1.1, Аноним (1), 12:51, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +19 +/– |
> производители не обратили внимание на предупреждение
ну один не обратил внимание, ну два, но восемь сразу?
| |
|
|
3.164, Аноним (164), 13:43, 27/07/2024 [^] [^^] [^^^] [ответить]
| +8 +/– |
Они хорошие и этот ключ оставили чтобы вы свой core.img от GRUB подписали.
| |
|
4.233, Аноним (-), 16:06, 28/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Они хорошие и этот ключ оставили чтобы вы свой core.img от GRUB подписали.
Да, и AWARD_SW вон те тоже сделали чтобы мне удобнее было в чужой BIOS заходить и менять столь вредным админам их пароль на BIOS. И ведь хрен поспоришь - удобно же!
| |
|
5.253, Аноним (253), 17:58, 29/07/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Upd Обновленно Да, и AWARD_SW вон те тоже сделали чтобы мне удобнее был... большой текст свёрнут, показать | |
|
|
|
2.14, iCat (ok), 13:16, 26/07/2024 [^] [^^] [^^^] [ответить]
| +6 +/– |
>> производители не обратили внимание на предупреждение
>ну один не обратил внимание, ну два, но восемь сразу?
А что тут такого?
Это же всё - солидные коммерческие предприятия.
А у нынешних коммерсантов девиз: "Ерак, ерак, и - в продакшен!"
| |
|
3.56, Аноним (56), 16:12, 26/07/2024 [^] [^^] [^^^] [ответить]
| –12 +/– |
Этот "девиз" - у всех кто сейчас что-то полезное делает. Времена "проэктирования" где 5 лет могли переливать из пустого в порожнее прошли.
| |
|
4.99, нах. (?), 19:00, 26/07/2024 [^] [^^] [^^^] [ответить]
| +9 +/– |
поэтому нате вам закрытый ключ от всего - на шитхаб, с паролем 1234 (и тот в соседнем файлике записан)
спринт же ж не может ждать.
Время тяпляперов.
| |
|
5.242, Аноним (253), 09:27, 29/07/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
А, в добавок какой резон заморачиваться когда пароли всёравно - у другого (MS подписанта)...
Более, когда на продажу же - заранее даже не пойми кому(вкл.своих скрыто врагов разнообразных, начиная с народа, любого), да и конкурентам, в т.ч.и начиная с MSже.
Ну и линуксы и прочее никто не отменял же, их может и мало, %-но у пользователей, зато вони так много что, зачем им это.
| |
5.264, tim (??), 13:52, 03/08/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ой, да ладно, как будто раздолбаи только от смузи заводятся. Если вспомнить, то капитаны волчьих стай паролем в энигме матерное слово ставили, чем бритишам облегчили расшифровку на пару порядков
| |
|
4.110, penetrator (?), 20:06, 26/07/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
те кто 5 лет гнали такой порожняк, сейчас гонят таймтумаркет, т.е. для твоего контингента ничего изменилось, упорно делаете вид, что работаете, а пипл не владеющий профильными знаниями хавает это все (не все конечно)
есть производители, кто всегда делал по-другому, хотя конечно конкурировать с девляперами и прочим "ширпотребом" сложнее, потому что пользователь сам же их поощряеет
| |
4.193, YetAnotherOnanym (ok), 19:17, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Когда загремишь в больничку и протестируешь на себе сделанную сейчас полезную продукцию - отпишись о впечатлениях. Если сможешь.
| |
|
5.237, Аноним (-), 00:06, 29/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Когда загремишь в больничку и протестируешь на себе сделанную сейчас полезную продукцию
> - отпишись о впечатлениях. Если сможешь.
Намного лучше попасть в больничку где вот те бинт, вот те зеленка - а больше мы вообще нихрена не разработали. Какие тебе еще нафиг томографы?!
| |
|
6.260, нах. (?), 09:51, 01/08/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Когда загремишь в больничку и протестируешь на себе сделанную сейчас полезную продукцию
>> - отпишись о впечатлениях. Если сможешь.
> Намного лучше попасть в больничку где вот те бинт, вот те зеленка
> - а больше мы вообще нихрена не разработали. Какие тебе еще
> нафиг томографы?!
возможно с твоим насморком - это было бы сильно лучше, чем тот японский томограф, который добавил бы к нему лучевую болезнь в тяжелой форме только потому, что доктор захотел посмотреть, что у тебя в легких точно чисто.
И история с очень полезной и эффективной не имеющей побочек вакцинкой от того же насморка тоже ничему, я смотрю, не научила.
| |
|
|
|
3.160, Бывалый Смузихлёб (ok), 12:40, 27/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Многие из производителей ноутов являются, по сути, брендами, заказывающими железо вплоть до полной разработки и изготовления плат на стороне. Обычно это одна из нескольких ОЕМ контор в ЮВА. Те, кто разрабатывал и делал лично( тот же самсунг ) в списках, по случайному совпадению, не оказался
| |
|
4.203, Электрон (?), 21:40, 27/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Для этих уже и аббревиатура своя есть: ODM. Суть: после них наклейку нанести и продать с наценкой. Часто с "тех. поддержкой" и сурьёзным маркетингом.
| |
|
|
2.39, Аноним (-), 14:51, 26/07/2024 [^] [^^] [^^^] [ответить]
| +9 +/– |
>> производители не обратили внимание на предупреждение
> ну один не обратил внимание, ну два, но восемь сразу?
А ты их BIOS'ы вообще видел? Там такая продукция раджей что они работают по принципу "как-то сбилдилось, вроде не очень глючит, идем продавать!"
Де факто вон то - жесткая индусятина. В хучшем ее виде. Таком что даже DLink на этом фоне может показаться не такой уж плохой. Достаточно посмотреть что например Linux пищет про таблицы ACPI при загрузке. Там баг на баге и багом погоняет. И если кто думал что это только в ACPI так - ага, щас. Индусский кот - так уж по всей площади.
| |
|
3.243, Аноним (253), 09:46, 29/07/2024 [^] [^^] [^^^] [ответить] | +/– | Это скорей всего не баг и - а, сознательная вредоносность Мин вредоносный мар... большой текст свёрнут, показать | |
|
4.250, Аноним (-), 15:30, 29/07/2024 [^] [^^] [^^^] [ответить] | +/– | Нагамнякать таблицу ACPI - ну даже не знаю А что оно так то дает Совместимость... большой текст свёрнут, показать | |
|
5.251, Аноним (253), 17:38, 29/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Считаю я досточно привёл аргументов, в отличие ваших "да ну..." в качестве "аргументов".
Которые к тому же разбиваются о ещё один факт - в их более ранних BIOS - всё работало, поломки - сознательные.
Аппаратных изменений, чтобы на них сваливать, так мало что, как ук. - сами игроки правят, беря куски драйверов от древних(10+ лет) версий карт.
Тестировать производителю, даже любой самой задрыпанной компании но, с много-сот миллионным оборотом, - не то что не сложно а, обязательно делается ибо иначе сразу сверхмассовые возвраты, и просто копейки для их бюджета.
Незаметить незапуск даже всех VESA DOS игр, не говоря про альтернативных отн-но MS/Mac ОСей, можно конечно, если не желать это замечать. Т.б.уже на протяжении почти десятилетия...
| |
|
6.257, Аноним (-), 22:42, 29/07/2024 [^] [^^] [^^^] [ответить] | +/– | Если учесть что BIOS у сабжей стал UEFI так то - и какой-то compat с BIOS работа... большой текст свёрнут, показать | |
|
|
|
|
2.112, Хрю (?), 20:16, 26/07/2024 [^] [^^] [^^^] [ответить]
| +16 +/– |
Да никому этот UEFI Secure Boot не usralsa, вот и всё. Чтоб действительно оно как-то секурно работало, там надо проделать тонну вообще не очевидных действий. И не единожды - технология совершенно не жизне способна - маркетинговое гонево не более.
| |
2.209, Аноним (209), 22:03, 27/07/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Думаете, этот "secure boot" хоть сколько-нибудь нужен производителям материнских плат?
Думаете, этот самы "secure boot" зачем-то нужен пользователям этих материнских плат?
Нет, вся эта хрень нужна только копирастам.
Поэтому, разумеется, производитель материнской платы делает строгий минимум, необходимый, чтобы его материнка была помечена как "совместимая" и "поддерживающая" эту хрень.
Соответственно, отсюда - минимальный объем тестирования.
А криптография - это всегда сложно и дорого. Поэтому - если на неё можно забить, на неё - забьют.
| |
|
|
|
3.26, Аноним (26), 13:46, 26/07/2024 [^] [^^] [^^^] [ответить]
| +6 +/– |
Ах, господа, первая сущность равно как и вторая мне одинаково постылы и столь решительно безрадостны, что скорее...
| |
|
|
3.40, Аноним (-), 14:53, 26/07/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
> AMI BIOS
Давние тралициию AMI_SW же. Ну, это их ответ AWARD_SW такой был :).
Так то удобно. Если с правильной стороны монитора, конечно. Я как-то так по приколу заметил что админы пароль поставили. Ну по приколу - вырубил кеш у проца да сменил пароль, чтобы им не скучно было.
| |
|
|
1.5, Аноним (5), 12:54, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Театр безопасности. Реальная защита - зашифрованный корень и проверка с livecd хешсумм grub и boot при каждой загрузке.
| |
|
|
3.19, nox. (?), 13:33, 26/07/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Придумала Intel. А попыталась залочить на себя Microsoft. В последнем случае, как и все ее инициативы, один вред, а пользы нуль.
| |
|
2.35, onanim (?), 14:26, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
это не реальная защита, потому что Secure Boot происходит до проверки хэшсумм grub и boot
| |
|
3.43, Аноним (5), 15:00, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Перечитайте ещё раз моё сообщение. Вставляем флешку с livecd, проверяем хешсуммы. Если верные - вынимаем флешку, загружаемся в установленнуо ос. Всё, загрузка верифицирована. А в самой системе защита обеспечивается прямыми руками (не устанавливать из васянских сборок) и apparmor с selinux.
| |
|
4.86, _ (??), 18:22, 26/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Думаешь тебе в Сиэтл (или где там вы хоститесь?) командировки светят а?, вставляльщик лайвсидей? :)
Так нет же - образ того лавсидя ваши девопсы точно так же на гитхаб положат :) Чтоб по сети монтировать и чекать :)
Нонешнее оЙтЕ - бессмысленное и беспощадное, да :))))
| |
|
5.162, Аноним (162), 13:36, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Думаешь, твои выдуманные проекции на других что-то значат в реальности?
| |
|
4.205, Электрон (?), 21:48, 27/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Перечитал еще раз ваше сообщение и понял, что вы не читали Reflections on Trusting Trust Кена Томпсона.
Root of Trust идущая от железа - это именно научный подход к устранению этой проблемы (чтобы не придирались: применительно к безопасной загрузке). Простыми словами: evil maid создает зеркало с правильными/измененными файлами. Все хэши в первый раз сходятся. А при исполнении кода грузится другой сектор. Или проще. Прошитый непонятно куда вредоносный драйвер UEFI. Удачи в вычислениях.
| |
|
|
6.236, Электрон (?), 22:53, 28/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Новость - брешь в реализации Secureboot (который в исполнении производителей ради ограничения пользователей я нисколько не оправдываю).
А livecd поверх потенциально скомпрометированной системы - это by design. На первом шагу возможен дамп livecd для последующего pwnage. Первое будут исправлять, а это нет.
| |
|
|
|
|
2.57, Аноним (56), 16:13, 26/07/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Театр безопасности. Реальная защита - зашифрованный корень и проверка с livecd хешсумм grub и boot при каждой загрузке.
Это уже цирк безопасности.
| |
2.113, qwe (??), 20:45, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
А еще не забывай пересчитать хэши после каждого обновления grub и boot.
| |
|
1.8, Аноним (8), 13:06, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
Это же все для пользователей линуха, что бы не отключать SecureBoot и подписывать что сам насобирал себе =)
| |
|
|
3.66, Аноним (66), 16:40, 26/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Нет, он всё правильно написал. Все остальные ОС на реальном железе не работают.
| |
|
2.114, Аноним (114), 21:43, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Чтобы подписывать самосбор, никакие ключи не нужны, кроме тех, которые сгенерируешь сам.
| |
|
1.9, vlad1.96 (ok), 13:09, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
В этой новости отражена вся заинтересованность многих производителей мат. плат в качественной прошивке.
Это интересует ни пользователей, ни производителей.
| |
1.10, morphe (?), 13:09, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Потому что от стандартных ключей SecureBoot никакого смысла нет, шифрование диска с tpm2 оно чаще всего не защищает, потому что зависимость PCR регистров от ядра системы и прочего делать неудобно и опасно, а со стандартными ключами никто не мешает загрузить любую другую систему.
PlatformKey нужно выпускать свой, и загрузчик/ядро/прочее подписывать им, тогда и появляется реальная польза от SecureBoot.
| |
|
2.115, Аноним (114), 21:47, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> а со стандартными ключами никто не мешает загрузить любую другую систему
Это не так.
При загрузке "любой другой системы" (пусть хоть другой винды c LiveCD) у тебя диск не расшифруется автоматически, и тебе понадобится какой-то запасной вариант (при условии, что владелец машины его предусмотрел, например, настроил авторасшифровку при обычной загрузке и расшифровку с паролем при "необычной" загрузке).
| |
|
1.11, Аноним (11), 13:09, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Отключил его сам. Какие подводные? Кто-то прошелестят ко мне в конуру и установит винду?
| |
|
2.256, Анониссимус (?), 20:23, 29/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Можно установить троянца в ESP, чтобы перехватить пароль расшифровки твоего корня. Если он, конечно, у тебя зашифрован.
| |
|
1.13, Bottle (?), 13:15, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Интересно, эти ключи брутфорсом подбирались или АНБ намекнуло производителям?
| |
|
2.89, _ (??), 18:27, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>Интересно, эти ключи брутфорсом подбирались
4 символа бро - мои часы наверное секунд аж 30 бы подбирали пароль ... Serious Security(C)
| |
|
3.100, нах. (?), 19:02, 26/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
"если выглядишь вкусно - не гуляй вечером в парке!"
отрежут же часы вместе с рукой, и сам будешь виноват.
| |
3.263, Аноним (263), 19:35, 02/08/2024 [^] [^^] [^^^] [ответить]
| +/– |
Пароль "abcd". 'john --incremental:Alnum --min-length=4 --max-length=4 --format=pfx-opencl' справился за одну секунду, благо, длину пароля нам любезно сообщили авторы доклада, но даже без этого в режиме incremental он справился бы крайне быстро.
| |
|
|
1.15, Аноним (15), 13:17, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Секурбут это бэкдор для блатных - есть хоть кто-то, кто сомневался?
Существует исключительно в падлостроительных целях как явно, так и подводнокаменно.
| |
|
2.90, Аноним (90), 18:30, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Тут постоянно проскакивают люди из мира розовых пони которые уверены что это просто ошибки. Даже не верят что IME это зонд. Таких уже на вылечить.
| |
|
1.17, Ахз (?), 13:21, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Зато теперь можно клепать болгеносы, гордо заявляя о поддержке uefi sb, даже для самого себя.
| |
1.18, мяв (?), 13:26, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
100% машин идет с ключем МС, которым они подписывают все, что под руку попадет.
потому, для "обхода UEFI Secure Boot" достаточно поставить пакет shim-signed, или как он в репах вашего дистрибутива называется, перенести один файлик на флешку и преспокойно грузить все, что душе угодно на любом компьютере с включеным sb.
хотите безопасности - убирайте дофлтные ключи, вместе с shim'ом, ставьте свои, и настройте загрузку либо через UKI, либо efi-stub ядра. это парочка команд.
только вот, при этом сценарии и никакие дефолтные ключи AMI не страшны, так что, мне совершенно не ясно, что так удивило автора новости.
если кому интересно,
про shim и нерабочий secure boot из каробки: https://habr.com/ru/post/446072/
гайд по настройке secure boot(на английском): https://www.rodsbooks.com/efi-bootloaders/controlling-sb.html
| |
|
2.23, nox. (?), 13:38, 26/07/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ну зачем такие сложности? Вынул жесткий диск. Скопировал, что надо. Вернул назад. Если запаролен, ломается на ура что в Windows, что в Linux.
| |
|
3.29, мяв (?), 13:51, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
сломать условный luks легче, чем выполнить cp в терминале?
ну, кому как. особенно, в случае современных систем, где 100 лет в обед, как argon2id с tpm и пароль спокойно может быть и дампом из /dev/urandom
| |
3.46, Kuromi (ok), 15:04, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
И как вы будете ломать LUKS у которого ключи в TPM модуле, например? Разве что вас зовут Барак Байден, тогда вопросов нет.
| |
|
4.92, Аноним (92), 18:36, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> И как вы будете ломать LUKS у которого ключи в TPM модуле, например?
Терморектальный криптоанализ пока никто не отменял...
| |
|
5.127, Kuromi (ok), 03:03, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> И как вы будете ломать LUKS у которого ключи в TPM модуле, например?
> Терморектальный криптоанализ пока никто не отменял...
Ну до пустим вы выкрали диск (а может быть даже его образ, побайтовый) и даже нашли чела который знает пароль\PIN к TPM модулю, но самого модуля у вас нет, или он был обнулен, потому что насколько я помню нельзя так просто переставить съемный с одной материнки на другую. Что дальше? Ключ-то был в TPM.
Как ни крути оказывается что вам уже нужен весь "программно-аппаратный комплекс".
| |
|
6.132, мяв (?), 06:05, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
еще большее веселье наинается когда у пользователя запоминаемая часть в голове, а незапоминаемая - в tpm.
у меня так, по крайней мере
| |
|
7.168, Kuromi (ok), 14:45, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> еще большее веселье наинается когда у пользователя запоминаемая часть в голове, а
> незапоминаемая - в tpm.
> у меня так, по крайней мере
А это обычная история, "я зашифровал диск по туториалу", а теперь чет нихрена не работает, плиз хелп, резервных копий нет, ключи похерены.
Смысл TPM же что вашь пароль к нему - это пароль к "аппаратной связке ключей". Вот только связка эта сама опорожняется порой.
А вообще, если у вас LUKS то можно FIDO2 попробовать, в свежих версиях это работает, хотя и не без неудобств.
А можно и в pkcs11 держать ключик, тоже работает
| |
|
8.178, мяв (?), 16:18, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | я не про пин tpm а, а про кусок пароля диска полностью ему диск доверять как то... текст свёрнут, показать | |
|
|
6.158, ProfessorNavigator (ok), 12:12, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Ну до пустим вы выкрали диск
Зачем мне чего-то красть?)) Если будет очень надо, я просто возьму владельца диска и вежливо спрошу, что на нём находится. Сам жёсткий диск мне для этого не нужен. Причём спрашивать сначала буду действительно вежливо - далеко не всегда нужно человека резать на куски, чтобы он рассказал всё, что знает. Обычно достаточно просто продемонстрировать, что ты можешь и готов это сделать.
| |
|
7.167, Kuromi (ok), 14:42, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну до пустим вы выкрали диск
> Зачем мне чего-то красть?)) Если будет очень надо, я просто возьму владельца
> диска и вежливо спрошу, что на нём находится. Сам жёсткий диск
> мне для этого не нужен. Причём спрашивать сначала буду действительно вежливо
> - далеко не всегда нужно человека резать на куски, чтобы он
> рассказал всё, что знает. Обычно достаточно просто продемонстрировать, что ты можешь
> и готов это сделать.
А на диске - снимки обратной стороны Луны, на которых видны вкрапления ледников (ну гипотетически) ну или что-то такое, может быть бухгалтерия Обамы. На допросе вы конечно скажете что там примерно содержится, но не карту же вы по памяти рисовать будете?
| |
|
|
9.174, Kuromi (ok), 15:40, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | gt оверквотинг удален Ну вы уже, отчасти, придираетесь по мелочам Да в каких-... большой текст свёрнут, показать | |
|
|
|
|
|
|
7.180, мяв (?), 16:21, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
госпади, хотите - спросите.
я лишь ткнула в то, что многие возможностями своей материнки пользуются не на полную, а некоторые вовсе живут в иллюзии, думая, что sb с ключами от мс - это гарантия защиты.
| |
7.182, мяв (?), 16:23, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
ну и, на последок почитайте, что такое evil maid, сильно удивитесь.
ps пользователь Вам сам пароль даст, ничего не подозревая и думая, что он в безопасности, раз у него секурбут.
| |
|
|
|
|
3.111, penetrator (?), 20:11, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
откуда информация? т.е. ты сможешь расшифровать LUKS диск с KDF argon AES-XTS?
можно больше подробностей?
| |
|
2.45, Аноним (5), 15:02, 26/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
К сожалению, не каждый производитель позволяет устанавливать свои ключи. Часто ограничивают до ключей MS.
| |
|
3.55, мяв (?), 16:10, 26/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
эм.. кто? эти переменные, согласно спеке, нельзя помечать как ro.
intel boot guard и то смотрит только в {PK,KEK,db,dbx}-Default, не трогая PK, KEK, db и dbx.
если просто нет пункта в граф. интерфейсе, то, во-первых, есть keytool.efi, по-моему, он даже в одном пакете с shim в дебиане, во-вторых, возможно, плохо искали. я например первый раз делала через keytool, а потом, когда ключи запорола, узнала про комбинацию, включающую расширенный режим в uefi, где и было соответствующее меню.
| |
3.102, нах. (?), 19:05, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Мне что-то подсказывает, что у это...их производителей (namely apple) НЕТ того левого ключа microsoft которым та (предсумотрительно) подписала shim.
А винду корпорация-зла, не будь дура, ни разу не этим же ключом подписывает. Так что ваша дисяточка там загрузится без проблем.
| |
|
4.130, мяв (?), 05:55, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
у них и возможность грузить что то кроме macos без костылей нет
| |
|
5.141, нах. (?), 08:47, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> у них и возможность грузить что то кроме macos без костылей нет
интеловские - прекрасно умеют грузить вендупоганую.
| |
|
|
7.185, нах. (?), 16:28, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
с чего это вдруг? x86ые маки не сняты с поддержки, bootcamp где лежал там и лежит.
А M1/M2 не поддерживаются..не эплом, в общем. Фиг знает за что корпорация на них так зла, что имея (почти) готовый код не хочет продать (с другой стороны - а что на нем запускать-то кроме калькулятора?)
| |
|
|
|
|
|
2.48, iusearchbtw (?), 15:23, 26/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
А еще проще не полагаться на tpm модуль, который можно снять паяльным феном, и просто хранить загрузчик и необходимое на флешке, спасибо uefi, и заверять уже после загрузки системы. Флешку носим с собой и вынимаем когда заканчиваем работу. Все безопасное просто, а следить за ключами и всегда подписывать ядра на лицо оверинжинеринг и когда нибудь это выйдет боком, плюс неизвестно какие баги находят для обхода secure boot в проприетарных прошивках плат.
| |
|
3.58, Аноним (56), 16:15, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
После загрузки у тебя уже загружен код который раздостно заверит тебе всё что угодно.
| |
|
4.60, Аноним (-), 16:22, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Также как и с tpm модулем, только в случае с флэшкой до неё труднее добраться. А tpm модули, кстати, некоторые можно прочитать не снимая с платы, просто подобравшись специальной прищепкой.
| |
|
5.64, мяв (?), 16:34, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
нет, товарищ, в случае с tpm модулем, если он зафиксирует изменение прошивки, или базы данных sb, он вас лесом пошлет.
надеюсь, Вы не тролль
| |
|
6.82, Аноним (82), 17:59, 26/07/2024 [^] [^^] [^^^] [ответить] | –3 +/– | Сразу видно человека, который про такие атаки только в интернете читал На хабре... большой текст свёрнут, показать | |
|
7.93, мяв (?), 18:39, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Вы б, господин "знающий людь" поменьше языком работали и давали больше фактов! :)
Влибо факты давайте, либо не скатывайтесь в бросание сами знаетея, чем и "дурачков"
Вы, судя по всему, мой тезис про tpm в процессорах проигнорировали. что ж, ткну еще раз - это работает(или работало? углубляться даже лень, ибо меня не касается) только с отдельными чипами.
из процессора Вы, опять же, ничего не нанюхаете. ну и, да, забавно видеть "человека, который читал тотолько в интернете" и через пару слов - "посмотрите на хабре"
еще более потешно, что Ваш второй комментарий скрыл модератор.
Зы. почти все(если не все, но зарекаться сейчас не буду) косяки в процессорных tpm'ах фиксятся обновлением прошивки
| |
|
8.98, Аноним (98), 18:54, 26/07/2024 [^] [^^] [^^^] [ответить] | +/– | По хабру кстати неплохая статья реально была, там чел не ломал секьюр бут вроде ... текст свёрнут, показать | |
|
9.131, мяв (?), 06:01, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | ну, факты будут ссылки что-то если есть - давайте, почитаю из того, что знаю... текст свёрнут, показать | |
|
|
|
|
|
|
3.63, мяв (?), 16:32, 26/07/2024 [^] [^^] [^^^] [ответить] | +/– | раз - уже давно tpm встраивают в процессоры, так что, вероятно, замаятесь снимат... большой текст свёрнут, показать | |
|
4.76, Аноним (76), 17:01, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Переусложнённая система. Обязательно что-нибудь выйдет боком. Почитайте теории сложности и надёжности. В популярном изложении "законы Мерфи".
| |
|
5.77, мяв (?), 17:07, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
в случае с флешкой - она у Вас из кормана выпадет. а "что-нибудь" и, тем более, "почитайте", пожалуйста, оставьте себе.
я почему-то вместо того чтобы просто сказать "народ, учите матчасть", вам тут что-то обьяснить пытаюсь. придумаете хотя бы какой-то суенарий - тогда и напишите. а это скукота какая-то выходит и аргументация уровня кофейной гущи
| |
|
6.121, Аноним (121), 23:09, 26/07/2024 [^] [^^] [^^^] [ответить] | –3 +/– | Эээ Некоторым и самые прямые аргументы будут совершенно бездоказательны и с... большой текст свёрнут, показать | |
|
7.135, мяв (?), 06:29, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
во-первых, Вам стоит на на опеннете об этом писать, а производителю с требованием возврата средств.
во-вторых, я всех деталей не знаю, может вообще Вы сами себе что-то накрутили.
у меня, например, послы вытаскивания батарейки с платы, и пароль, и ключи остались на месте.
| |
|
8.206, Аноним (-), 21:53, 27/07/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Тем не менее, железо иногда ломается И если мамка проц внезапно станут тыквой -... текст свёрнут, показать | |
|
|
|
|
4.128, Kuromi (ok), 03:08, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> раз - уже давно tpm встраивают в процессоры, так что, вероятно, замаятесь
> снимать. два - зачем? Вы из него ключи вытаскивать собрались? если
> так, то закалебетесь вытаскивать из чипа с актуальной прошивкой.
Идея встроить TPM в процессор одновременно прекрасна и ужасна. С одной стороны это и правда секурно, с другой стороны выстрелить себе в ногу и потерять ключики в TPM модули оказывается невероятно легко.
Обновление прошивки у некоторых производителей - сброс TPM, замена материнки - сброс TPM и так далее.
Образ диска украденный через мировой эфир и правда становится бесполезен, но может стоит хранить ключики на чем-то чуть менее встроенном?
| |
|
5.133, мяв (?), 06:22, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
иначе никак, собственно.
бэкапы ключей из tpm делаются в пару команд и никто не мешает залить их на флешку и хранить дома.
в конце концов, может и диск из строя выйти, это цена хранения данных в цифровом виде.
продукцию этих самых "некоторых производителей" можно и не покупать, лол. "некоторые производители" могут Вам и устройство бракованное дать, что с того-то?
| |
|
6.161, Аноним (161), 13:22, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> в конце концов, может и диск из строя выйти, это цена хранения данных в цифровом виде.
Именно в силу возможности выхода из строя вторичного носителя приходится делать бекапы, что нивелирует сам смысл хранения ключей в TPM.
| |
6.169, Kuromi (ok), 14:50, 27/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> иначе никак, собственно.
> бэкапы ключей из tpm делаются в пару команд и никто не мешает
> залить их на флешку и хранить дома.
> в конце концов, может и диск из строя выйти, это цена хранения
> данных в цифровом виде.
> продукцию этих самых "некоторых производителей" можно и не покупать, лол. "некоторые производители"
> могут Вам и устройство бракованное дать, что с того-то?
Вот только бекапы ключей вам надо где-то хранить, причем секурно, а "флешка с файликом" по умолчанию уже не так секурно.
С условным LUKSом могут быть варианты, там все таки разные способы анлока есть, но тогда зачем возня с TPM?
| |
|
7.184, мяв (?), 16:27, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
диск с бэкапом я храню дома и пароль записан на бумажке такой, который я сама запомнить не в состоянии.
для ноута такой не поставишь, ибо часто включаю/выключаю, придется бумажку с собой носить, либо полагаться на память.
| |
|
|
|
|
|
2.145, нах. (?), 09:33, 27/07/2024 [^] [^^] [^^^] [ответить] | –1 +/– | и зачем такие сложности, если можно просто венду загрузить secure boot защищает... большой текст свёрнут, показать | |
|
3.153, мяв (?), 11:04, 27/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
>защищает не от этого
именно от этого, от подмены загрузчика со стороны ОС, что можно прекрасно сделать, блягодаря shim.
рассказы про "злой мс" и "вендорлок", если Вы об этом, оставьте себе.
>что ключи шпион-капитана касперского везде давно заблокированы
Вы статью читали? ключи майкрософта и их все устраивает. софт касперского, как работал, так и работает.
> и станет заблокировано
галлюцинировать не надо. ключи майкрософта и ими они подписывают собственные драйвера.
>фсбшным кротом
ясненько. не стоило отвечать, вероятно.
| |
|
4.198, нах. (?), 20:41, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | нет Вы статью на хабре нашли, прочитали, но так и не поняли Понадобился не шим... большой текст свёрнут, показать | |
|
5.218, мяв (?), 08:42, 28/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>нет.
дат. кончайте троллить.
берете shim, берете shell.efi, кидаете в папку на esp, переименовываете в grubx64.efi и шим его загрузит.
>устарела
поздравляю, теперь идите учитесь смотреть на что-то, кроме циферок.
шим как умел грузить левые файла, так и умеет.
>квалификация экперта
прям с языка сняли.
МС ими драйвера сторонних разработчик подписывает.
не верите - гугл в зубы.
| |
|
6.219, нах. (?), 10:24, 28/07/2024 [^] [^^] [^^^] [ответить] | +/– | дай угадаю - secure boot у тебя - выключен При попытке загрузить шимом что-то к... большой текст свёрнут, показать | |
|
7.220, Аноним (-), 11:07, 28/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Так, для особо умных, намекаю:
1) В grub было парочку фееричных багов, позволяющих кому попало грузить что угодно, чтоб такие как ты безопасТники не скучали.
2) Ключами майкрософт подписано столько всего интересного - что даже это нафиг не надо. Достаточно посмотреть какое-нибудь изучение чем пользуется малварь.
3) А когда профакапился макйрософт они объяснили что отзывать ключ не будут, это же винда грузииться перестанет! Как можно! И хрен с ними, с вирусами...
| |
|
8.223, нах. (?), 11:59, 28/07/2024 [^] [^^] [^^^] [ответить] | +/– | было ms небось все локти искусала что повелась на вопли шва60дкофанов , но они,... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
|
2.24, nox. (?), 13:41, 26/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не в этом дело. Заметил первый раз, когда с Netware на Windows NT переходил. У эти ребят 30 лет делается все наоборот и вопреки здравому смыслу, но продать удалось же. Вот такой критерий - всё делать наоборот как доказательство, что продать можно всё.
| |
|
|
4.33, nox. (?), 14:25, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Кто сказал, что она лучше? В ней (версия 3.12) управление пользователями и ресурсами организовано противоположно Windows NT. И представляется это менее удобным.
| |
|
5.65, Аноним (65), 16:35, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> В ней (версия 3.12) управление пользователями и ресурсами организовано противоположно Windows NT
простите, я нетварь не видел, но как подобные вещи вообще можно сделать по-разному?
| |
|
6.224, Аноним (224), 12:15, 28/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
В одной на ресурсы назначаются пользователи. Открываешь ресурс, и сразу видно, кто к нему имеет доступ. В иной пользователю назначаются ресурсы. Это один из интересующих примеров.
| |
|
|
|
|
|
1.30, Neon (??), 13:57, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Вся эта фигня, UEFI Secure Boot - один сплошной маразм, палки в колеса для альтернативных ОС в угоду M$
| |
|
2.124, Аноним (124), 01:54, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Так UEFI сделали в Microsoft. Там из полезного разве что старт сразу в 64-битность.
Остальное так шум для маркетинга про безопастность
| |
|
1.34, Аноним (34), 14:25, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] | +3 +/– | Ну вы что, это же SecureBoot Вместо того чтобы при установке операционной систе... большой текст свёрнут, показать | |
|
2.41, Аноним (-), 14:56, 26/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> слоем NDA и IP -- для облегчения аудита. В добавок обеспечим
> передачу ключей с TPM по незащищенной шине LPC --
ТАм давно уже SPI и I2C в почете, если вы так то не заметили. И кстати шифрование шины для TPM таки сделали.
...но вообше, если злыдень вам МК на шину развешивает - у вас, таки, нефиговые проблемы в системе. И ниакой секурьут вас уже таки - не спасет.
| |
|
3.54, Аноним (34), 15:49, 26/07/2024 [^] [^^] [^^^] [ответить] | +/– | На последнем железе он интегрирован прямо в процессор Но сам факт что такие дыр... большой текст свёрнут, показать | |
|
4.117, glad_valakas (-), 22:17, 26/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Так весь смысл SecureBoot в защите от физических атак.
нет смысла. против физических атак только физическая защита:
охранники, СКУДы, замки + ключи, железные двери,
бумажные журналы доступа. и видеонаблюдение разумеется.
ps: есть такое суперзащищенное электронное голосование, на котором всегда выберут кого надо.
чем-то напоминает SecureBoot, не правда ли ?
| |
4.139, мяв (?), 06:54, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>весь смысл SecureBoot в защите от физических атак
та ты шо?
от физ. атак защищают технологии, вроде intel boot guard. а sb сбивается перепрошивкой платы.
| |
4.170, Аноним (-), 14:55, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | Не хочу вас расстраивать - но эта проблема не имеет эффеквтивного решения Прост... большой текст свёрнут, показать | |
|
|
|
1.44, Kuromi (ok), 15:00, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ха-ха, а я всегда говорил, что Secure Boot это Тивоизация + иллюзия безопасности для интересующихся юзеров. Никакие спецслужбы он останавливать не должен, для них всегда есть отдельный вход.
| |
|
2.239, Аноним (226), 04:19, 29/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Это было очевидно с самого начала. Помните, когда оно только появилось, пошли ноуты без возможности отключения сесуре бута? Все взвыли и опцию таки завезли.
| |
|
3.248, Kuromi (ok), 14:27, 29/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Это было очевидно с самого начала. Помните, когда оно только появилось, пошли
> ноуты без возможности отключения сесуре бута? Все взвыли и опцию таки
> завезли.
Ну так не стоило Балмеру и компании так подозрительно хихикать и умиляться. Хитрый план сделать Виндовс единственной ОС которую можно запускать на ПК оказался слишком уж очевиден.
| |
|
|
1.62, Аноним (65), 16:27, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
> Закрытая часть тестового ключа AMI, необходимая для создания цифровых подписей, оказалась доступна публично после утечки информации у одного из производителей оборудования, сотрудник которого по ошибке разместил в публичном репозитории на GitHub код, содержащий данный ключ. Закрытый ключ был размещён в зашифрованном файле, при шифровании которого использовался простой 4-символьный пароль, который удалось легко подобрать методом перебора.
так где скачать-то? друг просил...
| |
|
2.71, мяв (?), 16:54, 26/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
можешь скачать shim-signed из реп своего дистрибутива и, блягодаря поитике подписывания загрузчиков майкрософта, грузить им, шо угодно, на любых девайсах, т.к. на 99% машин в db есть ключ МС.
| |
2.262, Аноним (263), 19:29, 02/08/2024 [^] [^^] [^^^] [ответить] | +/– | https archive org details aaeon-uefi-firmware-git-repos Лучше скачать через T... большой текст свёрнут, показать | |
|
1.67, Аноним (67), 16:46, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>не обратили внимание на предупреждение
Сами, или их настоятельно попросили?
| |
|
2.73, мяв (?), 16:55, 26/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
зачем просить "не замечать", когда можно попросить ключ..?
| |
|
1.80, Аноним (80), 17:37, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ] | +1 +/– | https www linux org ru forum security 17682542 cid 17685158 Ещё раз напомню 3 ... большой текст свёрнут, показать | |
|
2.138, мяв (?), 06:50, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
на кой вообще в цепи гроб, в котором уязвимость, позволяющая обойти верификацию - "обычный понедельник" ?
что по ima, в линуксе по дефолту запрещен ввод кастомных политик в ранатйме, следовательно, остается 2 варианта из дефолтных:
верифицировать всю фс, включая временные файлы с логами или
верефицировать только исполняемые файлы. так что, мне не ясно, что там автор про верификацию /etc затирает.
3й ненужен, ибо он был добавлен еще до появления sb.
по поводу iBG... автор там какого чая напился? свои ключи зашить можно было в полтора устройства из "бракованных" партий. по дефолту там кореновй ключ интела в пзу.
| |
|
3.144, Аноним (144), 09:30, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | 1 У меня старый GRUB2 до обновлений безопасности верифицирует все при загрузк... большой текст свёрнут, показать | |
|
4.154, мяв (?), 11:19, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | 1 поздравляю, завтра будет не завтра - так послезавтра, или тогдач когда Ваше ... большой текст свёрнут, показать | |
|
5.163, Аноним (164), 13:36, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | 1 Или наоборот, в старом не было, а в новых появились 2 IMA включается при на... большой текст свёрнут, показать | |
|
6.189, мяв (?), 17:07, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
3. прикольно. возможно, будет попытка номер 2, но не на десктопе.
ибо я как то решила, что оно мне не надо, т.к уже
iBG -> sb,tpm+пароль(не пин, а кусок пароля люкса) -> luks -> tomoyo linux(с политикой на всю систему) -> LKRG.
| |
|
|
|
3.147, Аноним (144), 10:09, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | 1 Купив проц и мамку раздельно пользователь будет иметь возможность добавить СВ... большой текст свёрнут, показать | |
|
4.156, мяв (?), 11:25, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
1. Вы ж написали уже это
2. действительно. в памяти почему-то отложилось, что корень от интел
| |
|
5.166, Аноним (-), 14:31, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> 2. действительно. в памяти почему-то отложилось, что корень от интел
Настоящий корень - ключ ME boot ROM - и правда от Intel. Он с самого начала с фабрики прописан в фьюзы, и индеец ни при каком раскладе не сможет свой, доверяемый софт в ME протолкать. И обречен жить с блобом в ME подписаным интелом.
А бутгад - это типа 9 фуфлоколец гномам, так, вторичные ключи и вспомогаловка. Можно раздать индейцам для иллюзии контроля. Ведь имея доступ в ME - остальное уже не важно! Это самый привилегированый компонент системы. Настолько что x86 вообще его кишки не видит - а вот наоборот очень даже.
| |
|
6.173, Аноним (173), 15:21, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Настоящий корень - ключ ME boot ROM - и правда от Intel.
Да скажем правду - секретный ключ от IntelME есть в майора с АНБ.
> А бутгад - это типа 9 фуфлоколец гномам, так, вторичные ключи и вспомогаловка.
Он ОЧЕНЬ много даёт пользователю компа:
1. Физически неизменяем, никакой Васян не сможет его изменить.
2. Проверка UEFI и Secure Boot с помощью вашего ключа становится не отключаемой. Никакой производитель не сможет сменить прошивки UEFI и добавить ключ Secure Boot от M$.
3. У нас нет выбора. В DNS за углом Эльбрусу без IntelME пока не продают.
| |
|
7.194, Аноним (-), 19:44, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | Как минимум он есть у богов из интеля Кому и на каких условиях они это дают -... большой текст свёрнут, показать | |
|
8.214, Аноним (214), 08:03, 28/07/2024 [^] [^^] [^^^] [ответить] | +/– | Интел при производстве чипов засовывает в них целого товарища майора с АНБ, прич... большой текст свёрнут, показать | |
|
9.225, Аноним (-), 12:19, 28/07/2024 [^] [^^] [^^^] [ответить] | +/– | Накаркаете Название Management Engine намекает что оно создано МЕНЕДЖИТЬ КОМП ... большой текст свёрнут, показать | |
|
|
|
6.188, мяв (?), 16:59, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
а, ну вот.
в любом случае, неплохая защита. ни Вам, ни мне явно дело с анб иметь не придется. максимум - участковый дядя Гриша и условный отдел к, которым силенок и не хватит. особенно, учитывая, что интел из рф ушел, да настолько, что даже доки почитать не дает.
| |
|
|
4.165, Аноним (-), 14:28, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | Однако ему никогда не дадут прописать свой МАСТЕР ключ - который ME boot ROM исп... большой текст свёрнут, показать | |
|
5.175, Аноним (173), 15:52, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | А что делать Эльбрусу в DNS за углом пока не привезли К ARM у меня другие вопр... большой текст свёрнут, показать | |
|
6.195, Аноним (195), 20:03, 27/07/2024 [^] [^^] [^^^] [ответить] | +/– | Это не является валидным аргументом в безопасности компьютерных систем Да и даж... большой текст свёрнут, показать | |
|
7.215, Аноним (214), 08:24, 28/07/2024 [^] [^^] [^^^] [ответить] | +/– | Правда в том что ARM память не защищает Или в Linux не реализована защита памят... большой текст свёрнут, показать | |
|
8.229, Аноним (-), 14:26, 28/07/2024 [^] [^^] [^^^] [ответить] | +/– | Это откуда такая правда Тот же линух ядро прекрасно маркирует свои куски no... большой текст свёрнут, показать | |
|
|
|
5.192, Аноним (192), 18:33, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Видишь ли, дорогой индеец, верховные божества зарезервировали самый крутой ключ - себе. А ты в _ИХ_ системе сможешь не более чем они тебе милостиво позволят.
Дорогой индеец здесь ты, потому что как индейцы предлагаешь сидеть и ничего не делать, под предлогом, что блоб IntelME выковырять полностью не удается.
В любом дистрибутиве GNU/Linux можно значительно повысить безопасность настроив верификацию процесса загрузки в GRUB и Linux IMA/EVM.
| |
|
|
3.186, Аноним (186), 16:35, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> на кой вообще в цепи гроб
Редхат скоро от груба избавится. Всё будет в efi-файле.
| |
|
4.196, Аноним (-), 20:06, 27/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> на кой вообще в цепи гроб
> Редхат скоро от груба избавится. Всё будет в efi-файле.
А потом, когда у вас очередной кернель после апдейта не загрузится, Зоркий Глаз заметит что у сарая нет не только стены - но и подпорок для крыши, так что чего-то его немного этой крышей как раз и зашибло. Вот подстава то :)
| |
|
5.202, Аноним (202), 20:56, 27/07/2024 [^] [^^] [^^^] [ответить]
| –4 +/– |
> А потом, когда у вас очередной кернель после апдейта не загрузится...
Значит загрузишься со старого. Что как маленький. :)
Я надеюсь, ты сейчас с грубом так делаешь, а не бежишь ось переставлять.
| |
|
4.217, Аноним (214), 08:33, 28/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
UEFI не поддерживает верификацию с шифрованного раздела как умеет GRUB.
> Всё будет в efi-файле.
Все туда совать не надо. Это шаг назад в безопасности.
Ядро и инитрд желательно держать на шифрование разделе. А в efi-файл засунуть минимум: core.img от загрузчика GRUB.
| |
|
|
|
1.103, mma (?), 19:10, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Любителям секурности. Грузитесь с внешнего ключа(flash, tpc, etc), там же и ключь к ФС.
Загрузились, убрали ваш ключ куданибудь, бинго. Во времена финансовой свободы так обычно и делали те кому есть что прятать от аудиторов в погонах)
| |
|
2.207, Электрон (?), 22:02, 27/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
evil maid для uefi или Intel ME потенциально отсылают по сети что угодно. Но для бытовых случаев хватит.
| |
|
1.105, Витюшка (?), 19:28, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Какой смысл после этого (и сотни других) примера про безопасность и тратить миллионы человеко-часов на переписывание кода?
Вот это - и есть настоящее современное IT.
| |
1.109, Аноним (109), 20:05, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> Проблема получила кодовое имя PKfail
Почему же сразу "проблема"?
Не проблема, а фича! )
| |
1.120, fazi (ok), 23:09, 26/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Последняя мама Z790 AORUS. Прилично бабок цена. Вывод как на скрине. Блин за что я деньги платил ?
| |
|
2.122, penetrator (?), 00:17, 27/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
ты платил за понты
а что платили владельцы HP, Intel, Supermicro - вопрос
всякое дно уровня Dell и Acer вопросов нет, но серверные мамки
| |
2.126, Аноним (126), 02:27, 27/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Блин за что я деньги платил ?
Не обижайся, просто "налог на тупость".
НЕЛЬЗЯ сейчас приобретать никакие мамки!! ЖДАТЬ. Пусть г____ноеды-мануфакчуреры едят собственное дерьмо.
Что мы хотим: мамки от $100 до $300. Полная секурность, включая полную блокировну Intel IME.
| |
|
3.140, Аноним (140), 07:29, 27/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
>Что мы хотим: мамки от $100 до $300. Полная секурность, включая полную блокировну Intel IME
Да ты я смотрю большой оптимист.
| |
|
2.137, мяв (?), 06:41, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
secure boot и так нигде не работает из каробки из за подписанного майкрософтом shim и того факта, что их ключ везде в db/KEK суют.
| |
|
3.181, нах. (?), 16:21, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
тебе ж вон там вадик на две страницы разжевал - что shim не позволяет без твоего явного участия исполнить что-то неподписанное. Во всяком случае - обычный, а не от ФСБ/AVP.
| |
|
2.142, Аноним (142), 09:11, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ты купил плату от Gigabyte и ожидал, что у нее будет беспроблемный биос? Этот производитель всегда славился наплевательским подходом в разработке bios для своих продуктов.
| |
|
3.228, Аноним (228), 13:55, 28/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Этот производитель всегда славился наплевательским подходом в разработке bios для своих продуктов.
А у какого прозводителя ненаплевательский подход?
| |
|
|
1.125, Аноним (126), 02:25, 27/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
"производители не обратили внимание" - читай "ФБР рекомендовало не обращать внимание на какой-то там тестовый ключ".
| |
1.152, Tron is Whistling (?), 10:57, 27/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну вот согласен с теми, кто говорит, что оно нафиг никому не в$ралось.
Инженерные ключи, shim-загрузчики чего угодно, и т.п.
Не прижилось. Всем пофиг. Театр безопастности.
| |
|
2.179, нах. (?), 16:19, 27/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
вообще-то оно РЕЗКО, на два порядка, усложнило написание примитивных бут-вирусов, доступных раньше каждому васяну.
Причем если раньше васяны хотя бы в бутсектор не всегда попадали или не помещались, надо было хоть ассемблер знать, то сейчас, когда uefi исполнит любой PEшник... хоть на хрусте пиши, хоть на gwbasic.
И сфейлилось в общем-то не технически а на человеческом факторе - обезьянки с воплями "шва60дки лишаютъ!" добились таки от MS что та понаподписывала совсем невменяемой чертовщины.
Ну а нынешняя история - просто вишенкой на тортике.
| |
|
3.197, Аноним (-), 20:10, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> вообще-то оно РЕЗКО, на два порядка, усложнило написание примитивных бут-вирусов, доступных
> раньше каждому васяну.
А что - Васян настолько ленивый и тупой что shim взять не может? На самом деле просто все вдарились в зарабатывание бабок и оно перешло в вымогатели-винлокеры и прочие шифровальщики еще до всех этих потуг. Ибо зачем возиться с этой гадостью если проще потребовать перевод коинов воооон туда, а нето фиг вам а не ваши данные?!
А какое-нибудь NSA с equation с этого цирка ржать будут аки кони, запатчив тебе какую-нить фирмвару накопителя, выдавать сектора с вырусом в четверг високосного года, и попробуй это отлови вообше. Жытаг адаптер ты себе уже купил? Не, менее радикально это вообще хрен заметишь, пожалуй :)
| |
|
4.200, нах. (?), 20:48, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> А что - Васян настолько ленивый и тупой что shim взять не может?
shim, внезапно, написан не настолько ленивыми и т-пыми как ты - и не загрузит автоматически неподписанную васянову поделку, вот так сюрприз.
В очередной раз - "квалификация"-c.
| |
|
3.211, Tron is Whistling (?), 22:33, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Да они и нафиг не нужны стали - юзеры ныне такие пошли, что сами сдают свои пароли и данные кредитки по первому "ваш почтовый ящик будет заблокирован, пришлите все свои деньги на счёт X".
| |
|
4.212, нах. (?), 23:17, 27/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
ну нет, там надо уметь быть убедительным.
А бутовые вирусы писали вовсе не ради минутного заработка, а просто развлечения ради.
И вот разглядываешь очередной трупик - а там легалайз мариванна, поверх (забыл уже, что там была за дрянь) и сверху near dark (в этом был таймер и он удалял таблицу разделов, поэтому и трупик, а то можно ж было еще кого-то четвертого и пятого намотать в этот же бутерброд)
Спасибо мариванне за заботливо сохраненную таблицу в седьмом секторе.
Представь до какого п-ца оно бы щас докатилось, если бы любой BOOTX64.efi тут же бы загружался.
Ан, нет, тут попердолиться надо (отдельно интересно откуда у эсэсовца Вадика оказался тот касперский... впрочем он в целом небрезглив и внимателен - мне бы и в голову не пришло что там не самый обычный шим и grub - казалось бы, ну нафига?)
| |
|
3.235, Аноним (235), 19:45, 28/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Секурбут для людей можно сделать одной восьминогой микросхемой и перемычкой, разрешающей писать на эту микросхему и грузиться с неё.
А то, что у нас сейчас - это секурбут ОТ людей, когда на какие-то планшеты слаку поставить можно только выдрав загрузчик и ядра из убунты, а на некоторые - вообще никак.
| |
|
4.261, нах. (?), 10:21, 01/08/2024 [^] [^^] [^^^] [ответить]
| +/– |
останется переделать все операционные системы для загрузки с волшебной микросхемы.
> А то, что у нас сейчас - это секурбут ОТ людей, когда на какие-то планшеты слаку поставить
вот ты действительно не понимаешь что как раз _людей_ - эти твои проблемы вот совершенно не интересуют?
И если ценой небольшого усложнения жизни кр@сн0гл@зикам (cp@ка на планшете, планшете, карл! - это б-жественно же ж!) доступно большое усложнение жизни вредителям - то безусловно именно так и надо было сделать.
| |
|
|
|
1.234, Аноним (235), 19:35, 28/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну наконец-то у меня неподписанный syslinux-efi на hp elitebook g7 не будет вешать загрузку на десять минут.
| |
|