Názory k článku Microsoftu unikl univerzální zavaděč, obchází UEFI Secure Boot

Naposledy jsem lezl domů přez balkon.
A co se týče nastíněné problematiky, u Mikrosoftu u mě ztratili důvěru už dávno.

Přestože domácí uživatelé považují secure boot spíš za otravnou omezující věc... Tak asi 90% domácích uživatelú nemá ani páru, že něco takovýho vubec existuje.

Nemaj o tom paru, protoze 90% jich ma HW, kterej nic takovyho nema.

Maju ale nevedia o tom

Proč by někdo měl PC krást a bootovat "z čehokoliv"? Stačí malware který virtualizuje OS před startem, a není ho možné z běžícího OS detekovat ani odstranit.

Secure boot stejne funguje jen pro MS a mozna trochu pro ubuntu, pokud se to nezmenilo. Takze je to takova bezpecnost na nic.
Navic jestli sem to pochopil dobre tak reseni tehle "chyby" je nasadit os co takovou ochranu nema vubec (android a jine distra linuxu). Moc to nedava smysl.

SecureBoot funguje pro vsechny aplikace od kohokoliv. Pokud je zapnuty, muzes spustit jen EFI aplikaci podepsanou nekterym z klicu v BIOSu, vsechny ostatni aplikace skonci chybou overeni.
Tou aplikaci je vetsinou nejaky OS bootloader, ale muze to byt cokoliv - EFI shell, diagnostika, ovladac...

Secure Boot funguje s libovolnou Linuxovou distribucí, já jej třeba s úspěchem používám na Arch Linuxu. Člověk musí smazat z UEFI všechny předinstalované klíče (OEM výrobce a Microsoftu), nahrát místo nich své vlastní a těmi pak podepisovat bootloader. Takhle je to skutečně bezpečné řešení.

Ne jako to dělá třeba právě tuším Ubuntu či Fedora, že tam nechají klíče Microsoftu a bootloader (respektive shim) mají podepsaný od nich. To je uplně k ničemu. Nebo druhá podobně špatná možnost - jen přidají do UEFI hash či svůj klíč, ale ty původní klíče Microsoftu tam nechají. To pak opravdu není Secure.

Neco podobneho uz se Microsoftu stalo s ActiveX. Ta technologie mela "zabezpeceni" pomoci digitalnich podpisu. Microsoft vydal i sbirku prikladu. Jeden z prikladu vytvarel soubor na disku a pak ho po sobe mazal. I tenhle priklad MS podepsal svym klicem. Pak uz jen stacilo tomuto ActiveX predat parameter "C:\*.*" a ono vam to smazalo vsechny soubory na disku.

Problem neni v tom, ze ten priklad nemel osetrene vstupy, ale v tom, ze to MS podepsal svym klicem. Kdyz uz jednou neco podepisete, tak uz jste naporad odpodedni za to, kdo, jak a k cemu to pouzije.

Men jevic pobavilo "Pro mobily a tablety s Windows se zřejmě začnou vytvářet různé alternativní systémy, linuxové distribuce, androidí ROM atd." ..... ano, na windows telefon si dam android:o))))
Navic tohle je u microsoftu celkem jedno .... co jineho by slo dat treba na surface? Neni zadny jiny dotykovy OS, tak mozna android:o) LOL, na zarizeni za 80k android:o)
Co vim, tak snad jedine zarizeni, ktere maji zamknuty bootloader jsou dotovane chromebooky .... kde by samozrejme instalace OS misto te sracky melo obrovsky smysl. Kazdopadne chyba je to zajimava, ale tezko rict, jestli se bude nejak zneuzivat .... tezko si dnes treba na windows telefonech predstavit "customrom", cili zavirovanou verzi ruznyma botnetama atd.

Nejvic me na tom celem ale zajima to, jak microsoft nalozi s tema, co shrabli odmenu a chybu zverejnili .... neco mi rika, ze jim nastanou krusne casy.

Ubuntu Tablet edition? Používal jsem kdysi netbook verzi na malém Asusu a známý používal na starém tabletu právě teblet edition. Můj netbook stále funguje a výkonově dostačuje na cokoliv, na co stačil před deseti lety.
Známý si tu tablet verzi taky nemohl vynachválit, prodloužilo to životnost (upotřebitelnost) toho tabletu taky na nějakých 7let. Kdo může říci, že po sedmi letech vyhodil tablet kvůli výdrži baterie a ne kvůli nulové podpoře ze strany vývojářů a kvúli nechutně sníženému výkonu vlivem bambilionu nenažraných aktualizací?

Pro telefony tohle platí dvojnásob. Koupíte si telefon střední třídy, po dvou letech je zaplácaný aktualizacemi, pomalý se zaplněnou flash (a nic se nedá odinstalovat...) a po třech letech už nenainstalujete ani office/google tabulky, protože OS není podporován. Telefon je na vyhození. Pokud tam nacpete linux, přijdete o app store a hromady "běžných appek", ale získáte funkční přístroj, který vám vydrží dalších několik let.

Já osobně plánuji nasazení Ubuntu na starý Asus transformer TF101, který se na několik minut zadýchá i při otevýrání prohlížeče. Slibuji si od toho možnost používat jej pro některé účely třeba další 4 roky, což mu celkovou výdrž prodlouží na nějakých 8let.

Asus TF700 má děsně pomalou NAND, naštěstí má odemčený zavaděč, takže lze pustit Android z SD karty. A taky Linux, akorát nefunguje akcelerace grafiky a poslední X.org, který na té nVidii běží, je z Ubuntu 14.04.
Faktem je, že nebýt multibootu, tak už bych jej vyhodil. Ale ani tak to není žádná sláva. Tipuji, že TF101 na tom bude podobně.

Hromada widlosystemu je v autech ... a tam instalace neceho normalniho == konecne si tam muzes dat navigaci, ktera bude fungovat, mit aktualni data a nebudes z ni platit 6k rocne vypalny ... (trebas).

Můžete uvést pár příkladů "widlosystemu v autech", které používají nevypinatelný Secure Boot? Já o žádných nevím.

napriklad nissany

Dtto Ford a PSA. Ale to nema smysl lulanovi psat, on nema ani paru.

no zrovna ty androidi custom romky sou na 100% lepsi co se tyce predinstalovanejch splikaci. neni nic horsiho nez kdyz si v androidu nemuzes vymazat co chces bez roota a strasej te tam nepotrebne aplikace na nic.

ps on si bude nekdo pri smyslech kupovat surface za 80 litru? :D

U Chromebooků samozřejmě jde bootloader odemknout, říká se tomu "developer mode". Jen se tím odemknutím smažou uživatelská data, což je jedině dobře (je to bezpečnostní opatření, podobně jako třeba u Google Nexus telefonů/tabletů - útočník se tak za 1. nedostane k datům uživatele a za 2. uživatel bezpečně pozná, že se mu to někdo snažil kompromitovat).

Navíc Chromebooky obsahují opensource Coreboot firmware a jako takové jsou nesrovnatelně bezpečnější, než uzavřené proprietární UEFI plné potenciálních zadních vrátek.

Nevim jaky Chromebook mate. Dostat se do developer modu, tim, ze povolite dva sroubky to je celkem HC bych rekl. Pak teprve muzete zkusit neco bootnout, zavadec je stejne opensource jako na androidu (takze vendorlock). Gugl nechce aby mu nekdo jeho dotovane laptopy upgravoval/up­gradoval, takze stejne je treba pouzivat jejich upraveny kernel kde jsou drivery od nich (nejvic opensource jako celej android). Jeste jednou taky nekdo napise, ze andorid/chrome os je opensource a poslu na nej hordu lemmingu ve verzi Fredy Cruger.

Pro člověka, který neumí získat zdrojáky toho zavaděče nebo Androidu, to zřejmě je hardcore.

vezmi si to tak, koupis si desktop a abys mohl nainstalovat linux, budes muset vymontovat dva sroubky nekde na desce. To je hodne user friendly reseni a u vetsiny pripadu urcite neporusis zaruku .... s tim dotovanim jsem se nespravne vyjadril, ale vyrobni cena chromebooku a prodejni cena jsou si velmi podobne. Strategie je jasna, "nakazit" co nejvic uzivatelu.

@Sten: asi jsme se uplne nepochopili, jelikoz arm je dost jinej nez x86. U androidu fakt nehorzi, ze by sis sahnul na HW a pokud ano, je to nemalej hack. Krasnej priklad je treba XPosed, zkus zmenit IMEI. (ze to je nestandartni a ze 1000 duvodu proc ne, to je fuk, sahni si na HW dej mi proof....). Vetsina tech vsech modu a alternativ na android stejne stoji na podvozku, kterej nejde vymenit ani za zlaty prase ... Koncept Androidu a Chrome OS je uplne stejnej jako M$ akorat maj lepsi marketing.

Dal to neminim rozebirat, kazdej at si zkusi sam.

Já se obávám něčeho jiného, že tohle mediální hýkání Microsoft zneužije k přitvrzení a začne prosazovat blokaci legacy bootu v širším měřítku až nakonec na normálním PC nepůjde neschválený OS nebootovat (ne, Ubuntu není dostatečná alternativa).

Abychom se nakonec nedivili, že secure boot nejenže je k ničemu, ale že nejde ani vypnout. Výsledkem by byl dvojnásob otravný a zbytečný voser.

Už teď je to zkurveně otravné, když potřebuji na libovolném cizím PC nabootovat kupříkladu servisní Linux, nebo antivirus z flash / CD ...

Lael zase kecal, jako vždycky. Znám jeden takový dobře podepsaný virus, co se
- do komplu dostal jako trojan stažený na pozadí
- využívá sociálního inženýrství, kdy se tváří jako "update zdarma", "nejlepší produkt na trhu"
- primární funkce je chovat se jako keylogger a vše přes telemetrii reportovat autorům
- sekundární funkce je zobrazovat reklamy na nefunkční software od jeho autorů (adware)
- má potenciál přesunout uživatelům data do čmoudu a vybírat výpalný, aby se k vlastním datům dostali (ransomware)
- slouží jako skvělá platforma pro množení a používání dalšího malware
- znemožňuje přihlášení bez online připojení na autory, třeba technikům v terénu., kteří potřebují sniffnout komunikaci po RS-485
- standardně zpříjemňuje uživatelům při každé mutaci život restartem

Takže celkově udělá kompl nepoužitelným. A zabránilo nějak UEFI jeho řádění?

Ad Podle Laela to ma chranit proti virum, ktere se natahuji jeste pred bootem a virtualizuji pak vlastni OS. To je jiste strasne dulezite na Widlich, a kterych jimak radi milion dalsich viru - ten "milion dalších virů" se dá detekovat a odstranit z běžícího OS. Pokud máte malware který virtualizuje OS před startem, tak ho z běžícího OS v principu nelze detekovat ani odstranit žádným antivirem ani jiným nástrojem. Nějak mi připadá, že jste tenhle rozdíl mezi obyčejnými viry a virtualizací OS před startem nevzal v úvahu.

Zcela prakticky. Kernelový rootkit od Sony se sice ukrýval, ale šlo odstranit například pomocí Microsoft M@licious S0ftware R3moval T0ol, který je pravidelně instalovaný a spouštěný přes Windows Update. Kdyby šlo o malware který virtualizuje OS před startem, tak ho z běžícího OS nelze detekovat ani odstranit. Ne protože by autoři antiviru nevěděli jak to udělat, ale protože to v principu nejde. Pořád vám nedochází ten rozdíl?
http://web.archive.org/web/20070304001739/http://www.microsoft.com:80/security/encyclopedia/details.aspx?name=WinNT/F4IRootkit#Recovery

... jooo, tovizejo ....

Cisty widle, prave nainstalovany ....

Integrita kódu určila, že hodnoty hash stránky souboru bitové kopie nejsou platné. Soubor může být bez hodnot hash stránky nesprávně podepsán nebo poškozen z důvodu neoprávněné změny. Neplatné hodnoty hash mohou ukazovat na potenciální chybu diskového zařízení.

Název souboru: \Device\Harddis­kVolume1\Window­s\System32\l3co­deca.acm

Chmm ... nj, on si M$ loguje ... ze neumi podepsat ... vlastni driver ... chmm ...

A podobnych sracek je ve widlologu 100%.

A co to má společného s UEFI Secure Boot? Aha, vůbec nic :)

Jinak na Linuxu je taky sranda spustit aplikaci z konzole, a koukat jak padají chybové hlášky.

Ad Už teď je to zkurveně otravné, když potřebuji na libovolném cizím PC nabootovat kupříkladu servisní Linux, nebo antivirus z flash / CD - a v čem je konkrétně problém? I na strojích MS Surface Pro stačí vypnout Secure Boot v nastavení UEFI. Do toho nastavení UEFI byste stejně musel vlézt, protože soudný člověk nemá zapnuté bootování z removable médií.

1/ ne na všech strojích lze secure boot vypnout, naposledy jsem měl v rukou nějaký superlevný Asus, kde to nešlo opravdu nijak a taky jeden HP notebook, kde se to duplicitně ptalo na náhodně generované heslo (opsat z obrazovky) a po jednom nabootování se secure boot zase zapnul ... očekávám, že komplikací bude přibývat se zvyšující se bezohledností a idiocií výrobců

2/ nejde o automatický boot z removable médií, pokud úložiště zvolím ručně z boot menu, tak mi do toho žádný BIOS nemá co kecat

3/ celý secure boot by šel v pohodě nahradit "velkou červenou hláškou ™" upozorňující na to, že došlo ke změně zavaděče a dotazem jestli je to pro uživatele v pořádku ... zvolím ano a už nikdy (až do aktualizace zavaděče - třeba grubu) hlášku neuvidím, uměly to 386/486 desky, nevidím důvod, proč by to nemohlo fungovat podobně ... vlastně ano, nebylo by to závislé na Microsoftu a tedy je nutné prosazovat secure boot

4/ jestli někdy koupím PC, kde secure boot nepůjde snadno a trvale vypnout, tak ho vracím a budu chtít peníze zpět, MS Surface jsem v ruce ještě neměl (nekoupím a důsledně nedoporučuji)

1. Osobně jsem neviděl PC, které by mělo Secure Boot a nešlo ho vypnout. Nevylučuji že takové existují. Výrobci mají samozřejmě svobodu v tom co chtějí vyrábět, a vy máte svobodu kupovat HW který vám vyhovuje. BTW jak jsem psal, Linux je možné provozovat se Secure Boot.

3. "Velká červená hláška" nefunguje. Uživatel neví jestli je změna boot loaderu oprávněná, neumí to posoudit, a s klidem odklikne cokoliv. A Secure Boot není nijak závislý na Microsoftu.

4. To je správný přístup. Pokud se vám HW nelíbí, tak si ho nekupujte. Nakonec já si také nekupuji tablet s x86 Androidem, abych si pak stěžoval, že se na něj nedají nainstalovat Windows :)
Ad MS Surface Pro - pokud jste ho neměl v ruce, tak proč ho nedoporučujete? Za mě je to velmi povedený HW. Je lehký, má vysoký výkon, a dobře kombinuje roli tabletu a notebooku. Technicky se na něj Linux nainstalovat dá, ale pochopitelně to nemá smysl, protože pro režim tabletu nebudete mít vhodné UI ani aplikace.

Výrobci mají samozřejmě svobodu, ale pokud chtějí získat certifikaci "Win8 ready" zařízení (mimo notebooků a PC) nesmí umožňovat boot jiného systému než windows ...

Jak je to aktuálně v době Win10 nevím, ale tohle mi utkvělo v paměti jako ukázkový případ bezohledného prosazování monopolu.

Odpověď na 1.: Například u první verze Lenovo Yoga s Windows RT nešlo Secure Boot vypnout.

a kde je link na download?