFI-2-3-1-1335246.html

Если кратко, то Secure Boot позволяет зашивать в железо ключи для проверки сигнатур загрузочного кода, и отказываться на аппаратном уровне от выполнения тех загрузчиков, которые не проходят проверку подписи. Основное предназначение технологии, как заявляется — борьба с rootkit-ами (вот зачем Руссинович зомбировал всех своим Zero Day :) а то даже и не понятно было, нафига мужик позорился). И оно, конечно, при условии P != NP, бороться с ними позволит…

Но точно так же позволит бороться и с загрузчиками альтернативных OS, авторам которых вряд ли выдадут закрытые ключи для подписи своего кода. В том числе, и по причине того, что некоторые OSF-лицензии предписывают подобные ключи публиковать, что, естественно, всю затею сводит на ноль. Вот взгляд на проблему с позиций Linux-сообщества: lwn.net/Articles/447381

Поэтому после выхода Windows 8 внимательно следите за спецификацией покупаемого железа, дабы не напороться на technology-lock.

P.S. Похоже фанаты почти полностью technology-locked продукции (телефонов, планшетов, игровых приставок и прочего новомодного оборудования от известных производителей) создали очень и очень печальный прецедент :(
Всего голосов 111: ↑92 и ↓19 +73
Просмотры 19K
Комментарии 180

Продолжение истории с UEFI Secure Boot

Настройка Linux *
Microsoft решила ответить на возникшую вокруг проблемы шумиху

blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx

Естественно, ничего путного тут не написано, обычное MS style бла-бла-бла на тему того, как они заботятся о пользователях и единственное, что интересно, так это то, что там рассказано (по ошибке :) о ещё одном варианте загрузки, когда OS может следить за профилем своего использования.

Этот пост от Microsoft привёл к тому, что на него отреагировал Мэтью Гэррет из Red Hat, которая с августа общается с производителями оборудования на эту тему. В своём ответном посте

mjg59.dreamwidth.org/5850.html

он раскрывает кое-какие детали этого общения.
Читать дальше →
Всего голосов 124: ↑98 и ↓26 +72
Просмотры 19K
Комментарии 346

Защитите ваше право устанавливать бесплатное программное обеспечение

*nix *
Перевод
Нижеследующее является публичным заявлением, открытым для подписания. Для получения более подробной информации пожалуйста, прочитайте наше более развёрнутое описание проблемы по адресу fsf.org/campaigns/secure-boot-vs-restricted-boot.

Microsoft объявила, что если производители компьютеров хотят поставлять свою продукцию с логотипом совместимости с Windows 8, то они обязаны реализовать технологию под названием "Безопасная загрузка". Однако, в данный момент сомнительно, что эта технология будет соответствовать своему названию, т.к. скорее она заслужит имя "Ограниченная загрузка".

При правильной реализации «Безопасная загрузка» призвана защитить от вредоносных программ, путём предотвращения загрузки неподписанных двоичных данных на этапе включения компьютера. На практике это означает, что компьютеры, реализующие эту технологию, не будут загружать неподписанные операционные системы — включая те, которые были изначально подписаны, но затем изменены без повторного прохождения процедуры подписывания.

Эта технология будет соответствовать своему имени только если пользователь сможет самостоятельно подписывать программы, которые он хочет использовать, таким образом получив возможность запускать бесплатное программное обеспечение, написанное самостоятельно, или полученное от людей, которым он доверяет. Однако мы обеспокоены тем, что Microsoft и производители оборудования будут реализовывать эти ограничения загрузки так, чтобы не позволить запускать ничего, кроме Windows. В этом случае мы предпочитаем называть технологию "ограниченной загрузкой", так как такое требование накладывает катастрофические ограничение на пользователей, и в принципе не является средством обеспечения безопасности.

Пожалуйста, подпишите нижеследующее заявление, чтобы продемонстрировать производителям компьютеров, правительству и Microsoft, что вы заботитесь о своём праве выбора и готовы его отстаивать.
Читать дальше →
Всего голосов 174: ↑144 и ↓30 +114
Просмотры 2.4K
Комментарии 171

Linux Foundation рекомендует сделать простое меню для отключения UEFI Secure Boot

Настройка Linux *UEFI *
Ведущие программисты Canonical и Red Hat составили документ с подробным анализом, как на Linux повлияет новый механизм защищённой загрузки UEFI Secure Boot, который будет в обязательном порядке ставиться на персональные компьютеры с Windows 8, то есть с первого квартала 2012 года UEFI Secure Boot станет стандартом практически для всех новых компьютеров в мире.

Документ содержит технические рекомендации для OEM-сборщиков, как реализовать поддержку UEFI, чтобы не блокировать установку на компьютер Linux и другого свободного ПО.
Читать дальше →
Всего голосов 79: ↑68 и ↓11 +57
Просмотры 9.7K
Комментарии 161

Почему UEFI Secure boot это трудность для Linux

Настройка Linux *UEFI *
Перевод
Недавняя публикация на Хабре об ограничениях UEFI вызвала широкое обсуждение, в продолжении темы, хочу поделиться переводом актуального поста из блога Matthew Garrett, одного из разработчиков RedHat.

Я писал о технических деталях поддержки Linux`ом спецификации UEFI Secure boot. Не смотря на то, что я прямо указал, что она игнорирует вопросы лицензирования и распространение ключей, тем не менее опираясь на неё люди утверждают, что поддержка Secure boot может быть добавлена в Linux с минимальными усилиями. В некотором смысле, они правы. Технические детали реализации достаточно просты. Но трудности заключены не в них.
Читать дальше →
Всего голосов 70: ↑57 и ↓13 +44
Просмотры 29K
Комментарии 105

Microsoft продавливает аналог Secure Boot на ARM-архитектуре

*nix *
Сегодня я получил письмо от Free Software Foundation, в котором рассказывается о продолжении наступления Microsoft, о котором уже рассказывали на Хабре.

Возможно, это звучит слегка драматизировано для кого-то, но этот факт, тем не менее, заслуживает внимания, т. к. речь идет о дальнейшем ущемлении прав пользователей компьютеров.
Читать дальше →
Всего голосов 66: ↑50 и ↓16 +34
Просмотры 2.1K
Комментарии 126

Конкурс комиксов против ограниченной загрузки: Защитим свободу пользователей на планшетах и смартфонах

Блог компании Free Software Foundation
Перевод
Займитесь увлекательным творчеством, помогая нам информировать общество и воздействовать на “Майкрософт” и производителей компьютеров — присоединяйтесь к конкурсу комиксов против “ограниченной загрузки”!

В декабре “Майкрософт”, очевидно, уступила давлению общественности, молча добавив в требования сертификации на совместимость с Windows 8 условие, что у пользователя настольного компьютера должна быть возможность контролировать (и отключать) функцию “безопасной загрузки” на любом компьютере c Windows 8, который не основан на архитектуре ARM. С точки зрения пользователей свободных программ это победа, поскольку это позволит человеку устанавливать GNU/Linux или другую свободную операционную систему вместо Windows 8.

Но праздновать победу рано, потому что вместе с тем “Майкрософт” добавила вероломное требование к производителям компьютеров на базе ARM — таких, как планшеты, нетбуки и смартфоны: от них требуется, чтобы их устройства были оснащены функцией ограниченной загрузки. Такие компьютеры спроектированы так, чтобы пользователь мог работать только с Windows 8; они предотвращают всякую возможность установки на них свободной операционной системы пользователем. Так как смартфоны и планшеты являются одними из наиболее широко применяемых вычислительных устройств, то для нас жизненно важно донести до общественности простое и ясное предупреждение об этой угрозе.
Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Просмотры 1.7K
Комментарии 0

Уязвимость «физического присутствия» в UEFI

Информационная безопасность *

Новые стандарты UEFI предполагают, что физическое присутствие человека (оператора) позволит защититься от автоматизированных действий вредоносного ПО по модификации различного рода ключей (которыми проверяется валидность загружаемого ПО), заливки неправильных версий БИОСа и т.д.

Логика такая: разрешить эти действия (которые позволят загрузить что попало) только при физическом подтверждении с клавиатуры. Мол, ни один злобный вирус не сможет физически нажать кноку на клавиатуре для биоса.

Я сейчас даже не буду рассматривать вероятность взлома прошивок USB-устройств для отправки нужных комбинаций кнопок.

Я хочу поговорить о такой страшной вещи, как IPMI и iLO со встроенными KVM'ами. И о том, как легко обходится задача «физического присутствия» в современном серверном железе.
Читать дальше →
Всего голосов 50: ↑44 и ↓6 +38
Просмотры 7.9K
Комментарии 52

Немного про UEFI и Secure Boot

Информационная безопасность *UEFI *

UEFI


UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.
Читать дальше →
Всего голосов 122: ↑113 и ↓9 +104
Просмотры 808K
Комментарии 144

Золотой ключик — неустранимая возможность полного обхода Secure Boot на большинстве Windows-устройств

Информационная безопасность *Криптография *Разработка под Windows *


Исследователями безопасности MY123 и Slipstream был найдена уязвимость в реализации механизма Secure Boot многих устройств, позволяющая полностью обойти требование наличия надлежащим образом подписанного исполняемого кода для запуска на этих устройствах. Это, в частности, означает, что владельцы планшетов с Windows RT вновь получат возможность устанавливать альтернативную операционную систему. Но так же это означает, что и головной боли у системных администраторов прибавится, ведь уязвимость открывает новые возможности для установки руткитов.


Энтузиасты разместили подробную информацию на специальной страничке, оформленной в стиле демо-сцены.

Читать дальше →
Всего голосов 52: ↑46 и ↓6 +40
Просмотры 42K
Комментарии 41

Используем Secure Boot в Linux на всю катушку

Настройка Linux *UEFI *
Из песочницы


Технология Secure Boot нацелена на предотвращение исполнения недоверенного кода при загрузке операционной системы, то есть защиту от буткитов и атак типа Evil Maid. Устройства с Secure Boot содержат в энергонезависимой памяти базу данных открытых ключей, которыми проверяются подписи загружаемых UEFI-приложений вроде загрузчиков ОС и драйверов. Приложения, подписанные доверенным ключом и с правильной контрольной суммой, допускаются к загрузке, остальные блокируются.


Более подробно о Secure Boot можно узнать из цикла статей от CodeRush.



Чтобы Secure Boot обеспечивал безопасность, подписываемые приложения должны соблюдать некоторый «кодекс чести»: не иметь в себе лазеек для неограниченного доступа к системе и параметрам Secure Boot, а также требовать того же от загружаемых ими приложений. Если подписанное приложение предоставляет возможность недобросовестного использования напрямую или путём загрузки других приложений, оно становится угрозой безопасности всех пользователей, доверяющих этому приложению. Такую угрозу представляют загрузчик shim, подписываемый Microsoft, и загружаемый им GRUB.


Чтобы от этого защититься, мы установим Ubuntu с шифрованием всего диска на базе LUKS и LVM, защитим initramfs от изменений, объединив его с ядром в одно UEFI-приложение, и подпишем его собственными ключами.

Читать дальше →
Всего голосов 71: ↑71 и ↓0 +71
Просмотры 86K
Комментарии 28

Microsoft удалила из Windows RT встроенный бэкдор, который позволяет обойти Secure Boot и установить Linux

Софт Планшеты

Бэкдор также присутствует в Windows 8.1, Windows Server 2012, Windows 10 и Windows Server Core




С последним Patch Tuesday 12 июля 2016 года компания Microsoft устранила dev-бэкдор в Windows RT — в версии операционной системы Windows 8.x, портированной на устройства с 32-битными ARMv7. С его помощью разработчики и хакеры могли устанавливать на планшеты операционные системы, не одобренные Microsoft. Например, Android или GNU/Linux.

Бэкдор был внедрён программистами Microsoft на этапе разработки ОС, но после установки свежего обновления планшеты будут окончательно привязаны к Windows RT на аппаратном уровне.
Читать дальше →
Всего голосов 21: ↑18 и ↓3 +15
Просмотры 36K
Комментарии 131

Рекомендуемое обновление KB3133977 выводит из строя некоторые компьютеры Windows 7 x64

Компьютерное железо Настольные компьютеры


Всем известно, какие усилия предпринимает Microsoft, чтобы перевести пользовательскую базу на новую операционную систему Windows 10. Но то, что она сделала сейчас, абсолютно необъяснимо.

Если вкратце: Microsoft внесла небольшое, но совершенно странное изменение в Windows Update на Windows 7, которое выводит из строя компьютеры с материнскими платами Asus. Затем компания Microsoft подтвердила, что с этим апдейтом компьютеры действительно не загружаются, и рекомендовала обновиться на Windows 10.
Читать дальше →
Всего голосов 38: ↑27 и ↓11 +16
Просмотры 59K
Комментарии 98

Security Week 32: уязвимость в GRUB2

Блог компании «Лаборатория Касперского» Информационная безопасность *
29 июля компания Eclypsium опубликовала исследование новой уязвимости в загрузчике Grub2, массово используемом в системах на базе Linux — от ноутбуков и IoT-устройств до серверов. Суть уязвимости довольно простая: ошибки при обработке текстового конфигурационного файла grub.cfg приводят к переполнению буфера и открывают возможность выполнения произвольного кода. Последствия тоже понятные: взлом системы на ранней стадии загрузки обеспечивает полный контроль над ней, затрудняет обнаружение проблемы. Уязвимости был присвоен идентификатор CVE-2020-10713. Это не единственная уязвимость, закрытая в Grub2 за последнее время: после уведомления мейнтейнеров популярных дистрибутивов в коде загрузчика было исправлено еще как минимум 7 похожих проблем с рейтингом опасности по CVSS от 5,7 до 6,4. Оригинальная уязвимость по тому же методу оценки получила 8,2 балла.

Для эксплуатации уязвимости атакующему требуется получить высокий уровень доступа к системе. Настолько высокий, что в большинстве сценариев дополнительно взламывать Grub2 вроде бы и не обязательно. Варианты, когда это действительно приносит пользу злоумышленнику, еще предстоит исследовать. Основная проблема данной уязвимости заключается в сложных взаимоотношениях между Grub2 и UEFI Secure Boot — универсальным инструментом инициализации железа, помимо прочего гарантирующим, что на следующих этапах будет запущен только проверенный код с цифровой подписью. Из-за особенностей лицензии, под которой распространяется Grub2, между UEFI и Grub2 «вставлен» посредник, известный как shim — небольшой загрузчик, проверяющий версию Grub2. Перевыпуск этих самых shim, а заодно обновление UEFI огромного числа систем, блокирующее старые shim, — это, если выражаться простыми словами, Гигантская Головная Боль всей индустрии.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 3.3K
Комментарии 0

Безопасность встраиваемых систем Linux

Блог компании VDSina.ru Информационная безопасность **nix *Компьютерное железо Интернет вещей
Embedded Linux security

Весь наш мир построен на противоположностях. Если вы создаете свое устройство и продаете его, то всегда найдется тот, кто захочет его взломать. Цели у злоумышленника буду самыми разными, от попыток сделать клон устройства (привет Китаю) до шантажа конечных потребителей, что весьма ухудшит вашу репутацию с точки зрения изготовления надежных устройств. И чем популярнее система на основе которой построено устройство, тем интереснее она злоумышленнику. В последнее время активно развивается сегмент одноплатных компьютеров, таких как Raspberry Pi, и множества других. Linux системы по распространенности использования во встраиваемых систем, вышли на первые места. Большая функциональность устройств, например наличие разных беспроводных интерфейсов коммуникаций, в совокупности с большими возможностями ОС Linux, привела к серьезной необходимости организации защиты устройства. Некоторые думают, что достаточно отключить учетную запись root и установить надежный пароль, но на самом деле это только малая часть того, что следует сделать. Какие технологии и концепции используются для снижения рисков и реализации более безопасного устройства работающего на Linux узнаете под катом.
Читать дальше →
Всего голосов 42: ↑41 и ↓1 +40
Просмотры 11K
Комментарии 19