forum.opennet.ru

"Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI..."	+2 +/–
Сообщение от Арчевод (?), 03-Мрт-21, 18:16
Как уже сказали выше, efi раздел всё-равно остаётся незашифрованным. Так что правильным подходом будет зашифровать всё, оставив только efi partition. Дальше, используем такую штуку как Unified Kernel Image ( https://wiki.archlinux.org/index.php/Systemd-boot#Preparing_... ), которая позволяет запаковать ядро, initramfs, splash, коммандную строку ядра в один файл, который напрямут загружается через из EFI или посредством загрузчика типа refind. Ну и ествественно этот бинарь подписывается своим ключём, который сконфигурен в SecureBoot. Собственно всё - получаем полностью зашифрованную систему + SecureBoot с только одним незашифрованным, но подписанным файлом, в котором собственно нет никаких секретов. Понятное дело, что так как он подписан, изменить или подменить его не выйдет. Создание образа и его подписка делается автоматически при обновлении ядра или вручную, после, например, изменения командной строки ядра.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot, opennews, 03-Мрт-21, 11:42 [смотреть все]

Патрик как чувствовал, оставив просроченный лило , Аноним, 03-Мрт-21, 11:42 (1) //
- Там елило для уефи насколько помню Лучше конечно просто ядро пересобрать со стю, Аноним, 03-Мрт-21, 12:09 (20) //
  - Расслабьтесь, гуляет буткит подписаный валидным MSовским ключом Ключ отзывать н, Аноним, 03-Мрт-21, 16:44 (140) //
    - Выколупывается ключ MS практически на всех современных фирмварях проще некуда, и, Аноним, 03-Мрт-21, 19:10 (193)
      - Это как бы не регламентировано никакими стандартами и это может сделать полтора , Аноним, 05-Мрт-21, 05:35 (284)
- Нафига на UEFI отдельный загрузчик efistub жеж Или refind на худой конец жеж , asdasd, 03-Мрт-21, 12:10 (22) //
  - Но принципиально refind все равно проверяется shim ом, и если там будут уязвимос, Анонимленьлогиниться, 03-Мрт-21, 15:10 (110) //
    - Куишечка, уважаемый Обделаться можно не только и не столько с буферами, хоть эт, Анон123, 03-Мрт-21, 16:27 (134)
    - Зачем shim refind-у Лень свои ключи что ли прописать и забыть про shim как стра, Арчевод, 03-Мрт-21, 16:45 (143)
      - Разве что свои ключи прописать, а чужие удалить все к чертям, если всякие MSовск, Аноним, 03-Мрт-21, 16:48 (146)
      - Если ключи прописывать, так и взять последний grub2 без дыр не проблема А при тр, Stax, 03-Мрт-21, 19:20 (195)
        
        Понимаешь ли, хакер всегда может взять старый GRUB подписаный вон тем правильным, Аноним, 05-Мрт-21, 05:37 (285)
        
        Не может Потому что если это изначально мой ключ и только он присутствует в био, Stax, 08-Мрт-21, 13:16 (350)
  - Взбрыкнет у тебя новый кернел, допустим - и дальше чего В grub выбрать старый , Аноним, 03-Мрт-21, 16:47 (144) //
    - Взбрыкнет кернел - загружаемся с liveusb и чиним, это бывает раз в десять лет Е, Аноним, 03-Мрт-21, 19:20 (194)
      - Ага, при этом мы обнаруживаем что ключи мудасофта уже выпилили а свой собс, Аноним, 05-Мрт-21, 05:39 (286)
    - А у меня livecd liveusb и устанвливается старое ядро Или если уж так не хочетс, saasd, 04-Мрт-21, 09:37 (247)
      - Попробуй удалить ключи майкрософта как тут некоторые советуют, как раз и узнаешь, Аноним, 05-Мрт-21, 05:40 (287)
        
        В биосе разве секурбут не отключается , Аноньимъ, 05-Мрт-21, 15:34 (298)
        
        Смотря где На маздайных планшетках может и не отключаться Ну, и вот как раз и , Аноним, 06-Мрт-21, 03:13 (311)
- Позволяет обойти зонд от M - разве это не преимущество , Аноним, 03-Мрт-21, 12:12 (23) //
  - Плюсую , Fractal cucumber, 03-Мрт-21, 13:00 (57)
  - Почему это зонд от MS Его же вполне себе можно настраивать на свое усмотрение, Аноним, 03-Мрт-21, 14:01 (81) //
    - Вот это воткак бы намекает , AlexYeCu_not_logged, 03-Мрт-21, 14:41 (99)
      - Никто не запрещает подписать shim своим ключом и добавить его в UEFI Просто так, Аноним, 03-Мрт-21, 14:47 (103)
        
        Вот это воткак бы намекает , AlexYeCu_not_logged, 03-Мрт-21, 15:04 (107)
        
        Это не проблема Secure Boot, а просто мледует из того факта, что на большинстве , Аноним, 03-Мрт-21, 15:14 (112)
        
        Ну да, еще скажи что boot guard - случайность, а ME и PSP - забытые дебаговые ф, Аноним, 03-Мрт-21, 16:57 (149)
        Прикинь, именно так 171 злые умыслы 187 и выглядят , AlexYeCu_not_logged, 03-Мрт-21, 21:04 (215)
        хайли лайкли , ананим.orig, 04-Мрт-21, 01:20 (231)
        Очень наивно полагать, что нет злого умысла Любая большая корпорация работает с, Аноним, 04-Мрт-21, 10:44 (257)
    - 1 Настраивать можно ровно столько сколько позволит и сумеет фирмваре 2 Это воо, Аноним, 03-Мрт-21, 16:56 (148)
      - А есть железо, которое не позволяет добавлять свои ключи и удалять ключи от Micr, Аноним, 03-Мрт-21, 17:13 (161)
        
        Есть даже ноуты которые позволяют на выбор грузить только рхел и восьмерку Или , Аноним, 05-Мрт-21, 05:50 (288)
  - Видишь ли, в данном случае это не зонд, а просмоленный чопик , YetAnotherOnanym, 03-Мрт-21, 15:14 (113)
- shim это workaround с плохим использованием Secure Boot Все делается легко, куч, Синдарин, 03-Мрт-21, 13:26 (66) //
  - Под убунту для хомяков ещё проще Убунта 20 04 детектит включённый Secure Boot,, Синдарин, 03-Мрт-21, 13:32 (70) //
    - Многие bios-ui для совсем ленивых - вообще умеют тупо генерить сигнатуры скармли, Синдарин, 03-Мрт-21, 13:40 (75)
      - Опять же в Ubuntu для ленивых вообще сделали update-secure-policyутилита в стил, Синдарин, 03-Мрт-21, 13:43 (77)
    - А ты типа умеешь в безопасТность Мутный блобик тебе что-то там пообещал, не заб, Аноним, 03-Мрт-21, 17:00 (150)
  - В теории - на компьютерах предприятия - может быть В жизни на типичных десктопах, Анонимленьлогиниться, 03-Мрт-21, 15:15 (114) //
    - Юзеры нвидии должны страдать , Аноним, 03-Мрт-21, 17:00 (151)
      - Гм А не странная у вас логика Тогда уже пользователи линукса должны страдать , Анонимленьлогиниться, 05-Мрт-21, 18:57 (303)
        
        Логика простая - никто никому ничего не должен Если кому-то что-то не нравится,, Аноним, 06-Мрт-21, 03:18 (312)
- Уязвимости компрометируют секюрбут, так што при помощи груба уязвим и лило и даж, такаяштука, 03-Мрт-21, 14:19 (89) //
  - Да там еще раньше мсовские ключи скомпрометированы были, только отзывать их никт, Аноним, 03-Мрт-21, 17:10 (157)
в топку этот проприетарный уефи, для него токмо легаси режим, Леголас, 03-Мрт-21, 11:43 (2) //
- Ну так биосы тоже проприетарные , Аноним, 03-Мрт-21, 12:18 (30) //
  - у биосов нет секурных стартов, новость-то об уязвимости в таком, Леголас, 03-Мрт-21, 12:27 (42) //
    - Шило, мыло, жепь, ебрило UEFI хотя бы более открытый чем BIOSы А по сути, секур, InuYasha, 03-Мрт-21, 12:39 (53)
      - Слабоумие и отвага , Синдарин, 03-Мрт-21, 13:46 (79)
        
        Самокритично, чо Доверить самое критичное секурити мутному проприетарному блобв, Аноним, 03-Мрт-21, 17:02 (153)
      - Как минимум одному анониму с опеннета он нужен, чтобы его подписанный загрузчик , Аноним, 03-Мрт-21, 14:53 (105)
        
        Как бы, и да , но в нынешнем виде это работает только на M А вообще, имхо, от, InuYasha, 03-Мрт-21, 17:11 (159)
        
        Почему К нижним кольцам ты не сможешь просто доступ получить при наличии Secure , Аноним, 03-Мрт-21, 17:16 (165)
        
        Ну, вообще-то, все зависит от того у кого ключи от замка И таки lockdown не оч, Аноним, 05-Мрт-21, 05:52 (289)
      - Ну так SB и был создан для того чтобы тупо запретить устанавливать чтоли бо кро, Kuromi, 03-Мрт-21, 16:06 (130)
        
        Вот, да Подозрение такое есть Особенно учитывая что уже есть secureboot-only-у, InuYasha, 03-Мрт-21, 17:14 (162)
        Это конечно же не так Потребность в системе защиты имеет быть весьма широко вост, Анонимный Алкоголик, 04-Мрт-21, 03:29 (237)
      - Да И как мне вон тот баг в системном фирмваре починить Что-то не вижу сорца на, Аноним, 03-Мрт-21, 17:11 (158)
    - Ты понимаешь, что ты пишешь В биосе такой функциональности ВООБЩЕ нет Там можн, Аноним, 03-Мрт-21, 13:05 (60)
      - А что мешает мне загружать в UEFI в грабе или даже в винде трояна само собой , Аноним, 03-Мрт-21, 14:02 (82)
        
        отличается тем, что вирусы не смогут это сделать, для чего собственно и придуман, Аноним, 03-Мрт-21, 15:37 (119)
        
        Именно поэтому буткиты нынче подписаны легитимным MSовским ключом, отзывать кото, Аноним, 03-Мрт-21, 17:03 (155)
        1 Что-то будет загружено пользователем в интерактивном режиме Проверка подписи , kusb, 03-Мрт-21, 19:36 (200)
        
        Что за бред Какой пользователь И какая разница что будет думать какой-то польз, Анонимный Алкоголик, 04-Мрт-21, 02:33 (236)
- Разве легаси режим не через эту же прошивку работает , Аноним, 03-Мрт-21, 12:22 (36) //
  - см выше, 42, Леголас, 03-Мрт-21, 12:28 (43) //
    - То есть проприетарный биос лучше проприетарного уефи , Аноним, 03-Мрт-21, 12:46 (55)
      - Да, он по крайней мере не навязывал с какой фс грузиться Теоретически, конечно,, Аноним, 03-Мрт-21, 17:13 (160)
- Последнее время, что-то часто стали попадаться платы, где legacy тупо недоступен, llolik, 03-Мрт-21, 12:35 (49) //
  - Здравствуйте, я ваша тётя Так вроде бы в прошлом году если не раньше Интел , ryoken, 03-Мрт-21, 13:27 (67) //
    - Ну вот, видимо, от воплей перешли к реализации , llolik, 03-Мрт-21, 13:36 (72)
  - ничего подобного, в Asus MSI Gigabyte все работаетнапример MSI A320M-A PRO Gigab, anon14, 03-Мрт-21, 14:22 (90) //
    - у меня ноут asus, купленный лет 5 назад, там только uefi из ноутов, которые куп, бедный буратино, 03-Мрт-21, 15:41 (120)
      - dell latitude e6430достойный ноут, ivy bridge core i5 i7, выключается, vasya, 03-Мрт-21, 17:18 (167)
      - А зачем вам включать CSM В режиме CSM не только секьюр бут отваливается который, Stax, 03-Мрт-21, 19:31 (199)
  - О новый дивный мир привет из 1984 года , Аноним, 03-Мрт-21, 17:03 (154)
- в топку так в топку, а толку от этого НОЛЬ, ибо легаси биос точно такой же пропр, Аноним, 03-Мрт-21, 14:26 (92)
- Не надо путать secure boot и uefi Secure boot - это фича, которую можно не испол, Аноним, 03-Мрт-21, 19:49 (206)
- На некоторых новых и даже не очень, пару лет назад выпущенных материнских плат, Kuromi, 02-Апр-21, 23:27 (354)
Чтобы запустить мой МОЙ компьютер я должен спрашивать разрешения у Microsoft , Урри, 03-Мрт-21, 11:43 (3) //
- Ну еще ты можешь подписать все самостоятельно, Аноним, 03-Мрт-21, 11:47 (8)
- чувак, держи себя в руках, всегда можно мысль выразить без крепкого словца, а та, Леголас, 03-Мрт-21, 11:48 (9)
- Скоро устройства с предустановленной десяткой можно будет купить только подписав, КО, 03-Мрт-21, 11:54 (13)
- К сожалению, иначе помимо тебя - его сможет запустить тот, другой васян - и не с, пох., 03-Мрт-21, 11:59 (14)
- Напрягись и запасись вазелином - на новом оборудовании уже нет такой возможности, Аноним, 03-Мрт-21, 12:09 (19)
- Компьютер твой, а операционная система нет , Ильф, 03-Мрт-21, 19:26 (196)
К слову о необходимости скуд для стоек доступа в цод и обеспечения физ беза в пр, Аноним, 03-Мрт-21, 11:43 (4) //
- Тут, думаю, скорее не вина даже -- а совершенно безумная надежда на то, что запр, Michael Shigorin, 04-Мрт-21, 10:09 (253) //
  - Старость , Аноним, 04-Мрт-21, 11:18 (259)
  - Сменив на нечто, где даже система команд не документированная и компилер проприе, Аноним, 05-Мрт-21, 05:55 (290)
Дней без обнаруженных сишных дыр 0 , Fracta1L, 03-Мрт-21, 11:44 (5) //
- Мне делом заниматься лень,Но мог бы сделать я немало,Когда бы сишная дыреньУм бу, Фракта1л, 03-Мрт-21, 13:40 (74) //
  - Фрактал Фракталу отвечал, и отвечали все Фракталу , Синдарин, 03-Мрт-21, 13:49 (80)
- Ты просто туповат для этого , Аноним, 03-Мрт-21, 21:40 (218)
А писали бы на C , такого бы не произошло в принципе Язык С давно уже нужно пр, Аноним, 03-Мрт-21, 11:46 (6) //
- Эм, это потому что для C каждые три года не выходит новый стандарт с кучей новых, Леголас, 03-Мрт-21, 11:49 (11) //
  - А зачем пищать Без этого не компилится , Аноним, 03-Мрт-21, 12:15 (25) //
    - метафора не, не слышал, Леголас, 03-Мрт-21, 12:17 (28)
      - Сарказм не, не слышал, Аноним, 03-Мрт-21, 12:21 (34)
        
        как писал анон не так давно в каком-то треде вас тут хрен разберешь, сарказм ил, Леголас, 03-Мрт-21, 12:26 (40)
        Это не сарказм, это неумение читать , Michael Shigorin, 04-Мрт-21, 10:10 (254)
    - Затем, что vi , некая_ычанька, 03-Мрт-21, 13:08 (61)
- Язык Си - универсальный Хочешь - пишешь безопасно, хочешь - пишешь небезопасно , Урри, 03-Мрт-21, 12:16 (26) //
  - На си нет режима безопасно Есть только по долбое ски и по идиотски , т к , Anonim, 03-Мрт-21, 14:43 (100) //
    - у вас в слове Python шесть ошибок Ну или в слове Rust четыре , Урри, 03-Мрт-21, 17:14 (163)
    - Есть, но может задолбать не меньше чем ада адовиков-затейников безопасно уронивш, Аноним, 05-Мрт-21, 05:56 (291)
  - А Rust ещё универсальнее Пишешь, пишешь - и всё напрасно , Аноним, 09-Июн-21, 11:41 (355)
- Давно пора признать устаревшими евровилки, uk вилки и прочие давно существующие , ixrws, 03-Мрт-21, 12:19 (32) //
  - Вчера втыкал евровилку себе в ногу, чуть не отстелил Славо богу я съел недозрев, Аноним, 03-Мрт-21, 21:01 (213) //
    - 2 чая уже можно не подавать , jfdbngh, 04-Мрт-21, 10:57 (258)
  - 10 кВ тебе прямо в квартиру , Аноним, 09-Июн-21, 11:43 (356)
- ЗАДАЧА Прострелить себе ногу C Вы простреливаете себе ногу C Вы случайно со, Аноним, 03-Мрт-21, 12:25 (38) //
  - , Аноним, 04-Мрт-21, 10:31 (256)
  - Начитаться о вреде С и пойти почитать про хруст, ничего не понять но считать что, Аноним, 11-Мрт-21, 11:57 (353)
пусть мелко-мягкие забирают secure boot себе обратно взад, neAnonim, 03-Мрт-21, 11:46 (7)
Если позволяет обойти не нужно, то это даже хорошо , Аноним, 03-Мрт-21, 11:48 (10) //
- Почему бы просто не отключить Secure Boot в настройках BIOSа, раз не нужно , Аноним, 03-Мрт-21, 17:17 (166) //
  - Читай выше по треду, не везде такая опция есть , Аноним, 06-Мрт-21, 13:58 (327)
Время идёт, а линукс в использование TPM и trusted boot, все так же не умеет, но, Аноним, 03-Мрт-21, 11:52 (12) //
- Вот как мс откроет свой загрузчик, там и будем посмотреть Чую печенкой там дыр , Аноним, 03-Мрт-21, 12:07 (15) //
  - Зачем открывать Или безопасность через закрытость вдруг стала работать Если ес, Аноним, 03-Мрт-21, 12:38 (52) //
    - таки да, безопасность через закрытость работает Из за того, что дыры тяжелее об, Аноним, 03-Мрт-21, 13:11 (63)
      - Пока не утечет мастерключ https www opennet ru opennews art shtml num 44950, Аноним84701, 03-Мрт-21, 16:03 (129)
        
        Нет SecureBoot хорошая и нужная вещь Выаидывай ключи M и ставь свои , Аноним, 03-Мрт-21, 17:22 (171)
        
        Только когда мастерключ можно самому прописать, заверив им опенсорсную реализаци, Аноним, 05-Мрт-21, 05:58 (292)
        
        Boot Guard и Secure Boot решают разные задачи, да и на десктопных платах часто м, kmeaw, 05-Мрт-21, 20:21 (304)
        
        Это как Насколько я помню, мастерключ однократно шьется в фузы И кто первый вс, Аноним, 06-Мрт-21, 03:30 (313)
  - Пройдись по новостям на Опеннете, выбери новости Mшcrosoft открыла код и найди, YetAnotherOnanym, 03-Мрт-21, 15:37 (118)
- Подвижки идут, в Clevis есть планы по добавлению TPM 2 0 Authorized Policies, но, sage, 03-Мрт-21, 15:16 (115) //
  - IMA EVM имеет птдержку TPM Пробовали IMA EVM без TPM и с открытием закрытым ключ, Аноним, 03-Мрт-21, 17:30 (173)
- У GNU Linux Integrity уже есть более 10 лет https www opennet ru openforum vs, Аноним, 03-Мрт-21, 17:19 (169)
- А чего тут удивительного Пусть Винда умеет все эти ваши TPM и trusted boot А з, Аноним, 09-Июн-21, 11:51 (357)
Складывается такое впечатление, что безопасники своими навороченными новшествами, Аноним, 03-Мрт-21, 12:07 (16) //
- С разморозкой вас , Последний из могикан, 03-Мрт-21, 12:22 (35)
- походу совсем не те заявленные цели они преследуют, Аноним, 03-Мрт-21, 12:27 (41)
- Чудище обло, огромно, озорно, стозевно и лайяй , трурль, 03-Мрт-21, 15:51 (126)
- В этой ветке не хватает анонима из оупеннета, который напишет как положено А по, Аноним, 03-Мрт-21, 21:03 (214)
- Оно ради вендорлок пилилось, пусть и не полного Безопасность так, как повод , Аноним, 04-Мрт-21, 09:34 (246) //
  - Вендорлок полный не дали сделать антимонопольные органы в США и Европе Но думаю, Аноним, 04-Мрт-21, 11:24 (261) //
    - Ради DRM а и копирасии, вообще-то В идеале сделать из винды второй ифон, с уста, Аноним, 05-Мрт-21, 05:59 (293)
КТО использует всё это дерьмо в реальности и в полном объективном осмыслении , pin, 03-Мрт-21, 12:07 (17) //
- _некоторое_ понижение шансов, что попавший в руки других васянов ноут не получит, пох., 03-Мрт-21, 13:41 (76) //
  - -что-то последнее время мы или проигрываем или опаздываем -ну не знаю, у меня с, Аноним, 03-Мрт-21, 16:13 (133)
Так это не уязвимости, это фичи, секуребут как и уефи - ересь поганая, должна бы, Аноним, 03-Мрт-21, 12:08 (18) //
- формально она есть - берешь и своим ключем подписываешь то, что надо запустить, Аноним, 03-Мрт-21, 12:10 (21) //
  - Ну да - ты подписываешь, а оно не грузит Потому что в железе прошит ключ майков, Урри, 03-Мрт-21, 12:17 (27) //
    - Формально она есть - берёшь и делаешь своё железо заливая туда свой ключ Видимо, Аноним, 03-Мрт-21, 12:18 (31)
    - ты подписываешь, а оно грузит, потому что ты сгенерировал через openssl ключи, к, Аноним, 03-Мрт-21, 12:30 (44)
      - Буду знать, спасибо , Урри, 03-Мрт-21, 20:23 (210)
      - Так это тоже скоро выпилятДля вашей безопасности , Аноним, 03-Мрт-21, 22:54 (225)
        
        Secure Boot нужен в первую очередь крупным организациям Они просто не купят жел, kmeaw, 05-Мрт-21, 20:25 (305)
        
        Для чего Организациям нужно шифрование диска Чтобы если кто-то ночью вломится и, Аноним, 05-Мрт-21, 21:00 (309)
        
        - Как грубо А вот бывает прямо среди дня Какой-то неприметный сотрудник а, Алкоганон, 06-Мрт-21, 05:57 (322)
        
        Вообще не понял, о чём это Средь бела дня троян в систему ставится методом запус, Аноним, 06-Мрт-21, 08:30 (324)
        
        А если не ставится Потому что система не разрешает запустить Да ещё сначала на, Алкоганон, 06-Мрт-21, 17:51 (336)
        
        Что значит а если Вы подгоняете условие под ответ Я тоже так могу а если сис, Аноним, 07-Мрт-21, 00:01 (347)
        
        Очень крутые организации договорятся, а для крестьян выпилят , Аноним, 06-Мрт-21, 14:03 (328)
        А не будут покупать, отключим газ Пусть походят по рынку в поисках оборудован, Аноним, 09-Июн-21, 11:58 (358)
- А в чем проблема самому загенерить свой ключ, подписать им ядро и загрузить в UE, Аноним, 03-Мрт-21, 14:13 (85)
Только вот вчера ночью ставил на локалхост себе арч и выбирал бутлоадер Выбрал , Аноним, 03-Мрт-21, 12:12 (24) //
- Нахрена Чем тебе efistub не нравится Пысы выбор был я так понимаю из lilo и gr, Аноним, 03-Мрт-21, 12:45 (54) //
  - Я выбирал по табличке из вики арча Там у граба были везде плюсы А stub я так п, Аноним, 03-Мрт-21, 19:40 (201) //
    - Не еще одно, а ровно то, которое надо загрузить Просто так оно грузится напряму, Аноним, 03-Мрт-21, 21:51 (219)
- Можно же EFISTUB и systemd-boot или rEFInd использовать И PreLoader для SecureB, anonymous, 03-Мрт-21, 14:15 (86) //
  - Из этих слов я слышал только systemd и grub При этом про первое было куча мата, , Аноним, 03-Мрт-21, 19:42 (202) //
    - Не советую брать за ориентир мнение среднестатистического опеннетовца , Последний из могикан., 04-Мрт-21, 01:26 (233)
    - systemd-boot совсем не равно systemd, edo, 04-Мрт-21, 18:14 (266)
Это легко решить массово и на корню просто отозвав микрософтный ключ , Аноним, 03-Мрт-21, 12:17 (29)
A local attacker with administrative privileges or with physical access to the, Аноним, 03-Мрт-21, 12:21 (33)
Нет слов, одни междометия Почему в языках программирования я делаю string repla, Аноним, 03-Мрт-21, 12:23 (37) //
- не шатай скрепы, смузихлеб, так наши батьки писали, деды писали, и ты пиши, Аноним, 03-Мрт-21, 12:33 (47) //
  - Аминь , Последний из могикан., 04-Мрт-21, 01:23 (232)
Ну и ладно Всё равно вещь бестолковая , iPony129412, 03-Мрт-21, 12:25 (39)
А так можно было 8857 _ 8857 , Аноним, 03-Мрт-21, 12:30 (45) //
- Да, вот именно так удалось прописать P-state на частоту 900MHz для AMD A8-4555M , Аноним, 03-Мрт-21, 18:00 (181)
Coreboot, Последний из могикан, 03-Мрт-21, 12:32 (46) //
- Эти тоже те ещё деятели Зачем-то откидывают поддержку железа, которое люди испо, ryoken, 03-Мрт-21, 13:30 (68) //
  - Среднестатистический пользователь должен страдать за свою глупость,лень и эгоизм, Последний из могикан, 03-Мрт-21, 14:27 (93) //
    - Да ладно Железо покупать каждые два года Это как с Андроид который не обновить, Аноним, 03-Мрт-21, 14:40 (98)
      - Все верно И главное побольше нововведений как символично чтоб от соседа с его ум, Последний из могикан, 03-Мрт-21, 14:46 (101)
        
        Маркетолог однако , Аноним, 03-Мрт-21, 15:45 (124)
    - Какая связь В чём заключается глупость, лень или эгоизм пользователя в данном с, Аноним, 03-Мрт-21, 15:49 (125)
      - 1 Глупость Отсутствие знаний Шаман сказал ему принести двух свиней чтоб он дождь, Последний из могикан, 03-Мрт-21, 16:33 (135)
  - Кто-то запретил использовать те версии, в которых ещё есть поддержка этого желез, kmeaw, 05-Мрт-21, 20:26 (306)
dbx в прошивке обновиться автоматически Нужно ли вручную заходить в uefi и что-, Аноним, 03-Мрт-21, 12:35 (48)
Как будто это что-то плохое , Аноним, 03-Мрт-21, 12:37 (51)
Мда, список таких детских CVE GRUB по-прежнему pешето , nuclight, 03-Мрт-21, 12:56 (56)
давно такого не было и вот опять , jura12, 03-Мрт-21, 13:02 (58)
Поправьте плз По сабжу - SecureBoot в печь Ну и вместо GRUB2 тогда rEFInd для , ryoken, 03-Мрт-21, 13:22 (65) //
- На верифакапцию , n00by, 03-Мрт-21, 14:32 (96)
Был же grub 0 97 и горя не знали, а теперь жду новость после обновления grub2 у, Адекват, 03-Мрт-21, 13:31 (69) //
- Не знали, только вот он немного не умеет грузиться на компьютерах десятилетней , пох., 03-Мрт-21, 13:44 (78)
Все секур бут уязвимости решаются одним переключателем в прошивке Только полное, mymedia, 03-Мрт-21, 13:37 (73) //
- Я понимаю твою точку зрения, но ты мне не нравишься Я считаю её ошибочной Гора, Аноним, 03-Мрт-21, 14:10 (84) //
  - если тайная аркадия делает ружье, то оно стреляет на 359 градусов и у пользовате, Аноним, 03-Мрт-21, 19:05 (192)
- Если ты его отключишь, то безопаснее от этого не станет Просто атакующему не , Аноним, 03-Мрт-21, 14:27 (94) //
  - Ну загрузит он недоверенную ОС и загрузит Шифрованные разделы от этого не расши, Онаним, 03-Мрт-21, 14:52 (104) //
    - Если подменить загрузчик он же в принципе не может быть зашифрованным , то впол, Аноним, 03-Мрт-21, 14:55 (106)
      - Secure Boot внезапно от этого не защищает вообще, потому что при наличии возможн, Онаним, 03-Мрт-21, 15:04 (108)
        
        Что значит root-доступ Кто-то писал что не видит проблем с загрузкой недовере, Алкоганон, 06-Мрт-21, 06:31 (323)
        
        Это значит, что никакой secure boot уже не важен и не интересен, поскольку сторо, Онаним, 06-Мрт-21, 09:57 (326)
        
        Это без SecureBoot оно DOS имеет доступ, поскольку загрузилось своим загрузчи, Алкоганон, 06-Мрт-21, 16:24 (330)
        
        Оно никуда не загружалось, оно туда в результате юзера, кликнувшего на поступив, Онаним, 06-Мрт-21, 16:33 (331)
        
        Говорилось о загрузке недоверенной ОС Теперь уже поступивший счёт exe - Ну , Алкоганон, 06-Мрт-21, 17:32 (332)
        
        Ты то ли читать не умеешь, то ли осмысливать, уж извини Говорилось о том, что ес, Онаним, 06-Мрт-21, 17:46 (333)
        
        Так права такие потому что ОС такая загружена, недоверенная, потому что Secure B, Алкоганон, 06-Мрт-21, 18:16 (338)
        И замок висит Амбарный , Онаним, 06-Мрт-21, 18:45 (339)
        Ага И секуритати туда сюда прогуливаются Такие С восточными чертами , Алкоганон, 06-Мрт-21, 18:49 (341)
        ну или Папу следует самое позднее к завтраку ждать - , Алкоганон, 06-Мрт-21, 18:52 (343)
        
        если проще, secure boot - это иллюзия мнимой безопасности нет смысла менять за, Онаним, 06-Мрт-21, 17:53 (337)
        
        Ага Началось Продолжение а может просто сразу в морду А если не прощ, Алкоганон, 06-Мрт-21, 18:46 (340)
        Как ты собрался подменять загрузчик без доступа к системе А если у тебя есть дос, Онаним, 06-Мрт-21, 18:52 (342)
        А ведь делали вид что зашифрованные разделы что-то особенного для вас , Алкоганон, 06-Мрт-21, 19:04 (344)
        Ты серьёзно читать не умеешь Ну реально Ещё раз по буквам 1 Если есть достаточ, Онаним, 06-Мрт-21, 19:54 (345)
        Вообще-то, через физический доступ намного проще Троян для загрузчика ещё написа, Аноним, 06-Мрт-21, 23:42 (346)
      - если проще 1 В случае root доступа secure boot уже не важен2 В случае физичес, Онаним, 03-Мрт-21, 15:09 (109)
        
        У людей заботящихся о своей безопасности одного пароля для расшифровки диска мал, Арчевод, 04-Мрт-21, 22:43 (270)
        
        Как насчёт модулей DRAM, на которых есть немножечко логики и флеша, и которые по, Онаним, 06-Мрт-21, 17:48 (334)
        никогда не думали, что физический доступ открывает безграничные возможности , Онаним, 06-Мрт-21, 17:49 (335)
      - Подменённый загрузчик ещё не означает расшифрованные разделы, его подменяют как , Аноним, 03-Мрт-21, 17:15 (164)
- А как именно , Аноним, 03-Мрт-21, 15:43 (121) //
  - Переключателем read-only, который запрещает софтверно обновлять все важные компо, kmeaw, 05-Мрт-21, 20:29 (307) //
    - Проблема в том что хакеры ничем таким принципиально от этого админа не отличаютс, Аноним, 06-Мрт-21, 03:35 (314)
- Некоторым конечно и ограничивать нужно, но паролем, а не подписями которые любой, Аноним, 03-Мрт-21, 15:51 (127)
Ну, это даже хорошая новость если подумать Лучше была бы новость только о том, , jOKer, 03-Мрт-21, 14:10 (83) //
- Здесь скорее дырявое его использование в основных дистрибутивах и загрузка всего, Аноним, 03-Мрт-21, 14:17 (88) //
  - Ну, для того надо выполнить несколько условий версия не ниже 3 13 поправьте, е, ryoken, 03-Мрт-21, 14:28 (95) //
    - Если используется ядро ниже 3 13 которое уже давно устарело или отключен EFIST, Аноним, 03-Мрт-21, 14:37 (97)
Ну вот смотрите, 5 8 уязвимостей это манипуляции с памятью и буфером Ну если , Анон Анонов, 03-Мрт-21, 14:23 (91)
Кому нужен этот гроб, когда ядро поддерживает EFI Stub , Аноним, 03-Мрт-21, 15:13 (111)
А почему все сертификаты для загрузчиков надо заверять в Microsoft , village_coder, 03-Мрт-21, 15:32 (117) //
- Потому что в чужой монастырь со своим уставом не ходят Дадада, материнская плат, YetAnotherOnanym, 03-Мрт-21, 15:44 (122)
- Осторожная правда почему сертификаты опасны , не плохо ты понял , но не остальны, anonim234, 03-Мрт-21, 16:12 (132)
- Не надо SecureBoot на x86 позволяет сгеренировать и использовать свои ключи для, Арчевод, 03-Мрт-21, 16:42 (139)
- Потому что у тебя с твоими 1 десктопов не выйдет убедить всех производителей, в, пох., 03-Мрт-21, 17:19 (168) //
  - Да они и без нас прогадили, вон даже линк на новость нашли Отзывать не будут, в, Аноним, 06-Мрт-21, 03:38 (316)
- Потому что не надо Можешь загрузить свой ключ, почти все платформы поддерживают, Онаним, 03-Мрт-21, 18:25 (189)
- Потому что быть богом и держать всю планету за вымя - круто , Аноним, 06-Мрт-21, 03:37 (315)
Народ, почему долго может загружаться Линукс причем разные дистрибутивы, сначал, Николай, 03-Мрт-21, 15:44 (123) //
- Причин может быть коллосальное множество так что рецепта не дадим ибо диагноз не, Последний из могикан, 03-Мрт-21, 16:42 (138)
- Попробуйте утилиту systemd-analysis Она может показать что долго запускается , Аноним, 04-Мрт-21, 22:39 (269)
Плохо что-ли Хорошо , Аноним, 03-Мрт-21, 15:57 (128)
Опять загрузчик GRUB атакуют, чтобы свои буткиты пихать Напомню, что согласно с , Аноним, 03-Мрт-21, 16:11 (131) //
- https www gnu org software grub manual grub grub html Using-digital-signatures, Аноним, 03-Мрт-21, 16:53 (147)
Тут в коментариях столько экспертов что нужно провести разъяснительную работу,, Арчевод, 03-Мрт-21, 16:37 (136) //
- Зри в корень Ставиш libreboot и этим рубишь гордиев узел Не хочешь-ну затыкай с, Последний из могикан, 03-Мрт-21, 16:44 (141) //
  - Это если железка поддерживает А если нет как оно бывает в большинстве случаев , Арчевод, 03-Мрт-21, 16:48 (145) //
    - значит придёться смириться, что где-то там на железе крутится полноценная ось , Аноним, 03-Мрт-21, 17:44 (178)
      - Это всё очень плохо, но я предпочитаю защищиться от реальных угроз для чего Sec, Арчевод, 03-Мрт-21, 18:18 (187)
        
        Как говорится, безопасность бывает только 2 уровней - high и нехай , Аноним, 06-Мрт-21, 03:41 (317)
- А systemd-boot, тем более, не нужен , Аноним, 03-Мрт-21, 17:01 (152) //
  - Только потому что у него в имени есть systemd К сведению всех systemd-хейтеров,, Арчевод, 03-Мрт-21, 18:51 (191)
- Это очень хорошо и необходимо для Integrity Меня беспокоит вопрос отсутствия в с, Аноним, 03-Мрт-21, 17:10 (156) //
  - Многие прошивки позволяют выбирать устройство для загрузки и без GRUB а , Аноним, 03-Мрт-21, 17:21 (170) //
    - Мне не надо выбор загрузочного устройства Мне надо бутнуть ISO образ LiveCD DVD , Антним, 03-Мрт-21, 17:37 (175)
      - GRUB2 может бутнуть ISO образ с LiveCD DVD даже по сети , Антним, 03-Мрт-21, 17:38 (176)
      - А, понял, неправильно прочитал исходное сообщение , Аноним, 03-Мрт-21, 17:41 (177)
  - во-во вот что нужно обсуждать, а не столько функционал уефи и какие-то там фичи, Аноним, 03-Мрт-21, 17:50 (179) //
    - Вообще-то на совсеменных платах для этих целей есть TPM Проблема не в том, что , Арчевод, 03-Мрт-21, 18:43 (190)
      - Чего экономии Надо всего отвести однy дорожку от контакта 1 SPI flash, другую д, Аноним, 04-Мрт-21, 07:17 (243)
      - При том это еще один проц с мутной блобварью Которому предлагается доверять все, Аноним, 06-Мрт-21, 03:42 (318)
    - На чипсетах Intel, UEFI и его ключи защищены Корневым ключом платформы который, Аноним, 04-Мрт-21, 07:29 (244)
      - Вашим То есть я могу добавить туда свой ключ Но тогда и злоумышленник может , Аноним, 04-Мрт-21, 22:43 (271)
        
        уже нет, если ты свой добавил правильно уже нет, если только ты не соберешь себе, пох., 05-Мрт-21, 17:52 (302)
        
        А правильно 8212 это как Как это сныкан Он ещё не добавлен же Почему я могу , Аноним, 05-Мрт-21, 20:58 (308)
  - Да, замечание верное Кстати, болта в хромбуках нет уже несколько лет - использу, Арчевод, 03-Мрт-21, 18:02 (183)
- boot на корневом разделе, который зашифрован LUKS Ни один загрузчик кроме grub, BSD_Cuck_BTFO, 03-Мрт-21, 17:29 (172) //
  - Такое реально сделать и с загрузкой через EFISTUB Подписанные ядро и initramfs , Аноним, 03-Мрт-21, 17:31 (174) //
    - Могут А что, если сами ядро и initramfs находятся на зашифрованном разделе Вот, BSD_Cucks_BTFO, 03-Мрт-21, 17:54 (180)
      - А зачем Все равно что-то должно быть не зашифровано - либо GRUB, либо ядро В ч, Аноним, 03-Мрт-21, 18:00 (182)
        
        Ну либо у вас только один EFI-раздел где только один грубовский efi-executable , BSD_Cucks_BTFO, 03-Мрт-21, 18:05 (184)
        
        В моем случае на EFI-разделе лежит всего один файл - ядро initramfs параметры ко, Аноним, 03-Мрт-21, 18:16 (186)
        
        Так а при каждом обновлении ядра переподписывать выходит надо , Аноним, 04-Мрт-21, 22:47 (273)
        
        И при каждой смене параметров А если обновился, и новое ядро не грузится, то хре, Аноним, 04-Мрт-21, 22:58 (275)
        
        При кооперативном boot loader в SPI флехе может быть в принципе шифровано вообще, Аноним, 06-Мрт-21, 03:44 (319)
      - Как уже сказали выше, efi раздел всё-равно остаётся незашифрованным Так что пра , Арчевод, 03-Мрт-21, 18:16 (185)
        
        Ого, круто Про unified kernel image не знал Спасибо за инфу , BSD_Cucks_BTFO, 03-Мрт-21, 18:23 (188)
- Чувак ты не прав 1 ГУАШ секурбут это плохо, ибо приколочем к ключам МС, которая, Аноним, 03-Мрт-21, 20:18 (209) //
  - Каким образом Без уязвимостей в прошивке такое сделать довольно проблематично Ос, Аноним, 03-Мрт-21, 21:58 (222)
- Хорошо для чего Или от чего От какой угрозы она должна меня защитить , Аноним, 04-Мрт-21, 00:05 (228) //
  - https en wikipedia org wiki Evil_maid_attack, Арчевод, 04-Мрт-21, 05:18 (240) //
    - А конкретнее Например, под это описание подходит аппаратный кейлоггер, записываю, Аноним, 04-Мрт-21, 05:35 (241)
      - Причем здесь кейлогер Integrity это верификация аутентичности и целостности загр, Аноним, 04-Мрт-21, 09:40 (248)
        
        Был вопрос От какой угрозы она должна меня защитить Кинули ссылку По ссылке , Аноним, 04-Мрт-21, 22:43 (272)
      - https www opennet ru openforum vsluhforumID3 123444 html 244Где в этом процесс, Аноним, 04-Мрт-21, 09:45 (249)
      - Задача SecureBoot это защита от подмены встраивания вредоносного кода в процесс , Арчевод, 04-Мрт-21, 22:36 (268)
        
        Позволит, конечно Иначе было бы невозможно переустановить ОС, ведь загрузчик пр, Аноним, 04-Мрт-21, 23:07 (276)
        
        Нет Её и невозможно переустановить без отключение SecureBoot - ничего просто не, Арчевод, 05-Мрт-21, 00:43 (280)
        
        Опасная затея В случае проблем например после апдейта система не грузится ис, Аноним, 05-Мрт-21, 00:58 (281)
        
        Можно проще Без Yubikey-я и SecureBoot-а Просто шифруем ВЕСЬ диск LUKS-ом А за, Аноним, 05-Мрт-21, 02:10 (282)
        
        Флешка плохая замена Yubikey, потому что Yubikey нельзя скопировать, его можно т, Арчевод, 05-Мрт-21, 06:15 (294)
        
        Можно не копировать На ней просто стандартный загрузчик, как на live-диске убун, Аноним, 05-Мрт-21, 16:10 (299)
        
        Ну, не копировать, а подменить на затрояненный с кейлоггером И нет, это не надё, Арчевод, 06-Мрт-21, 02:18 (310)
        
        Нет, он гарантирует лишь то, что загрузчик подписан ключами из UEFI Но там мо, Аноним, 06-Мрт-21, 08:46 (325)
Перипись шизиков в комментариях Аряяяя зандыыы ну мааам ну скажи им что зонды, msgod, 03-Мрт-21, 16:45 (142) //
- Прости, но правда похоже на зонды Вспомнилась история ох не соврать бы, надеюс, kusb, 03-Мрт-21, 19:27 (197) //
А вот ещё какой вопрос, немного не к месту, но всё-таки Есть UEFI для BIOS, прос, kusb, 03-Мрт-21, 19:47 (204) //
- Нет никакого uefi для bios Это вообще понятия из разных веков У тебя в голове, пох., 03-Мрт-21, 19:51 (207) //
  - Я поумнее тебя буду , kusb, 03-Мрт-21, 20:42 (211) //
    - Кто у нас самозванец , kusb, 03-Мрт-21, 21:56 (221)
  - Не спорю В чём А вообще - конечно обидно Uefi для биос это DUET И я скорее не , kusb, 03-Мрт-21, 22:01 (223) //
    - хотя бы почитать, что такое uefi, как устроен, и что такое биос uefi к basic in, пох., 03-Мрт-21, 22:39 (224)
      - пох, оппонент косноязычен но ключевое слово назвал Читать здесь http www rodsb, RM, 04-Мрт-21, 01:18 (230)
        
        и еще https wiki archlinux org index php Clover, RM, 04-Мрт-21, 01:30 (234)
        оппонент, похоже, слышал звон, но не понял, что он - об эмуляторе uefi прошлого , пох., 04-Мрт-21, 10:09 (252)
        
        Я про эмулятор UEFI и говорил, я же там задавал вопрос про обратный эмулятор, то, kusb, 04-Мрт-21, 17:21 (264)
        
        Не факт что такое есть Но наверное при сильном желании можно что-то напоминающе, Аноним, 06-Мрт-21, 04:42 (321)
  - Вообще-то есть Минимальные затычки времени бутлоадера, предоставляющие EFI ser, Аноним, 06-Мрт-21, 03:52 (320)
Это г но еще и уязвимо не удивили, Аноним, 03-Мрт-21, 19:53 (208) //
- это ты про grub Ну да, ничего удивительного Как им таким ms доверила свои ключ, пох., 03-Мрт-21, 20:55 (212) //
  - grub2 хотя откуда школьнику знать о grub, Аноним, 04-Мрт-21, 09:47 (250)
me до сих пор не понимает, какие преимущества для просто пользователя дает этот, Аноним, 03-Мрт-21, 21:25 (216) //
- простому пользователю не нужен никакой uefi Кнопку нажимаешь, немножко ждешь, г, пох., 03-Мрт-21, 22:56 (226)
Это фича , Аноним, 03-Мрт-21, 21:38 (217)
опять сишные дырени ну сколько можно , Аноним, 03-Мрт-21, 23:14 (227) //
- А что такого , Аноним, 06-Мрт-21, 14:14 (329)
Что за паника и ересь на ровном месте Баг в grub-е Значит, даже если мы хотим п, Аноним, 04-Мрт-21, 00:16 (229) //
- Хакеры могут использовать старые shim и grub, наверное, они же подписаны , kusb, 04-Мрт-21, 03:49 (238) //
  - Использовать для чего Хакеры могут и свой ключ в UEFI прописать, как тут в ком, Аноним, 04-Мрт-21, 05:01 (239) //
    - Ты ничего не понял Новые версии системы протроянили Задача заставить пользоват, Аноним, 04-Мрт-21, 07:04 (242)
    - только если ты полный лох и оставил его доступным для записи При включенном tpm, пох., 04-Мрт-21, 09:58 (251)
      - Опять пофантазирую Тогда лучше все сторонние и тоже потенциально опасные ключи , kusb, 04-Мрт-21, 13:48 (263)
      - А если система сломалась и не грузится, то всё, приехали Загрузиться с live-дис, Аноним, 04-Мрт-21, 22:57 (274)
        
        С TPM - да, конечно Иначе кто-то левый тебе с диска с убунточкой загрузится С, пох., 04-Мрт-21, 23:09 (277)
        
        Ну да Есть аппаратное шифрование диска Оно гарантирует целостность И работает, Аноним, 05-Мрт-21, 00:10 (278)
        
        вообще-то хер его знает, чего оно там гарантирует Пару раз уже оказывались таки, пох., 05-Мрт-21, 08:18 (297)
        
        Смотря на что ксорить Шифрование 8212 это довольно часто ксор Например, в A, Аноним, 05-Мрт-21, 16:24 (301)
      - Да я не о том Я имею ввиду откуда вообще столько беспокойств Ну нашли баг в гру, Аноним, 05-Мрт-21, 00:36 (279)
        
        Тебе что непонятно в системе с trusted keys Переподписать можно - но с тем же у, пох., 05-Мрт-21, 08:11 (296)
        
        А зачем тебе для этого старая версия груба Откуда вообще беспокойства по поводу, Аноним, 05-Мрт-21, 16:15 (300)
Безопасный Secure Boot говорили они 8230 Как говорится на Microsoft надейся, а , fuggy, 04-Мрт-21, 02:24 (235) //
- Да, безопасность превращается в тыкву если один из подписанных загрузчиков можно, kusb, 04-Мрт-21, 17:26 (265)
груб был успехом с удовольствием свитчились с лило синтаксис, красота конфига,, олдфаг, 04-Мрт-21, 09:09 (245) //
- grub2 придуман неосиляторами sed и человекочитаемых конфигов, что ты от них хоте, пох., 04-Мрт-21, 10:11 (255) //
  - gummiboot хватит для всех , n00by, 04-Мрт-21, 12:29 (262)
- Именно, вот тебе и двойка в названии - а г нище редкостное , Аноним, 08-Мрт-21, 15:18 (351) //
  - Именно Эффект второй системы в чистейшем и незамутнённомThe second-system effe, олдфаг, 09-Мрт-21, 09:29 (352)
Как это мне удержаться и не заржать так сильно, что аж вселенная могла бы тресну, Ананоним, 04-Мрт-21, 22:13 (267)
дяденька Red Hat, а это точно уязвимость , Аноним, 05-Мрт-21, 02:13 (283)
У кого-нибудь были сомнения что СерураБУТ - и есть дыра в безопастности Чем про, Аноним, 05-Мрт-21, 07:15 (295)
ох ительная безопасность которую можно обойти загрузившись со старой версией заг, Аноним, 07-Мрт-21, 17:56 (348) //
- Можно и с новой подписанной версии загрузиться Не понимаю, откуда вся эта паника, Аноним, 08-Мрт-21, 00:34 (349)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру