Keresés: - [Re:] Windows 8 és Linux: nem lesznek barátok

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Új hozzászólás Aktív témák

#298 Gregorius őstag dabadab #296

Új Válasz 2011-09-23 23:18:05 #298
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

válasz dabadab #296 üzenetére

Nem feltétlenül kell hozzá fizikai kivezetés. Elég annyi, hogy kizárólag az UEFI saját menüjéből érhető el az opció. Kétezer oldal UEFI specifikáció bitre pontosan leírja, hogy milyen APIval és milyen adatstruktúrákkal lehet az UEFI-t programozni.
#297 Gregorius őstag Rickazoid #291

Új Válasz 2011-09-23 23:02:19 #297
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

válasz Rickazoid #291 üzenetére

Végig erről van szó, hogy a Windows 8-hoz szükséges a secure boot. Hol olvastad, hogy nem kell hozzá?
Ha már nem nézed meg az eredeti forrásból a Windows 8 bejelentést, legalább a keynote transcriptiont olvasd el. Több különböző eszközön demózták a Windows 8-at, köztük olyanon is, amiben csak BIOS van és olyanon is, ami három éves, vagyis elvileg sem láthatott secure boot-ot (az ezt tartalmazó végleges UEFI specifikáció ugyanis 2011 áprilisi). Gondolod, hogy a Microsoft van olyan retardált, hogy veri a mellét, hogy a Windows 8 az összes Windows 7-re alkalmas hardveren vígan megy (amit aztán a New York Timestól az Etiópia Nyúzig gyakorlatilag mindenki még aznap lecikkezett), amikor saját maguk csinálják meg ennek ellenkezőjét?!
Még egyszer leírom, mert még nem hangzott el itt elégszer. A "Designed for Windows 8" matricához szükséges:
- a secure boot alapértelmezés szerint bekapcsolva - vagyis a user kikapcsolhatja
- a secure boot programozottan nem kapcsolható ki - csak a user által
- a firmware csak hitelesített update-et fogadjon el - vagyis barkácsszoftver barkácsfirmware-je ne kapcsolhassa ki a secure boot-ot, legfeljebb a user.
Ezen túl még olyan követelmények is részei a matricázásnak, hogy pl. touch-képes kijelző szükséges. Ennek ellenére a Windows 8 vígan elröhög a legkülönfélébb környezetekben Hyper-V-től VMWare-en és VirtualBoxon keresztül régi BIOSos gépekig. Megjegyzem még a Samsung által kimondottan erre a konferenciára gyártott tableteken is kikapcsolható a secure boot.
#290 Gregorius őstag Rickazoid #284

Új Válasz 2011-09-23 18:33:01 #290
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

válasz Rickazoid #284 üzenetére

to ensure that systems shipping with Windows 8 have secure boot enabled by default, that firmware not allow programmatic control of secure boot (to prevent malware from disabling security policies in firmware), and that OEMs prevent unauthorized attempts at updating firmware that could compromise system integrity
Tehát röviden ha előtelepítve van a Win8, a secure boot opciót nem lehet kikapcsolni, legalábbis amíg a Win8 telepítve van
Programozottan nem lehet kikapcsolni. Ettől még be tudsz menni a boot menübe és kikapcsolni kézzel, csak nem lesz olyan, hogy boldog boldogtalan Windows alól futó program beleturkál az UEFI olyan részeibe, amihez semmi köze nincs. A felsorolt intézkedések bármelyike nélkül az egész secure boot megkerülése általános iskolai feladat.
utolsó bekezdésében utalnak arra is, hogy csak saját felelősségre lehet majd kikapcsolni. Ez meg általában egyenlő a garanciavesztéssel, ez ugye bevett gyakorlat
Ez a szabvány jogi szöveg, amivel kibújnak a felelősség alól arra az esetre, ha kikapcsolt secure boottal bekapsz egy kártékony boot loadert.
És mivel a Win8 nem fut nélküle, akár használhatatlanná is válhat
nem tudom virtualizálni lehet-e a secure bootot, hogy legalább virtuális környezetben elfusson a nyolcas
A Win8 nemhogy secure boot nélkül de UEFI nélkül is indul. Akár virtualizáltan, akár anélkül.
Hogy miért írnák oda? Miért ne?
Igen, a tipikus összeesküvéselméletekben is így szokott lenni.
#283 Gregorius őstag #92942848 #282

Új Válasz 2011-09-23 14:29:11 #283
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

válasz #92942848 #282 üzenetére

Az UEFI támogatja a hitelesített frissítést, vagyis ha a gyártó úgy dönt, hogy platform keyjel lezárja az UEFI-t, akkor azt csak az fogja frissíteni, akit a gyártó akar. Tipikusan az, aki a platform key privát részével alá tudja írni a frissítést. Ugyanígy a gyártó határozza meg azt is, hogy ki milyen körülmények között nyúlhat hozzá a secure boot certificate listekhez. Ha ezt alkalmazzák, az a szoftveres matatást nagyjából ellehetetleníti. A hardveres szétszedés persze még mindig egy lehetőség, de valljuk be, kevés embernek van megfelelő eszközparkja, hogy egy szétbontott chip nvramját közvetlenül módosítsa.
#209 Gregorius őstag bambano #200

Új Válasz 2011-09-23 01:23:21 #209
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

válasz bambano #200 üzenetére

(volt már)
#161 Gregorius őstag tuser #148

Új Válasz 2011-09-22 19:08:59 #161
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

válasz tuser #148 üzenetére

Úgy vélem a kulcs a cert kinyerése a win loaderéből, majd annak reprodukálása lenne. Amennyiben ez megvalósul úgy már "csak" egy újabb kellemetlenség és indok lesz az 1 bites "Miért sz@r a Linux ?" listán.
A loaderben csak a publikus kulcs és az aláírás van. Vagy brute-force ráereszted a szerverfarmodat vagy megszerzed a privát kulcsot, más lehetőség nem nagyon van. Ez meg így kicsit távol áll az egyszerűtől, bár valószínűleg hasonló dolgok fognak történni, mint a Blu-Ray master key esetén.
#147 Gregorius őstag bambano #145

Új Válasz 2011-09-22 17:43:17 #147
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

válasz bambano #145 üzenetére

az a baj az uefi-vel, hogy pazarolja az erőforrásokat
Ööö miért is?
#139 Gregorius őstag tuser #132

Új Válasz 2011-09-22 17:32:06 #139
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

válasz tuser #132 üzenetére

Hájpörvííí ... király ... te bevállalnál egy HDD/ODD/SSD/RAID/... FW frissítést vagy rendszerhelyreállítást ha tudnád hogy mégegy ( amúgy köztudottan nem valami megbízható ) réteg van közted és a céleszköz között ?
Nem vállalnék be, ugyanis ez a hypervisor miatt képtelenség. Hardvervirtualizálás vagy mi. UEFI-n keresztül vagy külön boot eszközzel lehet firmware-t frissíteni.
nem azt kell megakadályozni, hogy a gépen tomboló vírus/rootkit reboot után ne tudjon betöltődni, hanem azt, hogy ne kerüljön be a gépre és ne jusson admin jogokhoz
Ez két különböző réteg, ami nem zárja ki egymást: mindkettőt alkalmazzák. Utóbbival csak meghatározott támadási vektorokat lehet levédeni, ami egy egyszerű privilege elevation hibával megkerülhető. Előbbi viszont a nem kívánt állapot (nem megbízható boot kód) érvényre jutását akadályozza és nem csak az OS-t, hanem az UEFI-t is meg kellene hozzá törni.
#126 Gregorius őstag tuser #115

Új Válasz 2011-09-22 16:49:03 #126
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

válasz tuser #115 üzenetére

Valaki már írta ... mi lenne ha GPL only lenne a secure boot ? Mit szólnál ha a kedvenc ( Win/Lin/MAC/BSD/... akármi ) rendszered nem tudnád direktbe futtatni ?
Az lenne, hogy technikailag kivitelezhetetlen. Vagy publikálod a privát kulcsot és rövid távon blacklistre kerülsz (vagy ha mégsem, akkor az olyan, mint ha nem is lenne secure boot), mert boldog-boldogtalan azzal írja a saját malware-ét, vagy nem publikálod és ugye akkor nem lesz GPLv3. És akkor az olyan részletkérdésektől eltekintettem, hogy hogyan ellenőrzi az UEFI a boot loader licencét.
anulu: a W8 desktop verziónak része a Hyper-V. W8 ingyenes? Továbbá: ki és miért kötelez arra, hogy virtualizáljam a Linuxot?
A Microsoft Hyper-V Server a Windows Server 2008 R2 azon lebutított változata, amiben gyakorlatilag csak a Hyper-V role van benne. Ez ingyenes (regisztrálni kell).
A Windows 8 szerver különböző változatairól még nincs információ, de meg lennék lepve, ha nem lenne egy ugyanilyen ingyenes edition. Ezzel próbál a Microsoft teret nyerni a piacon a VMWare ellenében.
#79 Gregorius őstag

Új Válasz 2011-09-22 15:22:21 #79
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

Némi forrásokkal meg kellene tűzdelni a cikket, mert az érintett tábor hőbörgésén kívül eddig csak annyit találtam, hogy a "Designed for Windows 8" matricához alapértelmezésben bekapcsolt secure boottal kell szállítani a gépet.
Megjegyzem ha a Microsoft kikényszeríti, hogy ne lehessen a secure bootot kikapcsolni, annak elhúzódó szövődményei lennének a versenyhivatalban. Láttunk már ilyen tisztességtelen magatartást nem egy nagy OEM beszállítónál (akár hardver akár szoftver).
Nem beszélve arról, hogy a saját piacát is tönkrevágja (downgrade ugye ellehetetlenül).
Hm, és mi lesz pl a firmware frissítésekkel, amit egy bootolható ISO formájában szokás kiadni? (vagy csak simán, és csinálj hozzá egy DOS-os bootCD-t / Pendriveot)
Az UEFI-nek saját beépített update managere van erre, nem kell hozzá külön boot-képes eszköz.
/Ha nem lehet bővíteni a kulcsokat, akkor a felhasználó szív, ha lehet, akkor meg ez nem védelem, csak egy plusz lépés./
A kulcsokat nyilvánvalóan szükséges kezelni, különben az első kompromittálódásakor ugrik a védelem. Az UEFI spec pontosan leírja, hogy hogyan történik a key management.