Vlákno názorů k článku Microsoftu unikl univerzální zavaděč, obchází UEFI Secure Boot od eeShoo0s - Já se obávám něčeho jiného, že tohle mediální...

Já se obávám něčeho jiného, že tohle mediální hýkání Microsoft zneužije k přitvrzení a začne prosazovat blokaci legacy bootu v širším měřítku až nakonec na normálním PC nepůjde neschválený OS nebootovat (ne, Ubuntu není dostatečná alternativa).

Abychom se nakonec nedivili, že secure boot nejenže je k ničemu, ale že nejde ani vypnout. Výsledkem by byl dvojnásob otravný a zbytečný voser.

Už teď je to zkurveně otravné, když potřebuji na libovolném cizím PC nabootovat kupříkladu servisní Linux, nebo antivirus z flash / CD ...

Lael zase kecal, jako vždycky. Znám jeden takový dobře podepsaný virus, co se
- do komplu dostal jako trojan stažený na pozadí
- využívá sociálního inženýrství, kdy se tváří jako "update zdarma", "nejlepší produkt na trhu"
- primární funkce je chovat se jako keylogger a vše přes telemetrii reportovat autorům
- sekundární funkce je zobrazovat reklamy na nefunkční software od jeho autorů (adware)
- má potenciál přesunout uživatelům data do čmoudu a vybírat výpalný, aby se k vlastním datům dostali (ransomware)
- slouží jako skvělá platforma pro množení a používání dalšího malware
- znemožňuje přihlášení bez online připojení na autory, třeba technikům v terénu., kteří potřebují sniffnout komunikaci po RS-485
- standardně zpříjemňuje uživatelům při každé mutaci život restartem

Takže celkově udělá kompl nepoužitelným. A zabránilo nějak UEFI jeho řádění?

Ad Podle Laela to ma chranit proti virum, ktere se natahuji jeste pred bootem a virtualizuji pak vlastni OS. To je jiste strasne dulezite na Widlich, a kterych jimak radi milion dalsich viru - ten "milion dalších virů" se dá detekovat a odstranit z běžícího OS. Pokud máte malware který virtualizuje OS před startem, tak ho z běžícího OS v principu nelze detekovat ani odstranit žádným antivirem ani jiným nástrojem. Nějak mi připadá, že jste tenhle rozdíl mezi obyčejnými viry a virtualizací OS před startem nevzal v úvahu.

Zcela prakticky. Kernelový rootkit od Sony se sice ukrýval, ale šlo odstranit například pomocí Microsoft M@licious S0ftware R3moval T0ol, který je pravidelně instalovaný a spouštěný přes Windows Update. Kdyby šlo o malware který virtualizuje OS před startem, tak ho z běžícího OS nelze detekovat ani odstranit. Ne protože by autoři antiviru nevěděli jak to udělat, ale protože to v principu nejde. Pořád vám nedochází ten rozdíl?
http://web.archive.org/web/20070304001739/http://www.microsoft.com:80/security/encyclopedia/details.aspx?name=WinNT/F4IRootkit#Recovery

... jooo, tovizejo ....

Cisty widle, prave nainstalovany ....

Integrita kódu určila, že hodnoty hash stránky souboru bitové kopie nejsou platné. Soubor může být bez hodnot hash stránky nesprávně podepsán nebo poškozen z důvodu neoprávněné změny. Neplatné hodnoty hash mohou ukazovat na potenciální chybu diskového zařízení.

Název souboru: \Device\Harddis­kVolume1\Window­s\System32\l3co­deca.acm

Chmm ... nj, on si M$ loguje ... ze neumi podepsat ... vlastni driver ... chmm ...

A podobnych sracek je ve widlologu 100%.

A co to má společného s UEFI Secure Boot? Aha, vůbec nic :)

Jinak na Linuxu je taky sranda spustit aplikaci z konzole, a koukat jak padají chybové hlášky.

Ad Už teď je to zkurveně otravné, když potřebuji na libovolném cizím PC nabootovat kupříkladu servisní Linux, nebo antivirus z flash / CD - a v čem je konkrétně problém? I na strojích MS Surface Pro stačí vypnout Secure Boot v nastavení UEFI. Do toho nastavení UEFI byste stejně musel vlézt, protože soudný člověk nemá zapnuté bootování z removable médií.

1/ ne na všech strojích lze secure boot vypnout, naposledy jsem měl v rukou nějaký superlevný Asus, kde to nešlo opravdu nijak a taky jeden HP notebook, kde se to duplicitně ptalo na náhodně generované heslo (opsat z obrazovky) a po jednom nabootování se secure boot zase zapnul ... očekávám, že komplikací bude přibývat se zvyšující se bezohledností a idiocií výrobců

2/ nejde o automatický boot z removable médií, pokud úložiště zvolím ručně z boot menu, tak mi do toho žádný BIOS nemá co kecat

3/ celý secure boot by šel v pohodě nahradit "velkou červenou hláškou ™" upozorňující na to, že došlo ke změně zavaděče a dotazem jestli je to pro uživatele v pořádku ... zvolím ano a už nikdy (až do aktualizace zavaděče - třeba grubu) hlášku neuvidím, uměly to 386/486 desky, nevidím důvod, proč by to nemohlo fungovat podobně ... vlastně ano, nebylo by to závislé na Microsoftu a tedy je nutné prosazovat secure boot

4/ jestli někdy koupím PC, kde secure boot nepůjde snadno a trvale vypnout, tak ho vracím a budu chtít peníze zpět, MS Surface jsem v ruce ještě neměl (nekoupím a důsledně nedoporučuji)

1. Osobně jsem neviděl PC, které by mělo Secure Boot a nešlo ho vypnout. Nevylučuji že takové existují. Výrobci mají samozřejmě svobodu v tom co chtějí vyrábět, a vy máte svobodu kupovat HW který vám vyhovuje. BTW jak jsem psal, Linux je možné provozovat se Secure Boot.

3. "Velká červená hláška" nefunguje. Uživatel neví jestli je změna boot loaderu oprávněná, neumí to posoudit, a s klidem odklikne cokoliv. A Secure Boot není nijak závislý na Microsoftu.

4. To je správný přístup. Pokud se vám HW nelíbí, tak si ho nekupujte. Nakonec já si také nekupuji tablet s x86 Androidem, abych si pak stěžoval, že se na něj nedají nainstalovat Windows :)
Ad MS Surface Pro - pokud jste ho neměl v ruce, tak proč ho nedoporučujete? Za mě je to velmi povedený HW. Je lehký, má vysoký výkon, a dobře kombinuje roli tabletu a notebooku. Technicky se na něj Linux nainstalovat dá, ale pochopitelně to nemá smysl, protože pro režim tabletu nebudete mít vhodné UI ani aplikace.

Výrobci mají samozřejmě svobodu, ale pokud chtějí získat certifikaci "Win8 ready" zařízení (mimo notebooků a PC) nesmí umožňovat boot jiného systému než windows ...

Jak je to aktuálně v době Win10 nevím, ale tohle mi utkvělo v paměti jako ukázkový případ bezohledného prosazování monopolu.

Odpověď na 1.: Například u první verze Lenovo Yoga s Windows RT nešlo Secure Boot vypnout.