abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 04:22 | Nová verze

    Hudební přehrávač Amarok byl vydán v nové verzi 3.3 "Far Above the Clouds". Nově je postaven na Qt6/KF6 a využívá GStreamer místo Phononu.

    Ladislav Hagara | Komentářů: 0
    včera 18:11 | IT novinky

    Společnost IBM představila novou generaci svých serverů: IBM Power11.

    Ladislav Hagara | Komentářů: 0
    včera 15:33 | Komunita

    Multiplatformní digitální pracovní stanice pro práci s audiem Ardour byla postavena na GTK2. Vývojáři neplánovali její portaci na GTK3 nebo GTK4. Naopak, v lednu loňského roku si vytvořili vlastní fork GTK2 s názvem YTK. Ten v únoru letošního roku přestal být volitelným a nově byla zcela odstraněna podpora GTK2.

    Ladislav Hagara | Komentářů: 7
    včera 11:33 | Nová verze

    Byla vydána nová verze 6.4 linuxové distribuce Parrot OS (Wikipedie). Jedná se o linuxovou distribuci založenou na Debianu a zaměřenou na penetrační testování, digitální forenzní analýzu, reverzní inženýrství, hacking, anonymitu nebo kryptografii. Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    včera 11:22 | Pozvánky

    Společnost initMAX pořádá sérii bezplatných webinářů věnovaných novému Zabbixu 7.4. Podrobnosti a registrace na webu initMAX.

    … více »
    Heřmi | Komentářů: 0
    včera 03:44 | Nová verze

    Byla vydána verze 7.0 open source platformy pro správu vlastního cloudu OpenNebula (Wikipedie). Kódový název nové verze je Phoenix. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 1
    včera 00:11 | Nová verze

    E-mailový klient Thunderbird byl vydán ve verzi 140.0 ESR „Eclipse“. Jde o vydání s dlouhodobou podporou, shrnující novinky v upozorněních, vzhledu, správě složek a správě účtů. Pozor, nezaměňovat s průběžným vydáním 140.0, které bylo dostupné o týden dříve.

    Fluttershy, yay! | Komentářů: 14
    7.7. 15:11 | IT novinky

    Organizace Video Games Europe reprezentující vydavatele počítačových her publikovala prohlášení k občanské iniciativě Stop Destroying Videogames.

    Ladislav Hagara | Komentářů: 0
    7.7. 13:22 | IT novinky

    Společnost Raspberry Pi nově nabzí Raspberry Pi Camera Module 3 Sensor Assembly, tj. samostatné senzorové moduly z Raspberry Pi Camera Module 3.

    Ladislav Hagara | Komentářů: 0
    7.7. 13:00 | Nasazení Linuxu

    Cathode Ray Dude v novém videu ukazuje autorádio Empeg Car (později Rio Car) z let 1999–2001. Šlo o jeden z prvních přehrávačů MP3 do auta. Běží na něm Linux. Vyrobeno bylo jen asi pět tisíc kusů, ale zůstala kolem nich živá komunita, viz např. web riocar.org.

    Fluttershy, yay! | Komentářů: 1
    Jaký je váš oblíbený skriptovací jazyk?
     (60%)
     (27%)
     (7%)
     (2%)
     (1%)
     (1%)
     (3%)
    Celkem 371 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Zranitelnost Windows UEFI Secure bootu

    Byly zveřejněny informace o zranitelnosti Windows UEFI Secure bootu. Útočník může bezpečnostní mechanismy secure bootu obejít. Podrobnosti v článku Secure Golden Key Boot od @never_released a @TheWack0lian.

    11.8.2016 15:55 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    11.8.2016 16:30 Sten
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Chyba je v nových Windows již opravená, ale protože se nachází ve spoustě instalaček, tak nejde jen tak zablokovat.

    Mimochodem celé to je způsobené tím, že MS na některých zařízeních nedovoluje SecureBoot vypínat:
    A backdoor, which MS put in to secure boot [aby šlo zavádět nepodepsané ovladače během jejich vývoje] because they decided to not let the user turn it off in certain devices, allows for secure boot to be disabled everywhere!
    11.8.2016 17:17 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Pokud to čtu správně (jen sem to teď na rychlo proletěl, neměl jsem čas to v tuto chvíli číst detailněji), tak je to jen problém v Microsoftím UEFI boot manageru. Pokud člověk smaže všechny klíče MS / výrobce z UEFI a enrollne své vlastní, kterými si podepisuje svůj vlastní boot manager (GRUB, který následně bootuje ze šifrované /boot partition), tak by to snad stále mělo být "neprůstřelné" (samozřejmě do té míry do jaké je neprůstřelný BIOS / UEFI firmware, do toho nikdo nevidí a klidně tam mohou být zadní vrátka či exploit).
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    11.8.2016 17:29 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Vlastně ta zranitelnost je dobrá věc :-) Konečně se pujde dostat do uzamčených MS-only zařízení (různé ARM tablety tuším)! ;-) A zařízení kde si mohu do UEFI nahrát vlastní klíče (všechny x86 notebooky a desktopy) zůstávají bezpečná (respektive ponechávají alespoň to zdání bezpečnosti Secure Bootu proti evil maids ;-))
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    Conscript89 avatar 11.8.2016 19:52 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    No, co jsem si hral se securebootem, tak smazat vse muze byt taky na skodu, na Dellu pak prestala fungovat grafika, protoze se nejak nepovedlo firmwaru overit firmware grafiky :)
    I can only show you the door. You're the one that has to walk through it.
    11.8.2016 20:21 Mike
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Na Thinkpadech s tím problém není (ani na nejnovější Intel Skylake generaci), smazat klíče Lenova a Microsoftu je první věc kterou tam dělám, jinak to není Secure Boot ale Backdoor Boot ;-)
    12.8.2016 00:27 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    No, secureboot by mel teoreticky overovat i firmware vymenitelnych karet (takze ta grafika chodit nebude). Ale nastesti existuji dve reseni - to slozitejsi je podepsat ten firmware svym klicem a dostat ho zpatky do grafiky. To jednodussi je spocitat si hash toho firmwaru a pridat ho do db.
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    12.8.2016 02:12 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Hmm řeší secureboot možnost toho, že pro podpis poskytnu jeden image a pro execute jinej? (nebo si to všechno spouští z RAM shadow)
    12.8.2016 13:16 Sten
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Nevím, jaká by byla výhoda poskytovat SecureBoot vůbec nějaký image. Pokud ten HW přesvědčíte, že má načíst nějaký firmware, ale nemá ho při načítání ověřit přes SecureBoot, tak se spustí bez ověření. Pokud vytvoříte HW, který SecureBoot řekne, že nemá žádný firmware k ověření, tak SecureBoot mu bude opět věřit.
    13.8.2016 01:41 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Tak pokud při ROM scanu nějakej hardware řekne, že nemá žádný firmware, tak ho ani normální BIOS nespustí.
    Conscript89 avatar 11.8.2016 20:03 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Tak jsem si zbezne precetl citovany clanek. Ano, titulek je bulvarni a naprosto zadadejici. Bezne vyhrady k panu Hagarovi nemam, ale zde by bylo opravdu vhodne titulek zmenit napr. na "Zranitelnost Windows UEFI bootloaderu".
    I can only show you the door. You're the one that has to walk through it.
    11.8.2016 20:27 Mike
    Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu
    Také se přimlouvám za změnu titulku i textu zprávičky, obojí je silně zavádějící. Jedná se pouze o díru ve Windows UEFI bootloaderu, nikoliv v Secure Bootu jako takovém.
    11.8.2016 20:45 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Podrobnosti v článku
    Autorovi odkazovaného "článku" posílám diamantového bludišťáka -- příště by to eště mohlo třeba blikat v duhovejch barvách, kokote.
    11.8.2016 20:54 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Podrobnosti v článku
    Náhodou je to super, taková krásná nostalgie na časy Amigy, DOSu, demoscény, atd. Pobavilo ;-)
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    12.8.2016 11:11 Xerces
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Tyhlety Secure Booty každého jen otravují. Já bych je vypnul. Ale myslím to upřímně.
    12.8.2016 13:03 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    A jak bys zajistil notebook proti "evil maid"? Jedině bootovat vždy z USB flashky, kterou máš neustále u sebe a nikdy jí nenecháš v notebooku, když se od něj vzdálíš. Ale to není zrovna pohodlné.

    Nebo použít TPM čip a něco jako tpmtotp pro autentikaci bootchainu pomocí OTP (třeba z mobilu). Ale to opět není moc pohodlné, kontrolovat při každém bootu sérii čísel na mobilu, který třeba člověk nemusí mít zrovna u sebe.

    Secure Boot je rozhodně dobrá věc, ale jedině tehdy, když si tam člověk nahraje svoje vlastní klíče, kterými podepisuje svůj vlastní bootloader.
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    13.8.2016 01:43 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Secure Boot je rozhodně dobrá věc, ale jedině tehdy, když si tam člověk nahraje svoje vlastní klíče, kterými podepisuje svůj vlastní bootloader.
    On hlavně i ten SB by měl být opensource, aby se dalo věřit, že nemá backdoory a nebo jen obyčejný díry.
    13.8.2016 02:54 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    To by museli panacci opensourcnout cely UEFI BIOS...
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    13.8.2016 03:14 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    better than extected :-D
    Conscript89 avatar 13.8.2016 12:16 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Tak co jsem videl treba na IBM serverech, tak tam jen maji upraveny TianoCore EDK2. Ale co maji v mobilech a tak, to netusim.
    I can only show you the door. You're the one that has to walk through it.
    12.8.2016 12:22 Bill Gates
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Dobry den, jsem tu spravne na abclinuxu?
    Conscript89 avatar 12.8.2016 13:22 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Jsi, dusledek je, ze pokud chce clovek provozovat pouze Linux s UEFI Secure Boot, tak si ma smazat klice co jsou ve stroji a nahrat si vlastni, nebo proste jen ty, kterym duveruje.
    I can only show you the door. You're the one that has to walk through it.
    12.8.2016 14:53 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Pro doplnění, z příspěvku na blogu Matthewa Garretta:

    There are two commonly used Microsoft Secure Boot keys. The first is the one used to sign all third party code, including drivers in option ROMs and non-Windows operating systems. The second is used purely to sign Windows. If you delete the second from your system, Windows boot loaders (including all the vulnerable ones) will be rejected by your firmware, but non-Windows operating systems will still work fine.
    Conscript89 avatar 12.8.2016 15:11 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    +1
    I can only show you the door. You're the one that has to walk through it.
    12.8.2016 15:28 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    Proč bych tam měl nechávat jakékoliv klíče Microsoftu a OEM výrobce? Smazat je potřeba všechny (včetně hlavního Platform Key) jinak si tam člověk nechává zadní vrátka a rozhodně bych to pak nenazýval "Secure Boot" ("secure" je to jen tehdy, mám li tam nahrané jen a pouze vlastní klíče, jinak mě to neochrání).
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    Conscript89 avatar 12.8.2016 15:39 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    A ten firmware jsi tam taky nahral? Vzdy je to o tom, komu jak veris.
    I can only show you the door. You're the one that has to walk through it.
    12.8.2016 16:22 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    To jsem psal přeci hned na začátku téhle diskuze, že je to možná jen spíš "zdání bezpečnosti", protože nikdo neví, jestli v samotném UEFI firmware není backdoor / exploit. Ale pořád se budu cítit bezpečněji, když se budu bát jen backdooru / exploitu v samotném UEFI firmware, než když vím, že jsem tam "pod rohožkou" nechal klíče Microsoftu ;-) Prostě snížím množství možných vektorů útoku.

    Jinak ThinkPady to mají zdá se řešeno vcelku dobře: ThinkPad BIOS Password Design for UEFI (confidential prezentace Lenova z roku 2010, PDF). Existuje sice postup, jak Supervisor Password resetovat i na moderních ThinkPadech (na těch starších to bylo jednodušší), ale obnáší to přečíst a přeprogramovat firmware přes HW programátor a vyresetovat TPM čip. Není to tedy rychlý postup (dostat se k tomu čipu není zrovna lehké, znamená to de facto rozebrat celý notebook, a i to vyčtení a přeprogramování trvá), který by mohla jen tak narychlo aplikovat "evil maid", a bránit se dá proti tomu i fyzicky (např. vteřinovým lepidlem či epoxidem ;-)). Už to že ten postup pokud vím umí jen jediná rumunská firma, která se na to specializuje už dlouhá léta, a samotné Lenovo v případě zapomenutí Supervisor Passwordu vyměňuje dotyčnému celou základní desku, o něčem vypovídá :-)
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    13.8.2016 01:48 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu
    The first is the one used to sign all third party code, including drivers in option ROMs and non-Windows operating systems. The second is used purely to sign Windows. If you delete the second from your system, Windows boot loaders (including all the vulnerable ones) will be rejected by your firmware, but non-Windows operating systems will still work fine.
    Že z toho cítím zprávu mezi řádky, o tom, co se stane, pokud se smaže ten první? :-D

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.