Zranitelnost Windows UEFI Secure bootu

Pokud to čtu správně (jen sem to teď na rychlo proletěl, neměl jsem čas to v tuto chvíli číst detailněji), tak je to jen problém v Microsoftím UEFI boot manageru. Pokud člověk smaže všechny klíče MS / výrobce z UEFI a enrollne své vlastní, kterými si podepisuje svůj vlastní boot manager (GRUB, který následně bootuje ze šifrované /boot partition), tak by to snad stále mělo být "neprůstřelné" (samozřejmě do té míry do jaké je neprůstřelný BIOS / UEFI firmware, do toho nikdo nevidí a klidně tam mohou být zadní vrátka či exploit).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

11.8.2016 17:29 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu

Vlastně ta zranitelnost je dobrá věc :-)

Konečně se pujde dostat do uzamčených MS-only zařízení (různé ARM tablety tuším)! ;-)

A zařízení kde si mohu do UEFI nahrát vlastní klíče (všechny x86 notebooky a desktopy) zůstávají bezpečná (respektive ponechávají alespoň to zdání bezpečnosti Secure Bootu proti evil maids ;-)

)

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

11.8.2016 19:52 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu

No, co jsem si hral se securebootem, tak smazat vse muze byt taky na skodu, na Dellu pak prestala fungovat grafika, protoze se nejak nepovedlo firmwaru overit firmware grafiky :)

I can only show you the door. You're the one that has to walk through it.

11.8.2016 20:21 Mike
Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu

Na Thinkpadech s tím problém není (ani na nejnovější Intel Skylake generaci), smazat klíče Lenova a Microsoftu je první věc kterou tam dělám, jinak to není Secure Boot ale Backdoor Boot ;-)

12.8.2016 00:27 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu

No, secureboot by mel teoreticky overovat i firmware vymenitelnych karet (takze ta grafika chodit nebude). Ale nastesti existuji dve reseni - to slozitejsi je podepsat ten firmware svym klicem a dostat ho zpatky do grafiky. To jednodussi je spocitat si hash toho firmwaru a pridat ho do db.

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

12.8.2016 02:12 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu

Hmm řeší secureboot možnost toho, že pro podpis poskytnu jeden image a pro execute jinej? (nebo si to všechno spouští z RAM shadow)

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

12.8.2016 13:16 Sten
Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu

Nevím, jaká by byla výhoda poskytovat SecureBoot vůbec nějaký image. Pokud ten HW přesvědčíte, že má načíst nějaký firmware, ale nemá ho při načítání ověřit přes SecureBoot, tak se spustí bez ověření. Pokud vytvoříte HW, který SecureBoot řekne, že nemá žádný firmware k ověření, tak SecureBoot mu bude opět věřit.

13.8.2016 01:41 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu

Tak pokud při ROM scanu nějakej hardware řekne, že nemá žádný firmware, tak ho ani normální BIOS nespustí.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

11.8.2016 20:03 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost UEFI Secure bootu

Tak jsem si zbezne precetl citovany clanek. Ano, titulek je bulvarni a naprosto zadadejici. Bezne vyhrady k panu Hagarovi nemam, ale zde by bylo opravdu vhodne titulek zmenit napr. na "Zranitelnost Windows UEFI bootloaderu".

I can only show you the door. You're the one that has to walk through it.

Tyhlety Secure Booty každého jen otravují. Já bych je vypnul. Ale myslím to upřímně.

12.8.2016 13:03 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

A jak bys zajistil notebook proti "evil maid"? Jedině bootovat vždy z USB flashky, kterou máš neustále u sebe a nikdy jí nenecháš v notebooku, když se od něj vzdálíš. Ale to není zrovna pohodlné.

Nebo použít TPM čip a něco jako tpmtotp pro autentikaci bootchainu pomocí OTP (třeba z mobilu). Ale to opět není moc pohodlné, kontrolovat při každém bootu sérii čísel na mobilu, který třeba člověk nemusí mít zrovna u sebe.

Secure Boot je rozhodně dobrá věc, ale jedině tehdy, když si tam člověk nahraje svoje vlastní klíče, kterými podepisuje svůj vlastní bootloader.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

13.8.2016 01:43 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

Secure Boot je rozhodně dobrá věc, ale jedině tehdy, když si tam člověk nahraje svoje vlastní klíče, kterými podepisuje svůj vlastní bootloader.

On hlavně i ten SB by měl být opensource, aby se dalo věřit, že nemá backdoory a nebo jen obyčejný díry.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

13.8.2016 02:54 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

To by museli panacci opensourcnout cely UEFI BIOS...

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

13.8.2016 03:14 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

better than extected :-D

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

13.8.2016 12:16 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

Tak co jsem videl treba na IBM serverech, tak tam jen maji upraveny TianoCore EDK2. Ale co maji v mobilech a tak, to netusim.

I can only show you the door. You're the one that has to walk through it.

Dobry den, jsem tu spravne na abclinuxu?

12.8.2016 13:22 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

Jsi, dusledek je, ze pokud chce clovek provozovat pouze Linux s UEFI Secure Boot, tak si ma smazat klice co jsou ve stroji a nahrat si vlastni, nebo proste jen ty, kterym duveruje.

I can only show you the door. You're the one that has to walk through it.

12.8.2016 14:53 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

Pro doplnění, z příspěvku na blogu Matthewa Garretta:

There are two commonly used Microsoft Secure Boot keys. The first is the one used to sign all third party code, including drivers in option ROMs and non-Windows operating systems. The second is used purely to sign Windows. If you delete the second from your system, Windows boot loaders (including all the vulnerable ones) will be rejected by your firmware, but non-Windows operating systems will still work fine.

12.8.2016 15:11 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

I can only show you the door. You're the one that has to walk through it.

12.8.2016 15:28 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

Proč bych tam měl nechávat jakékoliv klíče Microsoftu a OEM výrobce? Smazat je potřeba všechny (včetně hlavního Platform Key) jinak si tam člověk nechává zadní vrátka a rozhodně bych to pak nenazýval "Secure Boot" ("secure" je to jen tehdy, mám li tam nahrané jen a pouze vlastní klíče, jinak mě to neochrání).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

12.8.2016 15:39 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

A ten firmware jsi tam taky nahral? Vzdy je to o tom, komu jak veris.

I can only show you the door. You're the one that has to walk through it.

12.8.2016 16:22 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

To jsem psal přeci hned na začátku téhle diskuze, že je to možná jen spíš "zdání bezpečnosti", protože nikdo neví, jestli v samotném UEFI firmware není backdoor / exploit. Ale pořád se budu cítit bezpečněji, když se budu bát jen backdooru / exploitu v samotném UEFI firmware, než když vím, že jsem tam "pod rohožkou" nechal klíče Microsoftu ;-)

Prostě snížím množství možných vektorů útoku.

Jinak ThinkPady to mají zdá se řešeno vcelku dobře: ThinkPad BIOS Password Design for UEFI (confidential prezentace Lenova z roku 2010, PDF). Existuje sice postup, jak Supervisor Password resetovat i na moderních ThinkPadech (na těch starších to bylo jednodušší), ale obnáší to přečíst a přeprogramovat firmware přes HW programátor a vyresetovat TPM čip. Není to tedy rychlý postup (dostat se k tomu čipu není zrovna lehké, znamená to de facto rozebrat celý notebook, a i to vyčtení a přeprogramování trvá), který by mohla jen tak narychlo aplikovat "evil maid", a bránit se dá proti tomu i fyzicky (např. vteřinovým lepidlem či epoxidem ;-)

). Už to že ten postup pokud vím umí jen jediná rumunská firma, která se na to specializuje už dlouhá léta, a samotné Lenovo v případě zapomenutí Supervisor Passwordu vyměňuje dotyčnému celou základní desku, o něčem vypovídá :-)

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

13.8.2016 01:48 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Zranitelnost Windows UEFI Secure bootu

The first is the one used to sign all third party code, including drivers in option ROMs and non-Windows operating systems. The second is used purely to sign Windows. If you delete the second from your system, Windows boot loaders (including all the vulnerable ones) will be rejected by your firmware, but non-Windows operating systems will still work fine.

Že z toho cítím zprávu mezi řádky, o tom, co se stane, pokud se smaže ten první? :-D

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

Zranitelnost Windows UEFI Secure bootu

Komentáře