abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 16:22 | Zajímavý článek

    Argentinec, který byl náhodně zachycen Google Street View kamerou, jak se zcela nahý prochází po svém dvorku, vysoudil od internetového giganta odškodné. Soud uznal, že jeho soukromí bylo opravdu porušeno – Google mu má vyplatit v přepočtu asi 12 500 dolarů.

    Ladislav Hagara | Komentářů: 5
    včera 13:55 | IT novinky

    Eben Upton, CEO Raspberry Pi Holdings, informuje o RP2350 A4, RP2354 a nové hackerské výzvě. Nový mikrokontrolér RP2350 A4 řeší chyby, i bezpečnostní, předchozího RP2350 A2. RP2354 je varianta RP2350 s 2 MB paměti. Vyhlášena byla nová hackerská výzva. Vyhrát lze 20 000 dolarů.

    Ladislav Hagara | Komentářů: 0
    29.7. 14:44 | IT novinky

    Představen byl notebook TUXEDO InfinityBook Pro 15 Gen10 s procesorem AMD Ryzen AI 300, integrovanou grafikou AMD Radeon 800M, 15,3 palcovým displejem s rozlišením 2560x1600 pixelů. V konfiguraci si lze vybrat až 128 GB RAM. Koupit jej lze s nainstalovaným TUXEDO OS nebo Ubuntu 24.04 LTS.

    Ladislav Hagara | Komentářů: 15
    29.7. 13:44 | Nová verze

    Po půl roce od vydání verze 2.41 byla vydána nová verze 2.42 knihovny glibc (GNU C Library). Přehled novinek v poznámkách k vydání a v souboru NEWS. Vypíchnout lze například podporu SFrame. Opraveny jsou zranitelnosti CVE-2025-0395, CVE-2025-5702, CVE-2025-5745 a CVE-2025-8058.

    Ladislav Hagara | Komentářů: 0
    29.7. 06:00 | Nová verze

    Byla vydána nová verze 9.15 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    28.7. 21:22 | Zajímavý software

    Společnost CORSAIR podporuje svůj systém iCUE LINK pouze ve Windows a macOS. Jak jej ovládat v Linuxu? OpenLinkHub (GitHub) je open source linuxové rozhraní k iCUE LINK. Z webového rozhraní na adrese http://localhost:27003 lze ovládat RGB osvětlení, rychlost ventilátorů, nastavovat klávesnice, myši, headsety…

    Ladislav Hagara | Komentářů: 0
    28.7. 15:11 | Zajímavý článek

    Ve funkci koordinátora k bitcoinové kauze skončil bývalý ústavní soudce David Uhlíř. Informaci, kterou zveřejnil Deník N, potvrdila Radiožurnálu ministryně spravedlnosti Eva Decriox (ODS). Uvedla, že odchod byl po vzájemné dohodě. „Jeho mise je ukončená, auditní procesy se už povedlo nastavit,“ řekla. Teď má podle ministryně další kroky podniknout policie a státní zastupitelství. Koordinátorem jmenovala ministryně Uhlíře 19. června.

    Ladislav Hagara | Komentářů: 16
    28.7. 13:00 | Nová verze

    Byla vydána nová verze 25.07.26 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Nejnovější Shotcut je již vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

    Ladislav Hagara | Komentářů: 0
    28.7. 00:11 | Nová verze

    Po 9 týdnech vývoje od vydání Linuxu 6.15 oznámil Linus Torvalds vydání Linuxu 6.16. Přehled novinek a vylepšení na LWN.net: první a druhá polovina začleňovacího okna a Linux Kernel Newbies.

    Ladislav Hagara | Komentářů: 5
    25.7. 19:55 | IT novinky

    Americký výrobce čipů Intel propustí 15 procent zaměstnanců (en), do konce roku by jich v podniku mělo pracovat zhruba 75.000. Firma se potýká s výrobními problémy a opouští také miliardový plán na výstavbu továrny v Německu a Polsku.

    Ladislav Hagara | Komentářů: 40
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (29%)
     (28%)
     (6%)
     (6%)
     (4%)
     (1%)
     (2%)
     (24%)
    Celkem 179 hlasů
     Komentářů: 21, poslední včera 22:56
    Rozcestník

    Zranitelnost Windows UEFI Secure bootu

    Byly zveřejněny informace o zranitelnosti Windows UEFI Secure bootu. Útočník může bezpečnostní mechanismy secure bootu obejít. Podrobnosti v článku Secure Golden Key Boot od @never_released a @TheWack0lian.

    11.8.2016 15:55 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    11.8.2016 16:30 Sten
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Chyba je v nových Windows již opravená, ale protože se nachází ve spoustě instalaček, tak nejde jen tak zablokovat.

    Mimochodem celé to je způsobené tím, že MS na některých zařízeních nedovoluje SecureBoot vypínat:
    A backdoor, which MS put in to secure boot [aby šlo zavádět nepodepsané ovladače během jejich vývoje] because they decided to not let the user turn it off in certain devices, allows for secure boot to be disabled everywhere!
    11.8.2016 17:17 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Pokud to čtu správně (jen sem to teď na rychlo proletěl, neměl jsem čas to v tuto chvíli číst detailněji), tak je to jen problém v Microsoftím UEFI boot manageru. Pokud člověk smaže všechny klíče MS / výrobce z UEFI a enrollne své vlastní, kterými si podepisuje svůj vlastní boot manager (GRUB, který následně bootuje ze šifrované /boot partition), tak by to snad stále mělo být "neprůstřelné" (samozřejmě do té míry do jaké je neprůstřelný BIOS / UEFI firmware, do toho nikdo nevidí a klidně tam mohou být zadní vrátka či exploit).
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    11.8.2016 17:29 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Vlastně ta zranitelnost je dobrá věc :-) Konečně se pujde dostat do uzamčených MS-only zařízení (různé ARM tablety tuším)! ;-) A zařízení kde si mohu do UEFI nahrát vlastní klíče (všechny x86 notebooky a desktopy) zůstávají bezpečná (respektive ponechávají alespoň to zdání bezpečnosti Secure Bootu proti evil maids ;-))
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    Conscript89 avatar 11.8.2016 19:52 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    No, co jsem si hral se securebootem, tak smazat vse muze byt taky na skodu, na Dellu pak prestala fungovat grafika, protoze se nejak nepovedlo firmwaru overit firmware grafiky :)
    I can only show you the door. You're the one that has to walk through it.
    11.8.2016 20:21 Mike
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Na Thinkpadech s tím problém není (ani na nejnovější Intel Skylake generaci), smazat klíče Lenova a Microsoftu je první věc kterou tam dělám, jinak to není Secure Boot ale Backdoor Boot ;-)
    12.8.2016 00:27 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    No, secureboot by mel teoreticky overovat i firmware vymenitelnych karet (takze ta grafika chodit nebude). Ale nastesti existuji dve reseni - to slozitejsi je podepsat ten firmware svym klicem a dostat ho zpatky do grafiky. To jednodussi je spocitat si hash toho firmwaru a pridat ho do db.
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    12.8.2016 02:12 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Hmm řeší secureboot možnost toho, že pro podpis poskytnu jeden image a pro execute jinej? (nebo si to všechno spouští z RAM shadow)
    12.8.2016 13:16 Sten
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Nevím, jaká by byla výhoda poskytovat SecureBoot vůbec nějaký image. Pokud ten HW přesvědčíte, že má načíst nějaký firmware, ale nemá ho při načítání ověřit přes SecureBoot, tak se spustí bez ověření. Pokud vytvoříte HW, který SecureBoot řekne, že nemá žádný firmware k ověření, tak SecureBoot mu bude opět věřit.
    13.8.2016 01:41 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Tak pokud při ROM scanu nějakej hardware řekne, že nemá žádný firmware, tak ho ani normální BIOS nespustí.
    Conscript89 avatar 11.8.2016 20:03 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Tak jsem si zbezne precetl citovany clanek. Ano, titulek je bulvarni a naprosto zadadejici. Bezne vyhrady k panu Hagarovi nemam, ale zde by bylo opravdu vhodne titulek zmenit napr. na "Zranitelnost Windows UEFI bootloaderu".
    I can only show you the door. You're the one that has to walk through it.
    11.8.2016 20:27 Mike
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Také se přimlouvám za změnu titulku i textu zprávičky, obojí je silně zavádějící. Jedná se pouze o díru ve Windows UEFI bootloaderu, nikoliv v Secure Bootu jako takovém.
    11.8.2016 20:45 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Podrobnosti v článku
    Autorovi odkazovaného "článku" posílám diamantového bludišťáka -- příště by to eště mohlo třeba blikat v duhovejch barvách, kokote.
    11.8.2016 20:54 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Podrobnosti v článku
    Náhodou je to super, taková krásná nostalgie na časy Amigy, DOSu, demoscény, atd. Pobavilo ;-)
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    12.8.2016 11:11 Xerces
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Tyhlety Secure Booty každého jen otravují. Já bych je vypnul. Ale myslím to upřímně.
    12.8.2016 13:03 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    A jak bys zajistil notebook proti "evil maid"? Jedině bootovat vždy z USB flashky, kterou máš neustále u sebe a nikdy jí nenecháš v notebooku, když se od něj vzdálíš. Ale to není zrovna pohodlné.

    Nebo použít TPM čip a něco jako tpmtotp pro autentikaci bootchainu pomocí OTP (třeba z mobilu). Ale to opět není moc pohodlné, kontrolovat při každém bootu sérii čísel na mobilu, který třeba člověk nemusí mít zrovna u sebe.

    Secure Boot je rozhodně dobrá věc, ale jedině tehdy, když si tam člověk nahraje svoje vlastní klíče, kterými podepisuje svůj vlastní bootloader.
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    13.8.2016 01:43 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Secure Boot je rozhodně dobrá věc, ale jedině tehdy, když si tam člověk nahraje svoje vlastní klíče, kterými podepisuje svůj vlastní bootloader.
    On hlavně i ten SB by měl být opensource, aby se dalo věřit, že nemá backdoory a nebo jen obyčejný díry.
    13.8.2016 02:54 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    To by museli panacci opensourcnout cely UEFI BIOS...
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    13.8.2016 03:14 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    better than extected :-D
    Conscript89 avatar 13.8.2016 12:16 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Tak co jsem videl treba na IBM serverech, tak tam jen maji upraveny TianoCore EDK2. Ale co maji v mobilech a tak, to netusim.
    I can only show you the door. You're the one that has to walk through it.
    12.8.2016 12:22 Bill Gates
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Dobry den, jsem tu spravne na abclinuxu?
    Conscript89 avatar 12.8.2016 13:22 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Jsi, dusledek je, ze pokud chce clovek provozovat pouze Linux s UEFI Secure Boot, tak si ma smazat klice co jsou ve stroji a nahrat si vlastni, nebo proste jen ty, kterym duveruje.
    I can only show you the door. You're the one that has to walk through it.
    12.8.2016 14:53 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Pro doplnění, z příspěvku na blogu Matthewa Garretta:

    There are two commonly used Microsoft Secure Boot keys. The first is the one used to sign all third party code, including drivers in option ROMs and non-Windows operating systems. The second is used purely to sign Windows. If you delete the second from your system, Windows boot loaders (including all the vulnerable ones) will be rejected by your firmware, but non-Windows operating systems will still work fine.
    Conscript89 avatar 12.8.2016 15:11 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    +1
    I can only show you the door. You're the one that has to walk through it.
    12.8.2016 15:28 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Proč bych tam měl nechávat jakékoliv klíče Microsoftu a OEM výrobce? Smazat je potřeba všechny (včetně hlavního Platform Key) jinak si tam člověk nechává zadní vrátka a rozhodně bych to pak nenazýval "Secure Boot" ("secure" je to jen tehdy, mám li tam nahrané jen a pouze vlastní klíče, jinak mě to neochrání).
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    Conscript89 avatar 12.8.2016 15:39 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    A ten firmware jsi tam taky nahral? Vzdy je to o tom, komu jak veris.
    I can only show you the door. You're the one that has to walk through it.
    12.8.2016 16:22 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    To jsem psal přeci hned na začátku téhle diskuze, že je to možná jen spíš "zdání bezpečnosti", protože nikdo neví, jestli v samotném UEFI firmware není backdoor / exploit. Ale pořád se budu cítit bezpečněji, když se budu bát jen backdooru / exploitu v samotném UEFI firmware, než když vím, že jsem tam "pod rohožkou" nechal klíče Microsoftu ;-) Prostě snížím množství možných vektorů útoku.

    Jinak ThinkPady to mají zdá se řešeno vcelku dobře: ThinkPad BIOS Password Design for UEFI (confidential prezentace Lenova z roku 2010, PDF). Existuje sice postup, jak Supervisor Password resetovat i na moderních ThinkPadech (na těch starších to bylo jednodušší), ale obnáší to přečíst a přeprogramovat firmware přes HW programátor a vyresetovat TPM čip. Není to tedy rychlý postup (dostat se k tomu čipu není zrovna lehké, znamená to de facto rozebrat celý notebook, a i to vyčtení a přeprogramování trvá), který by mohla jen tak narychlo aplikovat "evil maid", a bránit se dá proti tomu i fyzicky (např. vteřinovým lepidlem či epoxidem ;-)). Už to že ten postup pokud vím umí jen jediná rumunská firma, která se na to specializuje už dlouhá léta, a samotné Lenovo v případě zapomenutí Supervisor Passwordu vyměňuje dotyčnému celou základní desku, o něčem vypovídá :-)
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    13.8.2016 01:48 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    The first is the one used to sign all third party code, including drivers in option ROMs and non-Windows operating systems. The second is used purely to sign Windows. If you delete the second from your system, Windows boot loaders (including all the vulnerable ones) will be rejected by your firmware, but non-Windows operating systems will still work fine.
    Že z toho cítím zprávu mezi řádky, o tom, co se stane, pokud se smaže ten první? :-D

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.